Экономическая эффективность систем информационной бе...
This presentation is the property of its rightful owner.
Sponsored Links
1 / 23

Экономическая эффективность систем информационной безопасности PowerPoint PPT Presentation


  • 189 Views
  • Uploaded on
  • Presentation posted in: General

Экономическая эффективность систем информационной безопасности. Басараб Сергей, студент V курса, гр. CIB-213. Кишинэу 2006. Цель. Оценка совокупной стоимости владения для системы ИБ на базе методики Gartner Group Inc. Задачи. Обзор методики TCO ИТ-безопасность предприятия

Download Presentation

Экономическая эффективность систем информационной безопасности

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


4900665

Экономическая эффективность систем информационной безопасности

Басараб Сергей, студент V курса, гр. CIB-213

Кишинэу 2006


4900665

Цель

Оценка совокупной стоимости владения для системы ИБ на базе методики Gartner Group Inc.


4900665

Задачи

Обзор методики TCO

ИТ-безопасность предприятия

Основные риски ИБ

Классификация предприятий по уровню зрелости

Модель TCO для системы ИБ предприятия


4900665

Введение

По данным ежегодного отчета "GlobalInformation Security Survey 2005" международной компании Ernst&Young на данный момент основным стимулом развития системы информационной безопасности на предприятиях является совместимость с нормативными актами.


4900665

Обзор методики TCO

Методика TCO (Total Cost of Ownership – совокупная стоимость владения) была предложена аналитической компанией Gartner Group в конце 80-х годов (1986-1987) для оценки затрат на информационные технологии. Методика Gartner Group позволяет рассчитать всю расходную часть информационных активов компании, включая прямые и косвенные затраты на аппаратно-программные средства, организационные мероприятия, обучение и повышение квалификации сотрудников компании, реорганизацию, реструктуризацию бизнеса и т. д. Она может быть использована для доказательства экономической эффективности существующих корпоративных систем защиты информации.

В TCO применительно к системе ИБ необходимо учитывать еще угрозы и риски связанные с функционированием информационной системы предприятия, а также негативных внешних факторов способных привести к осуществлению угрозы ИБ используя уязвимости ресурсов информационной системы предприятия.


4900665

ИТ-безопасностьпредприятия

Для различных предприятий, а также их структурных элементов ИБ определяется по разному. Часто, внедряемые методы контроля для достижения определенного уровня ИБ выбираются и управляются различными составными частями предприятия. Например:

Обычно ИБ в компании базируется на использование Брандмауэра и управлении доступом.

Приватность рассматривается в контексте законодательства, связей с общественностью и управления предприятием.

В рамках бизнес процесса ответственность разделена. Часто это ответственность групп занимающихся ИБ; на других предприятиях это отдельная функция возложена финансового директора или директора по производственным вопросам.


4900665

Требования к ИТ контролю


4900665

Доверие

“Доверие” – результат применения комбинации аутентификации, авторизации, целостности и невозможности отказа:

  • Пользователи это те, которые говорят что это они

  • Имели ли они право отправить сообщение

  • Сообщение не изменялось в процессе передачи между отправителем и получателем

  • Сообщение пришло только от отправителя


4900665

Угрозы ИТ безопасности

Требования ИТ контроля устанавливаются таким образом что бы предприятие могло защитить себя от уязвимостей используемых технических и программных средств.

Воздействия уязвимостей при эксплуатации могут быть классифицированы на пять типов угроз:

  • Нарушение границ – нарушение условия невмешательства

  • Обнаружение – нарушение конфиденциальности, авторизации и секретности

  • Изменение – нарушение целостности

  • Отказ от обязательств – нарушение условия невозможности отказа. Отказ в связи с отклонением действительности транзакции

  • Отказ в обслуживании – нарушение пригодности


4900665

Основные риски ИБ

Существует множество различных рисков ИТ-безопасности, в зависимости от специфики предприятия, соответственно необходимый уровень защиты также будет различаться. Факторы, влияющие на различие рисков:

Культура управления – менеджеры желающие принять на себя более высокие бизнес-риски нуждаются в большем количестве информации об этих рисках.

Классификация актива – планы по приобретению и слиянию, электронные активы, защищаемые законодательством о секретности и финансовые активы подвержены более высокому уровню угроз информационной безопасности, так как эта информация является наиболее желанной для недобросовестных сотрудников.

