Характеристика предприятия и его деятельности

Технико-экономическая характеристика предметной области и предприятия

I. Аналитическая часть

Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии.

Анализ рисков информационной безопасности.

Технико-экономическая характеристика предметной области и предприятия.

I. Аналитическая часть

Структура первой главы

1.1.1. Характеристика предприятия и его деятельности.

1.1.2. Организационная структура управления предприятием.

1.1.3. Программная и техническая архитектура ИС предприятия.

1.2.1 Идентификация и оценка информационных активов.

1.2.2. Оценка уязвимостей активов.

1.2.3. Оценка угроз активам.

1.2.4. Оценка рисков.

1.3.1 Анализ системы обеспечения информационной безопасности и защиты информации.

1.3.2 Выбор комплекса задач обеспечения информационной безопасности.

1.3.3 Определение места проектируемого комплекса задач в комплексе задач предприятия, детализация задач информационной безопасности и защиты информации.

 

В качестве основных компонентов предметной области (в различных сочетаниях) рассматриваются:

· предприятие, фирма, объединение, государственное учреждение и т.д., функционирование которого предусматривает проведение мероприятий по обеспечению информационной безопасности (обеспечению конфиденциальности, целостности и доступности информации);

· система защиты информации предприятия, функционирование которой не в полной мере обеспечивает адекватное реагирование на угрозы информационной безопасности;

· отдельный вид деятельности по обеспечению информационной безопасности, рассматриваемый, как бизнес-процесс, требующий оптимизации.

В зависимости от выбранной предметной области в данном пункте необходимо отразить, или пункт должен содержать:

· цель функционирования предприятия (задачи системы защиты информации, содержание выхода бизнес-процесса);

· краткую историю развития (предприятия) и его место на рынке аналогичных товаров\услуг (историю, создания системы защиты информации, этапа внедрения бизнес-процесса, обеспечивающего информационную безопасность);

· все основные виды (направления) деятельности, связанные с созданием, хранением и обработкой информации (функции системы защиты информации; содержание процедур, составляющих бизнес-процесс), например:

- обработка заявок клиентов, обмен корреспонденцией;

- предоставление защищенных каналов телекоммуникаций;

- обеспечение непрерывной работы Web-портала;

- внутренний аудит корпоративной информационной системы

- регламентация деятельности по обработке информации;

- доступ к информационным ресурсам;

- контроль корпоративного трафика и т.п.

· основные характеристики (показатели эффективности) видов деятельности

При выборе набора наиболее важных характеристик следует иметь ввиду то, что они должны отражать масштабы деятельности компании, должны отражать масштабы реализации того направления, в рамках которого планируется проводить исследование. Приведённые показатели будут являться дальнейшей основой для обоснования необходимости решения задачи защиты информации, а также для расчёта общей экономической эффективности проекта.

Таблица 1

Основные характеристики (показатели эффективности) видов деятельности

№ п\п Наименование характеристики (показателя) Значение показателя на определённую дату либо за период
     
     
     

 

Показатель эффективности представляет собой количественную (реже качественную) меру, позволяющую вынести суждение об эффективности функционирования системы защиты информации (дать оценку эффективности процесса). При выборе и/или формировании показателя эффективности следует помнить о том, вне зависимости от содержания процесса, показатель должен иметь ясный физический смысл, то есть размерность показателя должна наглядно отражать сущность оцениваемого процесса, виды расходуемых ресурсов, а также однозначно характеризовать выходной продукт процесса. Например:

· Характеристикой документооборота является его объем, под которым понимается количество документов, поступивших в организацию и созданных ею за определенный период.

· Характеристика функционирования системы связи (телекоммуникаций) – коэффициент исправного действия (КИД), который определяется как отношение времени, в течение которого система функционировала нормально, к общему времени «жизни» системы на данном предприятии, исключая время, затраченное на запланированные мероприятия, такие как техническое обслуживание, модернизация и т.п.

· Характеристика деятельности службы безопасности – отношение количества выявленных угроз к количеству угроз нейтрализованных.

· Ущерб от реализованной угрозы информационным ресурсам – объем недополученной прибыли (утерянная выгода), затраты на устранение последствий реализованных угроз и т.п.

Выбранная или сформированная количественная мера должна обеспечивать сравнимость результатов. Так, например, показатели, характеризующие скорость обработки информации в зависимости от рассматриваемых программно-аппаратных средств, могут иметь вид: Мбайт/сек и Мбит/сек, а выходная характеристика одного и того же процесса в зависимости от выбора продолжительности отчетного периода, может иметь размерность: количество документов/месяц, количество документов/квартал, количество документов/год. Очевидно, что сравнение численных значений показателей, имеющих разную размерность недопустимо.