Семинарское занятие № 2
advertisement
СЕМИНАРСКОЕ ЗАНЯТИЕ № 2. Расчет эффективности системы информационной безопасности 1. ТЕХНИКО-ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ ПРОЕКТА В вводном разделе обосновывается экономическая, техническая и социальная целесообразность осуществления проекта. Раздел «Технико-экономическое обоснование проекта» следует начинать с подробного рассмотрения всех недостатков базового варианта обеспечения информационной безопасности, а также мероприятий, разрабатываемых для их устранения. При этом указываются наименования мероприятий, их цель, краткая характеристика, преимущества по сравнению с исходным вариантом на предприятии. Большинство руководителей служб автоматизации (CIO) и служб информационной безопасности (CISO) отечественных компаний наверняка задавалось вопросами: “Как оценить эффективность планируемой или существующей корпоративной системы защиты информации? Как оценить эффективность инвестиционного бюджета на информационную безопасность (ИБ) компании? Сегодня для оценки эффективности корпоративной системы защиты информации рекомендуется использовать некоторые показатели эффективности, например показатели: совокупной стоимости владения (ТСО), экономической эффективности бизнеса и непрерывности бизнеса(BCP), коэффициенты возврата инвестиций на ИБ (ROI) и другие. В частности, известная методика совокупной стоимости владения (TCO) была изначально предложена аналитической компанией Gartner Group в конце 80-х годов (1986-1987) для оценки затрат на информационные технологии. Пример оценки затрат на ИБ В качестве примера использования методики ТСО для обоснования инвестиций на ИБ давайте рассмотрим проект создания корпоративной системы защиты информации от вирусов и враждебных апплетов, интегрированной с системой контроля и управления доступом на объекте информатизации. Для этого сначала условно определим три возможных степени готовности корпоративной системы защиты от вирусов и враждебных апплетов, а именно: базовую, среднюю и высокую. Базовая: Стационарные и мобильные рабочие станции обладают локальной защитой от вирусов. Антивирусное программное обеспечение и базы сигнатур регулярно обновляются для успешного распознавания и парирования новых вирусов. Установлена программа автоматического уничтожения наиболее опасных вирусов. Основная цель уровня – организация минимальной защиты от вирусов и враждебных апплетов при небольших затратах. Средняя: Установлена сетевая программа обнаружения вирусов. Управление программными обновлениями на сервере автоматизировано. Системный контроль над событиями оповещает о случаях появления вирусов и предоставляет информацию по предотвращению дальнейшего распространения вирусов. Превентивная защита от вирусов предполагает выработку и следование определенной политики защиты информации передаваемой по открытым каналам связи Интернет. Дополнительно к техническим мерам активно предлагаются и используются организационные меры защиты информации. Высокая: Антивирусная защита воспринимается как один из основных компонентов корпоративной системы защиты. Система антивирусной защиты тесно интегрирована в комплексную систему централизованного управления ИБ компании и обладает максимальной степенью автоматизации. При этом организационные меры по защите информации преобладают над техническими мерами. Стратегия защиты информации определяется исключительно стратегией развития бизнеса компании. Также условно выделим три степени готовности системы контроля и управления доступом: базовая, средняя, высокая. Базовая: Ведется учет серийных номеров как минимум рабочих станций и серверов, инвентаризационные таблички крепятся на соответствующее аппаратное обеспечение. Введена процедура контроля перемещения аппаратных средств КИС. Проводятся постоянные и периодические инструктажи персонала компании. Особое внимание уделяется мобильным компонентам КИС. Средняя: Используются механические и электронные замки, шлюзовые кабины и турникеты. Организованы контрольно-пропускные пункты и проходные. Осуществляется видеонаблюдение на объекте информатизации. Требования к персоналу определены и доведены под роспись. Разработаны инструкции по действию в штатных и внештатных ситуациях. Задействованы