Сергей Петренко - Политики безопасности компании при работе в Интернет
Методика Return on Investment for Security
Ранее мы определились с методами оценки экономической целесообразности затрат на систему информационной безопасности: расходную часть мы рассчитали с помощью программного продукта ТСО Manager и получили текущий и целевой показатели совокупной стоимости владения. Сейчас мы оценим доходную часть, объединяя метод ожидаемых потерь с таблицей оценки угроз и риска.
Первым шагом является построение таблицы TRA. Но прежде дадим краткое описание контрмер по обеспечению информационной безопасности.
Контрмеры по обеспечению безопасности направлены на достижение следующих эффектов: уменьшение вероятности происхождения инцидента и/или уменьшение последствий, если инцидент все равно случается. Меры, снижающие вероятность, называются профилактическими, а меры, снижающие последствия, называются лечебными. Примеры контрмер обоих типов представлены в табл. П5.16.
Таблица П5.16. Типы контрмер безопасностиПусть вероятность происшествия описана семью уровнями – от «незначительного» до «экстремального». Определим эти уровни в следующей таблице (табл. П5.17). Таблица П5.17. Преобразованные вероятности угроз к ежегодной частоте
Последствия от нарушения политики безопасности также описаны шестью уровнями – от «несущественного» к «критическому», и каждому уровню соответствуют потери в случае ликвидации нарушений, которые определены экспертами Gartner Group (см. табл. П5.18). Таблица П5.18. Последствия, преобразованные в стоимость ликвидации нарушений
Теперь рассчитаем показатель ALE для ЗАО «Страхование», используя форму таблицы TRA (см. табл. П5.19), в которой сопоставляются вероятности угроз, степень тяжести нарушения и частота событий. Следует отметить, что показатель ALE мы вычисляем согласно формуле:
ALE = f × L, где:
f – частота возникновения потенциальной угрозы, уровень которой определяется на основании вероятности (см. табл. П5.17).
L – величина потерь в рублях, которая определяется на основании степени тяжести нарушения (см. табл. П5.18).
Таблица П5.19. Расчет показателя ожидаемых потерь для ЗАО «Страхование» ...Примечание: потенциальные угрозы, указанные в табл. для ЗАО «Страхование», определены согласно рекомендациям эксперта в области информационной безопасности.
Следующим шагом обоснования инвестиций в систему информационной безопасности является проведение анализа возврата инвестиций (см. табл. П5.21). Для этого сначала определим затраты на внедрение системы информационной безопасности.
Чтобы обеспечить должный уровень безопасности, в ЗАО «Страхование» необходимо внедрить следующие элементы системы информационной безопасности: систему защиты шлюзов Интернета, систему антивирусной защиты файловых серверов и рабочих станций и систему защиты корпоративной электронной почты. Руководством в качестве поставщика решений была выбрана компания Trend Micro, которая предоставляет широкий спектр решений в области информационной безопасности для предприятий различного масштаба.
Затраты на внедрение комплекса решений Trend Micro приведены в табл. П5.20.
Таблица П5.20. Инвестиции в систему корпоративной защиты для ЗАО «Страхование»
Период окупаемости инвестиционных проектов, связанных с внедрением информационных технологий, не должен превышать трех лет, поэтому период оценки эффективности данного проекта внедрения равен трем годам. Обозначим показатели оценки:
Свн – затраты на внедрение;
Сл – затраты на покупку лицензий;
С пр – затраты на проектные работы;
Ci – затраты на техническую поддержку;
ТСОт – текущий показатель ТСО (из отчетов ТСО Manager);
ТСОц – целевой показатель ТСО (из отчетов ТСО Manager);
ТСОф – фактический показатель ТСО;
AS – ежегодные сбережения;
В – выгоды при оптимизации показателя ТСО;
CF – денежный поток;
r – ставка дисконтирования;
NPV3 – чистая приведенная стоимость затрат на проект внедрения; NPVfl – чистая приведенная стоимость доходов от проекта внедрения.
