ЭКОНОМИЧЕСКАЯ ЭФЕКТИВНОСТЬ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

(для предприятий электронной коммерции)

 

Басараб Сергей, Молдавская Экономическая Академия, гр. CIB-213

Введение

“Согласно отчету компании Gartner, ИТ-безопасность входит в число основных приоритетов в бизнесе и фактически возглавляет список технологических приоритетов организаций на 2006 год. Вдобавок, в 2006 году возрастет по всему миру в среднем на 4,5% финансирование проектов ИТ-безопасности. Как считают эксперты, эти проекты смогут через совместимость с нормативными актами повысить конкурентоспособность организаций и привести к росту бизнеса”. (InfoWatch 08.02.2006).

Тенденция к развитию системы информационной безопасности предприятиями очевидна и вполне понятна, постоянно растущая конкуренция между предприятиями заставляет их постоянно развивать свой бизнес, внедряя новые технологические решения, основная доля которых приходится на информационные технологии. Так успешный и перспективный бизнес сегодня ассоциируется, прежде всего, с электронной коммерцией, которая позволяет расширить ареал бизнес деятельности предприятия, что в свою очередь, повышает степень интеграции деловой активности между предприятиями, увеличивая тем самым степень риска ИБ. Но угрозы, возникающие при использовании сети Интернет по данным ежегодного отчета "Global Information Security Survey 2005" международной компании Ernst&Young на данный момент не являются основным стимулом развития системы информационной безопасности на предприятиях, хотя число вирусных инцидентов и активизация хакеров в 2005 году существенно возросли. Две трети респондентов по данным этого отчета посчитали совместимость с нормативными актами главным стимулом развития информационной безопасности (ИБ).

Исходя из аналитического отчета "Global Information Security Survey 2005", международной компании Ernst&Young, инвестиции в проекты ИТ-безопасности будут увеличиваться. При этом перед техническими специалистами, а также начальниками служб информационной безопасности стоит задача обоснования эффективности таких затрат, т.е. определение стоимости системы ИБ для бизнеса.

Существует достаточно много методик определения эффективности системы ИБ каждая, из которых имеет свои преимущества и недостатки. В данной статье рассмотрим одну из наиболее известных методик оценки эффективности затрат, методику совокупной стоимости владения TCO (Total Cost of  Ownership – совокупная стоимость владения). В мире существует достаточно много методик расчета совокупной стоимости владения, в данном докладе будет рассмотрена методика  предложенная компанией Gartner Group применительно к системе  ИБ.

Методика расчета TCO заключается в учете и оценке всех активов предприятия, капитальных и переменных затрат на технические средства, помещения, персонал и т.д. В TCO для ИБ необходимо учитывать еще и угрозы и риски связанные с функционированием информационной системы предприятия, а также негативных внешних факторов способных привести к осуществлению  угрозы ИБ используя уязвимости ресурсов информационной системы предприятия.


Определение ИТ-безопасности для предприятия

ИБ определяется по-разному для различных предприятий и для каждого структурного элемента одного и того же предприятия. Часто, внедряемые методы контроля для достижения определенного уровня ИБ выбираются и управляются различными составными частями предприятия. Например:

    • Обычно ИБ в компании базируется на использование Брандмауэра и управлении доступом.
    • Приватность рассматривается в контексте законодательства, связей с общественностью и управления предприятием.
    • В рамках бизнес процесса ответственность разделена. Часто это ответственность групп занимающихся ИБ; на других предприятиях это отдельная функция возложена финансового директора или директора по производственным вопросам.

Требования к ИТ контролю

Поскольку угрозы и риски связанные Интернет торговлей растут, предприятия сталкиваются с увеличивающимся количеством методов контроля для внедрения новых бизнес моделей. В большинстве случаях эти методы внедряются, несмотря на требования к информационной безопасности, которые небыли адекватно решены. Большинство предприятий чрезмерно концентрируются на своем внешнем периметре, не предпринимая эффективных мер по защите ключевых данных внутри предприятия.

В таблице 1 приведен краткий перечень требований ИТ контроля.

Таблица 1

Требование

Определение

Контроль безопасности

Невмешательство

Гарантирует, что контроль осуществлен по входу с использованием электронных активов предприятия.

§ Пользовательский идентификатор/Пароль

§ Брандмауэр

§ Неразглашение паролей

§ UCC4A Несанкционированное Использование Баннеров

Аутентификация

Обеспечивает, что пользователи и приложения соответственно идентифицированы перед получением доступа к информационным активам

§ Пользовательский идентификатор/Пароль

§ Пакет данных

§ Биометрическое устройство

§ Сертификат Открытого Ключа

§ Местоположение

Авторизация

Обеспечивает, что должным образом идентифицированный пользователь/приложение может обратиться только к тем ресурсам ИТ, к которым владелец информационных ресурсов открыл доступ.

§  Список Прав Доступа

§  Атрибуты Сертификатов

Конфиденциальность

Гарантирует, что только те люди, которым предназначена информация в состоянии ее увидеть

§  Шифрование

Целостность

Гарантирует, что в случае изменения транзакции между отправителем и получателем это будет идентифицировано

§  Код подлинности сообщения (MAC)/Hash

Секретность

Гарантирует, что информация, предоставляемая служащими, клиентами и другими защищена таким образом, чтобы информация использовалась исключительно в соответствии с политикой секретности клиентов предприятия.

§  Политики и Процедуры

§  Шифрование

§  Инструменты управления политикой

Невозможность отказа

Гарантирует, что и отправитель и получатель могут недвусмысленно доказать что между ними произошел обмен информацией

§  Цифровая подпись

§  Временная метка

Готовность (пригодность)

Гарантирует, что ИТ инфраструктура предприятия имеет соответствующую восстанавливаемость и защиту от отказов системы, стихийных бедствий или злонамеренных воздействий.

§  Резервирование

§  Балансировка нагрузки

§  Политики и Процедуры

§  План непрерывности бизнеса

§  Место альтернативной обработки данных

Доверие

  • “Доверие” – результат применения комбинации аутентификации, авторизации, целостности и невозможности отказа:
  •  Пользователи это те,  которые говорят что это они
  • Имели ли они право отправить сообщение
  • Сообщение не изменялось в процессе передачи между отправителем и получателем
  • Сообщение пришло только от отправителя

Угрозы информационной безопасности

Требования ИТ контроля устанавливаются таким образом что бы предприятие могло защитить себя от уязвимостей используемых технических и программных средств.

Воздействия уязвимостей при эксплуатации могут быть классифицированы на пять типов угроз:

1.      Нарушение границ – нарушение условия невмешательства
2.      Обнаружение – нарушение конфиденциальности, авторизации и секретности
3.      Изменение – нарушение целостности
4.      Отказ от обязательств – нарушение условия невозможности отказа. Отказ в связи с отклонением действительности транзакции
5.      Отказ в обслуживании – нарушение пригодности

Данные требования ИТ контроля применяются для зашиты от угроз информационной безопасности. Реализация управления информационной безопасностью требует людских, технических и программных ресурсов. Большинство предприятий не могут определить количество расходов на информационную безопасность; с постоянно увеличивающимся списком уязвимостей, стоимость защиты предприятия продолжает расти. Следовательно, предприятия нуждаются в инструменте, который бы помогал отслеживать, управлять и анализировать их инвестиции.

 

Определение ИТ-безопасности для предприятия

Существует множество различных рисков ИТ-безопасности, в зависимости от специфики предприятия,  соответственно необходимый уровень защиты также будет различаться. Факторы, влияющие на различие рисков:

  • Культура управления – менеджеры желающие принять на себя более высокие бизнес-риски нуждаются в большем количестве информации об этих рисках.
  • Классификация актива – планы по приобретению и слиянию, электронные активы, защищаемые законодательством о секретности и финансовые активы подвержены более высокому уровню угроз информационной безопасности, так как эта информация является наиболее желанной для недобросовестных сотрудников.
  • Технологическая среда – предприятие не имеющие связи с Интернетом не нуждается в брандмауэре; большее количество автоматизированных процессов и сетевых соединений создают большее количество точек доступа подлежащих защите от несанкционированного доступа/вторжения.
  • Внутренняя информация – техническая экспертиза не всегда может быть преобразована к аудиту информационной безопасности. Предприятие, возможно, не знает обо всей гамме угроз, которым оно подвержено и осуществление внешнего аудита может быть необходимым для полной защиты его среды.

Управление рисками информационной безопасности включает понимание и подготовку к потенциальной компрометации  информационной безопасности и увеличению стоимости сокращения риска до приемлемого уровня.

Риск может быть измерен в зависимости от уровня воздействия (низкий, средний, высокий) для следующих типов потерь:

    • Финансовых
    • Конкурентного преимущества
    • Юридических/Регулирующих
    • Операционных/Отказа в обслуживании
    • Репутации на рынке

 

Классификация предприятий по уровню зрелости

Gartner Group классифицирует предприятия на пять типов, в зависимости от потребности в решениях для ИБ:

    1. Малый бизнес – замедленный рост
    2. Малый/средний бизнес – быстрый рост
    3. Dot-com
    4. Средняя розничная торговля
    5. Финансовые учреждения. Большие транснациональные корпорации. Учреждения хранящие ценную (чувствительную) для других информацию: например Управление Социального Обеспечения.

Для определения принадлежности предприятия к одному из перечисленных пяти типов проводится анализ соответствия по следующим характеристикам для каждого типа:

·        Использование ИТ в бизнес процессе – степень с которой предприятия используют ИТ в критичных бизнес процессах

·        Технологический профиль – типы технологий используемых предприятием, ранжируя их от автономных персональных компьютеров (ПК) до универсальных ЭВМ (mainframe).

·        Установление доверия – процесс, используемый предприятием для налаживания отношений со своим деловым партнером, т.е. “Знаю Ваш Клиент”

·        Информационная ценность актива вне предприятия, или “Значение для Хакера” – ценность для хакера/внешней стороны, по отношению к предприятию, информационных активов если

·        Покрытие ИБ – персонал и  управление в месте, необходимые чтобы защитить информационные активы предприятия

·        Удар при прорыве безопасности – воздействие на предприятие, в случае если безопасности была нарушена

 

Модель TCO для системы ИБ  

Для управления инвестициями в ИТ-безопасность необходимо располагать широким представление об инфраструктуре предприятия – рабочей силе, физической инфраструктуре, телекоммуникациях и информационных технологиях, так чтобы даже скрытые затраты которые необходимо будет понести были включены в общие инвестиции. Модель TCO это мощное средство управления инвестициями в ИТ-безопасность предприятия.

Каждая модель TCO компании Gartner Group состоит из двух основных компонент:

1. Учетная карта: это список всех элементов, на которые предприятие тратит деньги, чтобы работать, управлять и защищать свою бизнес среду.
2. Технический сценарий: предприятие, к которому применяется учетная карта

Модель TCO для ИБ отличается от традиционной модели TCO тем, что в ней есть третий компонент – сценарий безопасности. Чтобы гарантировать, что технический сценарий должным образом защищен, учетная карта применяется к техническому сценарию, результатом этого является сценарий безопасности. Этот сценарий управляет собственными человеческими ресурсами, процессами и технологиями. Компоненты учетной карты применяются только при наличии соответствующих им ресурсов, так если не используется OS/390 mainframe, то элементы контроля доступа к mainframe не нужны.

Все три компоненты, разработанные для типового предприятия, могут быть использованы реальными предприятиями, для сравнения себя с полученным сценарием безопасности, для того чтобы создать собственный профиль инвестиций.

TCO по ИБ также можно использовать в принятия решений по безопасности. Например, предприятия, которые не имеют опыта мониторинга контента электронной почты могут принять решение по передачи этой функции внешнему сервис провайдеру. В процессе роста и накапливания опыта предприятие может принять решение о возврате этого процесса назад. TCO по ИБ может быть использовано для сравнения этих двух сценариев и принятии правильного решения, относительно затрат на информационную безопасность.

 

Учетная карта

Учетная карта TCO для ИБ предприятия состоит из пяти основных разделов:

    1. Техническая часть
    2. Персонал
    3. Программное обеспечение
    4. Внешние службы
    5. Физическая безопасность

В свою очередь эти пять разделов подразделяются на следующие действия по безопасности:

Аутентификация

Авторизация

Защита кода и поддержка

Реакция на Кибер-инциденты

Мониторинг Контента

Управление цифровыми правами

Кодирование

Брандмауэры

Программа Информационной Безопасности

Фильтрация и Мониторинг Интернет Контента

Обнаружение Вторжения

Соответствие Лицензии

Регистрация, Сообщение и Аудит

Управление Враждебным Программным Кодом

Целостность Сообщения

Управление секретностью

Инфраструктура Открытых Ключей

Сортировка Записей и Хранение

Удаленный Доступ

Оценка Рисков

Управление Безопасностью

Архитектура Безопасности

Сертификация Стандартов

Управление Операционными Инцидентами

Уязвимости

Оценка и Управление

 

Технический сценарий

Технический сценарий включает в себя:

Корпоративное резюме

Корпоративное резюме включает в себя следующую информацию о предприятии:

  • Первичное географическое месторасположение
  • Производство
  • Суммарный доход компании
  • Совокупность конечных пользователей
  • Мобильный персонал

ИТ профиль

В ИТ профиль предприятия включается следующая информация:

  • Используемая прикладная архитектура (например, клиент-сервер)
  • Используемый протокол для электронного обмена данными (EDI)
  • Способ подключения удаленных пользователей
  • Способ подключения индивидуальных удаленных пользователей
  • Используемые операционные системы
  • Техническая среда

Сценарий безопасности Команда реагирования на кибер-инциденты

Сценарий безопасности состоит из двух действий в рамках безопасности – это организация команды реагирования на кибер-инциденты (КРКИ) и мониторинг контента.

      Команда реагирования на кибер-инциденты Мониторинг контента

Расходы на создание КРКИ включают:

  • Технические средства
  • Персонал
    • Фаза 1: Планирование
    • Фаза 2: Приобретение
    • Фаза 3: Внедрение
    • Фаза 4: Администрирование и управление стабилизацией цен
    • Фаза 5: Усовершенствование
    • Фаза 6: Отставка (КРКИ не будет устранена в течение, например 5-ти лет)
  • Программное обеспечение
  • Обучение
  • Телекоммуникации

        Мониторинг контента

Для того чтобы осуществлять мониторинг контента можно использовать собственные ресурсы предприятия, что не всегда выгодно, а можно привлечь специализированного сервис-провайдера который взял бы на себя эти функции, для определения наиболее приемлемого варианта в данном случае можно использовать модель TCO.

При использовании услуг сторонних провайдеров появляются некоторые виды рисков, которые могут быть заранее идентифицированы в процессе принятия решения, включая:

  • Квалификацию людей мониторизирующих среду
  • Защита секретной информации хранящейся у внешнего сервис-провайдера от его сотрудников и конкурентов
  • Защита интеллектуальной собственности и коммерческой тайны
  • Риск зависимости от внешнего провайдера
  • Инструменты и процедуры безопасности внешнего сервис-провайдера защищающие операционную инфраструктуру
  • Возможность внешнего сервис-провайдера восстанавливать за приемлемое время работу клиентов, а также восстанавливать собственную среду в случае краха (бедствия).

Заключение

Риски в электронной коммерции являются наиболее критичными, чем те же риски в традиционной вычислительной среде. Эти риски напрямую влияют на стоимость защиты этих фирм. Поэтому оценку рисков и проект по обеспечению информационной безопасности целесообразно вести еще на начальных этапах проектирования будущей информационной системы предприятия. И продолжать данные мероприятия на всех этапах жизненного цикла предприятия. TCO может помочь оценить стоимость защиты фирмы, но не может рассчитать

затраты в случаях чрезвычайных ситуаций.

Несмотря на это методика TCO для оценки экономической эффективности системы ИБ позволяет учесть и включить в стоимость затрат все расходы предприятия по внедрению и эксплуатации системы ИБ включая скрытые. Тем самым данная методика является мощным инструментом обоснования и управления инвестициями в системе ИБ.

Полученные в результате оценки затрат могут не отражать реального положения на предприятии это прежде всего будет связано со спецификой предприятия, его культурой, развитием нормативно-справочного обеспечения. Так наличие на предприятии политики безопасности разработанной или разрабатываемой, внутренних регламентов и нормативов может существенно снизить оценку TCO для ИБ предприятия. Так же на данную оценку влияет поведение и действия персонала, на что необходимо обратить особое внимание.

 

Bibliography

1. R. Witty, J. Dubiel, J. Girard, J. Graff, A.Hallawell, B. Hildreth, N. MacDonald, W.Malik, J. Pescatore, M.Reynolds, K. Russell, A.Weintraub, V. Wheatman. The Price of Information Security. Gartner Research, Strategic Analysis Report, R-11-6534, 8 June 2001.
2. “ИТ-безопасность: никто не готов к новым угрозам”. http://www.cnews.ru/reviews/articles/index.shtml?2006/02/01/195291
3. Экономическая безопасность: экономические аспекты. http://www.jetinfo.ru/2003/10/1/article1.10.2003.html