частные и государственные охранные предприятия и структуры. Высокая: Обеспечение физической безопасности аппаратных средств является частью единой политики безопасности, утвержденной руководством компании. Активно используются весь комплекс мер защиты информации, начиная с организационныго и заканчивая техническим уровнями. Проект по созданию корпоративной системы защиты информации от вирусов предполагает определенное развитие и переход от некоторого базового уровня (0 уровень) к более высокому (10 уровню согласно лучшей практики). В табл. 1 приведены характеристики процесса развития корпоративной системы защиты информации на выделенных уровнях защиты. Табл. 1. Характеристики базового и повышенного уровня защиты. Процесс Задача Базовый уровень (0) Высокий уровень (10) Защита от вирусов Каким образом распространяются обновления механизма антивирусной защиты? Ничего не делается или нет информации Используется автоматическое обновление антивирусного обеспечения Защита от вирусов Какая степень защиты от вирусов является допустимой? Нет механизма защиты от вирусов Защита от вирусов устанавливается ИС службой и не доступна пользователям для изменений Защита от вирусов Какой процент клиентских мест поддерживается серверной антивирусной защитой? 0% 100 % Защита от вирусов Как устраняются последствия вирусных атак (в процентном отношении к числу вирусных событий)? Пользователь самостоятельно восстанавливает поврежденные файлы и систему, протокол ИС персонал уведомляется об инциденте, проводятся исследования, и предпринимаются нейтрализующие меры, на событий не ведется местах поддерживается БД вирусных событий Управление безопасностью Что делается для гарантии безопасности критичных данных (информация, которая является критичной по отношению к миссии каждого отдельного предприятия) Ничего не делается Инструментальные средства шифрования и обеспечения безопасности закупаются у третьей стороны Управление безопасностью Что делается для гарантии физической безопасности помещений с целью предотвращения случаев воровства и преступного использования оборудования? Применяются сигналы тревоги о нарушении безопасности Используются такие средства безопасности, как смарткарты или биометрические устройства В табл. 2 представлен список статей и возможный уровень снижения расходов при развитии процессов управления информационной безопасности и защиты от вирусов (начиная от 0-го уровня и заканчивая 10-м). Табл. 2. Статьи расходов базового и повышенного уровня защиты. Статья затрат Защита от вирусов Управление безопасностью Операции (Operations) Технические услуги (Technical services) Решение проблем 2 уровня (Tier II problem resolution) 2,600 % 0,000 % Решение проблем 3 уровня (Tier III problem resolution) 1,300 % 0,000 % Администрирование конечных пользователей (User administration, adds and changes) 0,000 % 6,500 % Установка аппаратного обеспечения (Hardware deployment) 0,000 % 2,600 % Резервное копирование, архивирование и восстановление (Backup, archiving and recovery) 2,600 % 0,000 % 1,300 % 1,300 % Планирование и управление процессами (Planning and process management) Управление системными исследованиями, планированием и продуктами (Systems research, planning and product management) Безопасность и защита от вирусов (Security and virus protection) 18,200 % 2,600 % Восстановление деятельности (Business recovery) 19,500 % 0,000 % 5,200 % 2,600 % Супервизорское управление (Supervisory management) 1,268 % 0,618 % Административная поддержка ИС (IS administrative assistance) 0,429 % 0,169 % Управление активами (Asset management) 0,000 % 5,200 % Аудит (Audit) 0,000 % 1,300 % Закупка, снабжение и управление контрактами (Purchasing, procurement and contract management) 0,000 % 2,600 % Количество часов в месяц, затраченных на управление файлами, данными и резервным копированием (Average hours per month spent managing files, data and performing backups) 6,500 % 0,000 % Количество часов в месяц, затраченных на поиск источника поддержки (Average hours per month spent seeking peer support) 6,500 % 0,000 % Количество часов в месяц, затраченных на поддержку пользователей друг друга (Average hours per month spent helping others) 6,500 % 0,000 % Количество