Экономическая эффективность систем информационной безопасности Басараб Сергей, студент V курса, гр. CIB-213 Кишинэу 2006 Цель Оценка совокупной стоимости владения для системы ИБ на базе методики Gartner Group Inc. Задачи Обзор методики TCO ИТ-безопасность предприятия Основные риски ИБ Классификация предприятий по уровню зрелости Модель TCO для системы ИБ предприятия Введение По данным ежегодного отчета "Global Information Security Survey 2005" международной компании Ernst&Young на данный момент основным стимулом развития системы информационной безопасности на предприятиях является совместимость с нормативными актами. Обзор методики TCO Методика TCO (Total Cost of Ownership – совокупная стоимость владения) была предложена аналитической компанией Gartner Group в конце 80-х годов (1986-1987) для оценки затрат на информационные технологии. Методика Gartner Group позволяет рассчитать всю расходную часть информационных активов компании, включая прямые и косвенные затраты на аппаратнопрограммные средства, организационные мероприятия, обучение и повышение квалификации сотрудников компании, реорганизацию, реструктуризацию бизнеса и т. д. Она может быть использована для доказательства экономической эффективности существующих корпоративных систем защиты информации. В TCO применительно к системе ИБ необходимо учитывать еще угрозы и риски связанные с функционированием информационной системы предприятия, а также негативных внешних факторов способных привести к осуществлению угрозы ИБ используя уязвимости ресурсов информационной системы предприятия. ИТ-безопасность предприятия Для различных предприятий, а также их структурных элементов ИБ определяется по разному. Часто, внедряемые методы контроля для достижения определенного уровня ИБ выбираются и управляются различными составными частями предприятия. Например: Обычно ИБ в компании базируется на использование Брандмауэра и управлении доступом. Приватность рассматривается в контексте законодательства, связей с общественностью и управления предприятием. В рамках бизнес процесса ответственность разделена. Часто это ответственность групп занимающихся ИБ; на других предприятиях это отдельная функция возложена финансового директора или директора по производственным вопросам. Требования к ИТ контролю Требование Определение Контроль безопасности Невмешательство Гарантирует, что контроль осуществлен по входу с использованием электронных активов предприятия. Пользовательский идентификатор/Пароль Брандмауэр Неразглашение паролей UCC4A Несанкционированное Использование Баннеров Аутентификация Обеспечивает, что пользователи и приложения соответственно идентифицированы перед получением доступа к информационным активам Пользовательский идентификатор/Пароль Пакет данных Биометрическое устройство Сертификат Открытого Ключа Местоположение Авторизация Обеспечивает, что должным образом идентифицированный пользователь/приложение может обратиться только к тем ресурсам ИТ, к которым владелец информационных ресурсов открыл доступ. Список Прав Доступа Атрибуты Сертификатов Конфиденциально сть Гарантирует, что только те люди, которым предназначена информация в состоянии ее увидеть Шифрование Целостность Гарантирует, что в случае изменения транзакции между отправителем и получателем это будет идентифицировано Код подлинности сообщения (MAC)/Hash Секретность Гарантирует, что информация, предоставляемая служащими, клиентами и другими защищена таким образом, чтобы информация использовалась исключительно в соответствии с политикой секретности клиентов предприятия. Политики и Процедуры Шифрование Инструменты управления политикой Невозможность отказа Гарантирует, что и отправитель и получатель могут недвусмысленно доказать что между ними произошел обмен информацией Цифровая подпись Временная метка Готовность Гарантирует, что ИТ инфраструктура предприятия имеет соответствующую восстанавливаемость и защиту от отказов системы, стихийных бедствий или злонамеренных воздействий. Резервирование Балансировка нагрузки Политики и Процедуры План непрерывности бизнеса Место альтернативной обработки данных Доверие “Доверие” – результат применения комбинации аутентификации, авторизации, целостности и невозможности отказа: Пользователи это те, которые говорят что это они Имели ли они право отправить сообщение Сообщение не изменялось в процессе передачи между отправителем и получателем Сообщение пришло только от отправителя Угрозы ИТ безопасности Требования ИТ контроля устанавливаются таким образом что бы предприятие могло защитить себя от уязвимостей используемых технических и программных средств. Воздействия уязвимостей при эксплуатации могут быть классифицированы на пять типов угроз: Нарушение границ – нарушение условия невмешательства Обнаружение – нарушение конфиденциальности, авторизации и секретности Изменение – нарушение целостности Отказ от обязательств – нарушение условия невозможности Отказ в обслуживании – нарушение пригодности отказа. Отказ в связи с отклонением действительности транзакции Основные риски ИБ Существует множество различных рисков ИТ-безопасности, в зависимости от специфики предприятия, соответственно необходимый уровень защиты также будет различаться. Факторы, влияющие на различие рисков: Культура управления – менеджеры желающие принять на себя более высокие бизнес-риски нуждаются в большем количестве информации об этих рисках. Классификация актива – планы по приобретению и слиянию, электронные активы, защищаемые законодательством о секретности и финансовые активы подвержены более высокому уровню угроз информационной безопасности, так как эта информация является наиболее желанной для недобросовестных сотрудников. Технологическая среда – предприятие не имеющие связи с Интернетом не нуждается в брандмауэре; большее количество автоматизированных процессов и сетевых соединений создают большее количество точек доступа подлежащих защите от несанкционированного доступа/вторжения. Внутренняя информация – техническая экспертиза не всегда может быть преобразована к аудиту информационной безопасности. Предприятие, возможно, не знает обо всей гамме угроз, которым оно подвержено и осуществление внешнего аудита может быть необходимым для полной защиты его среды. Основные риски ИБ Риск может быть измерен в зависимости от уровня воздействия (низкий, средний, высокий) для следующих типов потерь: Финансовых Конкурентного преимущества Юридических/Регулирующих Операционных/Отказа в обслуживании Репутации на рынке Классификация предприятий по уровню зрелости Gartner Group классифицирует предприятия на пять типов, в зависимости от потребности в решениях для ИБ: Малый бизнес – замедленный рост Малый/средний бизнес – быстрый рост Dot-com – большое количество сделок осуществляется Средняя розничная торговля – ограниченное только в электронной форме использование бумажного носителя, основные бизнес процессы построены и использованием ИТ Финансовые учреждения – большие транснациональные корпорации, учреждения хранящие ценную информацию: например Управление Социального Обеспечения. Классификация предприятий по уровню зрелости Для определения принадлежности предприятия к одному из перечисленных пяти типов проводится анализ соответствия по следующим характеристикам для каждого типа: Использование ИТ в бизнес процессе – степень с которой предприятия используют ИТ в критичных бизнес процессах Технологический профиль – типы технологий используемых предприятием, ранжируя их от автономных персональных компьютеров (ПК) до универсальных ЭВМ (mainframe). Установление доверия – процесс, используемый предприятием для налаживания отношений со своим деловым партнером, т.е. “Знаю Ваш Клиент” Информационная ценность актива вне предприятия, или “Значение для Хакера” – ценность для хакера/внешней стороны, по отношению к предприятию, информационных активов если Покрытие ИБ – персонал и управление в месте, необходимые чтобы защитить информационные активы предприятия Удар при прорыве безопасности – воздействие на предприятие, в случае если безопасности была нарушена Модель TCO для системы ИБ предприятия Каждая модель TCO компании Gartner Group состоит из двух основных компонент: 1. Учетная карта предприятия 2. Технический сценарий Модель TCO для ИБ отличается от традиционной модели TCO тем, что в ней есть третий компонент – сценарий безопасности. Модель TCO для системы ИБ предприятия Учетная карта TCO для ИБ предприятия состоит из пяти основных разделов: Техническая часть Персонал Программное обеспечение Внешние службы Физическая безопасность Модель TCO для системы ИБ предприятия В свою очередь эти пять разделов подразделяются на следующие действия по безопасности: Аутентификация Авторизация Защита кода и поддержка Реакция на Кибер-инциденты Мониторинг Контента Управление цифровыми правами Кодирование Брандмауэры Управление Враждебным Программным Кодом Целостность Сообщения Управление секретностью Инфраструктура Открытых Ключей Сортировка Записей и Хранение Удаленный Доступ Оценка Рисков Управление Безопасностью Программа Информационной Безопасности Архитектура Безопасности Сертификация Стандартов Фильтрация и Мониторинг Интернет Контента Управление Операционными Инцидентами Обнаружение Вторжения Уязвимости Соответствие Лицензии Оценка и Управление Регистрация, Сообщение и Аудит Модель TCO для системы ИБ предприятия Технический сценарий Это номенклатура производимых предприятием товаров и услуг. Технический сценарий включает в себя: Корпоративное резюме Корпоративное резюме включает в себя следующую информацию