1 / 23

Экономическая эффективность систем информационной безопасности

Экономическая эффективность систем информационной безопасности. Басараб Сергей, студент V курса, гр. CIB-213. Кишинэу 2006. Цель. Оценка совокупной стоимости владения для системы ИБ на базе методики Gartner Group Inc. Задачи. Обзор методики TCO ИТ-безопасность предприятия

emele
Download Presentation

Экономическая эффективность систем информационной безопасности

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Экономическая эффективность систем информационной безопасности Басараб Сергей, студент V курса, гр. CIB-213 Кишинэу 2006

  2. Цель Оценка совокупной стоимости владения для системы ИБ на базе методики Gartner Group Inc.

  3. Задачи Обзор методики TCO ИТ-безопасность предприятия Основные риски ИБ Классификация предприятий по уровню зрелости Модель TCO для системы ИБ предприятия

  4. Введение По данным ежегодного отчета "GlobalInformation Security Survey 2005" международной компании Ernst&Young на данный момент основным стимулом развития системы информационной безопасности на предприятиях является совместимость с нормативными актами.

  5. Обзор методики TCO Методика TCO (Total Cost of Ownership – совокупная стоимость владения) была предложена аналитической компанией Gartner Group в конце 80-х годов (1986-1987) для оценки затрат на информационные технологии. Методика Gartner Group позволяет рассчитать всю расходную часть информационных активов компании, включая прямые и косвенные затраты на аппаратно-программные средства, организационные мероприятия, обучение и повышение квалификации сотрудников компании, реорганизацию, реструктуризацию бизнеса и т. д. Она может быть использована для доказательства экономической эффективности существующих корпоративных систем защиты информации. В TCO применительно к системе ИБ необходимо учитывать еще угрозы и риски связанные с функционированием информационной системы предприятия, а также негативных внешних факторов способных привести к осуществлению угрозы ИБ используя уязвимости ресурсов информационной системы предприятия.

  6. ИТ-безопасностьпредприятия Для различных предприятий, а также их структурных элементов ИБ определяется по разному. Часто, внедряемые методы контроля для достижения определенного уровня ИБ выбираются и управляются различными составными частями предприятия. Например: Обычно ИБ в компании базируется на использование Брандмауэра и управлении доступом. Приватность рассматривается в контексте законодательства, связей с общественностью и управления предприятием. В рамках бизнес процесса ответственность разделена. Часто это ответственность групп занимающихся ИБ; на других предприятиях это отдельная функция возложена финансового директора или директора по производственным вопросам.

  7. Требования к ИТ контролю

  8. Доверие “Доверие” – результат применения комбинации аутентификации, авторизации, целостности и невозможности отказа: • Пользователи это те, которые говорят что это они • Имели ли они право отправить сообщение • Сообщение не изменялось в процессе передачи между отправителем и получателем • Сообщение пришло только от отправителя

  9. Угрозы ИТ безопасности Требования ИТ контроля устанавливаются таким образом что бы предприятие могло защитить себя от уязвимостей используемых технических и программных средств. Воздействия уязвимостей при эксплуатации могут быть классифицированы на пять типов угроз: • Нарушение границ – нарушение условия невмешательства • Обнаружение – нарушение конфиденциальности, авторизации и секретности • Изменение – нарушение целостности • Отказ от обязательств – нарушение условия невозможности отказа. Отказ в связи с отклонением действительности транзакции • Отказ в обслуживании – нарушение пригодности

  10. Основные риски ИБ Существует множество различных рисков ИТ-безопасности, в зависимости от специфики предприятия, соответственно необходимый уровень защиты также будет различаться. Факторы, влияющие на различие рисков: Культура управления – менеджеры желающие принять на себя более высокие бизнес-риски нуждаются в большем количестве информации об этих рисках. Классификация актива – планы по приобретению и слиянию, электронные активы, защищаемые законодательством о секретности и финансовые активы подвержены более высокому уровню угроз информационной безопасности, так как эта информация является наиболее желанной для недобросовестных сотрудников. Технологическая среда – предприятие не имеющие связи с Интернетом не нуждается в брандмауэре; большее количество автоматизированных процессов и сетевых соединений создают большее количество точек доступа подлежащих защите от несанкционированного доступа/вторжения. Внутренняя информация – техническая экспертиза не всегда может быть преобразована к аудиту информационной безопасности. Предприятие, возможно, не знает обо всей гамме угроз, которым оно подвержено и осуществление внешнего аудита может быть необходимым для полной защиты его среды.

