Экономическая эффективность систем информационной безопасности

Кишинэу 2006

Басараб Сергей, студент V курса, гр. CIB-213

Цель

Оценка совокупной стоимости владения для системы ИБ на базе методики Gartner Group Inc.

Задачи

Обзор методики TCO ИТ-безопасность предприятия Основные риски ИБ Классификация предприятий

по уровню зрелости Модель TCO для системы ИБ

предприятия

ВведениеПо данным ежегодного отчета "Global Information Security

Survey 2005" международной компании Ernst&Young на данный момент основным стимулом развития системы информационной безопасности на предприятиях является совместимость с нормативными актами.

Обзор методики TCO Методика TCO (Total Cost of Ownership – совокупная

стоимость владения) была предложена аналитической компанией Gartner Group в конце 80-х годов (1986-1987) для оценки затрат на информационные технологии. Методика Gartner Group позволяет рассчитать всю расходную часть информационных активов компании, включая прямые и косвенные затраты на аппаратно-программные средства, организационные мероприятия, обучение и повышение квалификации сотрудников компании, реорганизацию, реструктуризацию бизнеса и т. д. Она может быть использована для доказательства экономической эффективности существующих корпоративных систем защиты информации.

В TCO применительно к системе ИБ необходимо учитывать еще угрозы и риски связанные с функционированием информационной системы предприятия, а также негативных внешних факторов способных привести к осуществлению угрозы ИБ используя уязвимости ресурсов информационной системы предприятия.

ИТ-безопасность предприятияДля различных предприятий, а также их

структурных элементов ИБ определяется по разному. Часто, внедряемые методы контроля для достижения определенного уровня ИБ выбираются и управляются различными составными частями предприятия. Например: Обычно ИБ в компании базируется на

использование Брандмауэра и управлении доступом.

Приватность рассматривается в контексте законодательства, связей с общественностью и управления предприятием.

В рамках бизнес процесса ответственность разделена. Часто это ответственность групп занимающихся ИБ; на других предприятиях это отдельная функция возложена финансового директора или директора по производственным вопросам.

Требования к ИТ контролю

Требование Определение Контроль безопасности

Невмешательство Гарантирует, что контроль осуществлен по входу с использованием электронных активов предприятия.

Пользовательский идентификатор/Пароль

Брандмауэр Неразглашение паролей UCC4A Несанкционированное

Использование Баннеров

Аутентификация Обеспечивает, что пользователи и приложения соответственно идентифицированы перед получением доступа к информационным активам

Пользовательский идентификатор/Пароль

Пакет данных Биометрическое устройство Сертификат Открытого Ключа Местоположение

Авторизация Обеспечивает, что должным образом идентифицированный пользователь/приложение может обратиться только к тем ресурсам ИТ, к которым владелец информационных ресурсов открыл доступ.

Список Прав Доступа Атрибуты Сертификатов

Конфиденциальность Гарантирует, что только те люди, которым предназначена информация в состоянии ее увидеть

Шифрование

Целостность Гарантирует, что в случае изменения транзакции между отправителем и получателем это будет идентифицировано

Код подлинности сообщения (MAC)/Hash

Секретность Гарантирует, что информация, предоставляемая служащими, клиентами и другими защищена таким образом, чтобы информация использовалась исключительно в соответствии с политикой секретности клиентов предприятия.

Политики и Процедуры Шифрование Инструменты управления политикой

Невозможность отказа

Гарантирует, что и отправитель и получатель могут недвусмысленно доказать что между ними произошел обмен информацией

Цифровая подпись Временная метка

Готовность Гарантирует, что ИТ инфраструктура предприятия имеет соответствующую восстанавливаемость и защиту от отказов системы, стихийных бедствий или злонамеренных воздействий.

Резервирование Балансировка нагрузки Политики и Процедуры План непрерывности бизнеса Место альтернативной обработки

данных

Доверие“Доверие” – результат применения

комбинации аутентификации, авторизации, целостности и невозможности отказа:

Пользователи это те, которые говорят что это они

Имели ли они право отправить сообщение

Сообщение не изменялось в процессе передачи между отправителем и получателем

Сообщение пришло только от отправителя

Угрозы ИТ безопасностиТребования ИТ контроля устанавливаются

таким образом что бы предприятие могло защитить себя от уязвимостей используемых технических и программных средств.

