Управление информационной безопасностью Тема Экономика защиты информации. Лекция 4 Система ресурсообеспечения защиты информации и эффективность е использования Информация как экономический ресурс
 Скачать 1.08 Mb.
|
|
Лекция 5.4.1. Система ресурсообеспечения защиты информации и эффективность еѐ использования Информация как экономический ресурс Основные направления создания стоимости информации ▪ коммерциализация информации в товарах, услугах, технологиях (создание наукоемкой продукции, интеллектуальных товаров, информационных услуг, разработка новых технологий производства и управления и т. д.) ▪ воздействие на субъективные восприятия и ожидания экономических субъектов. В качестве примеров можно привести создание информационного образа продукта, компании (репутация), формирование потребностей или влияние на них Сегодняшний потребитель телекоммуникационных услуг должен быть обеспечен оперативной информацией в любом месте в любое время и в нужном виде с затратой минимума средств. Практика показывает , что защита информации как товара несколько отличается от обеспечения ее безопасности как основы бизнес-процессов компании. Информация как товар Информация как товар С развитием информационных систем, предоставляющих разнообразные услуги потребителям, а также с возрастанием в информационную эпоху общего темпа ведения бизнеса на первое место выходит именно доступность бизнеса. Сегодня информация стареет гораздо быстрее, чем несколько лет назад. Сейчас намного важнее ее своевременная доставка потребителю в неискаженном виде, чем угроза несанкционированного раскрытия ее содержания. Основной особенностью рыночного ценообразования на товар- информацию является то, реальный процесс формирования цен здесь происходит не в среде производства, а в среде реализации продукции, то есть на рынке под воздействием спроса и предложения Особенности ценообразования на информационные продукты При установлении цен на товар-информацию целесообразно воспользоваться следующими методами ценообразования: ▪ Ценообразование на основе текущих цен, при котором определяется «коридор» цен на аналогичные товары на рынке. В рамках данного «коридора» с учѐтом факторов риска потребителя, а также новизны, достоверности, полноты и своевременности информации предприятие будет устанавливать цену на свой продукт. Особенности ценообразования на информационные продукты При установлении цен на товар-информацию целесообразно воспользоваться следующими методами ценообразования: ▪ Ценообразование на основе ощущаемой ценности товара, где основным фактором считаются не издержки продавца, а покупательское восприятие. Цена в этом случае призвана соответствовать ощущаемой ценности значимости товара-информации. Особенности ценообразования на информационные продукты В процессе формирования цен на информационные каждый производитель решает целый ряд вопросов: товары и услуги ▪ насколько уникальны данные товары и услуги ▪ какова платежеспособность потребителей ▪ какова структура рынка данного продукта Особенности ценообразования на информационные продукты В современный информационный рынок закономерно включают три взаимодействующих области: 1. информацию 2. электронные сделки 3. электронные коммуникации Информационный рынок В области электронных сделок рынок информации выступает непосредственным элементом рыночной инфраструктуры, область электронной коммуникации находится на стыке с отраслью связи, а информация, относится к нематериальному производству. Информационный рынок Существующие информационные технологии формально разделить на два крупных взаимосвязанных класса: можно ▪ программно-математические инструментальные информатизации, предназначенные для проектирования НИТ средства современных ▪ прикладные информационные принятие и поддержку решений технологии, обеспечивающие Новые информационные технологии Правовое обеспечение экономической безопасности УКАЗ ПРЕЗИДЕНТА РОССИЙСКОЙ ФЕДЕРАЦИИ О Стратегии национальной безопасности Российской Федерации до 2020 года 4. Экономический рост Основы менеджмента экономической безопасности 4. Экономический рост Стратегическими целями обеспечения национальной безопасности являются вхождение России в среднесрочной перспективе в число пяти стран-лидеров по объему валового внутреннего продукта, а также достижение необходимого уровня национальной безопасности в экономической и технологической сферах. УКАЗ ПРЕЗИДЕНТА РОССИЙСКОЙ ФЕДЕРАЦИИ О Стратегии национальной безопасности Российской Федерации до 2020 года Основы