Лекция 4 Методология и основные подходы определения затрат на защиту информации
Скачать 0.87 Mb.
|
Лекция 5.4.2. Методология и основные подходы определения затрат на защиту информации ▪ Стоит ли тратить деньги на корпоративную систему защиты информации, полезность которой для бизнеса далеко не очевидна? ▪ Как оценить эффективность планируемой или существующей корпоративной системы защиты информации? ▪ Как оценить эффективность инвестиционного бюджета на информационную безопасность (ИБ) компании? ▪ В какие сроки окупятся затраты компании на ИБ? ▪ Какэкономически эффективно планировать компании на ИБ и управлять им? бюджет Основные вопросы руководства Практический: ▪ находится инвариант разумной стоимости корпоративной системы защиты информации. (Существуют аналогичные инварианты в других областях, где значимые для бизнеса события носят вероятностный характер) Стоимость системы ИБ должна составлять примерно 10 - 20 % от стоимости корпоративной информационной системы - в зависимости от уровня конфиденциальности информации. Подходы к обоснованию затрат на организацию режима информационной безопасности Наукообразный: ▪ осваивается, а затем применяется на практике необходимый инструментарий получения метрики и меры безопасности, для чего привлекается руководство компании к оценке стоимости защищаемой информации, определению вероятностей потенциальных угроз, уязвимостей и потенциального ущерба Становится возможным привлечь руководство компании к осознанию проблем ИБ и построению корпоративной системы защиты информации и заручиться его поддержкой Подходы к обоснованию затрат на организацию режима информационной безопасности ▪ Во-первых, метод должен обеспечивать количественную оценку затрат на безопасность, используя качественные показатели оценки вероятностей событий и их последствий ▪ Во-вторых, метод должен быть прозрачен с точки зрения пользователя, и давать возможность вводить собственные эмпирические данные ▪ В-третьих, метод должен быть универсален, т.е. одинаково применим к оценке затрат на приобретение аппаратных средств, специализированного и универсального программного обеспечения, затрат на услуги, затрат на перемещение персонала и обучение конечных пользователей и т.д. ▪ В-четвертых, выбранный метод должен позволять моделировать ситуацию, при которой существует несколько контрмер, направленных на предотвращение определенной угрозы, в разной степени влияющих на сокращение вероятности происшествия Требования к методам оценки целесообразности затрат на систему информационной безопасности Прикладной информационный анализ Applied Information Economics (AIE) Разработана Дугласом Хаббардом, основателем компании Hubbard Ross (1999 г.), стала первой организацией, которая использовала методику для анализа ценности инвестиций в технологии безопасности с финансовой и экономической точки зрения Позволяет: ▪ повысить точность показателя действительная экономическая стоимость вложений в технологии безопасности за счет определения доходности инвестиций (Return on Investment, ROI) до и после инвестирования ▪ сократить неопределенность затрат, рисков и выгод, в том числе и неочевидных, опираясь на знания экономики, статистики, теории информации и системного анализа Оценивается степень влияния инвестиций в технологии безопасности на численность и состав потребителей ▪ В процессе оценки предприятие или организация определяет экономические показатели своих потребителей за счет отслеживания доходов, затрат и прибылей по каждому заказчику в отдельности ▪ Недостаток метода состоит в трудности формализации процесса установления прямой связи между инвестициями в технологии безопасности и сохранением или увеличением числа потребителей ▪ Этот метод применяется в основном для оценки эффективности корпоративных систем защиты информации в компаниях, у которых число заказчиков непосредственно влияет на все аспекты бизнеса Потребительский индекс Customer Index (CI) Разработана консалтинговой компанией Stern Stewart капитала и Co., новым акционерного специализирующейся на оценке инструментарием финансового анализа ▪ Предлагается рассматривать службу ИБ как «государство в государстве», т.