Экономическая эффективность систем информационной безопасности

1. Экономическая эффективность систем информационной безопасности Басараб Сергей, студент V курса, гр. CIB-213 Кишинэу 2006

2. Цель Оценка совокупной стоимости владения для системы ИБ на базе методики Gartner Group Inc.

3. Задачи Обзор методики TCO ИТ-безопасность предприятия Основные риски ИБ Классификация предприятий по уровню зрелости Модель TCO для системы ИБ предприятия

4. Введение По данным ежегодного отчета "GlobalInformation Security Survey 2005" международной компании Ernst&Young на данный момент основным стимулом развития системы информационной безопасности на предприятиях является совместимость с нормативными актами.

5. Обзор методики TCO Методика TCO (Total Cost of Ownership – совокупная стоимость владения) была предложена аналитической компанией Gartner Group в конце 80-х годов (1986-1987) для оценки затрат на информационные технологии. Методика Gartner Group позволяет рассчитать всю расходную часть информационных активов компании, включая прямые и косвенные затраты на аппаратно-программные средства, организационные мероприятия, обучение и повышение квалификации сотрудников компании, реорганизацию, реструктуризацию бизнеса и т. д. Она может быть использована для доказательства экономической эффективности существующих корпоративных систем защиты информации. В TCO применительно к системе ИБ необходимо учитывать еще угрозы и риски связанные с функционированием информационной системы предприятия, а также негативных внешних факторов способных привести к осуществлению угрозы ИБ используя уязвимости ресурсов информационной системы предприятия.

6. ИТ-безопасностьпредприятия Для различных предприятий, а также их структурных элементов ИБ определяется по разному. Часто, внедряемые методы контроля для достижения определенного уровня ИБ выбираются и управляются различными составными частями предприятия. Например: Обычно ИБ в компании базируется на использование Брандмауэра и управлении доступом. Приватность рассматривается в контексте законодательства, связей с общественностью и управления предприятием. В рамках бизнес процесса ответственность разделена. Часто это ответственность групп занимающихся ИБ; на других предприятиях это отдельная функция возложена финансового директора или директора по производственным вопросам.

7. Требования к ИТ контролю

8. Доверие “Доверие” – результат применения комбинации аутентификации, авторизации, целостности и невозможности отказа: • Пользователи это те, которые говорят что это они • Имели ли они право отправить сообщение • Сообщение не изменялось в процессе передачи между отправителем и получателем • Сообщение пришло только от отправителя

9. Угрозы ИТ безопасности Требования ИТ контроля устанавливаются таким образом что бы предприятие могло защитить себя от уязвимостей используемых технических и программных средств. Воздействия уязвимостей при эксплуатации могут быть классифицированы на пять типов угроз: • Нарушение границ – нарушение условия невмешательства • Обнаружение – нарушение конфиденциальности, авторизации и секретности • Изменение – нарушение целостности • Отказ от обязательств – нарушение условия невозможности отказа. Отказ в связи с отклонением действительности транзакции • Отказ в обслуживании – нарушение пригодности

10. Основные риски ИБ Существует множество различных рисков ИТ-безопасности, в зависимости от специфики предприятия, соответственно необходимый уровень защиты также будет различаться. Факторы, влияющие на различие рисков: Культура управления – менеджеры желающие принять на себя более высокие бизнес-риски нуждаются в большем количестве информации об этих рисках. Классификация актива – планы по приобретению и слиянию, электронные активы, защищаемые законодательством о секретности и финансовые активы подвержены более высокому уровню угроз информационной безопасности, так как эта информация является наиболее желанной для недобросовестных сотрудников. Технологическая среда – предприятие не имеющие связи с Интернетом не нуждается в брандмауэре; большее количество автоматизированных процессов и сетевых соединений создают большее количество точек доступа подлежащих защите от несанкционированного доступа/вторжения. Внутренняя информация – техническая экспертиза не всегда может быть преобразована к аудиту информационной безопасности. Предприятие, возможно, не знает обо всей гамме угроз, которым оно подвержено и осуществление внешнего аудита может быть необходимым для полной защиты его среды.

