Политики безопасности компании при работе в Интернет
Шрифт:
Пример использования методики Total Cost of Ownership
Допустим, что объектом исследования является страховая компания ЗАО «Страхование». Название компании вымышленное, возможные совпадения случайны и носят непреднамеренный характер.
Для определения затрат на систему информационной безопасности по методике совокупной стоимости владения воспользуемся программным продуктом ТСО Manager компании Gartner Group. Технология работы с ПП ТСО Manager заключается в следующем: пользователь вводит первоначальные данные об объекте (профайл компании, данные о конечных пользователях, об информационных активах предприятия), исходя из них определяется текущий показатель ТСО и вычисляются ежегодные затраты на поддержание существующего уровня безопасности. Также ТСО Manager позволяет оптимизировать показатель ТСО, сравнив текущий показатель ТСО компании с «лучшим» в отрасли и смоделировав целевой показатель ТСО для данного предприятия.
Теперь обратимся к исходным данным по ЗАО «Страхование» и вычислим текущий показатель ТСО.
Название компании – ЗАО «Страхование».
Период анализа – январь-декабрь 2004 года.
Основной вид деятельности – страхование.
Общий годовой доход – 450 млн. руб.
Количество рабочих часов в год – 1880 час/год.
Средняя годовая зарплата конечных пользователей – 38 тыс. руб.
Средний процент, отчисляемый на налоги, медицинское страхование, страхование от несчастных случаев и т. д. персонала службы безопасности (ЕСН) – 37 %.
Средний процент, отчисляемый на налоги, медицинское страхование, страхование от несчастных случаев и т. д. конечных пользователей (ЕСН) – 37 %.
Количество конечных пользователей – 2 869 чел.
Классификация конечных пользователей представлена в табл. П5.2-П5.3.
ТаблицаФорма ввода данных «Интервью» в ТСО Manager содержит сведения об информационных активах предприятия (аппаратные средства и программное обеспечение), информацию о конечных пользователях, и на основании этих данных мы получаем следующие отчеты (см. табл. П5.5-П5.7).
Также ТСО Manager, используя практический подход к определению совокупной стоимости владения, позволяет сравнивать текущие затраты с эталонными («лучшими в группе») и строить целевые показатели затрат (см. табл. П5.5-П5.15). В частности, в табл. П5.6-П5.15. приведена детализация и расшифровка укрупненных прямых и косвенных затрат, которые отображены в табл. П5.5.
Таблица П5.5. Анализ затрат по показателям ТСООкончание табл. П5.5
Таблица П5.6. Детализация затрат на программное обеспечение и оборудование по категориям
Целевые показатели моделируются на основании проекта модернизации корпоративной системы антивирусной защиты и системы управления доступом на объекте информатизации (физическая защита).
Условно определяют три возможных состояния системы защиты КИС от вирусов и вредоносного программного обеспечения, а именно: базовое, среднее и высокое. Рассмотрим характеристики этих состояний:
• базовое – стационарные и мобильные рабочие станции обладают локальной защитой от вирусов. Антивирусное программное обеспечение и базы сигнатур регулярно обновляются для успешного распознавания и парирования новых вирусов. Установлена программа автоматического уничтожения наиболее опасных вирусов. Основная цель уровня – организация минимальной защиты от вирусов и враждебного программного обеспечения при небольших затратах;
• среднее – установлена сетевая программа обнаружения вирусов. Управление программными обновлениями на сервере автоматизировано. Системный контроль над событиями оповещает о случаях появления вирусов и предоставляет информацию по предотвращению дальнейшего распространения вирусов. Превентивная защита от вирусов предполагает выработку и следование определенной политике защиты информации, передаваемой по открытым каналам связи Интернета. Дополнительно к техническим мерам активно предлагаются и используются организационные меры защиты информации;
• высокое – антивирусная защита воспринимается как один из основных компонентов корпоративной системы защиты. Система антивирусной защиты тесно интегрирована в комплексную систему централизованного управления информационной безопасностью компании и обладает максимальной степенью автоматизации. При этом организационные меры по защите информации преобладают над техническими мерами. Стратегия защиты информации определяется исключительно стратегией развития бизнеса компании.
Согласно практическому подходу в ТСО Manager формируется отчет (табл. П5.4.) для ЗАО «Страхование», в котором отражаются требования к состоянию корпоративной системы защиты на основании данных о типе предприятия и текущего показателя ТСО.
Таким образом, можно сделать вывод о том, что ЗАО «Страхование» необходимо повышать уровень защиты информационной системы от вирусов, совершенствовать технологию управления активами и проводить обучение конечных пользователей и специалистов отдела информационных технологий.
Теперь обратимся к отчетам по совокупной стоимости владения, приведенным в таблицах, и проанализируем полученные показатели ТСО.
Сопоставляя табл. П5.4 и данные отчетов (табл. П5.5-П5.15), можно сделать следующие выводы: при построении целевой модели ТСО наибольшему снижению подверглись административные затраты на управление (на 44 %) и затраты при простое (на 43 %). Сокращение административных расходов связано в основном с внедрением автоматизированной системы управления активами, а значительное снижение затрат от простоев – с пересмотром уровня знаний конечных пользователей и ИТ-персонала и увеличением затрат на обучение.
Небольшое повышение затрат на аппаратные средства (на 16 %) вызвано закупкой оборудования, необходимого для внедрения корпоративной системы защиты.
Таким образом, целевой показатель ТСО значительно меньше текущего, но вместе с тем поддержание соответствующего уровня защиты требует существенных расходов (5–7% от ежегодного дохода), и для обоснования этих расходов необходимо применять методы оценки эффективности инвестиций в корпоративную систему информационной безопасности.
2. Обоснование инвестиций в информационную безопасностьВпервые термин Return on Investment for Security (ROSI) был введен в употребление специалистами в области IT Security после публикации в начале 2002 года статьи в журнале СЮ Magazine «Finally, a Real Return on Security Spending». Примерно в это же время вышло несколько статьей, посвященных количественным методам оценки затрат на безопасность. Сегодня тема возврата инвестиций (Return on Investment, ROI) в информационные технологии стала темой повышенного интереса для ТОР-менеджмента многих российских компаний. При этом особое внимание уделяется методам расчета возврата инвестиций в безопасность (Return on Investment for Security, ROSI).
Традиционно обоснования расходов на безопасность были в большинстве своем качественными или «стратегическими», доказывающими, что без инвестирования в корпоративную систему защиты информации компания упускает более «осязаемые» выгоды. Обоснование расходов на информационную безопасность включало в себя следующие утверждения:
• расходы на безопасность являются составляющей стоимости ведения бизнеса;
• расходы на безопасность родственны расходам на страхование;
• компания не может заниматься электронной коммерцией без обеспечения определенного уровня защиты электронных денежных потоков;
• безопасность является одним из аспектов управления рисками;
• заказчик имеет право подать на компанию в суд, если она отказывается соблюдать минимальные стандарты безопасности (например, защищать конфиденциальную информацию о клиенте);
• нежелание вкладывать денежные средства в безопасность означает нежелание следовать общим тенденциям развития информационных технологий.После приведения подобных доводов ни у кого не вызывает сомнений необходимость расходов на требуемый уровень информационной безопасности компании, но вместе с этим появляется потребность количественного расчета для финансового обоснования инвестиций в корпоративную систему защиты информации. Давайте посмотрим, какие способы обоснования инвестиций в корпоративные системы защиты информации существуют и подтверждены практикой.
Метод ожидаемых потерь
Этот подход базируется на том, что вычисляются потери от нарушений политики безопасности, с которыми может столкнуться компания, и эти потери сравниваются с инвестициями в безопасность, направленными на предотвращение нарушений. Метод ожидаемых потерь основан на эмпирическом опыте организаций и сведениях о вторжениях, о потерях от вирусов, об отражении сервисных нападений и т. д. Например, нарушения безопасности коммерческих организаций приводят к следующим финансовым потерям:
• при ведении электронной коммерции – потери, связанные с простоем и выходом из строя сетевого оборудования;
• нанесение ущерба имиджу и репутации компании;
• оплата сверхурочной работы ИТ-персонала и/или оплата работ подрядчиков, которые занимались восстановлением корпоративной информационной системы;
• оплата консультаций внешних специалистов, которые осуществляли восстановление данных, выполняли ремонт и оказывали юридическую помощь;
• оплата ремонта физических повреждений от виртуальных атак;
• судебные издержки при подаче искового заявления о виртуальных преступлениях и нарушениях политики безопасности.Чтобы «смягчить» ожидаемые потери, компания должна инвестировать средства в безопасность (сетевые экраны, системы обнаружения вторжений, чтобы предотвратить атаку, антивирусы для обнаружения различных форм вирусов). Если компания решает установить систему информационной безопасности, то ее стоимость обобщенно будет складываться из:
единовременных затрат:
– покупка лицензий антивирусного программного обеспечения, средств Firewall, средств AAA;
– приобретение аппаратных средств;
– возможно, оплата консультаций внешнего эксперта в области информационной безопасности;
периодических затрат:
– затраты на техническую поддержку и сопровождение;
– заработная плата ИТ-персонала;
– затраты на наем необходимых специалистов;
– затраты на исследование угроз нарушений политики безопасности.
Следует отметить, что нет совершенной системы информационной безопасности. Чтобы определить эффект от внедрения системы информационной безопасности, мы должны вычислить показатель ожидаемых потерь (Annualized Loss Expectancy, ALE). По оценкам экспертов, правильно установленная и настроенная система защиты дает 85 % эффективности в предупреждении или уменьшении потерь от нарушений политики безопасности. Следовательно, финансовая выгода обеспечивается ежегодной экономией средств компании, достигаемой при внедрении системы информационной безопасности:AS = ALE × E – AC, где:
AS – ежегодные сбережения (Annual Saving),
ALE – показатель ожидаемых потерь (Annualized Loss Expectancy),
Е – эффективность системы защиты (около 85 %),
АС – ежегодные затраты на безопасность (Annual Cost).Метод оценки свойств системы безопасности
Метод оценки свойств системы безопасности (Security Attribute Evaluation Method, SAEM) был разработан в Carnegie Melon University, он основан на сравнении различных архитектур систем информационной безопасности для получения стоимостных результатов оценки выгод от внедрения системы информационной безопасности. Методология SAEM заключается в том, чтобы, объединив вероятность события и ранжировав воздействие окружающей среды, предложить различные проекты по информационной безопасности с многовариантным влиянием окружающей среды на относительные затраты.
Недостатком метода является то, что чаще всего безопасность находится вне понимания менеджеров, занимающихся оценкой эффективности, а специалисты по информационной безопасности редко имеют точные данные относительно выгод, приносимых технологией, поэтому приходится полагаться на опыт и интуицию и на их основе принимать решения. Однако этот метод может быть использован для предоставления комплекса разнообразных мер по информационной безопасности и для поддержки принятия решения при выборе тех или иных мероприятий.Анализ «дерева ошибок»
Нетрадиционным инструментом оценки выгод является метод анализа «дерева ошибок» (Fault Tree Analysis). Цель применения данного метода – показать, в чем заключаются причины нарушений политики безопасности, и какие сглаживающие контрмеры могут быть применены. «Дерево ошибок» – это графическое средство, которое позволяет свести всю систему возможных нарушений к логическим отношениям «и – или» компонентов этой системы. Если доступны данные по нормам отказа критических компонентов системы, то «дерево ошибок» позволяет определить ожидаемую вероятность отказа всей системы.
Применяя этот метод к системам информационной безопасности, мы можем построить «дерево» с причинно-следственными отношениями между атаками на систему и нарушениями системы. Использование контрмер по предотвращению нарушений позволяет уменьшить ответвления «дерева» и, таким образом, может быть определен эффект от внедрения системы информационной безопасности на сравнении «двух деревьев» с использованием контрмер и без.
Важно заметить, что этот метод базируется на двух связанных предположениях: во-первых, что компоненты системы разрушаются случайным образом согласно хорошо известной статистике, во-вторых, на самом нижнем уровне «дерева» составляющие отказа независимы друг от друга. Все-таки отказы программного обеспечения системы информационной безопасности неслучайны и, скорее всего, возникают из-за системных ошибок, что в большинстве случаев влияет на работу других частей системы. Об этом не следует забывать при применении данного метода к системе информационной безопасности.
В настоящее время метод еще недостаточно адаптирован к области информационной безопасности и требует дальнейшего изучения.Выбор подходящего метода
Принципиальный недостаток приведенных выше методов в том, что они не дают количественной оценки стоимости и выгод от контрмер безопасности, кроме метода ожидаемых потерь, объединяющего выгоду от каждой контрмеры в единый количественный показатель «эффективности». А с точки зрения системы безопасности этот показатель интерпретируется как показатель пригодности всей системы защиты, который обычно указан в договоре с поставщиком системы защиты.
Поэтому на практике можно воспользоваться методом оценки целесообразности затрат на систему информационной безопасности. Такой выбор был обусловлен несколькими соображениями – это финансовая ориентированность метода и достаточно полная оценка стоимости различных мер по безопасности и выгод от внедрения. Для того чтобы привести пример оценки мер по обеспечению безопасности, воспользуемся упрощенным вариантом «дерева ошибок», так называемой таблицей оценки угроз и рисков (Threat and Risk Assessment – TRA). Использование TRA позволит показать, как на практике получить количественную оценку вероятности событий и возникновения последствий и в дальнейшем использовать эти данные для определения ожидаемых потерь без применения контрмер безопасности.Методика Return on Investment for Security
Ранее мы определились с методами оценки экономической целесообразности затрат на систему информационной безопасности: расходную часть мы рассчитали с помощью программного продукта ТСО Manager и получили текущий и целевой показатели совокупной стоимости владения. Сейчас мы оценим доходную часть, объединяя метод ожидаемых потерь с таблицей оценки угроз и риска.
Первым шагом является построение таблицы TRA. Но прежде дадим краткое описание контрмер по обеспечению информационной безопасности.
Контрмеры по обеспечению безопасности направлены на достижение следующих эффектов: уменьшение вероятности происхождения инцидента и/или уменьшение последствий, если инцидент все равно случается. Меры, снижающие вероятность, называются профилактическими, а меры, снижающие последствия, называются лечебными. Примеры контрмер обоих типов представлены в табл. П5.16.
Таблица П5.16. Типы контрмер безопасности