менеджмента экономической безопасности 4. Экономический рост Для обеспечения национальной безопасности за счет экономического роста Основы менеджмента экономической безопасности Российская Федерация основные науки, технологий и образования, усилия сосредоточивает на развитии совершенствовании национальных инвестиционных и финансовых институтов в интересах достижения необходимого уровня безопасности в военной, оборонно-промышленной и международной сферах УКАЗ ПРЕЗИДЕНТА РОССИЙСКОЙ ФЕДЕРАЦИИ О Стратегии национальной безопасности Российской Федерации до 2020 года 4. Экономический рост Одним из главных направлений обеспечения национальной безопасности в экономической сфере на долгосрочную перспективу является энергетическая безопасность. УКАЗ ПРЕЗИДЕНТА РОССИЙСКОЙ ФЕДЕРАЦИИ О Стратегии национальной безопасности Российской Федерации до 2020 года Основы менеджмента экономической безопасности Сущность затрат, расходов, издержек Затраты характеризуют в денежном выражении объем ресурсов за определенный период, использованных на производство и сбыт продукции, и трансформируются в в себестоимость продукции, работ и услуг. Содержание управления затратами на предприятии Субъекты и объекты экономической безопасности бизнеса Основным субъектом, обеспечивающим безопасность в стране, является само государство , реализующее свои функции в этой области через все ветви законодательной, исполнительной и судебной властей. Основы менеджмента экономической безопасности Субъекты и объекты экономической безопасности бизнеса Объекты безопасности - выделяемая субъектом часть материального мира в целях управления безопасностью К основным объектам безопасности государства относятся: ▪ личность - еѐ права и свободы ▪ общество - его материальные духовные ценности ▪ государство - его конституционный строй, суверенитет и территориальная целостность Основы менеджмента экономической безопасности Субъекты и объекты экономической безопасности бизнеса К объектам безопасности также относятся организации, предприятия, объединения, учреждения материальной либо нематериальной сферы экономики. Основы менеджмента экономической безопасности Объекты обеспечения безопасности бизнеса Субъекты и объекты экономической безопасности бизнеса Деятельность, обеспечивающая безопасность объектов, выстраивается по следующим иерархическим уровням: ▪ страна ▪ регион ▪ юридическое лицо ▪ личность Основы менеджмента экономической безопасности Экономическая безопасность организации — это состояние наиболее эффективного использования еѐ корпоративных ресурсов (капитала, персонала и пр.) для предотвращения угроз и обеспечения стабильного функционирования предприятия в настоящее время. Основы экономической безопасности организации Под объектом безопасности предприятия следует понимать степень устойчивости и развития предприятия, его способность противостоять угрозам. группы В объекте безопасности предприятия можно выделить: ▪ различные структурные подразделения или сотрудников либо владельцы акций предприятия ▪ ресурсы предприятия (информационные, кадровые, материально- технические, информационные, интеллектуальные и финансовые) ▪ различные виды деятельности (управленческая, производственная, снабженческая и т.д.) Объект безопасности предприятия Целью обеспечения безопасности предприятия является комплексное воздействие на потенциальные и реальные угрозы, позволяющее ему успешно функционировать в нестабильных условиях внешней и внутренней среды. Основная цель обеспечения безопасности предприятия Управление денежными средствами безопасности – это система правил, принципов, методов и форм регулирования финансовых ресурсов службы безопасности (СБ), формирование воздействия данного подразделения на процесс движения финансовых потоков. Сущность управления денежными средствами безопасности Под стратегией управления бюджетом СБ понимаются общие направления и способы использования денежных средств для достижения поставленной цели в области обеспечения безопасности предприятия. Тактика управления – это конкретные методы и приемы достижения цели в определенных условиях осуществления защиты предприятия. Сущность управления денежными средствами безопасности Финансовый контроль Службы Безопасности , как инструмент управления ею со стороны собственников, основывается на проверке правильности и обоснованности расходования материальных, трудовых и денежных ресурсов в процессе обеспечения надлежащего уровня защиты Компании Сущность управления денежными средствами безопасности 