е. специалисты службы безопасности продают свои услуги внутри компании по расценкам, примерно эквивалентным расценкам на внешнем рынке, что позволяет компании отследить доходы и расходы, связанные с технологиями безопасности ▪ Таким образом, служба безопасности превращается в центр прибыли и расходуются активы, увеличиваются доходы появляется возможность четко определить, как связанные с технологиями безопасности, и акционеров Добавленная экономическая стоимость Economic Value Added (EVA) Разработана компанией META Group Consulting, которая оказывает услуги средним и крупным компаниям, количественно измеряя возврат от инвестиций в технологии безопасности. ▪ Методика предполагает точный расчет всех возможных рисков и выгод для бизнеса, связанных с внедрением и функционированием расширяется корпоративной системы защиты информации. При этом использование таких инструментальных средств оценки ИТ как: • добавленная экономическая стоимость (EVA) • внутренняя норма рентабельности (IRR) •возврат от инвестиций (ROI), за счет определения и вовлечения в оценочный процесс параметров времени и риска Исходная экономическая стоимость Economic Value Sourced (EVS) Методика управления портфелем активов предполагает, что компании управляют технологиями безопасности так же, как управляли бы акционерным инвестиционным фондом с учетом объема, размера, срока, прибыльности и риска каждой инвестиции. Портфель активов технологий безопасности состоит из: ▪ «статических» активов (апаратно-программные средства защиты информации, операционные системы и пакеты прикладных программных продуктов, сетевое оборудование и программное обеспечение, данные и информацию, оказываемые услуги, человеческие ресурсы и прочее) ▪ «динамичных» активов (различные проекты по обновлению всего портфеля активов, знания и опыт, капитал и т.д.) расширению и интеллектуальный Управление портфелем активов Portfolio Management (PM) Таким образом, управление портфелем активов технологий безопасности представляет собой непрерывный анализ взаимодействия возникающих возможностей и имеющихся в наличии ресурсов. Непрерывность процесса управления связана: ▪ с внешними изменениями (например, изменение ситуации на рынке, изменение позиций конкурента) ▪ с внутренними изменениями (например, изменение в стратегии компании, в каналах сбыта, номенклатуре товаров и услуг и т.д.) ▪ директор службы безопасности становится «фондовым менеджером», который управляет инвестициями в технологии безопасности, стремясь к максимизации прибыли. Управление портфелем активов Оценка действительных возможностей Real Option Valuation (ROV) ▪ Основу методики составляет ключевая концепция построения «гибких возможностей компании» в будущем. ▪ Методика рассматривает технологии безопасности в качестве возможностей с большой степенью их детализации. модели набора ▪ Правильное решение принимается после тщательного анализа широкого спектра показателей и рассмотрения множества результатов или вариантов будущих сценариев, которые в терминах методики именуются «динамическим планом выпуска» управляющих решений или гибкости, который поможет организациям лучше адаптировать или изменять свой курс в области информационной безопасности. Метод жизненного цикла искусственных систем System Life Cycle Analysis (SLCA) ▪ В основе метода лежит измерение «идеальности» корпоративной системы защиты информации - соотношение ее полезных факторов к сумме вредных факторов и факторов расплаты за выполнение полезных функций. ▪ Оценку предваряет совместная работа аналитика и ведущих специалистов обследуемой компании по выработке реестра полезных, негативных и затратных факторов бизнес системы без использования системы безопасности и присвоению им определенных весовых коэффициентов. Метод жизненного цикла искусственных систем System Life Cycle Analysis (SLCA) , Результатом работы является расчетная модель, описывающая состояние без системы безопасности ▪ После этого в модель вводятся описанные факторы ожидаемых изменений, и производится расчет уровня развития компании с корпоративной системой защиты информации. Таким образом, строятся традиционные модели «Как есть» и «Как будет» с учетом реестра полезных, негативных и затратных факторов бизнес системы Применяется: ▪ на этапе предпроектной подготовки, для предварительной оценки эффекта от внедрения новой системы безопасности или от модернизации существующей ▪ на этапе разработки технического задания на АС в защищенном исполнении ▪ на этапе проведения аудита информационной безопасности АС предприятия, для проектной оценки ожидаемого эффекта ▪ на этапе приемки АС в защищенном исполнении в эксплуатацию или по окончанию периода опытной эксплуатации для подтверждения расчетного эффекта, его уточнения и получения новой «точки отсчета» для последующих оценок эффекта от внедрения технологий безопасности Метод жизненного цикла искусственных систем Функционально-стоимостной анализ Activity Based Costing (ABC) ФСА - это процесс распределения затрат с использованием первичных носителей стоимости, ориентированных на производственную и/или логистическую структуру предприятия с конечным распределением затрат по основным носителям (продуктам и услугам). ▪ Позволяет весьма точно и понятно установить связь между элементами себестоимости продукции и производственными процессами. ▪ Применимо к оценке эффективности корпоративных систем защиты моделей информации, метод ФСА используется для построения бизнес-процессов предприятия, «Как есть» и «Как будет». Совокупная стоимость владения Total Cost of Ownership (TCO) 1. Показатель ТСО = “видимые затраты” + “невидимые затраты”. 