Воздействия уязвимостей при эксплуатации могут быть классифицированы на пять типов угроз:

Нарушение границ – нарушение условия невмешательства

Обнаружение – нарушение конфиденциальности, авторизации и секретности

Изменение – нарушение целостности Отказ от обязательств – нарушение условия

невозможности отказа. Отказ в связи с отклонением действительности транзакции

Отказ в обслуживании – нарушение пригодности

Основные риски ИБСуществует множество различных рисков ИТ-безопасности, в

зависимости от специфики предприятия, соответственно необходимый уровень защиты также будет различаться. Факторы, влияющие на различие рисков:

Культура управления – менеджеры желающие принять на себя более высокие бизнес-риски нуждаются в большем количестве информации об этих рисках.

Классификация актива – планы по приобретению и слиянию, электронные активы, защищаемые законодательством о секретности и финансовые активы подвержены более высокому уровню угроз информационной безопасности, так как эта информация является наиболее желанной для недобросовестных сотрудников.

Технологическая среда – предприятие не имеющие связи с Интернетом не нуждается в брандмауэре; большее количество автоматизированных процессов и сетевых соединений создают большее количество точек доступа подлежащих защите от несанкционированного доступа/вторжения.

Внутренняя информация – техническая экспертиза не всегда может быть преобразована к аудиту информационной безопасности. Предприятие, возможно, не знает обо всей гамме угроз, которым оно подвержено и осуществление внешнего аудита может быть необходимым для полной защиты его среды.

Основные риски ИБРиск может быть измерен в зависимости от уровня

воздействия (низкий, средний, высокий) для следующих типов потерь: Финансовых Конкурентного преимущества Юридических/Регулирующих Операционных/Отказа в обслуживании Репутации на рынке

Классификация предприятий по уровню зрелости

Gartner Group классифицирует предприятия на пять типов, в зависимости от потребности в решениях для ИБ:

Малый бизнес – замедленный рост Малый/средний бизнес – быстрый рост Dot-com – большое количество сделок

осуществляется только в электронной форме Средняя розничная торговля – ограниченное

использование бумажного носителя, основные бизнес процессы построены и использованием ИТ

Финансовые учреждения – большие транснациональные корпорации, учреждения хранящие ценную информацию: например Управление Социального Обеспечения.

Классификация предприятий по уровню зрелостиДля определения принадлежности предприятия к одному

из перечисленных пяти типов проводится анализ соответствия по следующим характеристикам для каждого типа:

Использование ИТ в бизнес процессе – степень с которой предприятия используют ИТ в критичных бизнес процессах

Технологический профиль – типы технологий используемых предприятием, ранжируя их от автономных персональных компьютеров (ПК) до универсальных ЭВМ (mainframe).

Установление доверия – процесс, используемый предприятием для налаживания отношений со своим деловым партнером, т.е. “Знаю Ваш Клиент”

Информационная ценность актива вне предприятия, или “Значение для Хакера” – ценность для хакера/внешней стороны, по отношению к предприятию, информационных активов если

Покрытие ИБ – персонал и управление в месте, необходимые чтобы защитить информационные активы предприятия

Удар при прорыве безопасности – воздействие на предприятие, в случае если безопасности была нарушена

Модель TCO для системы ИБ предприятия

Каждая модель TCO компании Gartner Group состоит из двух основных компонент:

1. Учетная карта предприятия

2. Технический сценарий

Модель TCO для ИБ отличается от традиционной модели TCO тем, что в ней есть третий компонент – сценарий безопасности.

Модель TCO для системы ИБ предприятия

Учетная карта TCO для ИБ предприятия состоит из пяти основных разделов:

Техническая часть Персонал Программное обеспечение Внешние службы Физическая безопасность

Модель TCO для системы ИБ предприятия

Аутентификация

Авторизация

Защита кода и поддержка

Реакция на Кибер-инциденты

Мониторинг Контента

Управление цифровыми правами

Кодирование

Брандмауэры

Программа Информационной Безопасности

Фильтрация и Мониторинг Интернет Контента

Обнаружение Вторжения

Соответствие Лицензии

Регистрация, Сообщение и Аудит

Управление Враждебным Программным Кодом

Целостность Сообщения Управление секретностью Инфраструктура Открытых

Ключей Сортировка Записей и

Хранение Удаленный Доступ Оценка Рисков Управление Безопасностью Архитектура Безопасности Сертификация Стандартов Управление Операционными

Инцидентами Уязвимости Оценка и Управление

В свою очередь эти пять разделов подразделяются на следующие действия по безопасности:

Модель TCO для системы ИБ предприятияТехнический сценарийЭто номенклатура производимых предприятием товаров и

услуг.Технический сценарий включает в себя:Корпоративное резюме Корпоративное резюме включает в себя следующую информацию о предприятии: Первичное географическое месторасположение Производство Суммарный доход компании Совокупность конечных пользователей Мобильный персонал

ИТ профиль В ИТ профиль предприятия включается следующая информация: Используемая прикладная архитектура (например, клиент-сервер) Используемый протокол для электронного обмена данными (EDI) Способ подключения удаленных пользователей Способ подключения индивидуальных удаленных пользователей Используемые операционные системы Техническая среда

Модель TCO для системы ИБ предприятияСценарий безопасностиСценарий безопасности состоит из двух действий в

рамках безопасности – это организация команды реагирования на Кибер-инциденты (КРКИ) и мониторинг контента.