о предприятии: Первичное географическое месторасположение Производство Суммарный доход компании Совокупность конечных пользователей Мобильный персонал ИТ профиль В ИТ профиль предприятия включается следующая информация: Используемая прикладная архитектура (например, клиент-сервер) Используемый протокол для электронного обмена данными (EDI) Способ подключения удаленных пользователей Способ подключения индивидуальных удаленных пользователей Используемые операционные системы Техническая среда Модель TCO для системы ИБ предприятия Сценарий безопасности Сценарий безопасности состоит из двух действий в рамках безопасности – это организация команды реагирования на Кибер-инциденты (КРКИ) и мониторинг контента. Команда реагирования на Кибер-инциденты Расходы на создание КРКИ включают: Технические средства Персонал Фаза 1: Фаза 2: Фаза 3: Фаза 4: Фаза 5: Фаза 6: ти лет) Планирование Приобретение Внедрение Администрирование и управление стабилизацией цен Усовершенствование Отставка (КРКИ не будет устранена в течение, например 5- Программное обеспечение Обучение Телекоммуникации Модель TCO для системы ИБ предприятия Для примера приведем таблицу, из исследования Gartner Group [1], в которой в процентном отношении показаны расходы типового предприятия на создание КРКИ на 5 лет: Основные разделы Год 1 Год 2 Год 3 Год 4 Год 5 Технические средства 29 % 35 % 34 % 32 % 30 % Персонал 58 % 60 % 61 % 63 % 57 % Программное обеспечение 11 % 3% 3% 3% 11 % 1% 2% 2% 2% 1% Внешние Услуги Как видно из таблицы наибольшие затраты связаны с персоналом. Для детального учета расходов по основным разделам используется следующая таблица: Под деятельность Безопасности Описан ие Деятельность обеспечивается % из времени, посвящен ного деятельно сти Стоимо сть Единиц ы / год Ко л.г од1 Ко л. год 2 Ко л. год 3 Ко л.г од4 Ко л. год 5 Сто имо сть год1 Сто имо сть год2 Сто имос ть год3 Сто имос ть год4 Сто имо сть год5 Модель TCO для системы ИБ предприятия Мониторинг контента Для того чтобы осуществлять мониторинг контента можно использовать собственные ресурсы предприятия, что не всегда выгодно, а можно привлечь специализированного сервиспровайдера который взял бы на себя эти функции, для определения наиболее приемлемого варианта в данном случае можно использовать модель TCO. При использовании услуг сторонних провайдеров появляются некоторые виды рисков, которые могут быть заранее идентифицированы в процессе принятия решения, включая: Квалификацию людей мониторизирующих среду Защита секретной информации хранящейся у внешнего сервис-провайдера от его сотрудников и конкурентов Защита интеллектуальной собственности и коммерческой тайны Риск зависимости от внешнего провайдера Инструменты и процедуры безопасности внешнего сервис-провайдера защищающие операционную инфраструктуру Возможность внешнего сервис-провайдера восстанавливать за приемлемое время работу клиентов, а также восстанавливать собственную среду в случае краха (бедствия). Заключение Риски напрямую влияют на стоимость защиты предприятий. Поэтому оценку рисков и проект по обеспечению информационной безопасности целесообразно вести еще на начальных этапах проектирования будущей информационной системы предприятия. И продолжать данные мероприятия на всех этапах жизненного цикла предприятия. TCO может помочь оценить стоимость защиты фирмы, но не может рассчитать затраты в случаях чрезвычайных ситуаций. Несмотря на это методика TCO для оценки экономической эффективности системы ИБ позволяет учесть и включить в стоимость затрат все расходы предприятия по внедрению и эксплуатации системы ИБ включая скрытые. Тем самым данная методика является мощным инструментом обоснования и управления инвестициями в системе ИБ. Полученные в результате оценки затрат могут не отражать реального положения на предприятии это прежде всего будет связано со спецификой предприятия, его культурой, развитием нормативно-справочного обеспечения. Так наличие на предприятии политики безопасности разработанной или разрабатываемой, внутренних регламентов и нормативов может существенно снизить оценку TCO для ИБ предприятия. Так же на данную оценку влияет поведение и действия персонала, на что необходимо обратить особое внимание. Библиография 1. R. Witty, J. Dubiel, J. Girard, J. Graff, A.Hallawell, B. Hildreth, N. MacDonald, W.Malik, J. Pescatore, M.Reynolds, K. Russell, A.Weintraub, V. Wheatman. The Price of Information Security. Gartner Research, Strategic Analysis Report, R-11-6534, 8 June 2001. 2. “ИТ-безопасность: никто не готов к новым угрозам”. http://www.cnews.ru/reviews/articles/index.shtml?2006/02/01/195 291 3. Экономическая безопасность: экономические аспекты. http://www.jetinfo.ru/2003/10/1/article1.10.2003.html basarab.s@gmail.com Спасибо за внимание.