1) Приоритет мер предупреждения. Содержание этого принципа предполагает своевременное выявление тенденций и предпосылок, способствующих развитию угроз, на основе анализа которых вырабатываются соответствующие профилактические меры по недопущению возникновения реальных угроз. Принципы построения системы ИБ организации 2) Законность. Меры безопасности предприятия разрабатываются на основе и в рамках действующих правовых актов. Локальные правовые акты предприятия не должны противоречить законам и подзаконным актам. Принципы построения системы ИБ организации 3) Комплексное использование сил безопасности используются все и средств. Для обеспечения имеющиеся в распоряжении предприятия силы и средства. Каждый сотрудник должен в рамках своей компетенции участвовать в обеспечении безопасности предприятия. Организационной формой комплексного использования сил и средств является программа обеспечения безопасности предприятия. Принципы построения системы ИБ организации 4) Координация предприятия и взаимодействие внутри и вне предприятия. Мерыпротиводействи . яугрозам осуществляются на основе взаимодействия и скоординированности усилий всех подразделений, служб предприятия, а также установления необходимых контактов с внешними организациями, способными оказать необходимое содействие в обеспечении безопасности предприятия. Организовать координацию и взаимодействие внутри и вне предприятия может комитет (группа совет и т.д.) безопасности предприятия. Принципы построения системы ИБ организации 5) Сочетание гласности с конспирацией. Доведение до сведения персонала предприятия и общественности в допустимых пределах мер безопасности выполняет важнейшую роль - предотвращение потенциальных и реальных угроз. Такая гласность, однако, должна непременно дополняться в оправданных случаях мерами конспиративного характера. Принципы построения системы ИБ организации 6) Компетентность. Сотрудники и группы сотрудников должны решать вопросы обеспечения безопасности на профессиональном уровне, а в необходимых случаях специализироваться по основным его направлениям. Принципы построения системы ИБ организации 7) Экономическая целесообразность. Стоимость финансовых затрат на обеспечение безопасности не должна превышать тот оптимальный уровень, при котором теряется экономический смысл их применения. Принципы построения системы ИБ организации 8) Плановая основа деятельности. Деятельность по обеспечению безопасности должна строиться на основе комплексной программы обеспечения безопасности предприятия, подпрограмм обеспечения безопасности по основным его видам (экономическая, научно- техническая, экологическая, технологическая и т.д.) и разрабатываемых для их исполнения планов работы подразделений предприятия и отдельных сотрудников Принципы построения системы ИБ организации 9) Системность. Этот принцип предполагает учет всех факторов, оказывающих влияние на безопасность предприятия, включение в деятельность по его обеспечению всех сотрудников подразделений, использование в этой деятельности всех сил и средств. Принципы построения системы ИБ организации Надежность и эффективность системы безопасности предприятия оценивается на основе одного критерия - степени отсутствия или наличия нанесенного ему материального ущерба и морального вреда. Содержание этого критерия раскрывается через ряд показателей: Параметры оценки эффективности системы ИБ организации 1) недопущение сведений фактов утечки (разглашения) конфиденциальных 2) предупреждение или пресечение противоправных действий со стороны персонала предприятия, его посетителей, клиентов 3) сохранность имущества и интеллектуальной собственности предприятия Параметры оценки эффективности системы ИБ организации 4) предупреждение чрезвычайных ситуаций 5) пресечение насильственных преступлений в отношении отдельных (специально предприятия выделенных) сотрудников и групп сотрудников 6) своевременное выявление и несанкционированного проникновения предприятия на пресечение охраняемые попыток объекты Параметры оценки эффективности системы ИБ организации 1. Технические средства. К ним относятся охранно-пожарные системы, видео- радиоаппаратура, средства обнаружения взрывных устройств, бронежилеты, заграждения и т.