ЭКОНОМИЧЕСКАЯ ЭФЕКТИВНОСТЬ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (для предприятий электронной коммерции)
Басараб Сергей, Молдавская Экономическая Академия, гр. CIB-213 Введение “Согласно отчету компании Gartner, ИТ-безопасность входит в число основных приоритетов в бизнесе и фактически возглавляет список технологических приоритетов организаций на 2006 год. Вдобавок, в 2006 году возрастет по всему миру в среднем на 4,5% финансирование проектов ИТ-безопасности. Как считают эксперты, эти проекты смогут через совместимость с нормативными актами повысить конкурентоспособность организаций и привести к росту бизнеса”. (InfoWatch 08.02.2006). Тенденция к развитию системы информационной безопасности предприятиями очевидна и вполне понятна, постоянно растущая конкуренция между предприятиями заставляет их постоянно развивать свой бизнес, внедряя новые технологические решения, основная доля которых приходится на информационные технологии. Так успешный и перспективный бизнес сегодня ассоциируется, прежде всего, с электронной коммерцией, которая позволяет расширить ареал бизнес деятельности предприятия, что в свою очередь, повышает степень интеграции деловой активности между предприятиями, увеличивая тем самым степень риска ИБ. Но угрозы, возникающие при использовании сети Интернет по данным ежегодного отчета "Global Information Security Survey 2005" международной компании Ernst&Young на данный момент не являются основным стимулом развития системы информационной безопасности на предприятиях, хотя число вирусных инцидентов и активизация хакеров в 2005 году существенно возросли. Две трети респондентов по данным этого отчета посчитали совместимость с нормативными актами главным стимулом развития информационной безопасности (ИБ). Исходя из аналитического отчета "Global Information Security Survey 2005", международной компании Ernst&Young, инвестиции в проекты ИТ-безопасности будут увеличиваться. При этом перед техническими специалистами, а также начальниками служб информационной безопасности стоит задача обоснования эффективности таких затрат, т.е. определение стоимости системы ИБ для бизнеса. Существует достаточно много методик определения эффективности системы ИБ каждая, из которых имеет свои преимущества и недостатки. В данной статье рассмотрим одну из наиболее известных методик оценки эффективности затрат, методику совокупной стоимости владения TCO (Total Cost of Ownership – совокупная стоимость владения). В мире существует достаточно много методик расчета совокупной стоимости владения, в данном докладе будет рассмотрена методика предложенная компанией Gartner Group применительно к системе ИБ. Методика расчета TCO заключается в учете и оценке всех активов предприятия, капитальных и переменных затрат на технические средства, помещения, персонал и т.д. В TCO для ИБ необходимо учитывать еще и угрозы и риски связанные с функционированием информационной системы предприятия, а также негативных внешних факторов способных привести к осуществлению угрозы ИБ используя уязвимости ресурсов информационной системы предприятия. Определение ИТ-безопасности для предприятия ИБ определяется по-разному для различных предприятий и для каждого структурного элемента одного и того же предприятия. Часто, внедряемые методы контроля для достижения определенного уровня ИБ выбираются и управляются различными составными частями предприятия. Например:
Требования к ИТ контролю Поскольку угрозы и риски связанные Интернет торговлей растут, предприятия сталкиваются с увеличивающимся количеством методов контроля для внедрения новых бизнес моделей. В большинстве случаях эти методы внедряются, несмотря на требования к информационной безопасности, которые небыли адекватно решены. Большинство предприятий чрезмерно концентрируются на своем внешнем периметре, не предпринимая эффективных мер по защите ключевых данных внутри предприятия. В таблице 1 приведен краткий перечень требований ИТ контроля. Таблица 1
Доверие
Угрозы информационной безопасности Требования ИТ контроля устанавливаются таким образом что бы предприятие могло защитить себя от уязвимостей используемых технических и программных средств. Воздействия уязвимостей при эксплуатации могут быть классифицированы на пять типов угроз:
Данные требования ИТ контроля применяются для зашиты от угроз информационной безопасности. Реализация управления информационной безопасностью требует людских, технических и программных ресурсов. Большинство предприятий не могут определить количество расходов на информационную безопасность; с постоянно увеличивающимся списком уязвимостей, стоимость защиты предприятия продолжает расти. Следовательно, предприятия нуждаются в инструменте, который бы помогал отслеживать, управлять и анализировать их инвестиции.
Определение ИТ-безопасности для предприятия Существует множество различных рисков ИТ-безопасности, в зависимости от специфики предприятия, соответственно необходимый уровень защиты также будет различаться. Факторы, влияющие на различие рисков:
Управление рисками информационной безопасности включает понимание и подготовку к потенциальной компрометации информационной безопасности и увеличению стоимости сокращения риска до приемлемого уровня. Риск может быть измерен в зависимости от уровня воздействия (низкий, средний, высокий) для следующих типов потерь:
Классификация предприятий по уровню зрелости Gartner Group классифицирует предприятия на пять типов, в зависимости от потребности в решениях для ИБ:
Для определения принадлежности предприятия к одному из перечисленных пяти типов проводится анализ соответствия по следующим характеристикам для каждого типа: · Использование ИТ в бизнес процессе – степень с которой предприятия используют ИТ в критичных бизнес процессах · Технологический профиль – типы технологий используемых предприятием, ранжируя их от автономных персональных компьютеров (ПК) до универсальных ЭВМ (mainframe). · Установление доверия – процесс, используемый предприятием для налаживания отношений со своим деловым партнером, т.е. “Знаю Ваш Клиент” · Информационная ценность актива вне предприятия, или “Значение для Хакера” – ценность для хакера/внешней стороны, по отношению к предприятию, информационных активов если · Покрытие ИБ – персонал и управление в месте, необходимые чтобы защитить информационные активы предприятия · Удар при прорыве безопасности – воздействие на предприятие, в случае если безопасности была нарушена
Модель TCO для системы ИБ Для управления инвестициями в ИТ-безопасность необходимо располагать широким представление об инфраструктуре предприятия – рабочей силе, физической инфраструктуре, телекоммуникациях и информационных технологиях, так чтобы даже скрытые затраты которые необходимо будет понести были включены в общие инвестиции. Модель TCO это мощное средство управления инвестициями в ИТ-безопасность предприятия. Каждая модель TCO компании Gartner Group состоит из двух основных компонент:
Модель TCO для ИБ отличается от традиционной модели TCO тем, что в ней есть третий компонент – сценарий безопасности. Чтобы гарантировать, что технический сценарий должным образом защищен, учетная карта применяется к техническому сценарию, результатом этого является сценарий безопасности. Этот сценарий управляет собственными человеческими ресурсами, процессами и технологиями. Компоненты учетной карты применяются только при наличии соответствующих им ресурсов, так если не используется OS/390 mainframe, то элементы контроля доступа к mainframe не нужны. Все три компоненты, разработанные для типового предприятия, могут быть использованы реальными предприятиями, для сравнения себя с полученным сценарием безопасности, для того чтобы создать собственный профиль инвестиций. TCO по ИБ также можно использовать в принятия решений по безопасности. Например, предприятия, которые не имеют опыта мониторинга контента электронной почты могут принять решение по передачи этой функции внешнему сервис провайдеру. В процессе роста и накапливания опыта предприятие может принять решение о возврате этого процесса назад. TCO по ИБ может быть использовано для сравнения этих двух сценариев и принятии правильного решения, относительно затрат на информационную безопасность.
Учетная карта Учетная карта TCO для ИБ предприятия состоит из пяти основных разделов:
В свою очередь эти пять разделов подразделяются на следующие действия по безопасности: Аутентификация Авторизация Защита кода и поддержка Реакция на Кибер-инциденты Мониторинг Контента Управление цифровыми правами Кодирование Брандмауэры Программа Информационной Безопасности Фильтрация и Мониторинг Интернет Контента Обнаружение Вторжения Соответствие Лицензии Регистрация, Сообщение и Аудит Управление Враждебным Программным Кодом Целостность Сообщения Управление секретностью Инфраструктура Открытых Ключей Сортировка Записей и Хранение Удаленный Доступ Оценка Рисков Управление Безопасностью Архитектура Безопасности Сертификация Стандартов Управление Операционными Инцидентами Уязвимости Оценка и Управление
Технический сценарий Технический сценарий включает в себя: Корпоративное резюме Корпоративное резюме включает в себя следующую информацию о предприятии:
ИТ профиль В ИТ профиль предприятия включается следующая информация:
Сценарий безопасности Команда реагирования на кибер-инциденты Сценарий безопасности состоит из двух действий в рамках безопасности – это организация команды реагирования на кибер-инциденты (КРКИ) и мониторинг контента. Команда реагирования на кибер-инциденты Мониторинг контента Расходы на создание КРКИ включают:
Мониторинг контента Для того чтобы осуществлять мониторинг контента можно использовать собственные ресурсы предприятия, что не всегда выгодно, а можно привлечь специализированного сервис-провайдера который взял бы на себя эти функции, для определения наиболее приемлемого варианта в данном случае можно использовать модель TCO. При использовании услуг сторонних провайдеров появляются некоторые виды рисков, которые могут быть заранее идентифицированы в процессе принятия решения, включая:
Заключение Риски в электронной коммерции являются наиболее критичными, чем те же риски в традиционной вычислительной среде. Эти риски напрямую влияют на стоимость защиты этих фирм. Поэтому оценку рисков и проект по обеспечению информационной безопасности целесообразно вести еще на начальных этапах проектирования будущей информационной системы предприятия. И продолжать данные мероприятия на всех этапах жизненного цикла предприятия. TCO может помочь оценить стоимость защиты фирмы, но не может рассчитать затраты в случаях чрезвычайных ситуаций. Несмотря на это методика TCO для оценки экономической эффективности системы ИБ позволяет учесть и включить в стоимость затрат все расходы предприятия по внедрению и эксплуатации системы ИБ включая скрытые. Тем самым данная методика является мощным инструментом обоснования и управления инвестициями в системе ИБ. Полученные в результате оценки затрат могут не отражать реального положения на предприятии это прежде всего будет связано со спецификой предприятия, его культурой, развитием нормативно-справочного обеспечения. Так наличие на предприятии политики безопасности разработанной или разрабатываемой, внутренних регламентов и нормативов может существенно снизить оценку TCO для ИБ предприятия. Так же на данную оценку влияет поведение и действия персонала, на что необходимо обратить особое внимание.
Bibliography
|