slide1
Download
Skip this Video
Download Presentation
Экономическая эффективность систем информационной безопасности

Loading in 2 Seconds...

play fullscreen
1 / 23

Экономическая эффективность систем информационной безопасности - PowerPoint PPT Presentation


  • 317 Views
  • Uploaded on

Экономическая эффективность систем информационной безопасности. Басараб Сергей, студент V курса, гр. CIB-213. Кишинэу 2006. Цель. Оценка совокупной стоимости владения для системы ИБ на базе методики Gartner Group Inc. Задачи. Обзор методики TCO ИТ-безопасность предприятия

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Экономическая эффективность систем информационной безопасности' - emele


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1
Экономическая эффективность систем информационной безопасности

Басараб Сергей, студент V курса, гр. CIB-213

Кишинэу 2006

slide2
Цель

Оценка совокупной стоимости владения для системы ИБ на базе методики Gartner Group Inc.

slide3
Задачи

Обзор методики TCO

ИТ-безопасность предприятия

Основные риски ИБ

Классификация предприятий по уровню зрелости

Модель TCO для системы ИБ предприятия

slide4
Введение

По данным ежегодного отчета "GlobalInformation Security Survey 2005" международной компании Ernst&Young на данный момент основным стимулом развития системы информационной безопасности на предприятиях является совместимость с нормативными актами.

slide5
Обзор методики TCO

Методика TCO (Total Cost of Ownership – совокупная стоимость владения) была предложена аналитической компанией Gartner Group в конце 80-х годов (1986-1987) для оценки затрат на информационные технологии. Методика Gartner Group позволяет рассчитать всю расходную часть информационных активов компании, включая прямые и косвенные затраты на аппаратно-программные средства, организационные мероприятия, обучение и повышение квалификации сотрудников компании, реорганизацию, реструктуризацию бизнеса и т. д. Она может быть использована для доказательства экономической эффективности существующих корпоративных систем защиты информации.

В TCO применительно к системе ИБ необходимо учитывать еще угрозы и риски связанные с функционированием информационной системы предприятия, а также негативных внешних факторов способных привести к осуществлению угрозы ИБ используя уязвимости ресурсов информационной системы предприятия.

slide6
ИТ-безопасностьпредприятия

Для различных предприятий, а также их структурных элементов ИБ определяется по разному. Часто, внедряемые методы контроля для достижения определенного уровня ИБ выбираются и управляются различными составными частями предприятия. Например:

Обычно ИБ в компании базируется на использование Брандмауэра и управлении доступом.

Приватность рассматривается в контексте законодательства, связей с общественностью и управления предприятием.

В рамках бизнес процесса ответственность разделена. Часто это ответственность групп занимающихся ИБ; на других предприятиях это отдельная функция возложена финансового директора или директора по производственным вопросам.

slide8
Доверие

“Доверие” – результат применения комбинации аутентификации, авторизации, целостности и невозможности отказа:

  • Пользователи это те, которые говорят что это они
  • Имели ли они право отправить сообщение
  • Сообщение не изменялось в процессе передачи между отправителем и получателем
  • Сообщение пришло только от отправителя
slide9
Угрозы ИТ безопасности

Требования ИТ контроля устанавливаются таким образом что бы предприятие могло защитить себя от уязвимостей используемых технических и программных средств.

Воздействия уязвимостей при эксплуатации могут быть классифицированы на пять типов угроз:

  • Нарушение границ – нарушение условия невмешательства
  • Обнаружение – нарушение конфиденциальности, авторизации и секретности
  • Изменение – нарушение целостности
  • Отказ от обязательств – нарушение условия невозможности отказа. Отказ в связи с отклонением действительности транзакции
  • Отказ в обслуживании – нарушение пригодности
slide10
Основные риски ИБ

Существует множество различных рисков ИТ-безопасности, в зависимости от специфики предприятия, соответственно необходимый уровень защиты также будет различаться. Факторы, влияющие на различие рисков:

Культура управления – менеджеры желающие принять на себя более высокие бизнес-риски нуждаются в большем количестве информации об этих рисках.

Классификация актива – планы по приобретению и слиянию, электронные активы, защищаемые законодательством о секретности и финансовые активы подвержены более высокому уровню угроз информационной безопасности, так как эта информация является наиболее желанной для недобросовестных сотрудников.