д. 2. Организационные оргструктурных предприятия. специализированных средства. Создание формирований, обеспечивающих безопасность 3. Информационные печатная и видеопродукция по вопросам средства. Прежде всего, это сохранения конфиденциальной информации. Кроме этого, важнейшая информация безопасности сохраняется в для принятия решений по вопросам компьютерах. Средства и методы обеспечения безопасности 4) Финансовые средства. Совершенно очевидно, что без достаточных функционирование системы том, чтобы использовать их финансовых средств невозможно безопасности, вопрос лишь в целенаправленно и с высокой отдачей. 5) Правовые средства. Здесь имеется ввиду использование не только изданных вышестоящими органами власти законов и подзаконных актов, но также разработка собственных, так называемых локальных правовых актов по вопросам обеспечения безопасности. Средства и методы обеспечения безопасности 6) Кадровые средства. Имеется ввиду, прежде всего достаточность кадров, занимающихся вопросами обеспечения безопасности. Одновременно с этим решают задачи повышения их профессионального мастерства в этой сфере деятельности. 7) Интеллектуальные средства. Привлечение к работе высококлассных специалистов, научных работников (иногда целесообразно привлекать их со стороны) позволяет внедрять новые системы безопасности. Средства и методы обеспечения безопасности I.этап. Выделение финансовых средств. II.этап. Формирование кадровых и организационных средств. III.этап. Разработка системы правовых средств. IV.этап. Привлечение технических, информационных и интеллектуальных средств. Этапы внедрения системы ИБ Уровень экономической безопасности организации — это оценка состояния использования корпоративных ресурсов по критериям уровня экономической безопасности организации (предприятия) Основы экономической безопасности организации Общая структура функциональных компонент экономической безопасности организации: ▪ финансовая ▪ интеллектуально-инновационная ▪ кадровая ▪ производственно-технологическая ▪ регулятивно-правовая ▪ экологическая ▪ информационная ▪ силовая и т.д. Основы экономической безопасности организации Основные функциональные безопасности предприятия цели экономической ▪ обеспечение высокой финансовой эффективности работы предприятия, его финансовой устойчивости и независимости ▪ обеспечение технологической независимости предприятия и достижение высокой конкурентоспособности его технологического потенциала ▪ высокая эффективность менеджмента предприятия, оптимальность и эффективность его организационной структуры Основы экономической безопасности организации Основные функциональные безопасности предприятия ▪ высокий уровень квалификации цели экономической персонала предприятия и его интеллектуального потенциала, эффективность его корпоративных НИОКР ▪ высокий уровень экологичности работы предприятия, минимизация разрушительного влияния результатов производственной деятельности на состояние окружающей среды ▪ качественная правовая защищѐнность всех аспектов деятельности предприятия Основы экономической безопасности организации Основные функциональные цели экономической безопасности предприятия ▪ обеспечение защиты информационной среды предприятия, коммерческой тайны и достижение высокого уровня информационного обеспечения работы всех его служб ▪ обеспечение безопасности персонала предприятия , его капитала, имущества и коммерческих интересов Основы экономической безопасности организации Меры по обеспечению эффективной экономической безопасности организации ▪ снижающие затраты на управление экономической безопасностью при неизменном объѐме работ и качестве их выполнения ▪ обеспечивающие увеличение объѐма работ и повышение качества их выполнения при стабильных затратах на управление экономической безопасностью Основы экономической безопасности организации Меры по обеспечению эффективной экономической безопасности организации ▪ обеспечивающие повышение качества выполнения работ при увеличении их объѐма и одновременном увеличении затрат на управление экономической безопасностью ▪ направленные на повышение социальной эффективности, требующие затрат на управление экономической безопасностью Основы экономической безопасности организации Планирование затрат – это определение целей предприятия и его подразделений в форме постановки производственных задач и выбора средств для их выполнения. Прогнозирование и планирование затрат Основные задачи, решаемые при планировании: ▪ Расчет стоимости ресурсов, необходимых для производства продукции ▪ Определение общего объема затрат на производство ▪ Исчисление себестоимости производства для каждого вида продукции Прогнозирование и планирование затрат Расчет допустимых затрат Анализ затрат на ИБ – инструмент управления, предназначенный для определения достигнутой степени защищенности информационной среды и обнаружения проблем при постановке задач поддержания требуемого уровня безопасности Анализ затрат на информационную безопасность Отчет по затратам на безопасность Руководству ▪ следует предоставить отчет в виде общих форм ▪ должна быть представлена общая картина состояния системы безопасности предприятия, изложенная обычно в финансовых терминах Руководителям подразделений информатизации и ЗИ ▪ более детальные сведения о достигнутом уровне защищенности тех ресурсов информационной среды предприятия, за которые оно отвечает ▪ должен быть очень подробным и включать данные о типах ресурсов, видах угроз и т.