Чтение онлайн

на главную - закладки

Жанры

Политики безопасности компании при работе в Интернет

Петренко Сергей Александрович

Шрифт:

Здесь под показателем ТСО понимается сумма прямых и косвенных затрат на организацию (реорганизацию), эксплуатацию и сопровождение корпоративной системы защиты информации в течение года. ТСО может рассматриваться как ключевой количественный показатель эффективности организации информационной безопасности в компании, так как позволяет не только оценить совокупные затраты на нее, но и управлять этими затратами для достижения требуемого уровня защищенности КИС.

При этом прямые затраты включают как капитальные компоненты затрат (ассоциируемые с фиксированными активами или «собственностью»), так и трудозатраты, которые учитываются в категориях операций и административного управления. Сюда же относят затраты на услуги удаленных пользователей, аутсорсинг и др., связанные с поддержкой деятельности организации.

В свою очередь косвенные затраты отражают влияние КИС и подсистемы защиты информации на деятельность сотрудников компании посредством таких измеримых показателей, как простои и «зависания» корпоративной системы защиты информации и КИС в целом, затраты на операции и поддержку (не относящиеся к прямым затратам). Очень часто косвенные затраты играют значительную роль, так как они обычно изначально не отражаются в бюджете на информационную безопасность, а выявляются при анализе затрат впоследствии, что в конечном счете приводит к росту «скрытых» затрат компании на систему информационной безопасности.

Существенно, что ТСО не только отражает «стоимость владения»

отдельных элементов корпоративной системы защиты информации и их взаимодействия в течение всего жизненного цикла системы: «овладение методикой» ТСО помогает службе информационной безопасности лучше измерять, управлять и снижать затраты и/или улучшать уровни сервиса защиты информации с целью адекватности мер защиты бизнесу компании.

Подход к оценке ТСО базируется на результатах аудита структуры и поведения корпоративной системы защиты информации и КИС в целом, включая действия сотрудников служб автоматизации, информационной безопасности и просто пользователей КИС. Сбор и анализ статистики по структуре прямых (HW/SW, операции, административное управление) и косвенных затрат (на конечных пользователей и простои) проводится, как правило, в течение 12 месяцев. Полученные данные оцениваются по ряду критериев с учетом сравнения с данными по аналогичным компаниям в отрасли.

Методика ТСО позволяет оценить и сравнить состояние защищенности КИС компании с типовым профилем защиты, в том числе показать узкие места в организации защиты, на которые следует обратить внимание. Иными словами, на основе полученных данных можно сформировать понятную с экономической точки зрения стратегию и тактику развития корпоративной системы защиты информации, а именно: «сейчас мы тратим на информационную безопасность столько-то, если будем тратить столько-то по конкретным направлениям информационной безопасности, то получим такой-то эффект».

Известно, что в методике ТСО в качестве базы для сравнения используются данные и показатели ТСО для западных компаний. Однако данная методика способна учитывать специфику российских компаний с помощью так называемых поправочных коэффициентов, например:

• по стоимости основных компонентов корпоративной системы защиты информации и КИС, информационных активов компании (Cost Profiles) с учетом данных по количеству и типам серверов, персональных компьютеров, периферии и сетевого оборудования;

• по заработной плате сотрудников (Salary and Asset Scalars) с учетом дохода компании, географического положения, типа производства и размещения организации в крупном городе или нет;

• по конечным пользователям ИТ (End User Scalars) с учетом типов пользователей и их размещения (для каждого типа пользователей требуется различная организация службы поддержки и вычислительной инфраструктуры);

• по использованию методов так называемой лучшей практики в области управления информационной безопасностью (best practices) с учетом реального состояния дел по управлению изменениями, операциями, активами, сервисному обслуживанию, обучению, планированию и управлению процессами;

• по уровню сложности организации (Complexity Level) с учетом состояния организации конечных пользователей (процент влияния – 40 %), технологии SW (40 %), технологии HW (20 %).