Технологическая среда – предприятие не имеющие связи с Интернетом не нуждается в брандмауэре; большее количество автоматизированных процессов и сетевых соединений создают большее количество точек доступа подлежащих защите от несанкционированного доступа/вторжения.

Внутренняя информация – техническая экспертиза не всегда может быть преобразована к аудиту информационной безопасности. Предприятие, возможно, не знает обо всей гамме угроз, которым оно подвержено и осуществление внешнего аудита может быть необходимым для полной защиты его среды.

slide11
Основные риски ИБ

Риск может быть измерен в зависимости от уровня воздействия (низкий, средний, высокий) для следующих типов потерь:

  • Финансовых
  • Конкурентного преимущества
  • Юридических/Регулирующих
  • Операционных/Отказа в обслуживании
  • Репутации на рынке
slide12
Классификация предприятий по уровню зрелости

Gartner Group классифицирует предприятия на пять типов, в зависимости от потребности в решениях для ИБ:

  • Малый бизнес – замедленный рост
  • Малый/средний бизнес – быстрый рост
  • Dot-com – большое количество сделок осуществляется только в электронной форме
  • Средняя розничная торговля – ограниченное использование бумажного носителя, основные бизнес процессы построены и использованием ИТ
  • Финансовые учреждения – большие транснациональные корпорации, учреждения хранящие ценную информацию: например Управление Социального Обеспечения.
slide13
Классификация предприятий по уровню зрелости

Для определения принадлежности предприятия к одному из перечисленных пяти типов проводится анализ соответствия по следующим характеристикам для каждого типа:

  • Использование ИТ в бизнес процессе – степень с которой предприятия используют ИТ в критичных бизнес процессах
  • Технологический профиль – типы технологий используемых предприятием, ранжируя их от автономных персональных компьютеров (ПК) до универсальных ЭВМ (mainframe).
  • Установление доверия – процесс, используемый предприятием для налаживания отношений со своим деловым партнером, т.е. “Знаю Ваш Клиент”
  • Информационная ценность актива вне предприятия, или “Значение для Хакера” – ценность для хакера/внешней стороны, по отношению к предприятию, информационных активов если
  • Покрытие ИБ – персонал и управление в месте, необходимые чтобы защитить информационные активы предприятия
  • Удар при прорыве безопасности – воздействие на предприятие, в случае если безопасности была нарушена
slide14
Модель TCO для системы ИБ предприятия

Каждая модель TCO компании Gartner Group состоит из двух основных компонент:

1. Учетная карта предприятия

2. Технический сценарий

Модель TCO для ИБ отличается от традиционной модели TCO тем, что в ней есть третий компонент – сценарий безопасности.

slide15
Модель TCO для системы ИБ предприятия

Учетная картаTCO для ИБ предприятия состоит из пяти основных разделов:

  • Техническая часть
  • Персонал
  • Программное обеспечение
  • Внешние службы
  • Физическая безопасность
slide16
Модель TCO для системы ИБ предприятия

В свою очередь эти пять разделов подразделяются на следующие действия по безопасности:

  • Аутентификация
  • Авторизация
  • Защита кода и поддержка
  • Реакция на Кибер-инциденты
  • Мониторинг Контента
  • Управление цифровыми правами
  • Кодирование
  • Брандмауэры
  • Программа Информационной Безопасности
  • Фильтрация и Мониторинг Интернет Контента
  • Обнаружение Вторжения
  • Соответствие Лицензии
  • Регистрация, Сообщение и Аудит
  • Управление Враждебным Программным Кодом
  • Целостность Сообщения
  • Управление секретностью
  • Инфраструктура Открытых Ключей
  • Сортировка Записей и Хранение
  • Удаленный Доступ
  • Оценка Рисков
  • Управление Безопасностью
  • Архитектура Безопасности
  • Сертификация Стандартов
  • Управление Операционными Инцидентами
  • Уязвимости
  • Оценка и Управление
slide17
Модель TCO для системы ИБ предприятия

Технический сценарий

Это номенклатура производимых предприятием товаров и услуг.