2. Затем этот показатель сравнивается с рекомендуемыми величинами для данного типа предприятия. Существует 17 типов предприятий, которые в свою очередь делятся на малые, средние и крупные. 3. Если полученная совокупная стоимость владения системы безопасности значительно превышает рекомендованное значение и приближается к предельному, то необходимо принять меры по снижению ССВ. Основные способы сокращения совокупной стоимости владения: ▪ максимальная централизация управления безопасностью ▪ уменьшение числа специализированных элементов ▪ настройка прикладного программного обеспечения безопасности и пр. Совокупная стоимость владения Total Cost of Ownership (TCO) Стоимость владения системой информационной безопасности Возможности предоставляемые методикой определения совокупной стоимости владения СЗИ (ТСО) об уровне защищенности ▪ получить реалистичную информацию распределенной вычислительной среды и совокупной стоимости владения корпоративной системой защиты информации ▪ сравнить подразделения службы ИБ компании как между собой, так и с аналогичными подразделениями других предприятий в данной отрасли ▪ оптимизировать инвестиции на ИБ компании с учетом реального значения показателя ТСО Актуальные вопросы ▪ какие ресурсы и денежные средства тратятся на ИБ ▪ оптимальны ли затраты на ИБ для бизнеса компании ▪ насколько эффективна работа службы ИБ компании по сравнению с другими компаниями ▪ как сделать управление инвестированием в защиту информации эффективным Актуальные вопросы ▪ какие выбрать направления развития корпоративной информации ▪ как обосновать бюджет компании на ИБ системы защиты ▪ как доказать эффективность существующей корпоративной защиты информации и службы ИБ компании в целом системы ▪ какова оптимальная структура службы ИБ компании ▪ как правильно оценить сторонние услуги корпоративной системы защиты информации по сопровождению Показатель совокупной стоимости владения (ТСО ) Подход к оценке ТСО базируется на результатах аудита структуры и поведения корпоративной системы защиты информации и КИС в целом, включая действия сотрудников служб автоматизации, информационной безопасности и просто пользователей КИС. Сбор и анализ статистики по структуре прямых (операции, административное управление) и косвенных затрат (на конечных пользователей и простои) проводится, как правило, в течение 12 месяцев. Полученные данные оцениваются по ряду критериев с учетом сравнения с аналогичными компаниями по отрасли. В методике ТСО в качестве базы для сравнения используются данные и показатели ТСО для западных компаний. Однако данная методика способна учитывать специфику российских компаний с помощью, так называемых поправочных коэффициентов Поправочные коэффициенты ▪ по стоимости основных компонентов корпоративной системы защиты информации и КИС, информационных активов компании (Cost Profiles) с учетом данных по количеству и типам серверов, персональных компьютеров, периферии и сетевого оборудования ▪ по заработанной плате сотрудников (Salary and Asset Scalars) c учетом дохода компании, географического положения, типа производства и размещения организации в крупном городе или нет ▪ по конечным пользователям ИТ (End User Scalars) c учетом типов пользователей и их размещения (для каждого типа пользователей требуется различная организация службы поддержки и вычислительной инфраструктуры) Поправочные коэффициенты ▪ по использованию методов так называемой лучшей практики в области управления ИБ (Best Practices) с учетом реального состояния дел по управлению изменениями, операциями, активами, сервисному обслуживанию, обучению, планированию и управлению процессами ▪ по уровню сложности организации (Complexity Level) с учетом состояния организации конечных пользователей (процент влияния – 40%), технологии SW (40%), технологии HW (20%) Задачи решаемые при определении затрат компании на ИБ 1. Оценка текущего уровня информации и КИС в целом. ТСО корпоративной системы защиты 2. Аудит ИБ компании на основе сравнения уровня защищенности компании и рекомендуемого (лучшая мировая практика) уровня совокупной стоимости владения. 