11. Основные риски ИБ Риск может быть измерен в зависимости от уровня воздействия (низкий, средний, высокий) для следующих типов потерь: • Финансовых • Конкурентного преимущества • Юридических/Регулирующих • Операционных/Отказа в обслуживании • Репутации на рынке

12. Классификация предприятий по уровню зрелости Gartner Group классифицирует предприятия на пять типов, в зависимости от потребности в решениях для ИБ: • Малый бизнес – замедленный рост • Малый/средний бизнес – быстрый рост • Dot-com – большое количество сделок осуществляется только в электронной форме • Средняя розничная торговля – ограниченное использование бумажного носителя, основные бизнес процессы построены и использованием ИТ • Финансовые учреждения – большие транснациональные корпорации, учреждения хранящие ценную информацию: например Управление Социального Обеспечения.

13. Классификация предприятий по уровню зрелости Для определения принадлежности предприятия к одному из перечисленных пяти типов проводится анализ соответствия по следующим характеристикам для каждого типа: • Использование ИТ в бизнес процессе – степень с которой предприятия используют ИТ в критичных бизнес процессах • Технологический профиль – типы технологий используемых предприятием, ранжируя их от автономных персональных компьютеров (ПК) до универсальных ЭВМ (mainframe). • Установление доверия – процесс, используемый предприятием для налаживания отношений со своим деловым партнером, т.е. “Знаю Ваш Клиент” • Информационная ценность актива вне предприятия, или “Значение для Хакера” – ценность для хакера/внешней стороны, по отношению к предприятию, информационных активов если • Покрытие ИБ – персонал и управление в месте, необходимые чтобы защитить информационные активы предприятия • Удар при прорыве безопасности – воздействие на предприятие, в случае если безопасности была нарушена

14. Модель TCO для системы ИБ предприятия Каждая модель TCO компании Gartner Group состоит из двух основных компонент: 1. Учетная карта предприятия 2. Технический сценарий Модель TCO для ИБ отличается от традиционной модели TCO тем, что в ней есть третий компонент – сценарий безопасности.

15. Модель TCO для системы ИБ предприятия Учетная картаTCO для ИБ предприятия состоит из пяти основных разделов: • Техническая часть • Персонал • Программное обеспечение • Внешние службы • Физическая безопасность

16. Модель TCO для системы ИБ предприятия В свою очередь эти пять разделов подразделяются на следующие действия по безопасности: • Аутентификация • Авторизация • Защита кода и поддержка • Реакция на Кибер-инциденты • Мониторинг Контента • Управление цифровыми правами • Кодирование • Брандмауэры • Программа Информационной Безопасности • Фильтрация и Мониторинг Интернет Контента • Обнаружение Вторжения • Соответствие Лицензии • Регистрация, Сообщение и Аудит • Управление Враждебным Программным Кодом • Целостность Сообщения • Управление секретностью • Инфраструктура Открытых Ключей • Сортировка Записей и Хранение • Удаленный Доступ • Оценка Рисков • Управление Безопасностью • Архитектура Безопасности • Сертификация Стандартов • Управление Операционными Инцидентами • Уязвимости • Оценка и Управление

17. Модель TCO для системы ИБ предприятия Технический сценарий Это номенклатура производимых предприятием товаров и услуг. Технический сценарий включает в себя: Корпоративное резюме • Корпоративное резюме включает в себя следующую информацию о предприятии: • Первичное географическое месторасположение • Производство • Суммарный доход компании • Совокупность конечных пользователей • Мобильный персонал ИТ профиль • В ИТ профиль предприятия включается следующая информация: • Используемая прикладная архитектура (например, клиент-сервер) • Используемый протокол для электронного обмена данными (EDI) • Способ подключения удаленных пользователей • Способ подключения индивидуальных удаленных пользователей • Используемые операционные системы • Техническая среда

