|
Читайте также: |
Капитальные вложения в проект комплексной системы защиты информации составили 420,275 тыс. рублей. В последующие три года затраты на амортизацию и обслуживание системы будут составлять 93,35 тыс. рублей ежегодно в течение четырех лет.
Система будет считаться эффективной, если стоимость потока платежей на КСЗИ будет меньше величины потерь в соответствии с формулой (5):
NPVC < NPVП,(5)
где
NPVC – стоимость потока платежей на усовершенствование КСЗИ;
NPVП – величина потерь.
По модулю чистый эффект улучшения по годам оценим по формулам (6)-(9).
(6)
где X(0) – начальные вложения;
y – улучшение по годам;
i – размер альтернативной ставки процента.
, (7)
где yП – величина потерь.
(8)
(9)
В числовом выражении получим:
= 420,275*0,1 + 93,35
yП > 135,38
Становится очевидным, что усовершенствование системы защиты будет эффективным, если величина потерь, возникающих при отсутствии усовершенствованной КСЗИ, составит более 135,38 тыс. руб. В результате экспертной оценки эффективности специалистами по информационной безопасности и ведущими специалистами сектора рисков Банка признано, что уровень потерь находится на порядок выше затрат на усовершенствование КСЗИ. Такая величина вложений не превышает предусмотренного при внедрении КСЗИ уровня ежегодных затрат на ее обновление и модернизацию.
Таким образом, создание системы информационной безопасности – это искусство руководства и координации трудовых, материальных и иных ресурсов на протяжении жизненного цикла проекта путем применения системы современных методов и техники управления для достижения поставленных целей.
В проекте совершенствования комплексной системы защиты информации банка предложен ряд необходимых мероприятий, которые в полной мере отвечают целям проекта. Работы были разбиты в четкой последовательности и иерархически структурированы. Каждой работе назначен ответственный за неё и/или исполнитель, структура разбиения работ наглядно представлена на сетевых графиках и диаграмме Ганта. Уровень затрат не превышает установленный экспертным путем уровень ежегодных вложений в эту область.
Осуществление работ по проекту рассчитано на 4 месяца и завершается введением в эксплуатацию усовершенствованной КСЗИ.
Для того, чтобы справиться с ограничениями по времени используются методы построения и контроля календарных графиков работ. Для управления финансовыми ограничениями используют методы формирования финансового плана (бюджета) проекта и, по мере выполнения работ, соблюдение бюджета отслеживается с тем, чтобы не дать затратам выйти из под контроля. Для выполнения работ требуется их обеспечение ресурсами, и существуют специальные методы управления человеческими и материальными ресурсами.
Заключение
Итак, исследуемая организация является одним из крупнейших банков России и занимает лидирующие позиции в своей области. Банк имеет обширную филиальную сеть, колоссальное количество клиентов и предоставляет широкий спектр банковских услуг. Информационные процессы банка имеют обширную разветвленную структуру и разнообразны по видам и содержанию. В соотвтетствии с ними большая часть объектов инфраструктуры организации являются критическими и требуют соответствующей защиты. Защищаемая информация подразделяются на четыре класса в зависимости от степени ее важности и носит гриф «Коммерческая тайна». Эта же иерархия используется при классификации объектов защиты.
В результате анализа обнаружено, что в система защиты информации в Банке начала складываться более пятнадцати лет назад, постоянно совершенствуется и налажена на очень высоком уровне с использованием последних тенденций в этой области, учитывает все нюансы данной организации.
Однако в существующей системе защиты выявлен ряд недостатков:
Во-первых, большая часть организационно-распорядительной документации в области информационной безопасности разработана и внедрена до 2006 года, поэтому не учитывает требования современного законодательства, в частности:
- отсутствует налаженная система мер в области защиты персональных данных, требуемая вступившим в силу с 1 января 2008 года законом «О персональных данных»;
- не учтены последние изменения в области защиты сведений, составляющих коммерческую тайну, введенные частью четвертой Гражданского кодекса Российской Федерации, а также поправками в закон «О коммерческой тайне» и пр.;
- имеются общеметодологические недоработки в области организации правового обеспечения защиты информации, о чем пойдет речь в следующей главе.
Во-вторых, в Банке отсутствует система мероприятий в области информационно-психологической защиты сотрудников, что подтверждают имевшие место неоднократные случаи использования методов социального инжиниринга для добывания той или иной информации.
В-третьих, имеются существенные задержки в предоставлении доступа сотрудников к сведениям нефинансового характера, так как заявки на доступ от подразделений рассматриваются и согласовываются от трех до пяти дней. А для организации такого масштаба такие простои могут стать критическими.
В связи с этим для совершенствования комплексной системы защиты информации Банка необходимо провести следующие мероприятия:
Во-первых, при организации защиты информации наибольшее внимание следует уделить проработке организационно-распорядительной документации, так как существующие локальные нормативно-правовые акты нуждаются в переработке в соответствии с последними изменениями законодательства. Предложенная система мер включает внедрение положений о банковской тайне и персональных данных, разработку соглашений о работе с персональными данными, принятие мер по защите сотрудников от вредных информационно-психологических воздействий. Также необходимо переработать уже имеющиеся документы в области информационной безопасности банка, изменение должностных инструкций сотрудников в соответствии с принимаемыми положениями о банковской тайне и о персональных данных, включить соответствующие положения о информационно-психологической безопасности в состав имеющегося нормативно-правового обеспечения КСЗИ на всех уровнях.
Во-вторых, для уменьшения простоев и оптимизации процесса подачи заявок на доступ к информации нефинансового характера необходимо внедрить программный комплекс «Заявка».
В-третьих, назначить ответственного за обеспечение защиты персональных данных в соответствии с положением о работе с персональными данными.
В-четвертых, ввести штатную единицу психолога-специалиста по информационно-психологической безопасности или изыскать возможность использования в этом направлении штатных психологов.
В результате работы был разработан проект совершенствования комплексной системы защиты информации Банка, в котором нашли отражение все описанные меры. Работы были разбиты в четкой последовательности и иерархически структурированы. Каждой работе назначен ответственный за неё и/или исполнитель, структура разбиения работ наглядно представлена на сетевых графиках и диаграмме Ганта. Уровень затрат не превышает установленный экспертным путем уровень ежегодных вложений в эту область.
Осуществление работ по проекту рассчитано на 4 месяца и завершается введением в эксплуатацию усовершенствованной КСЗИ.
Таким образом, цели работы достигнуты. Предложен ряд необходимых мер, которые в полной мере отвечают целям проекта. Перспективой работы является её практическая реализация на предприятии.
Дата добавления: 2015-07-15; просмотров: 58 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Сетевой график и диаграмма Ганта | | | Сущность стратегии |