3. Формирование целевой модели ТСО. Проводится сбор информации и расчет показателей ТСО организации по следующим направлениям: ▪ существующие компоненты ИС (включая систему защиты и информационные активы компании (серверы, информации) клиентские компьютеры, периферийные устройства, сетевые устройства) ▪ существующие расходы на аппаратные и программные защиты информации (расходные материалы, амортизация) средства 1. Оценка текущего уровня ТСО корпоративной системы защиты информации и КИС в целом ▪ существующие расходы на организацию ИБ в компании (обслуживание СЗИ и СКЗИ, а также штатных средств защиты периферийных устройств, серверов, сетевых устройств, планирование и управление процессами защиты информации, разработку концепции и политики безопасности и пр.) ▪ существующие расходы на организационные меры защиты информации ▪ существующие косвенные расходы на организацию ИБ в компании и в частности обеспечение непрерывности или устойчивости бизнеса компании 1. Оценка текущего уровня ТСО корпоративной системы защиты информации и КИС в целом По результатам собеседования с TOP-менеджерами компании и проведения инструментальных проверок уровня защищенности организации проводится анализ следующих основных аспектов: ▪ политики безопасности ▪ организации защиты ▪ классификации и управления информационными ресурсами ▪ управления персоналом ▪ физической безопасности ▪ администрирования компьютерных систем и сетей ▪ управления доступом к системам ▪ разработки и сопровождения систем ▪ планирования бесперебойной работы организации ▪ проверки системы на соответствие требованиям ИБ 2. Аудит ИБ компании ▪ На основе выполненного анализа выбирается модель ТСО, сравнимая со средними и оптимальными значениями для репрезентативной группы аналогичных организаций, имеющих схожие с рассматриваемой организацией показатели по объему бизнеса. Такая группа берется из банка данных об эффективности затрат на ИБ и эффективности соответствующих профилей защиты аналогичных компаний. ▪ Сравнение текущего показателя ТСО проверяемой компании с модельным значением того же показателя позволяет провести анализ эффективности организации ИБ компании, результатом которого является: • определение «узких» мест в организации • определение причин их появления реорганизации и обеспечения • выработка дальнейших шагов в направлении корпоративной системы защиты информации требуемого уровня защищенности КИС 3. Формирование целевой модели ТСО ▪ По результатам проведенного аудита моделируется целевая (желаемая) модель, учитывающая перспективы развития бизнеса и корпоративной системы защиты информации (активы, сложность, методы лучшей практики, типы СЗИ и СКЗИ, квалификация сотрудников компании и т. п.) ▪ Кроме того, рассматриваются капитальные расходы и трудозатраты, необходимые для проведения преобразований текущей среды в целевую среду. В трудозатраты на внедрение включаются затраты на планирование, развертывание, обучение и разработку. Сюда же входят возможные временные увеличения затрат на управление и поддержку ▪ Для обоснования эффекта от внедрения новой корпоративной системы защиты информации (ROSI) могут быть использованы модельные характеристики снижения совокупных затрат (ТСО), отражающие возможные изменения в корпоративной системе защиты информации Структура затрат на ИБ ▪ Затраты на формирование и поддержание звена управления защиты информации (организационные затраты) системой ▪ Затраты на контроль (определение и подтверждение достигнутого уровня защищенности ресурсов предприятия) ▪ Внутренние затраты на ликвидацию последствий нарушений политики информационной безопасности (затраты, понесенные организацией в результате того, что требуемый уровень защищенности не был достигнут) ▪ Внешние затраты на ликвидацию последствий нарушения политики информационной безопасности ▪ Затраты на техническое обслуживание системы защиты информации и мероприятия по предотвращению нарушений политики безопасности предприятия (предупредительные мероприятия) Виды затрат на систему информационной безопасности ▪ Затраты на приобретение и ввод в эксплуатацию программно- технических средств: серверов, компьютеров конечных пользователей периферийных устройств и сетевых (настольные и мобильные), компонентов ▪ Затраты приобретение и настройку информации средств защиты ▪ Затраты на содержание персонала, работ и аутсорсинг ▪ Затраты на формирование