 |
Задание на лабораторную работу
|
|
|
|
1 1. Определить время перебора всех паролей с параметрами: Алфавит состоит из n символов. Длина пароля символов k. Скорость перебора s паролей в секунду. После каждого из m неправильно введенных паролей идет пауза в v секунд
1.2 Рассчитать минимальный срок действия пароля, при котором обеспечивается требуемый уровень надежности парольной защиты. Вероятность вскрытия 10-5. Мощность алфавита – n символов. Длина пароля – k знаков. Скорость интерактивного подбора паролей - s паролей/секунду.
| вариант | n | k | s | m | v |
2.1 Определить минимальную длину пароля, алфавит которого состоит из n символов, время перебора которого было не меньше t лет. Скорость перебора s паролей в секунду.
2.2 Определить мощность пространства паролей, обеспечивающую требуемый уровень надежности парольной защиты (вероятность вскрытия 10-4) в течении 48 часов, если противник может реализовать скорость интерактивного подбора паролей s паролей в секунду.
| вариант | n | t | s |
3. Определить количество символов алфавита, пароль состоит из k символов, время перебора которого было не меньше t лет. Скорость перебора s паролей в секунду.
| вариант | k | t | s |
|
|
|
Лабораторная работа 5
ОЦЕНКА ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ СРЕДСТВ ЗИ
Цель работы: оценивание экономической эффективности внедрения ИС методом дисконтирования.
1. Теоретические сведения
Затраты на информационную безопасность подразделяются на следующие категории:
1. Затраты на формирование и поддержание звена управления системой защиты информации (организационные затраты).
2. Затраты на контроль, т.е. на определение и подтверждение достигнутого уровня защищенности ресурсов предприятия.
3. Внутренние затраты на ликвидацию последствий нарушения политики информационной безопасности (НПБ) - затраты, понесенные организацией в результате того, что требуемый уровень защищенности не был достигнут.
4. Внешние затраты на ликвидацию последствий нарушения политики информационной безопасности - компенсация потерь при нарушениях политики безопасности в случаях, связанных с утечкой информации, потерей имиджа компании, утратой доверия партнеров и потребителей и т. п.
5. Затраты на техническое обслуживание системы защиты информации и мероприятия по предотвращению нарушений политики безопасности предприятия (затраты на предупредительные мероприятия).
При этом обычно выделяют единовременные и систематические затраты. К единовременным относятся затраты на формирование политики безопасности предприятия: организационные затраты и затраты на приобретение и установку средств защиты. Классификация затрат условна, так как сбор, классификация и анализ затрат на информационную безопасность - внутренняя деятельность предприятий, и детальная разработка перечня зависят от особенностей конкретной организации.
Очевидно, что расходы на внедрение и поддержку программы принадлежат к категории затрат на контроль. Основной объем затрат составляет оплата труда персонала службы безопасности и прочего персонала предприятия, занятого проверками и испытаниями. Эти затраты могут быть определены весьма точно. Оставшиеся затраты в основном связаны со стоимостью конкретных специальных работ и услуг внешних организаций и материально-техническим обеспечением системы безопасности. Они могут быть определены напрямую.
|
|
|
В то же время, использование программы позволит своевременно выявлять уязвимости СЗИ, устранение которых приведет к снижению риска нарушения ИБ и, тем самым, к снижению внутренних и внешних затрат на компенсацию нарушений политики безопасности. Внутренние затраты сокращаются по таким статьям, как:
· Восстановление баз данных и прочих информационных массивов.
· Утилизация скомпрометированных ресурсов.
· Проведение мероприятий по контролю достоверности данных, подвергшихся атаке на целостность.
· По проведению расследований нарушений политики безопасности.
Внешние затраты на компенсацию нарушений политики безопасности связаны с тем, что были скомпрометированы коммерческие данные партнеров и персональные данные пользователей услуг предприятия. Затраты, связанные с восстановлением доверия, определяются таким же образом, как и в случае внутренних потерь. Существуют и другие затраты, которые определить достаточно сложно. В их числе такие затраты, как:
· Потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно-технические достижения.
· Потери от компрометации производимой предприятием продукции и снижения цен на нее.
При определении затрат на обеспечение ИБ необходимо помнить, что:
· Затраты на приобретение и ввод в действие программно-технических средств могут быть получены из анализа накладных, записей в складской документации и т. п..
· Выплаты персоналу могут быть взяты из ведомостей.
· Объемы выплат заработной платы должны быть взяты с учетом реально затраченного времени на проведение работ по обеспечению информационной безопасности. Если только часть времени сотрудника затрачивается на деятельность по обеспечению информационной безопасности, то целесообразность оценки каждой из составляющих затрат его времени не должна подвергаться сомнению.
|
|
|
Целью любых инвестиций является увеличение притока денежных средств (в данном случае - уменьшение размера ущерба в результате реализации угроз ИБ) по сравнению с существующим. При оценке инвестиционного проекта необходимо рассмотреть все потоки денежных средств, связанные с реализацией данного проекта. Неденежные затраты (такие, например, как амортизация) и затраты, уже понесенные до принятия решения об инвестициях, рассматриваться не должны. При этом необходимо учитывать зависимость потока денежных средств от времени.
Поэтому будущие поступления денежных средств (снижение ущерба) должны быть дисконтированы, т.е. приведены к текущей стоимости. Для этого применяют ставку дисконтирования, величина которой отражает риски, связанные с обесцениванием денег из-за инфляции и с возможностью неудачи инвестиционного проекта, который может не принести ожидаемого эффекта. Другими словами, чем выше риски, связанные с проектом, тем больше значение ставки дисконтирования. Эта ставка также отражает общий уровень стоимости кредита для инвестиций.
К основным показателям, используемым для определения эффективности инвестиционного проекта, относятся:
- Чистый дисконтированный доход (NPV),
- Внутренняя норма доходности (IRR),
- Индекс доходности (PI),
- Срок окупаемости с учетом дисконтирования (Ток)
|
|
|