д. Анализ затрат на информационную безопасность Читающий позволит: отчет должен получить информацию, которая ▪ сравнить текущий уровень защищенности с уровнем прошлого периода, то есть определить тенденции в этом направлении ▪ сравнить текущий уровень с поставленными целями ▪ выявить наиболее значительные области затрат ▪ выбрать области для улучшения ▪ оценить эффективность программ по улучшению Анализ затрат на информационную безопасность Руководитель ожидает получить отчет по затратам на ИБ который: ▪ проинформирует его лишь о вещах, относящихся к сфере его компетенции, и ни о чем более ▪ написан легким для понимания языком и не напичкан специальными терминами ▪ изложен четко и кратко и содержит всю необходимую информацию ▪ позволит определить первоочередные задачи и направления деятельности Анализ затрат на информационную безопасность ▪ недостаточные возможности по архивированию данных ▪ бессистемность в части архивирования данных ▪ непригодность механизма учета и контроля носителей резервных копий ▪ слабость нормативной базы ▪ пренебрежение практикой проведения тестовых испытаний системы защиты ресурса ▪ недостаточность технических систем охлаждения и питания серверных комнат ▪ отсутствие регламента программно-технических средств «типовой рабочей станции» и т.д. Возможные причины нанесения ущерба (уязвимости технологии защиты ресурса) ▪ затраты на безопасность могут быть сокращены в значительной степени, если удастся выявить специфические причины потерь и предложить программы уменьшения рисков ▪ во все рекомендации по улучшениям следует включать данные о стоимости реализации предложенных программ ▪ основной целью реализации мер по снижению уровня риска является стремление с наименьшими затратами получить наилучшие результаты Рекомендации по снижению затрат на ИБ 1. Возьмитесь за простое, не пытайтесь сразу же охватить все ресурсы, требующие защиты; выберите один вид ресурса - по собственному желанию и стройте систему, которую сможете наполнить фактическими экономическими данными. 2. Начните с тех затрат на безопасность, для которых данные уже известны; при необходимости определите иные необходимые затраты «экспертным» способом. 3. Преодолевайте неожиданные препятствия; не бойтесь этого и не откладывайте решаемую задачу - решив ее один раз, вы облегчите себе жизнь в будущем. Внедрение системы учета затрат на ИБ 4. Упростите систему так, чтобы она соответствовала вашим потребностям. 5. Если затраты определены с точностью ± 5 %, то работа сделана хорошо. Директор предприятия теперь будет иметь более точную картину затрат на безопасность, а следовательно, и оценку уровня риска. 6. Начинайте с малого и наращивайте постепенно. 7. Создайте образец, чтобы показать, как это может быть сделано. 8. Подтвердите документами ценность анализа затрат на ИБ. Внедрение системы учета затрат на ИБ Фундаментальные утверждения необходимости в расходах на ИБ: ▪ Расходы на безопасность являются составляющей стоимости ведения бизнеса ▪ Расходы на безопасность родственны расходам на страхование ▪ Компания не может заниматься электронной коммерцией без обеспечения определенного уровня защиты электронных денежных потоков Возврат инвестиций в ИБ Return on Investment for Security (ROSI) Фундаментальные у ) тверждения необходимости в расходах на ИБ: ▪ Безопасность является одним из аспектов управления рисками ▪ Заказчик имеет право подать на компанию в суд, если она отказывается соблюдать минимальные стандарты безопасности (например, защищать конфиденциальную информацию о клиенте) ▪ Нежелание вкладывать денежные средства в безопасность - означает, нежелание следовать общим тенденциям развития информационных технологий Возврат инвестиций в ИБ Return on Investment for Security (ROSI 1. Метод ожидаемых потерь ▪ Объединяет выгоду от каждой контрмеры в единый количественный