политики предприятия стоимость безопасности 1. Затраты на формирование и поддержание звена управления системой защиты информации (организационные затраты) 2. Затраты на контроль (определение и подтверждение достигнутого уровня защищенности ресурсов предприятия) Затраты на контроль: ▪ Плановые проверки и испытания ▪ Затраты на проверкии испытания программно-технических средств защиты информации ▪ Затраты на проверку навыков эксплуатации средств защиты персоналом предприятия ▪ Затраты на обеспечение работы лиц, ответственных за реализацию конкретных процедур безопасности по подразделениям ▪ Оплата работ по контролю правильности ввода данных в прикладные системы ▪ Оплата инспекторов по контролю требований, предъявляемых к защитным средствам при разработке любых систем (контроль выполняется на стадии проектирования и спецификации требований) Внеплановые проверки и испытания: ▪ Оплата работы испытательного персонала специализированных организаций ▪ Обеспечение испытательного персонала (внутреннего и внешнего) материально-техническими средствами Контроль за соблюдением политики ИБ: ▪ Затраты на контроль реализации функций, обеспечивающих управление защитой коммерческой тайны ▪ Затраты на организацию временного взаимодействия и координации между подразделениями для решения конкретных повседневных задач Контроль за соблюдением политики ИБ: ▪ Затраты на проведение аудита автоматизированной информационной информационной среде предприятия; безопасности системе, по каждой выделенной в ▪ Материально-техническое обеспечение системы контроля объектам и ресурсам предприятия. доступа к Затраты на внешний аудит: ▪ Затраты на контрольно-проверочные мероприятия, связанные с лицензионно-разрешительной деятельностью в сфере защиты информации. 3. Внутренние затраты на ликвидацию последствий нарушений политики ИБ Пересмотр политики ИБ предприятия (периодически): ▪ Затраты на идентификацию угроз безопасности ▪ Затраты на поиск уязвимостей системы защиты информации ▪ Оплата работы специалистов , выполняющих работы по определению возможного ущерба и переоценке степени риска Затраты на ликвидацию последствий нарушения режима ИБ: ▪ Восстановление системы безопасности до соответствия требованиям политики безопасности ▪ Установка патчей или приобретение последних версий программных средств защиты информации 3. Внутренние затраты на ликвидацию последствий нарушений политики ИБ Затраты на ликвидацию последствий нарушения режима ИБ: ▪ Приобретение технических средств взамен пришедших в негодность ▪ Проведение дополнительных испытаний и проверок технологических информационных систем ▪ Затраты на утилизацию скомпрометированных ресурсов Восстановление информационных ресурсов предприятия: ▪ Затраты на восстановление баз данных и прочих информационных массивов ▪ Затраты на проведение мероприятий по контролю достоверности данных, подвергшихся атаке на целостность Затраты на выявление причин нарушения политики ИБ: ▪ Затраты на проведение безопасности (сбор данных расследований нарушений политики о способах совершения, механизме и способах сокрытия неправомерного деяния, поиск следов, орудий, предметов посягательства, выявление мотивов неправомерных действий и т.д.) ▪ Затраты на обновление планов обеспечения непрерывности деятельности службы безопасности Затраты на переделки: ▪ Затраты на внедрение дополнительных средств защиты, требующих существенной перестройки системы безопасности ▪ Затраты на повторные проверки и испытания информации системы защиты 3.Внутренние затраты на ликвидацию последствий нарушений политики ИБ 4. Внешние затраты на ликвидацию последствий нарушения политики ИБ Затраты на ликвидацию последствий нарушения политики безопасности: ▪ Обязательства перед государством и партнерами ▪ Затраты на юридические споры и выплаты компенсаций ▪ Потери в результате разрыва деловых отношений с партнерами Потеря новаторства: ▪ Затраты на проведение дополнительных исследований и разработки новой рыночной стратегии ▪ Отказ от организационных, научно-технических или коммерческих решений, ставших неэффективными в результате утечки сведений и затраты на разработку новых средств ведения конкурентной борьбы Потеря новаторства: ▪ Потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно- технические достижения Прочие затраты: ▪ Заработная плата секретарей и служащих, организационные и прочие расходы, которые непосредственно связаны с предупредительными мероприятиями ▪ Другие виды возможного ущерба предприятию, в том числе связанные с невозможностью выполнения функциональных задач, определенных его