В качестве основных компонентов предметной области (в различных сочетаниях) рассматриваются:
· предприятие, фирма, объединение, государственное учреждение и т.д., функционирование которого предусматривает проведение мероприятий по обеспечению информационной безопасности (обеспечению конфиденциальности, целостности и доступности информации);
· система защиты информации предприятия, функционирование которой не в полной мере обеспечивает адекватное реагирование на угрозы информационной безопасности;
· отдельный вид деятельности по обеспечению информационной безопасности, рассматриваемый, как бизнес-процесс, требующий оптимизации.
В зависимости от выбранной предметной области в данном пункте необходимо отразить, или пункт должен содержать:
· цель функционирования предприятия (задачи системы защиты информации, содержание выхода бизнес-процесса);
· краткую историю развития (предприятия) и его место на рынке аналогичных товаров\услуг (историю, создания системы защиты информации, этапа внедрения бизнес-процесса, обеспечивающего информационную безопасность);
· все основные виды (направления) деятельности, связанные с созданием, хранением и обработкой информации (функции системы защиты информации; содержание процедур, составляющих бизнес-процесс), например:
- обработка заявок клиентов, обмен корреспонденцией;
- предоставление защищенных каналов телекоммуникаций;
- обеспечение непрерывной работы Web-портала;
- внутренний аудит корпоративной информационной системы
- регламентация деятельности по обработке информации;
- доступ к информационным ресурсам;
- контроль корпоративного трафика и т.п.
|
· основные характеристики (показатели эффективности) видов деятельности
При выборе набора наиболее важных характеристик следует иметь ввиду то, что они должны отражать масштабы деятельности компании, должны отражать масштабы реализации того направления, в рамках которого планируется проводить исследование. Приведённые показатели будут являться дальнейшей основой для обоснования необходимости решения задачи защиты информации, а также для расчёта общей экономической эффективности проекта.
Таблица 1
Основные характеристики (показатели эффективности) видов деятельности
№ п\п | Наименование характеристики (показателя) | Значение показателя на определённую дату либо за период |
Показатель эффективности представляет собой количественную (реже качественную) меру, позволяющую вынести суждение об эффективности функционирования системы защиты информации (дать оценку эффективности процесса). При выборе и/или формировании показателя эффективности следует помнить о том, вне зависимости от содержания процесса, показатель должен иметь ясный физический смысл, то есть размерность показателя должна наглядно отражать сущность оцениваемого процесса, виды расходуемых ресурсов, а также однозначно характеризовать выходной продукт процесса. Например:
· Характеристикой документооборота является его объем, под которым понимается количество документов, поступивших в организацию и созданных ею за определенный период.
· Характеристика функционирования системы связи (телекоммуникаций) – коэффициент исправного действия (КИД), который определяется как отношение времени, в течение которого система функционировала нормально, к общему времени «жизни» системы на данном предприятии, исключая время, затраченное на запланированные мероприятия, такие как техническое обслуживание, модернизация и т.п.
|
· Характеристика деятельности службы безопасности – отношение количества выявленных угроз к количеству угроз нейтрализованных.
· Ущерб от реализованной угрозы информационным ресурсам – объем недополученной прибыли (утерянная выгода), затраты на устранение последствий реализованных угроз и т.п.
Выбранная или сформированная количественная мера должна обеспечивать сравнимость результатов. Так, например, показатели, характеризующие скорость обработки информации в зависимости от рассматриваемых программно-аппаратных средств, могут иметь вид: Мбайт/сек и Мбит/сек, а выходная характеристика одного и того же процесса в зависимости от выбора продолжительности отчетного периода, может иметь размерность: количество документов/месяц, количество документов/квартал, количество документов/год. Очевидно, что сравнение численных значений показателей, имеющих разную размерность недопустимо.