Технический сценарий включает в себя:

Корпоративное резюме

  • Корпоративное резюме включает в себя следующую информацию о предприятии:
  • Первичное географическое месторасположение
  • Производство
  • Суммарный доход компании
  • Совокупность конечных пользователей
  • Мобильный персонал

ИТ профиль

  • В ИТ профиль предприятия включается следующая информация:
  • Используемая прикладная архитектура (например, клиент-сервер)
  • Используемый протокол для электронного обмена данными (EDI)
  • Способ подключения удаленных пользователей
  • Способ подключения индивидуальных удаленных пользователей
  • Используемые операционные системы
  • Техническая среда
slide18
Модель TCO для системы ИБ предприятия

Сценарий безопасности

Сценарий безопасности состоит из двух действий в рамках безопасности – это организация команды реагирования на Кибер-инциденты (КРКИ) и мониторинг контента.

Команда реагирования на Кибер-инциденты

Расходы на создание КРКИ включают:

  • Технические средства
  • Персонал
    • Фаза 1: Планирование
    • Фаза 2: Приобретение
    • Фаза 3: Внедрение
    • Фаза 4: Администрирование и управление стабилизацией цен
    • Фаза 5: Усовершенствование
    • Фаза 6: Отставка (КРКИ не будет устранена в течение, например 5-ти лет)
  • Программное обеспечение
  • Обучение
  • Телекоммуникации
slide19
Модель TCO для системы ИБ предприятия

Для примера приведем таблицу, из исследования Gartner Group [1], в которой в процентном отношении показаны расходы типового предприятия на создание КРКИ на 5 лет:

  • Как видно из таблицы наибольшие затраты связаны с персоналом.

Для детального учета расходов по основным разделам используется следующая таблица:

slide20
Модель TCO для системы ИБ предприятия

Мониторинг контента

Для того чтобы осуществлять мониторинг контента можно использовать собственные ресурсы предприятия, что не всегда выгодно, а можно привлечь специализированного сервис-провайдера который взял бы на себя эти функции, для определения наиболее приемлемого варианта в данном случае можно использовать модель TCO.

При использовании услуг сторонних провайдеров появляются некоторые виды рисков, которые могут быть заранее идентифицированы в процессе принятия решения, включая:

  • Квалификацию людей мониторизирующих среду
  • Защита секретной информации хранящейся у внешнего сервис-провайдера от его сотрудников и конкурентов
  • Защита интеллектуальной собственности и коммерческой тайны
  • Риск зависимости от внешнего провайдера
  • Инструменты и процедуры безопасности внешнего сервис-провайдера защищающие операционную инфраструктуру
  • Возможность внешнего сервис-провайдера восстанавливать за приемлемое время работу клиентов, а также восстанавливать собственную среду в случае краха (бедствия).
slide21
Заключение

Риски напрямую влияют на стоимость защиты предприятий. Поэтому оценку рисков и проект по обеспечению информационной безопасности целесообразно вести еще на начальных этапах проектирования будущей информационной системы предприятия. И продолжать данные мероприятия на всех этапах жизненного цикла предприятия. TCO может помочь оценить стоимость защиты фирмы, но не может рассчитать затраты в случаях чрезвычайных ситуаций.

Несмотря на это методика TCO для оценки экономической эффективности системы ИБ позволяет учесть и включить в стоимость затрат все расходы предприятия по внедрению и эксплуатации системы ИБ включая скрытые. Тем самым данная методика является мощным инструментом обоснования и управления инвестициями в системе ИБ.

Полученные в результате оценки затрат могут не отражать реального положения на предприятии это прежде всего будет связано со спецификой предприятия, его культурой, развитием нормативно-справочного обеспечения. Так наличие на предприятии политики безопасности разработанной или разрабатываемой, внутренних регламентов и нормативов может существенно снизить оценку TCO для ИБ предприятия. Так же на данную оценку влияет поведение и действия персонала, на что необходимо обратить особое внимание.

slide22
Библиография
  • 1. R. Witty, J. Dubiel, J. Girard, J. Graff, A.Hallawell, B. Hildreth, N. MacDonald, W.Malik, J. Pescatore, M.Reynolds, K. Russell, A.Weintraub, V. Wheatman. The Price of Information Security. Gartner Research, Strategic Analysis Report, R-11-6534, 8 June 2001.
  • 2. “ИТ-безопасность: никто не готов к новым угрозам”. http://www.cnews.ru/reviews/articles/index.shtml?2006/02/01/195291
  • 3. Экономическая безопасность: экономические аспекты. http://www.jetinfo.ru/2003/10/1/article1.10.2003.html
basarab s@gmail com
[email protected]

Спасибо за внимание.

ad