часов в месяц, затраченных на самоподдержку пользователей (Average hours per month spent on self support) 6,500 % 2,600 % Количество незапланированных простоев в месяц (Monthly unplanned downtime hours) 10,400 % 10,400 % Решение проблем 0/1 уровня (Service desk, tier 0/I) Среднее количество звонков пользователей в месяц (Average number of calls per month) Административные расходы (Administration) Финансовые службы и администрация (Finance and administration) Затраты конечных пользователей на поддержку ИС (End User IS Costs) В табл. 3 показан уровень снижения расходов при переходе на более высокий уровень защищенности КИС (переход с 0-го уровня на 10-й). Поученные данные о снижении ТСО в среднем на 230 тыс. долл. в год позволяют обосновать инвестиции в размере около 600 тыс. долл. на защиту от вирусов. При этом период окупаемости составляет не более 3 лет. Табл. 3. Уровень снижения расходов при внедрении методов лучшей практики. Расходы на ИТ Защита от вирусов -0, Безопасность -0 Защита от вирусов -10, Безопасность -0 Защита от вирусов -0, Безопасность -10 Защита от вирусов -10, Безопасность -10 Совокупная стоимость владения (TCO) $14,905,090 $14,659,236 $14,796,746 $14,563,990 Расходы на HW/SW $9,183,334 $9,212,787 $9,211,699 $9,241,232 Расходы на операции ИС $1,402,287 $1,376,061 $1,394,232 $1,368,450 Административные расходы $426,758 $425,554 $423,952 $422,748 Расходы на операции конечных пользователей $2,772,377 $2,636,870 $2,758,898 $2,624,287 Расходы на простои $1,120,334 $1,007,965 $1,007,965 $907,273 Расходы на аппаратные средства и программное обеспечение. Эта категория модели ТСО включает серверы, компьютеры клиентов (настольные и мобильные компьютеры), периферийные устройства и сетевые компоненты. Расходы на аппаратно-программные средства ИС также входят в эту категорию. Расходы на операции ИС. Прямые затраты на содержание персонала, стоимость работ и аутсорсинг, произведенные компанией в целом, бизнес-подразделениями или ИС службой для осуществления технической поддержки и операций по поддержанию инфраструктуры для пользователей распределенных вычислений. Административные расходы. Прямые затраты на персонал, обеспечение деятельности и расходы внутренних/внешних поставщиков (вендоров) на поддержку ИС операций, включающих управление, финансирование, приобретение и обучение ИС. Расходы на операции конечных пользователей. Это затраты на самоподдержку конечных пользователей, а также на поддержку пользователей друг друга в противовес официальной ИС поддержке. Затраты включают: самостоятельную поддержку, официальное обучение конечных пользователей, нерегулярное (неофициальное) обучение, самостоятельные прикладные разработки, поддержку локальной файловой системы. Расходы на простои. Данная категория учитывает ежегодные потери производительности конечных пользователей от запланированных и незапланированных отключений сетевых ресурсов, включая клиентские компьютеры, совместно используемые серверы, принтеры, прикладные программы, коммуникационные ресурсы и ПО для связи. Для анализа фактической стоимости простоев, которые связаны с перебоями в работе сети и которые оказывают влияние на производительность, исходные данные получают из обзора по конечным пользователям. Рассматриваются только те простои, которые ведут к потере производительности. В табл. 4 и на рис. 2 показан пример расчета ТСО для организаций, обладающих средним уровнем защищенности КИС (5-й уровень). Табл. 4. Пример расчета ТСО. Расходы на ИТ Защита от вирусов -0, безопасность 0 Защита от Защита от вирусов -10, вирусов -0, безопасность -0 безопасность 10 Защита от вирусов -10, безопасность 10 Совокупная стоимость владения (TCO) $12,326,994 $12,234,237 $12,302,964 $12,215,093 Расходы на HW/SW $8,884,604 $8,912,435 $8,915,619 $8,943,557 Расходы на операции ИС $1,016,789 $999,693 $1,011,027 $994,231 Административные расходы $397,553 $396,525 $395,408 $394,398 Расходы на операции конечных пользователей $1,611,683 $1,549,384 $1,604,710 $1,542,839 Расходы на простои $416,365 $376,201 $376,201 $340,068 Таким образом, применение методики ТСО для обоснования инвестиций в проекты обеспечения информационной безопасности на предприятии вполне обосновано и имеет право на