Команда реагирования на Кибер-инцидентыРасходы на создание КРКИ включают: Технические средства Персонал

Фаза 1: Планирование Фаза 2: Приобретение Фаза 3: Внедрение Фаза 4: Администрирование и управление стабилизацией

цен Фаза 5: Усовершенствование Фаза 6: Отставка (КРКИ не будет устранена в течение,

например 5-ти лет) Программное обеспечение Обучение Телекоммуникации

Модель TCO для системы ИБ предприятияДля примера приведем таблицу, из исследования Gartner Group [1], в которой в процентном отношении показаны расходы типового предприятия на создание КРКИ на 5 лет:Основные разделы Год 1 Год 2 Год 3 Год 4 Год 5

Технические средства 29 % 35 % 34 % 32 % 30 %

Персонал 58 % 60 % 61 % 63 % 57 %

Программное обеспечение 11 % 3 % 3 % 3 % 11 %

Внешние Услуги 1 % 2 % 2 % 2 % 1 %

Как видно из таблицы наибольшие затраты связаны с персоналом.Для детального учета расходов по основным разделам используется следующая таблица:Под деятельность Безопасности

Описание

Деятельность обеспечивается

% из времени, посвященного деятельности

Стоимость Единицы / год

Кол.год1

Кол. год2

Кол. год3

Кол.год4

Кол. год5

Стоимость год1

Стоимость год2

Стоимость год3

Стоимость год4

Стоимость год5

Модель TCO для системы ИБ предприятияМониторинг контента Для того чтобы осуществлять мониторинг контента

можно использовать собственные ресурсы предприятия, что не всегда выгодно, а можно привлечь специализированного сервис-провайдера который взял бы на себя эти функции, для определения наиболее приемлемого варианта в данном случае можно использовать модель TCO.

При использовании услуг сторонних провайдеров появляются некоторые виды рисков, которые могут быть заранее идентифицированы в процессе принятия решения, включая:

Квалификацию людей мониторизирующих среду Защита секретной информации хранящейся у внешнего сервис-

провайдера от его сотрудников и конкурентов Защита интеллектуальной собственности и коммерческой тайны Риск зависимости от внешнего провайдера Инструменты и процедуры безопасности внешнего сервис-провайдера

защищающие операционную инфраструктуру Возможность внешнего сервис-провайдера восстанавливать за

приемлемое время работу клиентов, а также восстанавливать собственную среду в случае краха (бедствия).

Заключение Риски напрямую влияют на стоимость защиты

предприятий. Поэтому оценку рисков и проект по обеспечению информационной безопасности целесообразно вести еще на начальных этапах проектирования будущей информационной системы предприятия. И продолжать данные мероприятия на всех этапах жизненного цикла предприятия. TCO может помочь оценить стоимость защиты фирмы, но не может рассчитать затраты в случаях чрезвычайных ситуаций.

Несмотря на это методика TCO для оценки экономической эффективности системы ИБ позволяет учесть и включить в стоимость затрат все расходы предприятия по внедрению и эксплуатации системы ИБ включая скрытые. Тем самым данная методика является мощным инструментом обоснования и управления инвестициями в системе ИБ.

Полученные в результате оценки затрат могут не отражать реального положения на предприятии это прежде всего будет связано со спецификой предприятия, его культурой, развитием нормативно-справочного обеспечения. Так наличие на предприятии политики безопасности разработанной или разрабатываемой, внутренних регламентов и нормативов может существенно снизить оценку TCO для ИБ предприятия. Так же на данную оценку влияет поведение и действия персонала, на что необходимо обратить особое внимание.

Библиография 1. R. Witty, J. Dubiel, J. Girard, J. Graff, A.Hallawell, B.

Hildreth, N. MacDonald, W.Malik, J. Pescatore, M.Reynolds, K. Russell, A.Weintraub, V. Wheatman. The Price of Information Security. Gartner Research, Strategic Analysis Report, R-11-6534, 8 June 2001.

2. “ИТ-безопасность: никто не готов к новым угрозам”. http://www.cnews.ru/reviews/articles/index.shtml?2006/02/01/195291

3. Экономическая безопасность: экономические аспекты. http://www.jetinfo.ru/2003/10/1/article1.10.2003.html

basarab.s@gmail.com

Спасибо за внимание.