Об экономической  эффективности системы информационной безопасности

Об экономической эффективности системы информационной безопасности

Жангисина Г.Д., д.п.н., профессор, зав.кафедрой «Вычислительная техника» КазНТУ им.К.И.Сатпаева(г. Алматы, РК)

Джурунтаев Дж.З., д.т.н., профессор кафедры «Вычислительная техника» КазНТУ им.К.И.Сатпаева(г. Алматы, РК)

Жолымбет Б.Ш., к.т.н., доцент кафедры»Вычислительная техника»

КазНТУ им.К.И.Сатпаева(г. Алматы, РК)

Шайкулова А., к.т.н., ст.преподаватель кафедры «Вычислительная техника» КазНТУ им.К.И.Сатпаева(г. Алматы, РК)

Жандыбаева М.А., ст.преподаватель кафедры «Вычислительная техника»

КазНТУ им.К.И.Сатпаева (г. Алматы, РК)

Мишина А.Е., PHD, КазНТУ им.К.И.Сатпаева

Павликов Р.В., Сиб-08-1р, КазНТУ им.К.И.Сатпаева

Согласно отчету компании Gartner, ИТ-безопасность входит в число основных приоритетов в бизнесе и фактически возглавляет список технологических приоритетов организаций на 2011 год. Вдобавок, в 2012 году возрастет по всему миру в среднем на 4,5% финансирование проектов ИТ-безопасности. Как считают эксперты, эти проекты смогут через совместимость с нормативными актами повысить конкурентоспособность организаций и привести к росту бизнеса”.. Тенденция к развитию системы информационной безопасности предприятиями очевидна и вполне понятна, постоянно растущая конкуренция между предприятиями заставляет их постоянно развивать свой бизнес, внедряя новые технологические решения, основная доля которых приходится на информационные технологии. Так успешный и перспективный бизнес сегодня ассоциируется, прежде всего, с электронной коммерцией, которая позволяет расширить ареал бизнес деятельности предприятия, что в свою очередь, повышает степень интеграции деловой активности между предприятиями, увеличивая тем самым степень риска ИБ. Но угрозы, возникающие при использовании сети Интернет по данным ежегодного отчета "Global Information Security Survey 2010" международной компании Ernst&Young на данный момент не являются основным стимулом развития системы информационной безопасности на предприятиях, хотя число вирусных инцидентов и активизация хакеров в 2011 году существенно возросли. Две трети респондентов по данным этого отчета посчитали совместимость с нормативными актами главным стимулом развития информационной безопасности (ИБ).

Инвестиции в проекты ИТ-безопасности будут увеличиваться. При этом перед техническими специалистами, а также начальниками служб информационной безопасности стоит задача обоснования эффективности таких затрат, т.е. определение стоимости системы ИБ для бизнеса. Существует достаточно много методик определения эффективности системы ИБ каждая, из которых имеет свои преимущества и недостатки. Рассмотрим одну из наиболее известных методик оценки эффективности затрат, методику совокупной стоимости владения TCO (Total Cost of Ownership – совокупная стоимость владения). В мире существует достаточно много методик расчета совокупной стоимости владения.

Методика расчета TCO заключается в учете и оценке всех активов предприятия, капитальных и переменных затрат на технические средства, помещения, персонал и т.д. В TCO для ИБ необходимо учитывать еще и угрозы и риски связанные с функционированием информационной системы предприятия, а также негативных внешних факторов способных привести к осуществлению угрозы ИБ используя уязвимости ресурсов информационной системы предприятия.

Определение ИТ-безопасности для предприятия

ИБ определяется по-разному для различных предприятий и для каждого структурного элемента одного и того же предприятия. Часто, внедряемые методы контроля для достижения определенного уровня ИБ выбираются и управляются различными составными частями предприятия. Например:

Обычно ИБ в компании базируется на использование Брандмауэра и управлении доступом.
Приватность рассматривается в контексте законодательства, связей с общественностью и управления предприятием.
В рамках бизнес процесса ответственность разделена. Часто это ответственность групп занимающихся ИБ; на других предприятиях это отдельная функция возложена финансового директора или директора по производственным вопросам.

Требования к ИТ контролю

Поскольку угрозы и риски связанные Интернет торговлей растут, предприятия сталкиваются с увеличивающимся количеством методов контроля для внедрения новых бизнес моделей. В большинстве случаях эти методы внедряются, несмотря на требования к информационной безопасности, которые небыли адекватно решены. Большинство предприятий чрезмерно концентрируются на своем внешнем периметре, не предпринимая эффективных мер по защите ключевых данных внутри предприятия.

В таблице 1 приведен краткий перечень требований ИТ контроля.

