Как обосновать затраты на информационную безопасность?
Перепечатано с любезного разрешения ОАО ИнфоТеКС Интернет Траст
Исходный текст находится здесь.
Уровни зрелости компании
Gartner Group выделяет 4 уровня зрелости компании с точки зрения обеспечения информационной безопасности (ИБ):
· 0 уровень:
o ИБ в компании никто не занимается, руководство компании не осознает важности проблем ИБ;
o Финансирование отсутствует;
o ИБ реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам).
· 1 уровень:
o ИБ рассматривается руководством как чисто "техническая" проблема, отсутствует единая программа (концепция, политика) развития системы обеспечения информационной безопасности (СОИБ) компании;
o Финансирование ведется в рамках общего ИТ-бюджета;
o ИБ реализуется средствами нулевого уровня + средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN (традиционные средства защиты).
|
|
· 2 уровень:
o ИБ рассматривается руководством как комплекс организационных и технических мероприятий, существует понимание важности ИБ для производственных процессов, есть утвержденная руководством программа развития СОИБ компании;
o Финансирование ведется в рамках отдельного бюджета;
o ИБ реализуется средствами первого уровня + средства усиленной аутентификации, средства анализа почтовых сообщений и web-контента, IDS (системы обнаружения вторжений), средства анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, положения, процедуры, регламенты и руководства).
· 3 уровень:
o ИБ является частью корпоративной культуры, назначен CISA (старший офицер по вопросам обеспечения ИБ);
o Финансирование ведется в рамках отдельного бюджета;
o ИБ реализуется средствами второго уровня + системы управления ИБ, CSIRT (группа реагирования на инциденты нарушения ИБ), SLA (соглашение об уровне сервиса).
По информации Gartner Group (данные приводятся за 2001 год) процентное соотношение компаний применительно к описанным 4 уровням выглядит следующим образом:
0 уровень - 30%,
1 уровень - 55%,
2 уровень - 10 %,
3 уровень - 5 %.
Прогноз Gartner Group на 2005 год выглядит следующим образом:
0 уровень - 20%,
1 уровень - 35%,
2 уровень - 30 %,
3 уровень - 15 %.
Статистика показывает, что большинство компаний (55%) в настоящий момент внедрили минимально необходимый набор традиционных технических средств защиты (1 уровень).
При внедрении различных технологий и средств защиты часто возникают вопросы. Что внедрять в первую очередь, систему обнаружения вторжений или PKI инфраструктуру? Что будет более эффективно? Стивен Росс, директор Deloitte&Touche, предлагает следующий подход для оценки эффективности отдельных мер и средств обеспечения ИБ.
|
|
Исходя из приведенного графика видно, что наиболее дорогими и наименее эффективными являются специализированные средства (собственные или заказные разработки).
Ко второй категории относятся штатные средства защиты ОС, СУБД и традиционные средства защиты (уровень 0 и 1 по Gartner Group).
Наиболее дорогими, но в тоже время наиболее эффективными являются средства защиты 4 категории (уровень 2 и 3 по Gartner Group). Для внедрения средств данной категории необходимо использовать процедуру анализа риска. Анализ риска в данном случае позволит гарантировать адекватность затрат на внедрение существующим угрозам нарушения ИБ.
К наиболее дешевым, однако имеющим высокий уровень эффективности, относятся организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, план бесперебойной работы, положения, процедуры, регламенты и руководства).
Внедрение дополнительных средств защиты (переход на уровни 2 и 3) требует существенных финансовых вложений и соответственно обоснования. Отсутствие единой программы развития СОИБ, одобренной и подписанной руководством, обостряет проблему обоснования вложений в безопасность.
Анализ риска
В качестве такого обоснования могут выступать результаты анализа риска и статистика, накопленная по инцидентам.Механизмы реализации анализа риска и накопления статистики должны быть прописаны в политике ИБ компании.
Процесс анализа риска состоит из 6 последовательных этапов:
1. Идентификация и классификация объектов защиты (ресурсов компании, подлежащих защите);
2. Категорирование ресурсов;
3. Построение модели злоумышленника;
4. Идентификация, классификация и анализ угроз и уязвимостей;
5. Оценка риска;
6. Выбор организационных мер и технических средств защиты.
На этапе идентификации и классификации объектов защиты необходимо провести инвентаризацию ресурсов компании по следующим направлениям:
· Информационные ресурсы (конфиденциальная и критичная информация компании);
· Программные ресурсы (ОС, СУБД, критичные приложения, например ERP);
· Физические ресурсы (сервера, рабочие станции, сетевое и телекоммуникационное оборудование);
· Сервисные ресурсы (электронная почта, www и т.д.).
Категорирование заключается в определении уровня конфиденциальности и критичности ресурса. Под конфиденциальностью понимается уровень секретности сведений, которые хранятся, обрабатываются и передаются ресурсом. Под критичностью понимается степень влияния ресурса на эффективность функционирования производственных процессов компании (например, в случае простоя телекоммуникационных ресурсов компания - провайдер может разориться). Присвоив параметрам конфиденциальности и критичности определенные качественные значения, можно определить уровень значимости каждого ресурса, с точки зрения его участия в производственных процессах компании.
Для определения значимости ресурсов компании с точки зрения информационной безопасности можно получить следующую таблицу:
параметр/значение | критичный | существенный | незначительный |
строго конфиденциальный | 7 | 6 | 5 |
конфиденциальный | 6 | 5 | 5 |
для внутреннего пользования | 5 | 4 | 3 |
открытый | 4 | 3 | 2 |
Например, файлы с информацией об уровне зарплат сотрудников компании имеют значение "строго конфиденциально" (параметр конфиденциальности) и значение "незначительный" (параметр критичности). Подставив эти значения в таблицу, можно получить интегральный показатель значимости данного ресурса. Различные варианты методик категорирования приведены в международном стандарте ISO TR 13335.
|
|
Построение модели злоумышленника - это процесс классификации потенциальных нарушителей по следующим параметрам:
· Тип злоумышленника (конкурент, клиент, разработчик, сотрудник компании и т.д.);
· Положение злоумышленника по отношению к объектам защиты (внутренний, внешний);
· Уровень знаний об объектах защиты и окружении (высокий, средний, низкий);
· Уровень возможностей по доступу к объектам защиты (максимальные, средние, минимальные);
· Время действия (постоянно, в определенные временные интервалы);
· Место действия (предполагаемое месторасположение злоумышленника во время реализации атаки).
Присвоив перечисленным параметрам модели злоумышленника качественные значения можно определить потенциал злоумышленника (интегральную характеристику возможностей злоумышленника по реализации угроз).
Идентификация, классификация и анализ угроз и уязвимостей позволяют определить пути реализации атак на объекты защиты. Уязвимости - это свойства ресурса или его окружения, используемые злоумышленником для реализации угроз. Перечень уязвимостей программных ресурсов можно найти в сети интернет.
Угрозы классифицируются по следующим признакам:
· наименование угрозы;
· тип злоумышленника;
· средства реализации;
· используемые уязвимости;
· совершаемые действия;
· частота реализации.
Основной параметр - частота реализации угрозы. Она зависит от значений параметров "потенциал злоумышленника" и "защищенность ресурса". Значение параметра "защищенность ресурса" определяется путем экспертных оценок. При определении значения параметра принимается во внимание субъективные параметры злоумышленника: мотивация для реализации угрозы и статистика от попыток реализации угроз данного типа (в случае ее наличия). Результатом этапа анализа угроз и уязвимостей является оценка параметра "частота реализации" по каждой из угроз.
|
|
На этапе оценки риска определяется потенциальный ущерб от угроз нарушения информационной безопасности для каждого ресурса или группы ресурсов.
Качественный показатель ущерба зависит от двух параметров:
· Значимость ресурса;
· Частота реализации угрозы на этот ресурс.
Исходя из полученных оценок ущерба, обоснованно выбираются адекватные организационные меры и технические средства защиты.