Технологическая среда – предприятие не имеющие связи с Интернетом не нуждается в брандмауэре; большее количество автоматизированных процессов и сетевых соединений создают большее количество точек доступа подлежащих защите от несанкционированного доступа/вторжения.

Внутренняя информация – техническая экспертиза не всегда может быть преобразована к аудиту информационной безопасности. Предприятие, возможно, не знает обо всей гамме угроз, которым оно подвержено и осуществление внешнего аудита может быть необходимым для полной защиты его среды.


4900665

Основные риски ИБ

Риск может быть измерен в зависимости от уровня воздействия (низкий, средний, высокий) для следующих типов потерь:

  • Финансовых

  • Конкурентного преимущества

  • Юридических/Регулирующих

  • Операционных/Отказа в обслуживании

  • Репутации на рынке


4900665

Классификация предприятий по уровню зрелости

Gartner Group классифицирует предприятия на пять типов, в зависимости от потребности в решениях для ИБ:

  • Малый бизнес – замедленный рост

  • Малый/средний бизнес – быстрый рост

  • Dot-com – большое количество сделок осуществляется только в электронной форме

  • Средняя розничная торговля – ограниченное использование бумажного носителя, основные бизнес процессы построены и использованием ИТ

  • Финансовые учреждения – большие транснациональные корпорации, учреждения хранящие ценную информацию: например Управление Социального Обеспечения.


4900665

Классификация предприятий по уровню зрелости

Для определения принадлежности предприятия к одному из перечисленных пяти типов проводится анализ соответствия по следующим характеристикам для каждого типа:

  • Использование ИТ в бизнес процессе – степень с которой предприятия используют ИТ в критичных бизнес процессах

  • Технологический профиль – типы технологий используемых предприятием, ранжируя их от автономных персональных компьютеров (ПК) до универсальных ЭВМ (mainframe).

  • Установление доверия – процесс, используемый предприятием для налаживания отношений со своим деловым партнером, т.е. “Знаю Ваш Клиент”

  • Информационная ценность актива вне предприятия, или “Значение для Хакера” – ценность для хакера/внешней стороны, по отношению к предприятию, информационных активов если

  • Покрытие ИБ – персонал и управление в месте, необходимые чтобы защитить информационные активы предприятия

  • Удар при прорыве безопасности – воздействие на предприятие, в случае если безопасности была нарушена


4900665

Модель TCO для системы ИБ предприятия

Каждая модель TCO компании Gartner Group состоит из двух основных компонент:

1. Учетная карта предприятия

2. Технический сценарий

Модель TCO для ИБ отличается от традиционной модели TCO тем, что в ней есть третий компонент – сценарий безопасности.


4900665

Модель TCO для системы ИБ предприятия

Учетная картаTCO для ИБ предприятия состоит из пяти основных разделов:

  • Техническая часть

  • Персонал

  • Программное обеспечение

  • Внешние службы

  • Физическая безопасность


4900665

Модель TCO для системы ИБ предприятия

В свою очередь эти пять разделов подразделяются на следующие действия по безопасности:

  • Аутентификация

  • Авторизация

  • Защита кода и поддержка

  • Реакция на Кибер-инциденты

  • Мониторинг Контента

  • Управление цифровыми правами

  • Кодирование

  • Брандмауэры

  • Программа Информационной Безопасности

  • Фильтрация и Мониторинг Интернет Контента

  • Обнаружение Вторжения

  • Соответствие Лицензии

  • Регистрация, Сообщение и Аудит

  • Управление Враждебным Программным Кодом

  • Целостность Сообщения

  • Управление секретностью

  • Инфраструктура Открытых Ключей

  • Сортировка Записей и Хранение

  • Удаленный Доступ

  • Оценка Рисков

  • Управление Безопасностью

  • Архитектура Безопасности

  • Сертификация Стандартов

  • Управление Операционными Инцидентами

  • Уязвимости

  • Оценка и Управление


4900665

Модель TCO для системы ИБ предприятия

Технический сценарий

Это номенклатура производимых предприятием товаров и услуг.