существование. При этом выбор конкретной методики оценки затрат на ИБ находится в сфере ответственности руководителей соответствующих служб и отделов защиты информации. Вместе с методикой ТСО можно использовать разнообразные методы для расчета возврата инвестиций (ROI). Как правило, для оценки доходной части сначала анализируют те цели, задачи и направления бизнеса, которые нужно достигнуть с помощью внедрения или реорганизации существующих проектов в области системной интеграции, автоматизации и информационной безопасности. Далее используют некоторые измеримые показатели эффективности бизнеса для оценки эффекта отдельно по каждому решению. Достаточно результативно использовать следующую комбинацию: ТСО как расходную часть и ROI как расчетную. Кроме того, сегодня существуют и другие разнообразные методы и технологии расчета и измерения различных показателей экономической эффективности. РАСЧЕТ ОБЪЕМА ИНВЕСТИЦИЙ НА СОЗДАНИЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Если проект выполняется на основе существующей материальной базы, то принимаем объем инвестиций равным нулю (К = 0). Состав первоначальных инвестиций, необходимых для осуществления проекта может быть следующим: расходы на приобретение нового оборудования и его замену; средства, вырученные от продажи или передачи оборудования; затраты на сетевое оборудование и соединения (кабели, концентраторы, карты, которые как правило, не амортизируются); расходы на приобретение периферийных устройств; расходы на приобретение дополнительной оперативной памяти, расходы на дополнительные дисковые устройства (HDD); расходы на замену оборудования; прочие расходы по оборудованию. В общем виде объем инвестиций (капитальных вложений на реализацию проекта) совокупность капитальных вложений в проект может быть представлена следующим выражением: K = Коб + Кна – Кл + Кпр, где Коб – стоимость устанавливаемого оборудования; Кна – недоамортизированная часть стоимости демонтируемого оборудования; Кл – ликвидационная стоимость (выручка от продажи) демонтируемого оборудования; Кпр – стоимость приобретаемых программных продуктов. Цена разработки рассчитывается по следующей формуле (себестоимость продукта): ЦП = ЗПосн + ЗПвсп + М + Э + А + Нр + Пр, где ЗПосн – заработная плата основного и вспомогательного персонала, занятого в процессах доработки, доведения программного средства до требуемого уровня качества. М – материальные расходы; Э – расходы на электроэнергию; А – расходы на амортизацию; Нр – накладные расходы; Пр – прочие расходы, включающие расходы сторонних организаций, расходы на Интернет и пр. Заработная плата рассчитывается исходя из трудоемкости выполнения работ по доведению программного продукта, расценок за час по видам работ и участвующему персоналу, надбавки, премии, а также отчисления на социальные нужды в размере 26,2% (от общей суммы начисляемой зарплаты). РАСЧЕТ ЗАТРАТ НА ЭКСПЛУАТАЦИЮ И СОДЕРЖАНИЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ К отдельным видам эксплуатационных (текущих) затрат, имеющим место почти в любом проекте внедрения информационных технологий, относятся: 1) заработная плата обслуживающего персонала с отчислениями на социальные нужды; 2) стоимость потребляемых энергоресурсов; 3) расходы на амортизацию и текущий ремонт оборудования 4) расходные материалы. Формула совокупных эксплуатационных расходов: Зэксп. = ЗП + Э + А + Рм + I + Н + Пр (ниже приводятся формулы расчета всех этих показателей) где ЗП – заработная плата персонала, занятого обслуживанием программного или технического средства, с отчислениями на социальные нужды; Э – расходы на электроэнергию, необходимую для работы аппаратных средств, и обеспечение нормальных условий работы персонала; Рм – материальные расходы, представляющие собой затраты на расходные материалы – бумагу, картриджи и пр.; А – расходы на амортизацию оборудования (аппаратных средств), программного обеспечения; I – налоги, включаемые в себестоимость (налог на имущество); Н – накладные расходы, связанные с реализацией проекта; Пр – прочие расходы, включающие расходы на оплату услуг сторонней организации (сопровождение ПО). РАСЧЕТ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ЗАЩИТЫ ИНФОРМАЦИИ Расчет упущенной