Составляющие определения затрат на обеспечение ИБ

date image 2015-08-21
views image 2468
Поделись с друзьями: 
12345

1. Структурирование затрат на контроль ИБ ХС

2. Структурирование внутренних затрат на компенсацию нарушений политики ИБ ХС

3. Структурирование внешних затрат на компенсацию нарушений политики ИБ ХС.

4. Структурирование затрат на предупредительные мероприятия


14. Анализ и оценка эффективности затрат на информационную безопасность ХС

Аудит – это основной инструмент оценки эффективности корпоративной системы безопасности и ее соответствия потребностям бизнеса, а также оптимизации и планирования затрат на обеспечение информационной безопасности предприятия.

Анализ и оценка уровня защищенности ИС:

  • анализ полноты и содержания существующей организационно-распорядительной документации по защите информации
  • выделение основных информационных активов
  • определение уровня защищенности информационной системы
  • разработка модели угроз и нарушителя информационной безопасности
  • моделирование действий внешнего и внутреннего нарушителя
  • анализ и оценка рисков, связанных с угрозами безопасности информационных ресурсов заказчика

Для оценки возможного ущерба и затрат на ликвидацию последствий от реализации угроз используются следующие категории: стоимость восстановления и ремонта вычислительной техники, сетей и иного оборудования; упущенная (потенциальная) прибыль; ущерб от разглашения конфиденциальной информации; судебные издержки; потеря производительности труда; потери, связанные с простоем и выходом из строя оборудования.

Стоит обратить пристальное вниманием на результат пятилетнего исследования компанией Computer Economics (Окупаемость финансовых вложений в сетевую безопасность, Михаил Кадер, Cisco Systems, 2002г.), в котором отражен предполагаемый средний экономический ущерб от злоумышленных угроз в том случае, если не была обеспечена соответствующая защита информационных активов, сетей организации. В данном случае явно прослеживается тенденция того, что, чем сильнее предприятие зависит от информационных технологий, тем большим будет ущерб от действий злоумышленника.

1) упущенная прибыль – на эту категорию приходится большая доля экономического ущерба. В малых компаниях упущенная прибыль составляет приблизительно 50% от общего размера экономического ущерба, а в больших компаниях – приблизительно 80%;

2) стоимость замены, восстановления и ремонта вычислительной техники, сетей и иного оборудования составляет приблизительно 20% от экономического ущерба в небольших компаниях и 8% – в крупных компаниях;

3) потеря производительности – ущерб по данной категории составляет приблизительно 30% в небольших компаниях и 12% – в крупных компаниях.


15.Оптимизация затрат на информационную безопасность

Оптимизация стоимости владения системой должна осуществляться уже на этапах идентификации и оценки информационных рисков и определения вариантов по обработке рисков.

Оценка информационных рисков и формирование предложений по их обработке обычно предполагает проведение следующих работ: идентификацию и определение ценности информационных активов предприятия; определение всех требований к системе ИБ, то есть выявление угроз, уязвимостей, требований бизнеса; оценку вероятности реализации угроз, значимости юридических и бизнес требований; расчет риска и определение его приемлемого уровня; выбор вариантов обработки риска с учетом ценности соответствующих активов и возможного отрицательного воздействия на бизнес и т.д.

Обычно используются следующие виды действий по обработке выявленных рисков:

  • применение средств контроля, в соответствии с рекомендациями ISO/IEC 17779, позволяющих снизить уровень рисков до приемлемого уровня;
  • принятие существующего уровня рисков при условии, что он не противоречит политике ИБ организации и критериям приемлемости риска;
  • уход от рисков;
  • передача рисков другим сторонам (например, страхование риска).

Понятно, что при выборе соответствующего варианта действий критерий оптимизации ОСВ – один из ключевых.
В случае если организация принимает решение о снижении рисков ИБ путем использования средств контроля, то на этапе выбора этих средств появляется возможность оптимизировать стоимость владения системой ИБ путем выбора наиболее эффективных (с экономической точки зрения) мер защиты.
Основная возможность оптимизации ОСВ существует на стадии создания/модернизации двух базовых элементов системы ИБ: системы управления ИБ (СУИБ) и подсистем ИБ.