Технический сценарий включает в себя:

Корпоративное резюме

  • Корпоративное резюме включает в себя следующую информацию о предприятии:

  • Первичное географическое месторасположение

  • Производство

  • Суммарный доход компании

  • Совокупность конечных пользователей

  • Мобильный персонал

    ИТ профиль

  • В ИТ профиль предприятия включается следующая информация:

  • Используемая прикладная архитектура (например, клиент-сервер)

  • Используемый протокол для электронного обмена данными (EDI)

  • Способ подключения удаленных пользователей

  • Способ подключения индивидуальных удаленных пользователей

  • Используемые операционные системы

  • Техническая среда


4900665

Модель TCO для системы ИБ предприятия

Сценарий безопасности

Сценарий безопасности состоит из двух действий в рамках безопасности – это организация команды реагирования на Кибер-инциденты (КРКИ) и мониторинг контента.

Команда реагирования на Кибер-инциденты

Расходы на создание КРКИ включают:

  • Технические средства

  • Персонал

    • Фаза 1: Планирование

    • Фаза 2: Приобретение

    • Фаза 3: Внедрение

    • Фаза 4: Администрирование и управление стабилизацией цен

    • Фаза 5: Усовершенствование

    • Фаза 6: Отставка (КРКИ не будет устранена в течение, например 5-ти лет)

  • Программное обеспечение

  • Обучение

  • Телекоммуникации


4900665

Модель TCO для системы ИБ предприятия

Для примера приведем таблицу, из исследования Gartner Group [1], в которой в процентном отношении показаны расходы типового предприятия на создание КРКИ на 5 лет:

  • Как видно из таблицы наибольшие затраты связаны с персоналом.

    Для детального учета расходов по основным разделам используется следующая таблица:


4900665

Модель TCO для системы ИБ предприятия

Мониторинг контента

Для того чтобы осуществлять мониторинг контента можно использовать собственные ресурсы предприятия, что не всегда выгодно, а можно привлечь специализированного сервис-провайдера который взял бы на себя эти функции, для определения наиболее приемлемого варианта в данном случае можно использовать модель TCO.

При использовании услуг сторонних провайдеров появляются некоторые виды рисков, которые могут быть заранее идентифицированы в процессе принятия решения, включая:

  • Квалификацию людей мониторизирующих среду

  • Защита секретной информации хранящейся у внешнего сервис-провайдера от его сотрудников и конкурентов

  • Защита интеллектуальной собственности и коммерческой тайны

  • Риск зависимости от внешнего провайдера

  • Инструменты и процедуры безопасности внешнего сервис-провайдера защищающие операционную инфраструктуру

  • Возможность внешнего сервис-провайдера восстанавливать за приемлемое время работу клиентов, а также восстанавливать собственную среду в случае краха (бедствия).


4900665

Заключение

Риски напрямую влияют на стоимость защиты предприятий. Поэтому оценку рисков и проект по обеспечению информационной безопасности целесообразно вести еще на начальных этапах проектирования будущей информационной системы предприятия. И продолжать данные мероприятия на всех этапах жизненного цикла предприятия. TCO может помочь оценить стоимость защиты фирмы, но не может рассчитать затраты в случаях чрезвычайных ситуаций.

Несмотря на это методика TCO для оценки экономической эффективности системы ИБ позволяет учесть и включить в стоимость затрат все расходы предприятия по внедрению и эксплуатации системы ИБ включая скрытые. Тем самым данная методика является мощным инструментом обоснования и управления инвестициями в системе ИБ.

Полученные в результате оценки затрат могут не отражать реального положения на предприятии это прежде всего будет связано со спецификой предприятия, его культурой, развитием нормативно-справочного обеспечения. Так наличие на предприятии политики безопасности разработанной или разрабатываемой, внутренних регламентов и нормативов может существенно снизить оценку TCO для ИБ предприятия. Так же на данную оценку влияет поведение и действия персонала, на что необходимо обратить особое внимание.


4900665

Библиография

  • 1. R. Witty, J. Dubiel, J. Girard, J. Graff, A.Hallawell, B. Hildreth, N. MacDonald, W.Malik, J. Pescatore, M.Reynolds, K. Russell, A.Weintraub, V. Wheatman. The Price of Information Security. Gartner Research, Strategic Analysis Report, R-11-6534, 8 June 2001.

  • 2. “ИТ-безопасность: никто не готов к новым угрозам”. http://www.cnews.ru/reviews/articles/index.shtml?2006/02/01/195291

  • 3. Экономическая безопасность: экономические аспекты. http://www.jetinfo.ru/2003/10/1/article1.10.2003.html


Basarab s@gmail com

[email protected]

Спасибо за внимание.


  • Login