Учебная работа. Реферат: Как обосновать затраты на информационную безопасность

Учебная работа. Реферат: Как обосновать затраты на информационную безопасность

Как доказать Издержки на информационную сохранность?

Перепечатано с разлюбезного разрешения ОАО ИнфоТеКС Веб Траст

Начальный текст находится тут
.

Уровни зрелости компании

Gartner Group выделяет 4 уровня зрелости компании исходя из убеждений обеспечения информационной сохранности (ИБ):

• 0 уровень
  :
• ИБ в компании никто не занимается, управление компании не понимает значимости заморочек ИБ;
• Финансирование отсутствует;
• ИБ реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам).

• 1 уровень
  :
• ИБ рассматривается управлением как чисто «техно» неувязка, отсутствует единая программка (теория, Политика) развития системы обеспечения информационной сохранности (СОИБ) компании;
• Финансирование ведется в рамках общего ИТ-бюджета;
• ИБ реализуется средствами нулевого уровня + средства запасного копирования, антивирусные средства, межсетевые экраны, средства организации VPN (классические средства защиты).

• 2 уровень
  :
• ИБ рассматривается управлением как комплекс организационных и технических мероприятий, существует осознание значимости ИБ для производственных действий, есть утвержденная управлением программка развития СОИБ компании;
• Финансирование ведется в рамках отдельного бюджета;
• ИБ реализуется средствами первого уровня + средства усиленной аутентификации, средства анализа почтовых сообщений и web-контента, IDS (системы обнаружения вторжений), средства анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и наружный аудит, анализ риска, политика информационной сохранности, положения, процедуры, регламенты и управления).

• 3 уровень
  :
• ИБ является частью корпоративной культуры, назначен CISA (старший офицер по вопросцам обеспечения ИБ);
• Финансирование ведется в рамках отдельного бюджета;
• ИБ реализуется средствами второго уровня + системы управления ИБ, CSIRT (группа реагирования на инциденты нарушения ИБ), SLA (соглашение о уровне сервиса).

По инфы Gartner Group (данные приводятся за 2001 год) процентное соотношение компаний применительно к описанным 4 уровням смотрится последующим образом:
0 уровень — 30%,
1 уровень — 55%,
2 уровень — 10 %,
3 уровень — 5 %.

Прогноз Gartner Group на 2005 год смотрится последующим образом:
0 уровень — 20%,
1 уровень — 35%,
2 уровень — 30 %,
3 уровень — 15 %.

Статистика указывает, что большая часть компаний (55%) в реальный момент ввели мало нужный набор обычных технических средств защиты (1 уровень).

При внедрении разных технологий и средств защиты нередко появляются вопросцы. Что внедрять сначала, систему обнаружения вторжений либо PKI инфраструктуру? Что будет наиболее отлично? Стивен Росс, директор Deloitte&Touche, дает последующий подход для оценки эффективности отдельных мер и средств обеспечения ИБ.

Исходя из приведенного графика видно, что более дорогими и менее действенными являются спец средства (собственные либо заказные разработки).

Ко 2-ой группы относятся штатные средства защиты ОС, СУБД и классические средства защиты (уровень 0 и 1 по Gartner Group).

Более дорогими, но в тоже время более действенными являются средства защиты 4 группы (уровень 2 и 3 по Gartner Group). Для внедрения средств данной группы нужно употреблять функцию анализа риска. анализ риска в этом случае дозволит гарантировать адекватность издержек на внедрение имеющимся угрозам нарушения ИБ.

К более дешевеньким, но имеющим высочайший уровень эффективности, относятся организационные меры (внутренний и наружный аудит, анализ риска, политика информационной сохранности, план бесперебойной работы, положения, процедуры, регламенты и управления).

Внедрение доп средств защиты (переход на уровни 2 и 3) просит существенных денежных вложений и соответственно обоснования. Отсутствие единой программки развития СОИБ, одобренной и подписанной управлением, обостряет делему обоснования вложений в сохранность.

анализ риска

В качестве такового обоснования могут выступать результаты анализа риска и статистика, скопленная по инцидентам.Механизмы реализации анализа риска и скопления статистики должны быть прописаны в политике ИБ компании.

Процесс анализа риска состоит из 6 поочередных шагов:

1. идентификация и систематизация объектов защиты (ресурсов компании, подлежащих защите);

2. Категорирование ресурсов;

3. Построение модели злодея;

4. идентификация, систематизация и анализ угроз и уязвимостей;

5. Оценка риска;

6. Выбор организационных мер и технических средств защиты.

На шаге идентификации и систематизации объектов защиты
нужно провести инвентаризацию ресурсов компании по последующим фронтам:

• Информационные ресурсы (секретная и критическая информация компании);
• Программные ресурсы (ОС, СУБД, критические приложения, к примеру ERP);
• Физические ресурсы (сервера, рабочие станции, сетевое и телекоммуникационное оборудование);
• Сервисные ресурсы (электрическая почта, www и т.д.).

Категорирование
заключается в определении уровня конфиденциальности и критичности ресурса. Под конфиденциальностью понимается уровень секретности сведений, которые хранятся, обрабатываются и передаются ресурсом. Под критичностью понимается степень воздействия ресурса на эффективность функционирования производственных действий компании (к примеру, в случае простоя телекоммуникационных ресурсов компания — провайдер может разориться). Присвоив характеристикам конфиденциальности и критичности определенные высококачественные значения, можно найти уровень значимости всякого ресурса, исходя из убеждений его роли в производственных действиях компании.

Для определения значимости ресурсов компании исходя из убеждений информационной сохранности можно получить последующую таблицу:

параметр/

критический

значимый

незначимый

строго секретный

7

6

5

секретный

6

5

5

для внутреннего использования

5

4

3

открытый

4

3

2

к примеру, файлы с информацией о уровне зарплат служащих компании имеют значение «строго секретно» (параметр конфиденциальности) и значения в таблицу, можно получить интегральный показатель значимости данного ресурса. Разные варианты методик категорирования приведены в международном эталоне ISO TR 13335.

Построение модели злодея
— это процесс систематизации возможных нарушителей по последующим характеристикам:

• Тип злодея (соперник, клиент, разраб, работник компании и т.д.);
• Положение злодея по отношению к объектам защиты (внутренний, наружный);
• Уровень познаний о объектах защиты и окружении (высочайший, средний, маленький);
• Уровень способностей по доступу к объектам защиты (наибольшие, средние, малые);
• время деяния (повсевременно, в определенные временные интервалы);
• пространство деяния (предполагаемое месторасположение злодея во время реализации атаки).

Присвоив перечисленным характеристикам модели злодея высококачественные значения можно найти потенциал злодея (интегральную характеристику способностей злодея по реализации угроз).

идентификация, систематизация и анализ угроз и уязвимостей
разрешают найти пути реализации атак на объекты защиты. Уязвимости — это характеристики ресурса либо его окружения, применяемые злоумышленником для реализации угроз. Список уязвимостей программных ресурсов можно отыскать в сети веб.

Опасности классифицируются по последующим признакам:

• наименование опасности;
• тип злодея;
• средства реализации;
• применяемые уязвимости;
• совершаемые деяния;
• частота реализации.

Главный параметр — частота реализации опасности. Она зависит от значений характеристик «потенциал злодея» и «защищенность ресурса». значения параметра принимается во внимание личные характеристики злодея: мотивация для реализации опасности и статистика от попыток реализации угроз данного типа (в случае ее наличия). Результатом шага анализа угроз и уязвимостей является оценка параметра «частота реализации» по каждой из угроз.

На шаге оценки риска
определяется возможный вред от угроз нарушения информационной сохранности для всякого ресурса либо группы ресурсов.

Высококачественный показатель вреда зависит от 2-ух характеристик:

• Значимость ресурса;
• Частота реализации опасности на этот ресурс.

Исходя из приобретенных оценок вреда, обоснованно выбираются адекватные организационные меры и технические средства защиты.

Скопление статистики по инцидентам

Единственным уязвимым местом в предлагаемой методике оценке риска и соответственно обосновании необходимости внедрения новейших либо конфигурации имеющихся технологий защиты является определение параметра «частота реализации опасности». Единственный путь получения беспристрастных значений этого параметра — скопление статистики по инцидентам. Скопленная статистика, к примеру, за год дозволит найти количество реализаций угроз (определенного типа) на ресурс (определенного типа). работу по скоплению статистики целенаправлено вести в рамках процедуры обработки инцидентов.

Процедура обработки инцидентов состоит из последующих действий:

• идентификация нарушения;
• фиксация нарушения;
• принятие решения о обработке инцидента;
• регистрация инцидента;
• предназначение исполнителей;
• сопровождение обработки инцидента;
• фиксация действий и результатов расследования;
• определение вреда;
• закрытие процесса.

Скопление статистики по инцидентам кроме получения беспристрастных данных, нужных для обоснования вложений в ИБ, дозволяет оценить эффективность функционирования СОИБ. Скопленная за определенный временной интервал статистика дозволяет отследить общую тенденцию в сторону уменьшения либо роста количества инцидентов.

Заключение

Таковым образом, процесс внедрения и модернизации СОИБ будет принят и одобрен управлением, если:

• компания имеет утвержденную управлением программку развития СОИБ;
• применяется процедура анализ риска;
• есть процедуры обработки и учета инцидентов нарушения ИБ.

]]>