Таблица 1

Требование	Определение	Контроль безопасности
Невмешательство	Гарантирует, что контроль осуществлен по входу с использованием электронных активов предприятия.	§ Пользовательский идентификатор/Пароль § Брандмауэр § Неразглашение паролей § UCC4A Несанкционированное Использование Баннеров
Аутентификация	Обеспечивает, что пользователи и приложения соответственно идентифицированы перед получением доступа к информационным активам	§ Пользовательский идентификатор/Пароль § Пакет данных § Биометрическое устройство § Сертификат Открытого Ключа § Местоположение
Авторизация	Обеспечивает, что должным образом идентифицированный пользователь/приложение может обратиться только к тем ресурсам ИТ, к которым владелец информационных ресурсов открыл доступ.	§ Список Прав Доступа § Атрибуты Сертификатов
Конфиденциальность	Гарантирует, что только те люди, которым предназначена информация в состоянии ее увидеть	§ Шифрование
Целостность	Гарантирует, что в случае изменения транзакции между отправителем и получателем это будет идентифицировано	§ Код подлинности сообщения (MAC)/Hash
Секретность	Гарантирует, что информация, предоставляемая служащими, клиентами и другими защищена таким образом, чтобы информация использовалась исключительно в соответствии с политикой секретности клиентов предприятия.	§ Политики и Процедуры § Шифрование § Инструменты управления политикой
Невозможность отказа	Гарантирует, что и отправитель и получатель могут недвусмысленно доказать что между ними произошел обмен информацией	§ Цифровая подпись § Временная метка
Готовность (пригодность)	Гарантирует, что ИТ инфраструктура предприятия имеет соответствующую восстанавливаемость и защиту от отказов системы, стихийных бедствий или злонамеренных воздействий.	§ Резервирование § Балансировка нагрузки § Политики и Процедуры § План непрерывности бизнеса § Место альтернативной обработки данных

Доверие

“Доверие” – результат применения комбинации аутентификации, авторизации, целостности и невозможности отказа:
Пользователи это те, которые говорят что это они
Имели ли они право отправить сообщение
Сообщение не изменялось в процессе передачи между отправителем и получателем
Сообщение пришло только от отправителя

Угрозы информационной безопасности

Требования ИТ контроля устанавливаются таким образом , что бы предприятие могло защитить себя от уязвимостей используемых технических и программных средств.Воздействия уязвимостей при эксплуатации могут быть классифицированы на пять типов угроз:

1. Нарушение границ – нарушение условия невмешательства

2. Обнаружение – нарушение конфиденциальности, авторизации и секретности

3. Изменение – нарушение целостности

4. Отказ от обязательств – нарушение условия невозможности отказа. Отказ в связи с отклонением действительности транзакции

5. Отказ в обслуживании – нарушение пригодности

Данные требования ИТ контроля применяются для зашиты от угроз информационной безопасности. Реализация управления информационной безопасностью требует людских, технических и программных ресурсов. Большинство предприятий не могут определить количество расходов на информационную безопасность; с постоянно увеличивающимся списком уязвимостей, стоимость защиты предприятия продолжает расти. Следовательно, предприятия нуждаются в инструменте, который бы помогал отслеживать, управлять и анализировать их инвестиции.

Определение ИТ-безопасности для предприятия

Существует множество различных рисков ИТ-безопасности, в зависимости от специфики предприятия, соответственно необходимый уровень защиты также будет различаться. Факторы, влияющие на различие рисков:

Культура управления – менеджеры желающие принять на себя более высокие бизнес-риски нуждаются в большем количестве информации об этих рисках.
Классификация актива – планы по приобретению и слиянию, электронные активы, защищаемые законодательством о секретности и финансовые активы подвержены более высокому уровню угроз информационной безопасности, так как эта информация является наиболее желанной для недобросовестных сотрудников.
Технологическая среда – предприятие не имеющие связи с Интернетом не нуждается в брандмауэре; большее количество автоматизированных процессов и сетевых соединений создают большее количество точек доступа подлежащих защите от несанкционированного доступа/вторжения.
Внутренняя информация – техническая экспертиза не всегда может быть преобразована к аудиту информационной безопасности. Предприятие, возможно, не знает обо всей гамме угроз, которым оно подвержено и осуществление внешнего аудита может быть необходимым для полной защиты его среды.

Управление рисками информационной безопасности включает понимание и подготовку к потенциальной компрометации информационной безопасности и увеличению стоимости сокращения риска до приемлемого уровня. Риск может быть измерен в зависимости от уровня воздействия (низкий, средний, высокий) для следующих типов потерь:

Финансовых
Конкурентного преимущества
Юридических/Регулирующих
Операционных/Отказа в обслуживании
Репутации на рынке

Литература

1. R. Witty, J. Dubiel, J. Girard, J. Graff, A.Hallawell, B. Hildreth, N. MacDonald, W.Malik, J. Pescatore, M.Reynolds, K. Russell, A.Weintraub, V. Wheatman. The Price of Information Security. Gartner Research, Strategic Analysis Report, R-11-6534, 8 June 2001.

2. “ИТ-безопасность: никто не готов к новым угрозам”. http://www.cnews.ru/reviews/articles/index.shtml?2006/02/01/195291

3. Экономическая безопасность: экономические аспекты. http://www.jetinfo.ru/2003/10/1/article1.10.2003.html