View
1.834
Download
8
Category
Preview:
DESCRIPTION
Выступление на конференции SOFTPROMotion 2011
Citation preview
http://devbusiness.ru/mkozloff
Экономический эффект от внедрения средств информационной безопасности (ИБ) компании «Код Безопасности», примеры расчета ROI
Универсальный метод, объясняющий
инвестору какую отдачу и с каким уровнем риска
принесут предлагаемые
инвестиции
Основа для принятия инвестиционных
решений и формирования
портфеля проектов
Финансисты не понимают язык ИТ и
ИБ
Безопасность – это бизнес-процесс,
требующий инвестиций
ROI достигается за счет снижения
рисков до приемлемого уровня в рамках конкретной
модели угроз
Угрозы, риски и вероятности их
проявления постоянно
изменяются
Модель угроз для
конкретной ситуации
Модель соответствую-
щих рисков
Вероятность проявления и
стоимость рисков
Стоимость средств
снижающих риски (ИБ -
отрицательный денежный поток)
Оценки возможности
снижения вероятности и
стоимости рисков при помощи средств ИБ
(положительный денежный поток)
2010 Data Breach Investigations Report
Verizon RISK Team in cooperation with the
United States Secret Service
*) Verizon Business RISK Team, “2009 Data Breach Investigations Report,” Verizon Business, April 2009
*) True Cost of Compliance Report, Ponemon Institute LLC, January 2011
The Value Of Corporate Secrets
How Compliance And Collaboration Affect Enterprise Perceptions Of Risk
March 2010, Forrester
Тип инцидента Стоимость инцидента
ИТ администратор
нарушил привилегии и
похитил данные
$452 238
The Value Of Corporate Secrets. How Compliance And Collaboration Affect Enterprise Perceptions Of Risk. March 2010, Forrester
vGate TrustAccess Инвентаризация HoneyPot
vGate Honeypot Manager
Инвентаризация TrustAccess
• Система SAM для
сбора, обработки и
систематизации
информации о ПО и АО
в корпоративной сети
• Распределенный firewall
для защиты физических
и виртуальных серверов
и ПК от НСД к ИС
предприятия
Централизованная
установка
vCenter/vGate
20 ESX хостов (2CPU) 300 ВМ 3 администратора
Годовая з/п
администратора с
учетом накладных
расходов = $48к
Настройки ИБ
соответствуют
требованиям PCI DSS,
CIS, VMware Hardening
Ставка
дисконтирования 15%
Горизонт расчета 3
года
Ручная настройка виртуальной
инфраструктуры VMware для соответствия лучшим практикам CIS, VSHG и требованиям PCI DSS
Применение шаблонов vGate снижает время
настройки в 4 раза
Изучение основ ИБ VMware
Изучение требований VMware Security Hardening Best
Practices
Изучение требований CIS
Изучение требований PCI DSS
Ручная настройка параметров ИБ при
внедрении
Регулярные проверки и тестирование
настроек ИБ
Изучение администрирования средств управления
Настройка и управление
безопасностью консоли ESX
Вариант 1: «Ничего не делаем« (принимаем 100% риска) PV (3 года)
Штрафы PCI DSS -$1 141 613
Потеря важной информации -$2 716 695
-$3 858 308
Вариант 2: «Ручная настройка ИБ» (-95% рисков) Ручные затраты на compliance и настройку ИБ -$117 004
Потеря важной информации -$135 835
-$252 839
Вариант 3: «Автоматизация настроек ИБ с vGate» (-98% рисков) Затраты на vGate -$37 503
vGate снижает ручные затраты на 75% $87 753
Оставшиеся ручные затраты -$29 251
Потеря важной информации -$54 334
-$33 335 Данный расчет сделан с vGate ROI Calculator для вымышленной компании
Показатель Значение PV (3)
Выгода от снижения рисков ручной настройки $266 810 $219 503
Затраты на vGate $40 800 $37 503
NPV $226 010 $182 000
ROI 485% Выгода в месяц $6 278
Период окупаемости, мес. 7
Данный расчет сделан с vGate ROI Calculator для вымышленной компании
DMZ
МСЭ МСЭ
Интернет
Облако
внешнего
провайдера
Виртуальные машины мигрируют в
гибридном облаке
Мобильные пользователи
TrustAccess — распределенный межсетевой экран с централизованным управлением для защиты от НСД к данным на физических и виртуальных серверах и ПК (VMware) в сети организации
Сервер
Рабочие станции пользователей
Сервер управления
TrustAccess
Администратор ИБ
DMZ
МСЭ МСЭ
Интернет
Облако
внешнего
провайдера
Виртуальные машины мигрируют в
гибридном облаке
Мобильные пользователи
Защищает данные от НСД на физических и виртуальных серверах и ПК, а не периметр сети
Не требует изменения существующей сети
Соответствие требованиям (152-ФЗ и PCI DSS)
Снижение риска потери информации
Сегментирование ПДн
• К1 = 18000 руб. на ПК
• К3 = 6000 руб. на ПК
Лицензии
Внедрение
Обучение администратора
Администрирование
Вы
год
а З
атр
аты
Централизованная установка, 1
администратор TrustAccess
5 серверов 150 ПК
Годовая з/п администратора с учетом накладных расходов = $48к
Снижение риска потери данных
после внедрения TrustAccess = 10%
Снижение риска штрафа по PCI
DSS = 8%
Сегментируем ИСПДн с К1 до К3
Ставка дисконтирования
15%
Горизонт расчета 3 года
• Данный расчет сделан с TrustAccess ROI Calculator для вымышленной компании. Защита 5-ти серверов и 150 ПК
• Модель угроз Forrester ("The Value Of Corporate Secrets - How Compliance And Collaboration Affect Enterprise Perceptions Of Risk", March
2010, by A Forrester Consulting Thought Leadership Paper (Commissioned By Microsoft And RSA, The Security Division Of EMC)
• Снижение риска потери данных из-за НСД на 10%, штрафов PCI DSS на 8% и снижения затрат на защиту ПДн за счет сегментации
ИСПДн при помощи TrustAccess
Риск Значение ПС (3 года)
Инвестиции 1 589 174р. 1 430 488р.
