Зависимость алгоритма расчета ожидаемого ущерба от типа нарушения
┌──────────────────────┬─────────────────────────────────────────────┬─────────────────────────────┐
│ Тип нарушения │ Ущерб от нарушения │ Стоимость восстановительных │
│ │ │ работ │
├──────────────────────┼─────────────────────────────────────────────┼─────────────────────────────┤
│Нарушение │Обычно разовый. Реже зависит от времени. Для│Нет, так как не приводит к│
│конфиденциальности │анализа можно использовать формулу │изменениям системы │
│ │S = S1 + дельтаS х T, │ │
│ │где S1 - стоимость информации; │ │
|
|
│ │дельтаS - стоимость обновления; │ │
│ │Т - период утечки данных │ │
├──────────────────────┼─────────────────────────────────────────────┼─────────────────────────────┤
│Изменения в│Зависит от частоты обращения к измененной│Стоимость восстановительных│
│системе, включая│области. Если данная область является│работ здесь зависит от двух│
│технические сбои и│ключевой в системе, то зависит от времени│составляющих: S = S1 х T +│
│умышленные действия │устранения данного нарушения. Аналитической│S2, где S1 - стоимость поиска│
│ │формулой оценки здесь является следующее│неисправности; │
│ │выражение: │Т - время поиска│
|
|
│ │S = суммаi (S1i + Se x T1i + Sp (T2i + T3i), │неисправности; │
│ │где S1i - разовый ущерб для каждого случая; │S2 - стоимость устранения │
│ │Se - стоимость эксплуатации с неисправной│ │
│ │системой; │ │
│ │Т1i - время обнаружения факта нарушения,│ │
│ │может меняться от случая к случаю; │ │
│ │Sp(t) - ущерб от простоя системы связанный с│ │
│ │устранением последствий. Данная функция часто│ │
│ │носит ступенчатый характер; │ │
│ │T2i - время диагностики; │ │
│ │T3i - время устранения неисправности │ │
└──────────────────────┴─────────────────────────────────────────────┴─────────────────────────────┘
|
|
Рассмотренные алгоритмы носят достаточно условный характер и должны быть адаптированы и детализированы в зависимости от более подробной классификации ожидаемых нарушений, структуры информационной системы и особенностей организации.
Влияние систем защиты на развитие бизнеса
Рассматривая вопросы информационной безопасности, нельзя не затронуть взаимную зависимость между ними и общими задачами кредитной организации. Часто приходится сталкиваться с ситуациями, когда развитие отдельных направлений бизнеса просто блокируется требованиями безопасности. Обычно это имеет смысл, так как затраты на защиту информационного ресурса того или иного бизнеса вместе с остаточным риском больше, чем ожидаемый доход. Однако ошибки в подобных расчетах означают потерю конкурентного преимущества и, как следствие, намного больший ущерб для организации в целом. Эта угроза заставляет многие банки идти на риск, игнорируя риски информационной безопасности, скрывая возникающие проблемы. Рассмотрим некоторые критерии, облегчающие принятие решений в этой области.
|
|
Следуя общему правилу экономической целесообразности, определяется следующее выражение:
(S(T) - S) x T + 1%(Т) > (S1 x (%)t + Sa x Т)/К,
где S(T) - функция ожидаемого дохода от нового продукта, зависит от времени;
S - сумма требуемого дохода от рассматриваемого продукта;
Т - рассматриваемый промежуток времени;
1%(Т) - получаемая прибыль за счет вторичного использования средств, полученных в качестве дохода от рассматриваемого продукта;
S1 - разовая инвестиция в систему информационной безопасности;
(%)t - потерянная прибыль от использования вложенных средств;
Sa - затраты на сопровождение;
К - коэффициент доли использования, определяется исходя из использования необходимых в данном случае элементов системы безопасности другими продуктами.
Рассматривая данную формулу, нетрудно заметить, что в случае возникновения противоречия между развитием бизнеса и уязвимостью его информационной системы можно использовать следующие типовые решения:
* создание системы общей защиты для всей информационной среды организации, а не для отдельных модулей. Это может стоить дороже, однако снижаются затраты на сопровождение и на внедрение новых решений;
* стандартизация решений, что также позволит снизить стоимость сопровождения и обеспечения информационной безопасности;
* снижение требуемого уровня рентабельности новой услуги;
* применение решений, проверенных в других организациях.
Но в любом случае, анализируя систему информационной безопасности, к ней следует относиться не как к злу, дополнительным и неоправданным затратам, а как к части общих услуг, предлагаемых клиенту, гарантирующих конфиденциальность его бизнеса и сохранность его денег.
Аудит информационных систем
Практически ни одна компания, в какой бы индустрии она не работала, не в состоянии сегодня обходиться без использования современных информационных технологий. А в некоторых отраслях (таких, как финансы, телекоммуникациия или автоматизация) стала неотъемлемой частью бизнес-деятельности, без которой просто невозможно осуществление операций. В то же время информационные технологии с каждым годом все более усложняются. Они поглощают огромные финансовые и временные ресурсы, при этом не всегда предоставляя адекватный эффект. Положительные аспекты оттеняются новыми рисками, связанными с широким использованием информационных технологий, которые требуют дополнительного контроля со стороны высшего менеджмента, внешнего и внутреннего аудита.
Цели и задачи аудита ИС
Целью ИТ-аудита является совершенствование системы контроля за ИТ. Для этого аудиторы выполняют следующие задачи:
- осуществляют оценку рисков ИТ;
- содействуют предотвращению и смягчению сбоев ИС;
- участвуют в управлении рисками ИТ, в том числе в ведении карты рисков;
- помогают подготавливать нормативные документы;
- пропагандируют высокую роль ИТ для бизнеса;
- помогают связать бизнес-риски и средства автоматизированного контроля;
- осуществляют проведение периодических проверок;
- содействуют ИТ-менеджерам в правильной организации управления ИТ;
- осуществляют "взгляд со стороны".
Аудитор информационных систем вне зависимости от того, является ли он внешним или внутренним (приглашенным) специалистом, выступает от имени акционеров и руководства организации. При этом внешние аудиторы больше акцентируют свое внимание на независимом подтверждении надежности и адекватности системы внутреннего контроля за ИТ, а внутренние аудиторы - на обеспечении эффективности системы внутреннего контроля ИТ. Аудиторы ИТ помимо весьма глубокого понимания современных информационных технологий должны обладать знанием целей и задач внутреннего контроля и опытом организации системы внутреннего контроля в области ИТ.
Дата добавления: 2019-01-14; просмотров: 185; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!