выгоды от использования системы в результате хищения или несанкционированного использования: Для оценки степени защищенности объекта и величину ущерба целесообразно использовать оценки рисков. Анализ рисков целесообразно проводить на основе оценок, производимых экспертом и постепенно их уточнять. В процессе целесообразно сосредоточиться на наиболее важных участках, учитывая приближенность итоговой оценки. С этих же позиций следует оценивать возможные угрозы и их последствия. Анализ рисков производится в несколько этапов: Инвентаризация информационных ресурсов. Проводится экспертная оценка инвентаризации информации, результатом которой является перечень ценной информации: Информационные ресурсы 1. Архив (сведения о сотрудниках и др. общие сведения) 2. Годовой отчет 3. Годовой план работы 4. Данные о материально-техническом обеспечении 5. Договора со сторонними организациями 6. Документы с подписями 7. Другие документы (записки, напоминания) 8. Журналы о регистрации посещений АГУ (мониторинг) 9. Индивидуальные планы и ежемесячные отчеты сотрудников 10. Интернет-трафик 11. Лицензии (договора, протоколы) 12. Лицензии (ключи) 13. Личная конфиденциальная информация 14. Личные материалы сотрудников 15. Письма от сторонних организаций 16. Письма сторонним организациям 17. Отчет о НИОКР 18. План дальнейших НИОКР 19. Тестовые материалы по НИОКР 20. Тестовые программы по НИОКР 21. Технические паспорта устройств с секретным кодом 22. Отчет о внутриорганизационных совещаниях 23. Персональная информация о сотрудниках 24. Перспективный план работы ВУЗа 25. Планы и отчеты 26. Приказы и распоряжения 27. Протокол заседания совета директоров 28. Протоколы 29. Система контроля исполнения документов 30. Финансовые документы Оценка стоимости информации Далее необходимо определить стоимость информации. Часто этот этап является самым сложным, так как стоимость информации не может оценить специалист по информационной безопасности, ее оценивает владелец информации. Экспертная комиссия определила следующие параметры, которые в дальнейшем используются для оценки информации: • количество уровней критичности информации – 4: 1. Низкий – уровень критичности от 1 до 25, 2. Средний– уровень критичности от 26 до 50, 3. Высокий– уровень критичности от 51 до 75, 4. Максимальный– уровень критичности от 76 до 100; • оценку уровней – исходя из приблизительной оценки затрат на восстановление, потерь при нарушении условий конфиденциальности, целостности и доступности. Таким образом, можно сформировать шкалу для оценки информации и определить к какому уровню критичности относится информация. Шкала уровней критичности: Низкий Средний Высокий Максимальный Оценка защищённости информационной системы Для оценки защищенности информационной системы необходимо описать угрозы и уязвимости информационной системы, и, исходя из их критичности для информационной системы, частоту их реализации. Вероятности реализаций угроз Виды угроз Угрозы Вероятность реализации, в год Угрозы, обусловленные действиями субъекта (антропогенные угрозы) Кража технических средств (винчестеров, ноутбуков, системных блоков) информации (чтение и несанкционированное копирование) носителей информации (бумажных, магнитных, оптических и пр.) средств доступа (ключи, пароли, ключевая документация и пр.) Подмена (модификация) Операционных систем систем управления базами данных прикладных программ паролей и правил доступа информации (данных), отрицание факта отправки сообщений Уничтожение (разрушение) технических средств (винчестеров, ноутбуков, системных блоков) носителей информации (бумажных, магнитных, оптических и пр.) программного обеспечения (ОС, СУБД, прикладного ПО) информации (файлов, данных) паролей и ключевой информации Нарушение нормальной работы (прерывание) скорости обработки информации пропускной способности каналов связи объемов свободной оперативной памяти объемов свободного дискового пространства электропитания технических средств Ошибки при эксплуатации ПО при эксплуатации технических средств Перехват информации (несанкционированный) за счет ПЭМИ от технических средств за счет наводок по линиям электропитания за счет наводок по посторонним проводникам по акустическому каналу от средств вывода