показатель эффективности ▪ С точки зрения системы безопасности, этот показатель интерпретируется, как показатель пригодности всей системы защиты, обычно указан в договоре с поставщиком системы защиты 2. Метод оценки свойств системы безопасности 3. Анализ дерева ошибок ▪ Не дают количественной оценки стоимости и выгод от контрмер безопасности Существующие методы обоснования инвестиций в ИБ 1. Вычисляются потери от нарушений политики может столкнуться компания. безопасности, с которыми 2. Рассчитанные потери сравниваются с инвестициями в направленными на предотвращение нарушений. Метод основан: ▪ на эмпирическом опыте организаций безопасность, ▪ и сведениях о вторжениях и потерях от вирусов, об отражении сервисных нападений и т.д. Метод ожидаемых потерь оплата работ корпоративной ▪ При ведении электронной коммерции - потери, связанные с простоем и выходом из строя сетевого оборудования ▪ Нанесение ущерба имиджу и репутации компании ▪ Оплата сверхурочной работы ИТ-персонала и/или подрядчикам, которые занимались восстановлением информационной системы ▪ Оплата консультаций внешних специалистов, которые осуществляли восстановление данных, выполняли ремонт и оказывали юридическую помощь ▪ Оплата ремонта физических повреждений от виртуальных атак ▪ Судебные издержки при подаче искового заявления о виртуальных преступлениях и нарушениях политики безопасности Примеры финансовых потерь определяемых нарушениями безопасности Единовременные затраты ▪ Покупка лицензий антивирусного программного обеспечения, средств Firewall, средств авторизации и администрирования ▪ Приобретение аппаратных средств внешнего эксперта в области ▪ Возможная оплата консультаций информационной безопасности Периодические затраты ▪ Техническая поддержка и сопровождение ▪ Заработная плата ИТ-персонала ▪ Затраты на найм необходимых специалистов ▪ Затраты на исследование угроз нарушений политики безопасности Пример инвестиций в безопасность !! Нет совершенной системы информационной безопасности Необходимо вычислить показатель ожидаемых потерь (Annualized Loss Expectancy – ALE) ▪ По оценкам экспертов, правильно установленная и настроенная система защиты дает 85% эффективности в предупреждении или уменьшении потерь от нарушений политики безопасности ▪ Следовательно, финансовая выгода обеспечивается ежегодными сбережениями , которые получает компания при внедрении системы ИБ Пример инвестиций в безопасность Где: AS – ежегодные сбережения (Annual Saving) ALE – показатель ожидаемых потерь (Annualized Loss Expectancy) E – эффективность системы защиты (около 85%) AC – ежегодные затраты на безопасность (Annual Cost) Пример инвестиций в безопасность Разработан в Carnegie Melon University Основан на сравнении различных архитектур систем ИБ для стоимостных результатов оценки выгод от их внедрения получения Методология SAEM заключается в том, чтобы, объединив вероятность события и ранжировав воздействие окружающей среды, предложить различные проекты по информационной безопасности с многовариантным влиянием окружающей среды на относительные затраты. Метод оценки свойств системы ИБ (Security Attribute Evaluation Method – SAEM) Однако этот метод может быть использован для представления комплекса разнообразных мер по информационной безопасности и для поддержки принятия решения при выборе тех или иных мероприятий. Чаще всего безопасность находится вне понимания менеджеров , занимающихся оценкой эффективности А специалисты по информационной безопасности редко имеют точные данные относительно выгод, приносимых технологией Поэтому приходится полагаться на опыт и интуицию и на их основе принимать решения Недостаток метода Цель применения данного метода: ▪ показать в чем заключаются причины нарушений политики безопасности ▪ и какие сглаживающие контрмеры могут быть применены Дерево ошибок - это графическое средство, которое позволяет свести всю систему возможных нарушений к логическим отношениям «и»-«или» компонентов этой системы. Если доступны данные по нормам отказа критических компонентов системы, то дерево ошибок позволяет определить ожидаемую вероятность отказа всей системы. Упрощенный вариант дерева ошибок, так называемая таблица оценки угроз и рисков (Threat and Risk Assessment – TRA) Анализ дерева ошибок (Fault Tree Analysis) Дерево ошибок Далее оценим доходную часть, объединяя метод ожидаемых потерь с таблицей оценки угроз и риска and Risk Использование таблицы оценки угроз и рисков (Threat Assessment – TRA) позволит показать как на практике получить