Уставом 4. Внешние затраты на ликвидацию последствий нарушения политики ИБ 5. Затраты на техническое обслуживание СЗИ и мероприятия по предотвращению нарушений политики безопасности предприятия Затраты на управление системой защиты информации: ▪ Затраты на планирование системы защиты информации предприятия ▪ Затраты на изучение возможностей информационной инфраструктуры предприятия по обеспечению безопасности информации ограниченного распространения ▪ Затраты на осуществление технической поддержки производственного персонала при внедрении средств защиты и процедур, а также планов по защите информации ▪ Проверка сотрудников на лояльность, выявление угроз безопасности ▪ Организация системы допуска исполнителей и сотрудников конфиденциального делопроизводства с соответствующими штатами и оргтехникой Регламентное обслуживание средств защиты информации: ▪ Затраты, связанные с обслуживанием и настройкой программно- технических средств защиты, операционных систем и используемого сетевого оборудования ▪ Затраты, связанные с организацией сетевого взаимодействия и безопасного использования информационных систем ▪ Затраты на поддержание системы резервного копирования и ведения архива данных ▪ Проведение инженерно-технических работ по установлению сигнализации, оборудованию хранилищ конфиденциальных документов, защите телефонных линий связи, вычислительной техники и т.п. Аудит системы безопасности: ▪ Затраты на контроль изменений состояния информационной предприятия ▪ Затраты на систему контроля за действиями исполнителей Обеспечение должного качества информационных технологий: среды ▪ Затраты на обеспечение соответствия требованиям качества информационных технологий, в том числе анализ возможных негативных аспектов информационных технологий, которые влияют на целостность и доступность информации ▪ Затраты на доставку (обмен) конфиденциальной информации ▪ Удовлетворение субъективных требований пользователей: стиль, удобство интерфейса и др. Обеспечение требований стандартов: ▪ Затраты на обеспечение соответствия принятым стандартам и требованиям, достоверности информации, действенности средств защиты Обучение персонала: ▪ Повышение квалификации сотрудников предприятия в вопросах выявления и использования имеющихся средств защиты, предотвращения угроз безопасности ▪ Развитие нормативной базы службы безопасности Назначение - определение затрат на систему информационной безопасности по методике совокупной стоимости владения (ТСО) Технология работы с “TCO Manager” ▪ пользователь вводит первоначальные данные об объекте (профайл информационных компании, данные о конечных пользователях, об активах предприятия) ▪ исходя из них: • определяется текущий показатель ССВ (TCO) • вычисляются ежегодные затраты на поддержание существующего уровня безопасности ▪ оптимизируется показатель TCO, путѐм сравнения текущего показателя моделированием целевого TCO компании с “лучшим” в отрасли и показателя TCO для данного предприятия Программный продукт “TCO Manager” компании Gartner Group При соблюдении политики безопасности и проведении профилактики нарушений удается исключить или существенно уменьшить затраты: ▪ на восстановление системы безопасности до соответствия требованиям политики безопасности ▪ на восстановление ресурсов информационной среды предприятия ▪ на переделки внутри системы безопасности ▪ на восстановление доверия государственных организаций и партнеров ▪ на юридические споры и выплаты компенсаций ▪ на выявление причин нарушения политики безопасности Понимание неизбежности затрат на ИБ ▪ обслуживание технических средств защиты ▪ конфиденциальное делопроизводство ▪ обеспечение функционирования и аудит системы безопасности ▪ поддержание минимального уровня проверок и контроля с привлечением специализированных организаций ▪ обучение персонала методам информационной безопасности Необходимые затраты обязательны даже при достаточно низком уровне угроз безопасности. Это затраты на поддержание достигнутого уровня защищенности информационной среды предприятия Понимание неизбежности затрат на ИБ Затраты на ИБ и уровень достигаемой защищенности Взаимосвязь между затратами на безопасность и достигаемым уровнем защищенности Типичное распределение затрат на ИБ Затраты на контроль Внутренние затраты на компенсацию нарушений политики безопасности Внутренние затраты на компенсацию нарушений политики безопасности Внешние затраты на компенсацию нарушений политики безопасности Затраты на предупредительные мероприятия Вид деятельности Исполнитель Определениекатегорий затрат Сбор данных о затратах