  11. Основные риски ИБ Риск может быть измерен в зависимости от уровня воздействия (низкий, средний, высокий) для следующих типов потерь: • Финансовых • Конкурентного преимущества • Юридических/Регулирующих • Операционных/Отказа в обслуживании • Репутации на рынке

  12. Классификация предприятий по уровню зрелости Gartner Group классифицирует предприятия на пять типов, в зависимости от потребности в решениях для ИБ: • Малый бизнес – замедленный рост • Малый/средний бизнес – быстрый рост • Dot-com – большое количество сделок осуществляется только в электронной форме • Средняя розничная торговля – ограниченное использование бумажного носителя, основные бизнес процессы построены и использованием ИТ • Финансовые учреждения – большие транснациональные корпорации, учреждения хранящие ценную информацию: например Управление Социального Обеспечения.

  13. Классификация предприятий по уровню зрелости Для определения принадлежности предприятия к одному из перечисленных пяти типов проводится анализ соответствия по следующим характеристикам для каждого типа: • Использование ИТ в бизнес процессе – степень с которой предприятия используют ИТ в критичных бизнес процессах • Технологический профиль – типы технологий используемых предприятием, ранжируя их от автономных персональных компьютеров (ПК) до универсальных ЭВМ (mainframe). • Установление доверия – процесс, используемый предприятием для налаживания отношений со своим деловым партнером, т.е. “Знаю Ваш Клиент” • Информационная ценность актива вне предприятия, или “Значение для Хакера” – ценность для хакера/внешней стороны, по отношению к предприятию, информационных активов если • Покрытие ИБ – персонал и управление в месте, необходимые чтобы защитить информационные активы предприятия • Удар при прорыве безопасности – воздействие на предприятие, в случае если безопасности была нарушена

  14. Модель TCO для системы ИБ предприятия Каждая модель TCO компании Gartner Group состоит из двух основных компонент: 1. Учетная карта предприятия 2. Технический сценарий Модель TCO для ИБ отличается от традиционной модели TCO тем, что в ней есть третий компонент – сценарий безопасности.

  15. Модель TCO для системы ИБ предприятия Учетная картаTCO для ИБ предприятия состоит из пяти основных разделов: • Техническая часть • Персонал • Программное обеспечение • Внешние службы • Физическая безопасность

  16. Модель TCO для системы ИБ предприятия В свою очередь эти пять разделов подразделяются на следующие действия по безопасности: • Аутентификация • Авторизация • Защита кода и поддержка • Реакция на Кибер-инциденты • Мониторинг Контента • Управление цифровыми правами • Кодирование • Брандмауэры • Программа Информационной Безопасности • Фильтрация и Мониторинг Интернет Контента • Обнаружение Вторжения • Соответствие Лицензии • Регистрация, Сообщение и Аудит • Управление Враждебным Программным Кодом • Целостность Сообщения • Управление секретностью • Инфраструктура Открытых Ключей • Сортировка Записей и Хранение • Удаленный Доступ • Оценка Рисков • Управление Безопасностью • Архитектура Безопасности • Сертификация Стандартов • Управление Операционными Инцидентами • Уязвимости • Оценка и Управление

  17. Модель TCO для системы ИБ предприятия Технический сценарий Это номенклатура производимых предприятием товаров и услуг. Технический сценарий включает в себя: Корпоративное резюме • Корпоративное резюме включает в себя следующую информацию о предприятии: • Первичное географическое месторасположение • Производство • Суммарный доход компании • Совокупность конечных пользователей • Мобильный персонал ИТ профиль • В ИТ профиль предприятия включается следующая информация: • Используемая прикладная архитектура (например, клиент-сервер) • Используемый протокол для электронного обмена данными (EDI) • Способ подключения удаленных пользователей • Способ подключения индивидуальных удаленных пользователей • Используемые операционные системы • Техническая среда