количественную оценку вероятности событий и возникновения последствий, и в дальнейшем использовать эти данные для определении ожидаемых потерь без применения контрмер безопасности. Ранее мы определились с методами оценки экономической целесообразности затрат на систему информационной безопасности: ▪ расходную часть мы определили с помощью программного продукта - TCO Manager‖ ▪ и получили текущий и целевой показатели совокупной стоимости владения Методика обоснования инвестиций в ИБ Return on Investment for Security (ROSI) Первый шаг - построение таблицы угроз и рисков (TRA) Сделаем небольшое отступление и дадим краткое описание контрмер по обеспечению информационной безопасности направлены на достижение Профилактических мер уменьшение вероятности происхождения инцидента Лечебных мер уменьшение последствий, если инцидент все равно случается Определение доходной части экономической целесообразности затрат на систему информационной безопасности Тип контрмеры Пример Профилактические 1. Стандарты, процедуры, должностные инструкции 2. Аудит системы безопасности 3. Сетевые экраны 4. Системы обнаружения вторжений 5. Антивирусы 6. Средства шифрования 7. Формирование архивов Лечебные Резервные режимы работы Принадлежат обоим типам 1. Планирование непрерывности бизнеса/ планирование восстановления бизнеса 2. Обучение Типы контрмер безопасности Уровень вероятности Описание Частота Незначительный Вряд ли произойдет 0,05 Очень низкий Событие происходит два-три раза в пять лет 0,6 Низкий Событие происходит реже раза в год или раз в год 1,0 Средний Событие происходит реже раза в полгода или раз в полгода 2,0 Высокий Событие происходит реже раза в месяц или раз в месяц 12,0 Очень высокий Событие происходит несколько раз в месяц 36,0 Экстремальный Событие происходит несколько раз в день 365,0 Вариант преобразования вероятности угроз к ежегодной частоте Степень тяжести нарушения Описание Потери, руб. Несущественная При осознанной угрозе нарушение не будет иметь последствий 0 Низкая Нарушение не ведет к финансовым потерям, но выяснение характера происшествия потребует незначительных затрат 15 000 Существенная Происшествие принесет некоторый материальный и моральный вред 150 000 Угрожающая Потеря репутации, конфиденциальной информации. Затраты на восстановление данных, проведение расследований 1 500 000 Серьезная Потеря клиентов, деловой репутации. Восстановление практически всех данных на электронных и бумажных носителях. 3 000 000 Критическая Потеря системы или перевод в другую безопасную среду. 7 500 000 Вариант последствий, преобразованных в стоимость ликвидации нарушений (эксперты Gartner Group) Рассчитаем показатель ожидаемых потерь (Annualized Loss Expectancy) ALE, используя форму таблицы TRA , в которой сопоставляются вероятности угроз, степень тяжести нарушения и частота событий ALE = f L Где: f – частота возникновения потенциальной угрозы, уровень которой определяется на основании вероятности. L – величина потерь в рублях, которая определяется на основании степени тяжести нарушения Расчет показателя ожидаемых потерь Расчет показателя ожидаемых потерь Актив Потенциальная угроза Уровень вероятности Степень тяжести нарушения Частота в год Потери, тыс. руб. ALE, тыс. руб. Интернет- каналы Разрушение ключевой инфраструктуры Незначительн ый Серьѐзная 0,05 3 000 150 Система электронной почты Атака на систему электронной почты Очень высокий Существенная 36 150 000 5 400 000 Бизнес- приложения Проблема вывода документов на печать Высокий Несущественная 12 0 0 Проблемы чтения/сохранения файлов данных Высокий Несущественная 12 0 0 Нарушения надежной работы бизнес- приложений Низкий Угрожающая 1 1 500 000 1 500 000 Ввод из строя корпоративной системы документооборота Высокий Угрожающая 12 1 500 000 1 8000 000 ИТОГО 29 565 000 Второй шаг - проведение анализа возврата инвестиций Первоначально определим затраты на внедрение информационной безопасности системы Решено внедрить следующие элементы системы ИБ: ▪ систему защиты шлюзов Интернет ▪ систему антивирусной защиты файловых серверов и рабочих станций ▪ систему защиты корпоративной электронной почты Очередной шаг обоснования инвестиций в систему информационной безопасности Инвестиции в систему корпоративной защиты Статьи затрат Стоимость, руб. Затраты на покупку лицензий 2 358 048 Затраты на проектные работы 369 785 Техническая поддержка (30 % от стоимости лицензий ежегодно) 707 414 Очередной шаг обоснования инвестиций в систему информационной безопасности Период