Затраты на внедрение системы защиты информации рассчитываются по следующей формуле:Выгоды от оптимизации текущего показателя ТСО вычисляются по формуле:
Чистая приведенная стоимость затрат на проект внедрения и доходов от проекта внедрения рассчитываются по следующим формулам:
В первом случае роль денежного потока играют затраты на внедрение, а во втором – это выгоды от оптимизации показателя ТСО и внедрения корпоративной системы защиты. Таблица П5.21. Расчет показателей возврата инвестиций в систему информационной безопасности для ЗАО «Страхование»
...Примечание: ставка дисконтирования равна ставке рефинансирования Центрального банка РФ (14 %).
Внутренняя норма рентабельности рассчитывается при NPV, равном нулю. Расчет точки безубыточности проекта внедрения корпоративной системы информационной безопасности выполнен графически (см. рис.), и точка безубыточности равна 1,6 года.
...Рис. Расчет точки безубыточности проекта внедрения системы информационной безопасности
Таким образом, проект внедрения корпоративной системы информационной безопасности можно считать экономически выгодным, так как чистая приведенная стоимость доходов от проекта внедрения положительна и больше чистой приведенной стоимости затрат на проект внедрения в 2,9 раза.
Приложение 6 ПРИМЕРЫ МЕТОДИЧЕСКИХ МАТЕРИАЛОВ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Инструкция для администратора безопасности сети
Администратор безопасности сети компании X назначается из числа наиболее подготовленных системных администраторов, владеющих сетевыми технологиями на основе ТСР/IР-протокола.
Он отвечает за корректное функционирование брандмауэров, настройку и поддержание в работоспособном состоянии серверов и клиентов, а также за реализацию политики безопасности сети.
Администратор безопасности сети подчиняется начальнику ИТ-службы и его заместителю, а при организации группы интернет-технологий – руководителю группы.
Администратор безопасности сети обязан:
• администрировать брандмауэр преимущественно с локального терминала;
• использовать усиленную аутентификацию и сквозное шифрование трафика в случае удаленного соединения с брандмауэром;
• не использовать брандмауэр как сервер общего назначения;
• создавать ежедневные, еженедельные и ежемесячные архивные копии системных программ брандмауэра;
• при наличии «зеркального «брандмауэра поддерживать его в «холодном» резерве;
• контролировать все разрешенные соединения с внешними сетями;
• периодически проверять и удалять неиспользуемые логины пользователей;
• вести системный журнал соединений с внешними сетями;
• по указанию руководителя группы удалять все параметры ненужного соединения;
• использовать механизм шифрования при работе с частными виртуальными сетями, VPN;
• контролировать все утвержденные VPN-соединения;
• поддерживать механизмы распределения и администрирования ключей шифрования при эксплуатации VPN-соединений;
• администрировать все основные, вторичные или кэшируемые DNS-серверы;
• ежедневно, еженедельно и ежемесячно обновлять и хранить в установленном месте данные для проверки целостности брандмауэра; документировать параметры конфигурации брандмауэра в рабочих журналах;
• создавать ежедневные, еженедельные и ежемесячные отчеты для анализа сетевой активности;
• каждую неделю анализировать таблицы состояния брандмауэра для выявления следов атак;
• в случае атаки немедленно прибыть к локальному терминалу брандмауэра и предпринять необходимые контрмеры;
• обнаруживать попытки сканирования или зондирования брандмауэра сети; блокировать работу всех типов программ, представляющих угрозу безопасности сети;
• при выявлении факта проникновения поставить в известность руководителя группы и с его разрешения отключить брандмауэр сети от Интернета. Переконфигурировать брандмауэр и подключиться к Интернету; придерживаться рекомендаций производителя брандмауэра в отношении мощности процессора и объема оперативной памяти; производить оценку возможностей каждой новой версии брандмауэра на предмет необходимости установления доработок;
• оперативно модифицировать исполняемый код брандмауэра по рекомендациям его производителя;
• получать модули доработки брандмауэра только у его производителя; подписаться на список рассылки производителя брандмауэра или другим доступным способом получать информацию обо всех требуемых доработках; выявлять недокументированные возможности брандмауэра и уметь их парировать при его эксплуатации;