  • При проектировании СУИБ должны проводиться оценки стоимости поддержки системы ИБ. Для учета этих расходов необходимо разработать и проанализировать сценарии поддержки: соответствующие процессы и процедуры управления, роли, обязанности, трудозатраты и оклады сотрудников, участвующих в обеспечении ИБ. На данном этапе оптимизация ОСВ может осуществляться, например, путем совмещения функциональных обязанностей отдельных сотрудников, применения инструментальных средств и систем автоматизации управления ИБ, аутсорсинга услуг ИБ и т.д.
  • При создании подсистем ИБ (систем защиты периметра сети, обнаружения и предотвращения вторжений, антивирусной защиты, защиты от утечки информации и др.) существенной составляющей ОСВ выступают капитальные затраты. Методы по их сокращению очевидны: снижение стоимости решения за счет дополнительных скидок, оптимизация решения на этапе внедрения за счет каких-либо новых технологий или применение менее дорогостоящих продуктов другого вендора. Учитывая довольно значительный разброс цен предлагаемых на рынке программно-технических средств защиты, важность проведения оптимизации ОСВ на данной стадии трудно переоценить. Проведение оценки ОСВ для различных вариантов реализации подсистем ИБ позволит выбрать наиболее приемлемое по стоимости и функциональности решение. Также следует учесть, что стоимость решения не должна превышать стоимость вероятного ущерба в результате реализации угроз к защищаемым этой системой информационным активам. Поэтому оценка ОСВ обязательно должна влкючать риск-анализ.
    В заключение хотелось бы отметить, что описанная методика оценки общей стоимости владения для систем ИБ, с учетом приведенных предложений по ее доработке, и возможности по оптимизации ОСВ помогут исполнительным директорам, руководителям служб автоматизации и информационной безопасности более детально обосновать бюджет, определить все виды затрат на создание/развитие и обеспечение функционирования системы ИБ. Цель применения этих инструментов – структурировать и определить существующие и предполагаемые затраты, оценить их целесообразность и наметить пути оптимизации общей стоимости владения системой ИБ.

16. Программная защита информации

Программная защита информации – система специальных программ, включаемых в состав программного обеспечения, реализующих функции защиты информации. Защитный программный код может выступать как отдельно, в качестве отдельного защитного программного продукта, так и включаться в состав других, многофункциональных программ, с целью защиты обрабатываемых ими данных или самозащиты от вредоносного кода.

Программные средства защиты информации делятся на типы так:

  • Контроль доступа
  • Анти-кейлоггеры
  • Анти-шпионы (anti-spyware)
  • Анти-эксплуататоры (anti-subversion)
  • Анти-модификаторы (anti-tampering)
  • Антивирусы
  • Шифрование
  • Брандмауэры (firewall)
  • Системы обнаружения вторжений
  • Системы предотвращения вторжений
  • Песочница

Альтернативный вариант ответа:

П рограммными называются средства защиты данных, функционирующие в составе программного обеспечения. Среди них можно выделить и подробнее рассмотреть следующие:

  • средства архивации данных (RAR, ZIP);
  • антивирусные программы;
  • криптографические средства;
  • средства идентификации и аутентификации пользователей;
  • средства управления доступом;
  • протоколирование и аудит.

К ак примеры комбинаций вышеперечисленных мер можно привести:

  • защиту баз данных;
  • защиту информации при работе в компьютерных сетях.

17. Дополнительные программные средства защиты

Встроенные СЗИ – сертифицированные СЗИ, встроенные в общесистемное программное обеспечение, обеспечивающие выполнение национальных требований к безопасности информации ограниченного доступа.

Дополнительные СЗИ – специальные сертифицированные продукты или пакеты безопасности, которые устанавливаются на общесистемное программное обеспечение в целях соответствия национальным требованиям к безопасности информации ограниченного доступа.

СЗИ – средства защиты информации.

Собственно, это из вопроса выше. Всё, что НЕ встроенное.


18.Программно-аппаратная защита информации

Программно-аппаратная защита используется для защиты про­граммного обеспечения от несанкционированного (неавторизованного) доступа и нелегального использования. Защит­ный механизм программным образом опрашивает специальное уст­ройство, используемое в качестве ключа, и работает только в его присутствии. Таким образом, механизм программно-аппаратной за­щиты содержит две составляющие:

1) аппаратное устройство (аппаратная часть);

2) программный модуль (программная часть).

Поэтому обычно говорят о системах программно-аппаратной защиты.

Очевидно, что стоимость такого механизма превышает стоимость программной защиты, причем стоимость аппаратной части, как правило, превышает стоимость программной части. По этой причине программно-аппаратная защита считается привилегией корпоративных заказчиков, так как для индивидуального пользователя часто неприемлема с экономической точки зрения.