Выгода (снижение риска потери данных на 10%) 13 146 650р. 10 304 243р.
Фактор риска для выгоды 30% - 3 943 995р. - 3 091 273р.
NPV 7 613 481р. 5 782 483р.
ROI 404%
Выгода в месяц 211 486р.
Период окупаемости, мес. 8
Имитирует работу бизнес-приложений с похожими на реальные данными
Регистрация попыток НСД к информации
Уведомление о фактах НСД
Отчеты об активности нарушителей
Централизованное управление
Пользователь 1С 8.x
Неаутентифицированный
или неавторизованный
пользователь
X
X
X
Сервер приложений
1C: Предприятие 8.x
БД 1С (СУБД
MS SQL Server)
Имитационная СУБД
Honeypot Manager
Аутентифицированный
пользователь
Неаутентифицированный
или неавторизованный
пользовательСУБД
ИСПДн
Выявляет
инсайдеров и
попытки взлома
извне
Позволяет принять
необходимые
контрмеры
Снижает
финансовые и
репутационные
риски
Аудит
• Количество компьютеров и серверов в сети
• Инвентаризация установленного ПО
• Инвентаризация аппаратных средств
Анализ
• Сопоставление закупленного и
установленного ПО
• Подготовка реестра ПО
Управление
• Принятие решения о отказе / продлении /
закупке лицензий
• Разработка документов и процедур
Правильное управление программным обеспечением
снижает стоимость владения ПК на 10-25% Источник: Gartner G00155774
Программный комплекс, предназначенный для сбора, обработки и систематизации информации о программном и аппаратном обеспечении, установленном на компьютерах и серверах в локальной вычислительной сети, функционирующих под управлением ОС Windows.
Инвентаризация ПО и аппаратных средств
Задание чёрного списка ПО
Инспекция компьютеров без установки
агентов(при наличии Active Directory).
Инспектирование компьютеров в сетях без наличия Active Directory, а также компьютеров не входящих в сеть
Определение второй установленной ОС
Работа по расписанию Накапливание
результатов инспекций
Оповещение по результатам инспекций
Ручной процесс КБ Инвентаризация
22 мин. на ПК
+ 30 мин. на реестр
0.5 мин. на ПК
+ 1 мин. на реестр
Ручное процесс
100*22+30=2230 мин. (37.17 чел./часа)
Автоматизированный процесс
100*0.5+1=51 мин. (без участия Администратора)
Экономия для одного аудита
37 часов * 17 EUR (стоимость 1 часа) = 629 EUR
Стоимость КБИ
100*12,4 EUR (100-500 ПК) = 1’240 EUR
ROI
После 2-х проведенных аудитов
Источники ROI в ИБ: рост эффективности
процессов и снижения рисков (ошибок, потери
данных, штрафов…)
Для СНГ нет публичной модели
угроз с финансовой оценкой рисков –
делайте свою
Детали бизнес-процессов и рисков = точность расчета
(c)2011, Михаил Козлов. Информация в настоящей презентации предоставляется на условиях «КАК ЕСТЬ», без предоставления каких-либо гарантий и прав. Используя
данную информацию, Вы соглашаетесь с тем, что (i) автор(ы) не несут ответственности за использование Вами данной информации и (ii) Вы принимаете на себя весь
риск, связанный с использованием данной информации». Упомянутые торговые марки и названия принадлежат их законным владельцам.
http://www.securitycode.ru
http://www.slideshare.net/mkozloff/roi-7039990
http://devbusiness.ru/mkozloff/about/
Recommended