окупаемости инвестиционных проектов, связанных с внедрением информационных технологий, не должен превышать трех лет, поэтому период оценки эффективности данного проекта внедрения равен трем годам Показатели оценки Cвн – затраты на внедрение Cл – затраты на покупку лицензий Cпр – затраты на проектные работы Ci – затраты на техническую поддержку TCOт – текущий показатель TCO (из отчетов «TCO Manager») TCOц – целевой показатель TCO (из отчетов «TCO Manager») TCOф – фактический показатель TCO Показатели оценки AS – ежегодные сбережения B – выгоды при оптимизации показателя TCO CF – денежный поток r – ставка дисконтирования (равна ставке рефинансирования ЦБ РФ (14 %) NPVз – чистая приведенная стоимость затрат на проект внедрения NPVд – чистая приведенная стоимость доходов от проекта внедрения Период окупаемости инвестиционных проектов, связанных с внедрением информационных технологий, не должен превышать трех лет, поэтому период оценки эффективности данного проекта внедрения равен трем годам Чистая приведенная доходов от проекта формулам: стоимость затрат на проект внедрения и внедрения рассчитываются по следующим B = TCOт − TCOф Затраты на внедрение системы защиты информации рассчитываются по следующей формуле: i Выгоды от оптимизации текущего показателя TCO вычисляются по формуле: Расчетные формулы Расчет точки безубыточности проекта внедрения системы ИБ Система ресурсообеспечения защиты информации и эффективность ее использования Требования к организации защиты информации, содержащейся в информационной системе В информационной системе объектами защиты являются информация , содержащаяся в информационной системе, технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации), общесистемное, прикладное, специальное программное обеспечение, информационные технологии , а также средства защиты информации. Для обеспечения защиты информации, содержащейся в информационной системе, оператором назначается структурное подразделение или должностное лицо (работник), ответственные за защиту информации Требования к организации защиты информации, содержащейся в информационной системе Для обеспечения защиты информации , содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 года N 184-ФЗ «О техническом регулировании». Требования к организации защиты информации, содержащейся в информационной системе Разработка системы защиты информации информационной системы осуществляется в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы с учетом ГОСТ 34.601 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания", ГОСТ Р 51583 и ГОСТ Р 51624. Требования к организации защиты информации, содержащейся в информационной системе Внедрение системы защиты информации информационной системы осуществляется в соответствии с проектной и эксплуатационной документацией на систему защиты информации информационной системы и в том числе включает: ▪ установку и настройку средств защиты информации в информационной системе ▪ разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее - организационно- распорядительные документы по защите информации) ▪ внедрение организационных мер защиты информации Внедрение системы защиты информации информационной системы ▪ предварительные испытания системы защиты информации информационной системы ▪ опытную эксплуатацию системы защиты информации информационной системы ▪ анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению ▪ приемочные испытания системы защиты информации информационной системы Внедрение системы защиты информации информационной системы ▪ Увеличение заинтересованности региональных представителей в решении вопросов ИБ компаний ▪ Изменение соотношения процентных частей технических специалистов и руководящего состава в сторону увеличения сегмента последних ▪ Повышение заинтересованности в ИБ руководителей, принимающие непосредственное решение о выделении средств на информационную безопасность Общие тенденции развития ▪ Уменьшение доли организаций, вкладывающих в безопасности менее 20 000 и более 150 000 долларов. обеспечение ▪ Увеличение сегмента компаний, которые выделяют бюджет на цели обеспечения безопасности в пределах 20 000 – 150 000 долларов. ▪ Недостаточное понимание бизнес - управлением компаний существования потенциальных угроз для информационных ресурсов и наличия критичных технических уязвимостей информационным системам. Общие тенденции развития Спасибо за внимание! Центральный офис: Москва, Варшавское шоссе 47, корп. 4, 7 этаж Тел: +7 (495) 150-96-00 доб. 4 edu-it@academyit.ru |