по акустическому каналу при обсуждении вопросов при подключении к каналам передачи информации за счет нарушения установленных правил доступа (взлом) Угрозы, обусловленные техническими средствами (техногенные угрозы) Нарушение нормальной работы нарушение работоспособности системы обработки информации нарушение работоспособности связи и телекоммуникаций старение носителей информации и средств ее обработки нарушение установленных правил доступа электромагнитное воздействие на технические средства Уничтожение (разрушение) программного обеспечения, ОС, СУБД помещений Средств обработки информации информации (размагничивание, радиация, протечки и пр.) Персонала Модификация (изменение) программного обеспечения. ОС, СУБД информации при передаче по каналам связи и телекоммуникациям Угрозы, обусловленные стихийными источниками Уничтожение (разрушение) технических средств обработки информации носителей информации программного обеспечения (ОС, СУБД, прикладного ПО) информации (файлов, данных) Помещений Персонала Исчезновение (пропажа) информации в средствах обработки информации при передаче по телекоммуникационным каналам носителей информации Персонала 4. Оценка информационных рисков Определив критичность информации, угрозы и уязвимости информационной системы, в которой она обрабатывается, можно приступить к оценке рисков. В широком смысле мера риска может рассматриваться как описание видов неблагоприятных действий, влиянию которых может подвергнуться система и вероятностей того, что эти действия могут произойти. Результат этого процесса должен определить степень риска для определенных ценностей. Этот результат важен, поскольку является основой для выбора средств защиты и решений по минимизации риска. Мера риска может быть представлена в качественных, количественных, одномерных или многомерных терминах. Количественные подходы связаны с измерением риска в терминах денежных потерь. Качественные – с измерением риска в качественных терминах, заданных с помощью шкалы или ранжирования. Одномерные – рассматривают только ограниченные компоненты (риск = величина потери * частота потери). Многомерные подходы рассматривают дополнительные компоненты в измерении рис¬ка, такие, как надежность, безопасность или производительность. В простейшем случае используется оценка двух факторов: вероятность происшествия или частота реализации и возможные потери. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой: РИСК = Pреализации * ЦЕНА ПОТЕРИ Если переменные являются количественными величинами — риск это оценка математического ожидания потерь. Расчет ущерба, понесенного владельцем информации из-за утраты возможности получения дохода на основе лицензионного соглашения Прибыль, оставшуюся в распоряжении нарушителя прав в течении года рассчитать по формуле: Пt = (Rt — Сt — Ht)at Пt — прибыль, оставшаяся в распоряжении нарушителя прав в течении года t; Rt – выручка от реализации продукции, созданной на базе противоправного использования информации в году t; Ct – себестоимость продукции, выпущенной в году t; Ht – общая сумма налогов и других выплат, которые были произведены в году t. a = (1+Е)tp-t a — коэффициент приведения разновременных результатов; tp — год расчета; Е — коэффициент доходности капитала (20%); t — текущий год. Упр = Ср • Пt Упр – ущерб, понесенный владельцем информации из-за утраты возможности получения дохода на основе лицензионного соглашения; Ср – среднестатистическая ставка роялти (периодический платеж за право пользоваться лицензией на товары, изобретения, патенты, нововведения, выпуск книг, прокат фильмов; обычно исчисляется в процентах от стоимости продаж ), дается в процентах от годовой прибыли; Пt – общий ущерб владельца информации. Стоимостная оценка предотвращенного ущерба Рсум = Упр + Робщ Рсум – стоимостная оценка предотвращенного ущерба; Упр – ущерб, понесенный владельцем информации из-за утраты возможности получения дохода на основе лицензионного соглашения; Робщ – общий ущерб владельца информации (Пt ). Расчет экономической эффективности системы защиты информации ЭЗИ – эффективность ЗИ; Рсум – стоимостная оценка предотвращенного ущерба; ЗЗИ – суммарные затраты на ЗИ (величина расходов на создание и эксплуатацию системы в год).
