Основные положения методики обеспечения информационной безопасности
ИБ обеспечивается комплексом мер на всех этапах жизненного цикла ИС, совокупная стоимость владения для системы ИБ в общем случае складывается из стоимости:
· Проектных работ.
· Закупки и настройки программно-технических средств защиты, включающих следующие основные группы: межсетевые экраны, средства криптографии, антивирусы и AAA (средства аутентификации, авторизации и администрирования).
· Затрат на обеспечение физической безопасности.
· Обучения персонала.
· Управления и поддержки системы (администрирование безопасности).
· Аудита ИБ.
· Периодической модернизации системы ИБ.
Введем показатель ССВ, под которым будем понимать сумму прямых и косвенных затрат на организацию (реорганизацию), эксплуатацию и сопровождение корпоративной системы защиты информации в течение года. ССВ может рассматриваться как ключевой количественный показатель эффективности организации ИБ в компании, так как позволяет не только оценить совокупные затраты на ИБ, но управлять этими затратами для достижения требуемого уровня защищенности ИС.
Прямые затраты включают как капитальные компоненты затрат, так и трудозатраты, которые учитываются в категориях операций и «административного управления. Сюда же относят затраты на услуги удаленных пользователей и др., связанные с поддержкой деятельности организации.
Косвенные затраты отражают влияние ИС и подсистемы защиты информации на сотрудников компании посредством таких измеримых показателей как простои и «зависания» корпоративной системы защиты информации и ИС в целом, затраты на операции и поддержку (не относящиеся к прямым затратам). Часто косвенные затраты играют значительную роль, хотя они могут не отражаться в бюджете на ИБ, а выявляются только при анализе затрат, что в конечном счете приводит к росту «скрытых» затрат компании на ИБ.
По результатам собеседования с ТОР-менеджерами компании и проведения инструментальных проверок уровня защищенности организации проводится анализ следующих основных аспектов;
· политики безопасности;
· организационных вопросов управления подсистемой безопасности;
· классификации и управления информационными ресурсами;
· управления персоналом;
· физической безопасности;
· администрирования компьютерных систем и сетей;
· управления доступом к системам;
· разработки и сопровождения систем;
· планирования бесперебойной работы организации;
· проверки системы на соответствие требованиям ИБ.
На основе проведенного анализа выбирается модель ССВ, сравнимая со средними и оптимальными значениями для репрезентативной группы аналогичных организаций, имеющих схожие с рассматриваемой организацией показатели по объему бизнеса. Такая группа выбирается из банка данных по эффективности затрат на ИБ и эффективности соответствующих профилей защиты аналогичных компаний.
Сравнение текущего показателя ССВ проверяемой компании с модельным значением показателя ССВ позволяет провести анализ эффективности организации ИБ компании, результатом которого является определение «узких» мест в организации, причин их появления и выработка дальнейших шагов по реорганизации корпоративной системы защиты информации и обеспечения требуемого уровня защищенности ИС. Взаимосвязь между всеми затратами на безопасность, общими затратами на безопасность и уровнем защищенности информационной среды предприятия иллюстрирует рисунок 1.
Рис. 1: Взаимосвязь между затратами на безопасность и достигаемым уровнем защищенности
Общие затраты на безопасность складываются из затрат на предупредительные мероприятия, затрат на контроль и восполнение потерь (внешних и внутренних). С изменением уровня защищенности информационной среды изменяются величины составляющих общих затрат и, соответственно, их сумма - общие затраты на безопасность. Мы не включаем в данном случае единовременные затраты на формирование политики информационной безопасности предприятия, так как предполагаем, что такая политика уже выработана.
На рис. 1 видно, что достигаемый уровень защищенности измеряется в категориях "большой риск" и "риск отсутствует" ("совершенная защита"). Рассматривая левую сторону графика ("большой риск"), мы видим, что общие затраты на безопасность высоки в основном потому, что высоки потери на компенсацию при нарушениях политики безопасности. Затраты на обслуживание системы безопасности очень малы.
При движении вправо по графику достигаемый уровень защищенности увеличивается (снижение информационного риска). Это происходит за счет увеличения объема предупредительных мероприятий, связанных с обслуживанием системы защиты. Затраты на компенсацию потерь уменьшаются в результате предупредительных действий. На этой стадии затраты потери падают быстрее, нежели возрастают затраты на предупредительные мероприятия. В результате общие затраты на безопасность уменьшаются. Затраты на контроль остаются примерно постоянными.
График на рис. 1 отражает общие тенденции и построен на основе ряда допущений, в частности предполагается, что:
- предупредительная деятельность по техническому обслуживанию комплекса программно-технических средств защиты информации и предупреждению нарушений политики безопасности предприятия соответствует следующему правилу: в первую очередь рассматриваются те проблемы, решение которых дает наибольший эффект по снижению информационного риска (иначе вид графика существенно изменится);
- точка экономического равновесия не изменяется во времени.