Сергей Петренко - Политики безопасности компании при работе в Интернет
• управления доступом к системам,
• разработки и сопровождения систем,
• планирования бесперебойной работы организации,
• проверки системы на соответствие требованиям информационной безопасности.На основе проведенного анализа выбирается модель ТСО, сравнимая со средними и оптимальными значениями для репрезентативной группы аналогичных организаций, имеющих схожие с рассматриваемой организацией показатели по объему бизнеса. Такая группа выбирается из банка данных по эффективности затрат на информационную безопасность и эффективности соответствующих профилей защиты аналогичных компаний.
Сравнение текущего показателя ТСО проверяемой компании с модельным значением показателя ТСО позволяет провести анализ эффективности организации информационной безопасности компании, в результате выявить «узкие» места в организации и причины их появления и выработать дальнейшие шаги по реорганизации корпоративной системы защиты информации и обеспечению требуемого уровня защищенности КИС.
Формирование целевой модели ТСО. По результатам проведенного аудита моделируется целевая (желаемая) модель, учитывающая перспективы развития бизнеса и корпоративной системы защиты информации (активы, сложность, методы лучшей практики, типы СЗИ и СКЗИ, квалификация сотрудников компании и т. п.).
Кроме того, рассматриваются капитальные расходы и трудозатраты, необходимые для проведения преобразований текущей среды в целевую среду. В трудозатраты на внедрение включаются затраты на планирование, развертывание, обучение и разработку. Сюда же входят возможные временные увеличения затрат на управление и поддержку.
Для обоснования эффекта от внедрения новой корпоративной системы защиты информации (ROSI) могут быть использованы модельные характеристики снижения совокупных затрат (ТСО), отражающие возможные изменения в корпоративной системе защиты информации.Виды затрат на систему информационной безопасности
Затраты на информационную безопасность подразделяются на следующие категории:
1. Затраты на формирование и поддержание звена управления системой защиты информации (организационные затраты):
• затраты на приобретение и ввод в эксплуатацию программно-технических средств: серверов, компьютеров конечных пользователей (настольных и мобильных), периферийных устройств и сетевых компонентов;
• затраты на приобретение и настройку средств защиты информации;
• затраты на содержание персонала, стоимость работ и аутсорсинг;
• затраты на формирование политики безопасности предприятия.2. Затраты на контроль (определение и подтверждение достигнутого уровня защищенности ресурсов предприятия):
• затраты на контроль:
– плановые проверки и испытания;
– затраты на проверки и испытания программно-технических средств защиты информации;
– затраты на проверку навыков эксплуатации средств защиты персоналом предприятия;
– затраты на обеспечение работы лиц, ответственных за реализацию конкретных процедур безопасности по подразделениям;
– оплата работ по контролю правильности ввода данных в прикладные системы;
– оплата инспекторов по контролю требований, предъявляемых к защитным средствам при разработке любых систем (контроль выполняется на стадии проектирования и спецификации требований);
• внеплановые проверки и испытания:
– оплата работы испытательного персонала специализированных организаций;
– обеспечение испытательного персонала (внутреннего и внешнего) материально-техническими средствами;
• контроль за соблюдением политики информационной безопасности:– затраты на контроль реализации функций, обеспечивающих управление защитой коммерческой тайны;
– затраты на организацию временного взаимодействия и координации между подразделениями для решения конкретных повседневных задач;
– затраты на проведение аудита безопасности по каждой автоматизированной информационной системе, выделенной в информационной среде предприятия;
– материально-техническое обеспечение системы контроля доступа к объектам и ресурсам предприятия;
• затраты на внешний аудит:
– затраты на контрольно-проверочные мероприятия, связанные с лицензионно-разрешительной деятельностью в сфере защиты информации.
3. Внутренние затраты на ликвидацию последствий нарушений политики информационной безопасности (затраты, понесенные организацией в результате того, что требуемый уровень защищенности не был достигнут):
• пересмотр политики информационной безопасности предприятия (проводится периодически):
– затраты на идентификацию угроз безопасности;
– затраты на поиск уязвимостей системы защиты информации;
– оплата работы специалистов, выполняющих работы по определению возможного ущерба и переоценке степени риска;
• затраты на ликвидацию последствий нарушения режима информационной безопасности:
– восстановление системы безопасности до соответствия требованиям политики безопасности;
– установка патчей или приобретение последних версий программных средств защиты информации;
– приобретение технических средств взамен пришедших в негодность;
– проведение дополнительных испытаний и проверок технологических информационных систем;
– затраты на утилизацию скомпрометированных ресурсов;
• восстановление информационных ресурсов предприятия:
– затраты на восстановление баз данных и прочих информационных массивов;
– затраты на проведение мероприятий по контролю достоверности данных, подвергшихся атаке на целостность;
• затраты на выявление причин нарушения политики безопасности:
– затраты на проведение расследований нарушений политики безопасности (сбор данных о способах совершения, механизме и способах сокрытия неправомерного деяния, поиск следов, орудий, предметов посягательства, выявление мотивов неправомерных действий и т. д.);
– затраты на обновление планов обеспечения непрерывности деятельности службы безопасности;
• затраты на переделки:
– затраты на внедрение дополнительных средств защиты, требующих существенной перестройки системы безопасности;
– затраты на повторные проверки и испытания системы защиты информации.4. Внешние затраты на ликвидацию последствий нарушения политики информационной безопасности:
• внешние затраты на ликвидацию последствий нарушения политики безопасности:
– обязательства перед государством и партнерами;
– затраты на юридические споры и выплаты компенсаций;
– потери в результате разрыва деловых отношений с партнерами;
• потеря новаторства:
– затраты на проведение дополнительных исследований и разработки новой рыночной стратегии;
– отказ от организационных, научно-технических или коммерческих решений, ставших неэффективными в результате утечки сведений, и затраты на разработку новых средств ведения конкурентной борьбы;
– потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно-технические достижения;
• прочие затраты:
– заработная плата секретарей и служащих, организационные и прочие расходы, которые непосредственно связаны с предупредительными мероприятиями;
– другие виды возможного ущерба предприятию, в том числе связанные с невозможностью выполнения функциональных задач, определенных его уставом.5. Затраты на техническое обслуживание системы защиты информации и мероприятия по предотвращению нарушений политики безопасности предприятия (предупредительные мероприятия):
• затраты на управление системой защиты информации:
– затраты на планирование системы защиты информации предприятия;
– затраты на изучение возможностей информационной инфраструктуры предприятия по обеспечению безопасности информации ограниченного распространения;
– затраты на осуществление технической поддержки производственного персонала при внедрении средств защиты и процедур, а также планов по защите информации;
– проверка сотрудников на лояльность, выявление угроз безопасности;
– организация системы допуска исполнителей и сотрудников конфиденциального делопроизводства с соответствующими штатами и оргтехникой;
• регламентное обслуживание средств защиты информации:
– затраты, связанные с обслуживанием и настройкой программно-технических средств защиты, операционных систем и используемого сетевого оборудования;
– затраты, связанные с организацией сетевого взаимодействия и безопасного использования информационных систем;
– затраты на поддержание системы резервного копирования и ведения архива данных;
– проведение инженерно-технических работ по установлению сигнализации, оборудованию хранилищ конфиденциальных документов, защите телефонных линий связи, вычислительной техники и т. п.;