Таким образом, в самом начале, при разработке основных управляющих информационных систем предприятия в первую очередь уделялось внимание мобильности; быстродействию, простоте использования, и только в последнюю очередь рассматривали вопрос безопасности внедряемых процессов с точки зрения их защищенности. В процессе исследования было произведено сравнение основных способов оценки риска защиты информационной системы предприятия. Проанализировав средства и методики, можно сделать вывод о том, что представленные методы не предполагают расчета рационального соотношения различных способов контроля, не производят оценки качества процесса реагирования на инциденты в области информационной безопасности. Таким образом, можно заключить, что на данном этапе отсутствует универсальная система оценки рисков информационной безопасности предприятия.
2. Обоснование механизма оценки эффективности системы информационной безопасности предприятия на основе риск-ориентированного подхода
Важной процедурой в сфере информационной безопасности предприятия является механизм оценки его эффективности.
Оценка эффективности системы информационной безопасности предприятия представляет собой проверку текущего состояния системы защиты от несанкционированных вторжений. В процессе оценки определяется степень защищенности информационной безопасности предприятия. Оценка эффективности системы информационной безопасности предприятия необходим для того, чтобы понять уровень защищенности, а в случае его несоответствия проведения оптимизирования до нормального. Эта процедура также позволяет оценить целесообразность финансовых вложений в информационную безопасность 1, с.114.
В конечном итоге эксперт даст рекомендации о норме финансовых трат для получения максимальной эффективности. Оценка эффективности системы информационной безопасности предприятия позволяет регулировать средства контроля. Экспертиза в отношении информационной безопасности делится на несколько этапов: установка целей и способов их достижения; анализ информации, необходимой для вынесения вердикта; обработка собранных данных; экспертное заключение и рекомендации.
В конечном итоге специалист выдаст свое решение. Рекомендации направлены чаще всего на изменение конфигураций технических средств, а также серверов. Часто проблемному предприятию предлагают выбрать другой метод обеспечения безопасности. Возможно, для дополнительного усиления экспертами будет назначен комплекс защитных мер. Работа после получения результатов аудита направлена на информирование коллектива о проблемах. Если это необходимо, то стоит провести дополнительный инструктаж в целях повышения образованности сотрудников относительно защиты информационных ресурсов предприятия 5.
Механизм оценки эффективности системы информационной безопасности предприятия на основе риск-ориентированного подхода обычно включает в себя три основные направления: планирование; координированный сбор данных; ранжирование выявленных рисков.
Как отмечено в исследованиях Аблогина М.А, Салютиной Т.Ю., Платуниной Г.П.: «Модель оценки информационной безопасности компании определяет сферу оценки, отражающую контекст оценки информационной безопасности в рамках критерия оценки ИБ, отображение и преобразование оценки в параметры объекта оценки, а также устанавливает показатели, обеспечивающие оценку информационной безопасности» 1. Указанные авторы предлагают процесс проведения оценки информационной безопасности компании выражать через следующие основные компоненты: контекст, свидетельства, критерии и модель оценки – то есть те, которые необходимы для реализации процесса оценки, что наглядно представлено на рисунке 1.