18. Модель TCO для системы ИБ предприятия Сценарий безопасности Сценарий безопасности состоит из двух действий в рамках безопасности – это организация команды реагирования на Кибер-инциденты (КРКИ) и мониторинг контента. Команда реагирования на Кибер-инциденты Расходы на создание КРКИ включают: • Технические средства • Персонал • Фаза 1: Планирование • Фаза 2: Приобретение • Фаза 3: Внедрение • Фаза 4: Администрирование и управление стабилизацией цен • Фаза 5: Усовершенствование • Фаза 6: Отставка (КРКИ не будет устранена в течение, например 5-ти лет) • Программное обеспечение • Обучение • Телекоммуникации

19. Модель TCO для системы ИБ предприятия Для примера приведем таблицу, из исследования Gartner Group [1], в которой в процентном отношении показаны расходы типового предприятия на создание КРКИ на 5 лет: • Как видно из таблицы наибольшие затраты связаны с персоналом. Для детального учета расходов по основным разделам используется следующая таблица:

20. Модель TCO для системы ИБ предприятия Мониторинг контента Для того чтобы осуществлять мониторинг контента можно использовать собственные ресурсы предприятия, что не всегда выгодно, а можно привлечь специализированного сервис-провайдера который взял бы на себя эти функции, для определения наиболее приемлемого варианта в данном случае можно использовать модель TCO. При использовании услуг сторонних провайдеров появляются некоторые виды рисков, которые могут быть заранее идентифицированы в процессе принятия решения, включая: • Квалификацию людей мониторизирующих среду • Защита секретной информации хранящейся у внешнего сервис-провайдера от его сотрудников и конкурентов • Защита интеллектуальной собственности и коммерческой тайны • Риск зависимости от внешнего провайдера • Инструменты и процедуры безопасности внешнего сервис-провайдера защищающие операционную инфраструктуру • Возможность внешнего сервис-провайдера восстанавливать за приемлемое время работу клиентов, а также восстанавливать собственную среду в случае краха (бедствия).

21. Заключение Риски напрямую влияют на стоимость защиты предприятий. Поэтому оценку рисков и проект по обеспечению информационной безопасности целесообразно вести еще на начальных этапах проектирования будущей информационной системы предприятия. И продолжать данные мероприятия на всех этапах жизненного цикла предприятия. TCO может помочь оценить стоимость защиты фирмы, но не может рассчитать затраты в случаях чрезвычайных ситуаций. Несмотря на это методика TCO для оценки экономической эффективности системы ИБ позволяет учесть и включить в стоимость затрат все расходы предприятия по внедрению и эксплуатации системы ИБ включая скрытые. Тем самым данная методика является мощным инструментом обоснования и управления инвестициями в системе ИБ. Полученные в результате оценки затрат могут не отражать реального положения на предприятии это прежде всего будет связано со спецификой предприятия, его культурой, развитием нормативно-справочного обеспечения. Так наличие на предприятии политики безопасности разработанной или разрабатываемой, внутренних регламентов и нормативов может существенно снизить оценку TCO для ИБ предприятия. Так же на данную оценку влияет поведение и действия персонала, на что необходимо обратить особое внимание.

22. Библиография • 1. R. Witty, J. Dubiel, J. Girard, J. Graff, A.Hallawell, B. Hildreth, N. MacDonald, W.Malik, J. Pescatore, M.Reynolds, K. Russell, A.Weintraub, V. Wheatman. The Price of Information Security. Gartner Research, Strategic Analysis Report, R-11-6534, 8 June 2001. • 2. “ИТ-безопасность: никто не готов к новым угрозам”. http://www.cnews.ru/reviews/articles/index.shtml?2006/02/01/195291 • 3. Экономическая безопасность: экономические аспекты. http://www.jetinfo.ru/2003/10/1/article1.10.2003.html

23. basarab.s@gmail.com Спасибо за внимание.