  18. Модель TCO для системы ИБ предприятия Сценарий безопасности Сценарий безопасности состоит из двух действий в рамках безопасности – это организация команды реагирования на Кибер-инциденты (КРКИ) и мониторинг контента. Команда реагирования на Кибер-инциденты Расходы на создание КРКИ включают: • Технические средства • Персонал • Фаза 1: Планирование • Фаза 2: Приобретение • Фаза 3: Внедрение • Фаза 4: Администрирование и управление стабилизацией цен • Фаза 5: Усовершенствование • Фаза 6: Отставка (КРКИ не будет устранена в течение, например 5-ти лет) • Программное обеспечение • Обучение • Телекоммуникации

  19. Модель TCO для системы ИБ предприятия Для примера приведем таблицу, из исследования Gartner Group [1], в которой в процентном отношении показаны расходы типового предприятия на создание КРКИ на 5 лет: • Как видно из таблицы наибольшие затраты связаны с персоналом. Для детального учета расходов по основным разделам используется следующая таблица:

  20. Модель TCO для системы ИБ предприятия Мониторинг контента Для того чтобы осуществлять мониторинг контента можно использовать собственные ресурсы предприятия, что не всегда выгодно, а можно привлечь специализированного сервис-провайдера который взял бы на себя эти функции, для определения наиболее приемлемого варианта в данном случае можно использовать модель TCO. При использовании услуг сторонних провайдеров появляются некоторые виды рисков, которые могут быть заранее идентифицированы в процессе принятия решения, включая: • Квалификацию людей мониторизирующих среду • Защита секретной информации хранящейся у внешнего сервис-провайдера от его сотрудников и конкурентов • Защита интеллектуальной собственности и коммерческой тайны • Риск зависимости от внешнего провайдера • Инструменты и процедуры безопасности внешнего сервис-провайдера защищающие операционную инфраструктуру • Возможность внешнего сервис-провайдера восстанавливать за приемлемое время работу клиентов, а также восстанавливать собственную среду в случае краха (бедствия).

  21. Заключение Риски напрямую влияют на стоимость защиты предприятий. Поэтому оценку рисков и проект по обеспечению информационной безопасности целесообразно вести еще на начальных этапах проектирования будущей информационной системы предприятия. И продолжать данные мероприятия на всех этапах жизненного цикла предприятия. TCO может помочь оценить стоимость защиты фирмы, но не может рассчитать затраты в случаях чрезвычайных ситуаций. Несмотря на это методика TCO для оценки экономической эффективности системы ИБ позволяет учесть и включить в стоимость затрат все расходы предприятия по внедрению и эксплуатации системы ИБ включая скрытые. Тем самым данная методика является мощным инструментом обоснования и управления инвестициями в системе ИБ. Полученные в результате оценки затрат могут не отражать реального положения на предприятии это прежде всего будет связано со спецификой предприятия, его культурой, развитием нормативно-справочного обеспечения. Так наличие на предприятии политики безопасности разработанной или разрабатываемой, внутренних регламентов и нормативов может существенно снизить оценку TCO для ИБ предприятия. Так же на данную оценку влияет поведение и действия персонала, на что необходимо обратить особое внимание.

  22. Библиография • 1. R. Witty, J. Dubiel, J. Girard, J. Graff, A.Hallawell, B. Hildreth, N. MacDonald, W.Malik, J. Pescatore, M.Reynolds, K. Russell, A.Weintraub, V. Wheatman. The Price of Information Security. Gartner Research, Strategic Analysis Report, R-11-6534, 8 June 2001. • 2. “ИТ-безопасность: никто не готов к новым угрозам”. http://www.cnews.ru/reviews/articles/index.shtml?2006/02/01/195291 • 3. Экономическая безопасность: экономические аспекты. http://www.jetinfo.ru/2003/10/1/article1.10.2003.html

  23. basarab.s@gmail.com Спасибо за внимание.

More Related