Определение затрат компании на информационную безопасность подразумевает решение следующих трех задач:

• оценка текущего уровня ТСО корпоративной системы защиты информации и КИС в целом;

• аудит информационной безопасности компании на основе сравнения уровня защищенности компании и рекомендуемого (лучшая мировая практика) уровня ТСО;

• формирование целевой модели ТСО.

Рассмотрим каждую из перечисленных задач.

Оценка текущего уровня ТСО. В ходе работ по оценке ТСО проводится сбор информации и расчет показателей ТСО организации по следующим направлениям:

• существующие компоненты ИС (включая систему защиты информации) и информационные активы компании (серверы, клиентские компьютеры, периферийные устройства, сетевые устройства);

• существующие расходы на аппаратные и программные средства защиты информации (расходные материалы, амортизация);

• существующие расходы на организацию информационной безопасности в компании (обслуживание СЗИ и СКЗИ, а также штатных средств защиты периферийных устройств, серверов, сетевых устройств, планирование и управление процессами защиты информации, разработку концепции и политики безопасности и пр.);

• существующие расходы на организационные меры защиты информации;

• существующие косвенные расходы на организацию информационной безопасности в компании, и в частности обеспечение непрерывности или устойчивости бизнеса компании.

Аудит информационной безопасности компании. По результатам собеседования с ТОР-менеджерами компании и проведения инструментальных проверок уровня защищенности организации проводится анализ следующих основных аспектов:

• политики безопасности,

• организации защиты,

• классификации и управления информационными ресурсами,

• управления персоналом,

• физической безопасности,

• администрирования компьютерных систем и сетей,

• управления доступом к системам,

• разработки и сопровождения систем,

• планирования бесперебойной работы организации,

• проверки системы на соответствие требованиям информационной безопасности.

На основе проведенного анализа выбирается модель ТСО, сравнимая со средними и оптимальными значениями для репрезентативной группы аналогичных организаций, имеющих схожие с рассматриваемой организацией показатели по объему бизнеса. Такая группа выбирается из банка данных по эффективности затрат на информационную безопасность и эффективности соответствующих профилей защиты аналогичных компаний.

Сравнение текущего показателя ТСО проверяемой компании с модельным значением показателя ТСО позволяет провести анализ эффективности организации информационной безопасности компании, в результате выявить «узкие» места в организации и причины их появления и выработать дальнейшие шаги по реорганизации корпоративной системы защиты информации и обеспечению требуемого уровня защищенности КИС.

Формирование целевой модели ТСО. По результатам проведенного аудита моделируется целевая (желаемая) модель, учитывающая перспективы развития бизнеса и корпоративной системы защиты информации (активы, сложность, методы лучшей практики, типы СЗИ и СКЗИ, квалификация сотрудников компании и т. п.).

Кроме того, рассматриваются капитальные расходы и трудозатраты, необходимые для проведения преобразований текущей среды в целевую среду. В трудозатраты на внедрение включаются затраты на планирование, развертывание, обучение и разработку. Сюда же входят возможные временные увеличения затрат на управление и поддержку.

Для обоснования эффекта от внедрения новой корпоративной системы защиты информации (ROSI) могут быть использованы модельные характеристики снижения совокупных затрат (ТСО), отражающие возможные изменения в корпоративной системе защиты информации.

Виды затрат на систему информационной безопасности

Затраты на информационную безопасность подразделяются на следующие категории:

1. Затраты на формирование и поддержание звена управления системой защиты информации (организационные затраты):

• затраты на приобретение и ввод в эксплуатацию

программно-технических средств: серверов, компьютеров конечных пользователей (настольных и мобильных), периферийных устройств и сетевых компонентов;

• затраты на приобретение и настройку средств защиты информации;

• затраты на содержание персонала, стоимость работ и аутсорсинг;

• затраты на формирование политики безопасности предприятия.

2. Затраты на контроль (определение и подтверждение достигнутого уровня защищенности ресурсов предприятия):

• затраты на контроль:

– плановые проверки и испытания;

– затраты на проверки и испытания программно-технических средств защиты информации;

– затраты на проверку навыков эксплуатации средств защиты персоналом предприятия;

– затраты на обеспечение работы лиц, ответственных за реализацию конкретных процедур безопасности по подразделениям;

– оплата работ по контролю правильности ввода данных в прикладные системы;

– оплата инспекторов по контролю требований, предъявляемых к защитным средствам при разработке любых систем (контроль выполняется на стадии проектирования и спецификации требований);

• внеплановые проверки и испытания:

– оплата работы испытательного персонала специализированных организаций;

– обеспечение испытательного персонала (внутреннего и внешнего) материально-техническими средствами;

• контроль за соблюдением политики информационной безопасности:

– затраты на контроль реализации функций, обеспечивающих управление защитой коммерческой тайны;

– затраты на организацию временного взаимодействия и координации между подразделениями для решения конкретных повседневных задач;

– затраты на проведение аудита безопасности по каждой автоматизированной информационной системе, выделенной в информационной среде предприятия;

– материально-техническое обеспечение системы контроля доступа к объектам и ресурсам предприятия;

• затраты на внешний аудит:

– затраты на контрольно-проверочные мероприятия, связанные с лицензионно-разрешительной деятельностью в сфере защиты информации.

3. Внутренние затраты на ликвидацию последствий нарушений политики информационной безопасности (затраты, понесенные организацией в результате того, что требуемый уровень защищенности не был достигнут):

• пересмотр политики информационной безопасности предприятия (проводится периодически):

– затраты на идентификацию угроз безопасности;

– затраты на поиск уязвимостей системы защиты информации;

– оплата работы специалистов, выполняющих работы по определению возможного ущерба и переоценке степени риска;

• затраты на ликвидацию последствий нарушения режима информационной безопасности:

– восстановление системы безопасности до соответствия требованиям политики безопасности;

– установка патчей или приобретение последних версий программных средств защиты информации;

– приобретение технических средств взамен пришедших в негодность;

– проведение дополнительных испытаний и проверок технологических информационных систем;

– затраты на утилизацию скомпрометированных ресурсов;

• восстановление информационных ресурсов предприятия:

– затраты на восстановление баз данных и прочих информационных массивов;

– затраты на проведение мероприятий по контролю достоверности данных, подвергшихся атаке на целостность;

• затраты на выявление причин нарушения политики безопасности:

– затраты на проведение расследований нарушений политики безопасности (сбор данных о способах совершения, механизме и способах сокрытия неправомерного деяния, поиск следов, орудий, предметов посягательства, выявление мотивов неправомерных действий и т. д.);

– затраты на обновление планов обеспечения непрерывности деятельности службы безопасности;

• затраты на переделки:

– затраты на внедрение дополнительных средств защиты, требующих существенной перестройки системы безопасности;

– затраты на повторные проверки и испытания системы защиты информации.

4. Внешние затраты на ликвидацию последствий нарушения политики информационной безопасности:

• внешние затраты на ликвидацию последствий нарушения политики безопасности:

– обязательства перед государством и партнерами;

– затраты на юридические споры и выплаты компенсаций;

– потери в результате разрыва деловых отношений с партнерами;

• потеря новаторства:

– затраты на проведение дополнительных исследований и разработки новой рыночной стратегии;

– отказ от организационных, научно-технических или коммерческих решений, ставших неэффективными в результате утечки сведений, и затраты на разработку новых средств ведения конкурентной борьбы;

– потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно-технические достижения;

• прочие затраты:

– заработная плата секретарей и служащих, организационные и прочие расходы, которые непосредственно связаны с предупредительными мероприятиями;

– другие виды возможного ущерба предприятию, в том числе связанные с невозможностью выполнения функциональных задач, определенных его уставом.

5. Затраты на техническое обслуживание системы защиты информации и мероприятия по предотвращению нарушений политики безопасности предприятия (предупредительные мероприятия):

• затраты на управление системой защиты информации:

– затраты на планирование системы защиты информации предприятия;

– затраты на изучение возможностей информационной инфраструктуры предприятия по обеспечению безопасности информации ограниченного распространения;

– затраты на осуществление технической поддержки производственного персонала при внедрении средств защиты и процедур, а также планов по защите информации;

– проверка сотрудников на лояльность, выявление угроз безопасности;

– организация системы допуска исполнителей и сотрудников конфиденциального делопроизводства с соответствующими штатами и оргтехникой;

• регламентное обслуживание средств защиты информации:

– затраты, связанные с обслуживанием и настройкой программно-технических средств защиты, операционных систем и используемого сетевого оборудования;

– затраты, связанные с организацией сетевого взаимодействия и безопасного использования информационных систем;

– затраты на поддержание системы резервного копирования и ведения архива данных;

– проведение инженерно-технических работ по установлению сигнализации, оборудованию хранилищ конфиденциальных документов, защите телефонных линий связи, вычислительной техники и т. п.;

• аудит системы безопасности:

– затраты на контроль изменений состояния информационной среды предприятия;

– затраты на систему контроля за действиями исполнителей;

• обеспечение должного качества информационных технологий:

– затраты на обеспечение соответствия требованиям качества информационных технологий, в том числе анализ возможных негативных аспектов информационных технологий, которые влияют на целостность и доступность информации;

– затраты на доставку (обмен) конфиденциальной информации;

– удовлетворение субъективных требований пользователей: стиль, удобство интерфейса и др.;

• обеспечение требований стандартов:

– затраты на обеспечение соответствия принятым стандартам и требованиям, достоверности информации, действенности средств защиты;

• обучение персонала:

– повышение квалификации сотрудников предприятия в вопросах использования имеющихся средств защиты, выявления и предотвращения угроз безопасности;

– развитие нормативной базы службы безопасности.

Поделиться:
Популярные книги

Его наследник

Безрукова Елена
1. Наследники Сильных
Любовные романы:
современные любовные романы
эро литература
5.87
рейтинг книги
Его наследник

Сердце Дракона. Том 9

Клеванский Кирилл Сергеевич
9. Сердце дракона
Фантастика:
фэнтези
героическая фантастика
боевая фантастика
7.69
рейтинг книги
Сердце Дракона. Том 9

Белые погоны

Лисина Александра
3. Гибрид
Фантастика:
фэнтези
попаданцы
технофэнтези
аниме
5.00
рейтинг книги
Белые погоны

Системный Нуб 4

Тактарин Ринат
4. Ловец душ
Фантастика:
боевая фантастика
рпг
5.00
рейтинг книги
Системный Нуб 4

Барон меняет правила

Ренгач Евгений
2. Закон сильного
Фантастика:
фэнтези
попаданцы
аниме
5.00
рейтинг книги
Барон меняет правила

(Не)нужная жена дракона

Углицкая Алина
5. Хроники Драконьей империи
Любовные романы:
любовно-фантастические романы
6.89
рейтинг книги
(Не)нужная жена дракона

Я Гордый часть 2

Машуков Тимур
2. Стальные яйца
Фантастика:
фэнтези
попаданцы
аниме
5.00
рейтинг книги
Я Гордый часть 2

На границе империй. Том 5

INDIGO
5. Фортуна дама переменчивая
Фантастика:
боевая фантастика
попаданцы
7.50
рейтинг книги
На границе империй. Том 5

Сотник

Ланцов Михаил Алексеевич
4. Помещик
Фантастика:
альтернативная история
5.00
рейтинг книги
Сотник

Мятежник

Прокофьев Роман Юрьевич
4. Стеллар
Фантастика:
боевая фантастика
7.39
рейтинг книги
Мятежник

Не грози Дубровскому! Том II

Панарин Антон
2. РОС: Не грози Дубровскому!
Фантастика:
фэнтези
попаданцы
аниме
5.00
рейтинг книги
Не грози Дубровскому! Том II

Огни Эйнара. Долгожданная

Макушева Магда
1. Эйнар
Любовные романы:
любовно-фантастические романы
эро литература
5.00
рейтинг книги
Огни Эйнара. Долгожданная

Жена по ошибке

Ардова Алиса
Любовные романы:
любовно-фантастические романы
7.71
рейтинг книги
Жена по ошибке

Черный Маг Императора 9

Герда Александр
9. Черный маг императора
Фантастика:
юмористическое фэнтези
попаданцы
аниме
5.00
рейтинг книги
Черный Маг Императора 9