Распределение данных по категориям Предоставлениеданныхозатратахвслужбубезопасности Анализ затрат Исследованиепричин Разработкарекомендацийпо снижениюзатрат Составлениеотчета озатратахнабезопасностьиего рассылка Координация деятельностипоуправлениюзатратамивнутривсегопредприятия Наблюдениезавыполнениемрекомендацийикорректирующих мероприятий Экономический отдел и служба безопасности Экономический отдел Экономический отдел Экономический отдел Служба безопасности Служба безопасности Служба безопасности Служба безопасности Служба безопасности Служба безопасности Распределение деятельности по сбору и анализу данных о затратах на ИБ Страхование информационных рисков как метод защиты информации Страхование информационных рисков предприятия — это метод защиты информации в рамках финансово- экономического обеспечения системы защиты информации, основанный на выдаче страховыми обществами гарантий субъектам информационных отношений по восполнению материального ущерба в случае реализации угроз информационной безопасности 1. Страхование стоит использовать, когда вероятность реализации угрозы не очень велика, но последствия для информационной системы значительны 2. Немаловажен такой показатель, как ценность информации ▪ Если для предприятия важна сама информация, ее конфиденциальность, наличие, то необходимо большую часть средств направлять именно на предотвращение несанкционированного доступа к ней, то есть использование инженерно-технических или программно-аппаратных или криптографических средств защиты ▪ Если же информация подлежит восстановлению, и еѐ потеря или модификация незначительно сказывается на роботоспособности информационной системы, то целесообразно большую часть средств направлять на страхование. В случае выбора страхования как метода защиты информации рекомендуется обратить внимание на следующие факторы: В случае выбора страхования как метода защиты информации рекомендуется обратить внимание на следующие факторы: 3. Ущерб от потенциальных потерь низкий при достаточно высокой вероятности реализации угрозы. В рамках системы защиты информации можно выделить следующие объекты страхования: ▪ здания и сооружения, в которых могут находиться объекты защиты (помещения службы защиты информации, в которых постоянно хранятся и обрабатываются носители информации, др. выделенные помещения) ▪ находящиеся в выделенных помещениях объекты защиты (письменные и видовые носители информации, средства передачи и обработки информации, системы обеспечения производственной деятельности, средства радио и кабельной связи, радиовещания и телевидения) ▪ средства защиты информации (инженерно-технические, программно- аппаратные, криптографические, электрические, электронные, оптические и другие устройства и приспособления, приборы и технические системы) ▪ средства транспортировки письменных и видовых носителей, а также сами носители информации Страхование имущества Страхование имущества Разновидности страхования имущества: ▪ страхование имущества и имущественных интересов отдельно и в совокупности от огня и других опасностей, в том числе и стихийных бедствий ▪ страхование технических рисков, например, страхование средств передачи, приѐма и обработки информации (ТСПИ) ▪ страхование от электронных и компьютерных преступлений ▪ страхование выставочное технических Страхование ответственности Страхование ответственности: ▪ страхование профессиональных упущений и ошибок различных категорий лиц предприятия ▪ страхование ответственности охранных агентств (служб охраны) ▪ страхование ответственности производителей средств и систем защиты информации, программного обеспечения Комплексное имущественное страхование Данный вид страхования является основополагающим элементом страхования банков и других финансовых институтов (например, профессиональных участников фондового рынка) и обеспечивает возмещение прямых убытков, вызванных противоправными действиями их персонала или третьих лиц Личное страхование В качестве объектов личного страхования выступают жизнь, здоровье и трудоспособность человека. Данный вид страхования можно порекомендовать в том случае, если работник фирмы, предприятия в той или иной области (ведущие обладает ключевыми знаниями специалисты). Такой вид страхования скорее является мощным социально- психологическим методом защиты информации, поскольку является не только моральным, но и материальным стимулом труда любого работника фирмы, предприятия. Спасибо за внимание! Центральный офис: Москва, Варшавское шоссе 47, корп. 4, 7 этаж Тел: +7 (495) 150-96-00 доб. 4 edu-it@academyit.ru |