Обратим внимание на то, что по существу программно-аппаратная защита не является защитой программ от нелегального распространения и использования. Не станет заказчик программы оплачивать дорогую аппаратуру только ради соблюдения авторских прав разработчика. Но если программный продукт снабжен модулем, предназначенным для защиты от несанкционированного доступа к данным и информации пользователя, то заказчик, как правило, готов платить за аппаратуру, повышающую надежность такой защиты.

Система защиты от несанкционированного доступа к данным реализована таким образом, что осуществляет проверку легальности пользователя при работе с программным обеспечением и тем самым косвенно препятствует и незаконному использованию программы.

Кроме того, современные аппаратные устройства (ключи), помимо информации о законном пользователе, могут содержать также информацию о программном продукте. А системы программно-аппаратной защиты, кроме аутентификации пользователя, могут производить аутентификацию приложения.

Поэтому системы программно-аппаратной защиты от несанкционированного доступа могут служить в то же время и для защиты авторских прав разработчиков программ.

Системы программно-аппаратной защиты широко используются на практике и многими пользователями признаются надежным средством.

Рассмотрим основные моменты защиты информации от несанкционированного доступа. Речь идет о таком порядке работы, при котором

1) доступ к информации имеет только тот пользователь, который имеет разрешение;

будем называть такого пользователя законным;

2) каждый законный пользователь работает только со своей информацией и не имеет доступа к информации другого законного пользователя;

3) каждый законный пользователь может выполнять только те операции, которые ему разрешено выполнять.

Для организации такого порядка работы прежде всего необходимо обеспечить распознавание законного пользователя. Этот процесс часто называют авторизацией пользователя.

Авторизация пользователя включает три этапа.

1. Идентификация пользователя.

2. Аутентификация пользователя.

3. Непосредственно авторизация пользователя.

Идентификация пользователя (identification) - это, с одной стороны, присвоение пользователю идентификатора - некоторого уникального признака (или нескольких); с другой стороны, процесс, во время которого пользователь указывает присвоенный ему идентификатор.

Другими словами, идентификация - это процесс, при котором пользователь называет себя.

Аутентификация пользователя (от англ. autentication - установление подлинности) - установление подлинности пользователя на основе сравнения с эталонным идентификатором.

Авторизация пользователя - установление прав пользователя.

Авторизованный пользователь (авторизованное лицо) - пользователь (лицо), который получил определенные права на работу с информацией.

В процессе авторизации для законного пользователя определяются права пользователя, то есть определяются данные, с которыми ему разрешено работать; операции, которые ему разрешено выполнять и т.п.

Идентификация пользователя может быть основана

· на знании некоторой секретной информации (пароль, код);

· на владении некоторым специальным предметом или устройством (магнитная карточка, электронный ключ);

· на биометрических характеристиках (отпечатки пальцев, сетчатка глаза, спектральный состав голоса и т.п.).

Аутентификация пользователя обычно реализуется по одной из двух схем: простая PIN-аутентификация или защищенная PIN-аутентификация. Обе схемы основаны на установлении подлинности пользователя посредством сравнения PIN-кода пользователя (PIN -Personal identification number, персональный идентификационный номер) с эталоном.

При простой PIN-аутентификации PIN-код просто посылается в ключ (смарт-карту); ключ (смарт-карта) сравнивает его с эталоном, который хранится в его (ее) памяти, и принимает решение о дальнейшей работе.

Процесс защищенной PIN-аутентификации реализуется по следующей схеме:

· защищенное приложение посылает запрос ключу (смарт-карте) на PIN-аутентификацию;

· ключ (смарт-карта) возвращает случайное 64-разрядное число;

· приложение складывает это число по модулю 2 с PIN-кодом, который ввел владелец ключа (смарт-карты), зашифровывает его DES-алгоритмом на специальном ключе аутентификации и посылает результат ключу (смарт-карте);

· ключ (смарт-карта) осуществляет обратные преобразования и сравнивает результат с тем, что хранится в его (ее) памяти.

В случае совпадения считается, что аутентификация прошла успешно и пользователь (приложение) может продолжать работу.

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

12345

double arrow
Сейчас читают про:

article image
Причины чеченской войны
article image
Взаимодействие аллельных и неаллельных генов. Явление плейотропии
article image
Общая экономико-географическая характеристика США
article image
Внутренние и внешние функции государства
article image
Формы и методы осуществления функций государства
article image
Признаки и понятия правового государства. Понятие, признаки и пути формирования правового государства
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Мудрость – не результат образования, а результат продолжающейся всю жизнь попытки обрести ее. © Эйнштейн ==> читать все изречения...
like icon 6179
like icon 6097
Понравился сайт? Поделись им с друзьями: