*99300*
Об
экономической эффективности системы
информационной безопасности
Жангисина Г.Д., д.п.н., профессор, зав.кафедрой «Вычислительная техника»
КазНТУ им.К.И.Сатпаева(г. Алматы, РК)
Джурунтаев Дж.З., д.т.н.,
профессор кафедры «Вычислительная
техника» КазНТУ им.К.И.Сатпаева(г. Алматы, РК)
Жолымбет Б.Ш., к.т.н., доцент
кафедры»Вычислительная техника»
КазНТУ им.К.И.Сатпаева(г. Алматы, РК)
Шайкулова А., к.т.н., ст.преподаватель кафедры «Вычислительная
техника» КазНТУ им.К.И.Сатпаева(г. Алматы, РК)
Жандыбаева М.А., ст.преподаватель кафедры «Вычислительная техника»
КазНТУ им.К.И.Сатпаева (г. Алматы, РК)
Мишина А.Е., PHD, КазНТУ
им.К.И.Сатпаева
Павликов Р.В., Сиб-08-1р, КазНТУ им.К.И.Сатпаева
Согласно отчету
компании Gartner, ИТ-безопасность входит в
число основных приоритетов в бизнесе и фактически возглавляет список
технологических приоритетов организаций на 2011 год. Вдобавок, в 2012 году
возрастет по всему миру в среднем на 4,5% финансирование проектов
ИТ-безопасности. Как считают эксперты, эти проекты смогут через совместимость с
нормативными актами повысить конкурентоспособность организаций и привести к
росту бизнеса”.. Тенденция к развитию системы информационной безопасности
предприятиями очевидна и вполне понятна, постоянно растущая конкуренция между
предприятиями заставляет их постоянно развивать свой бизнес, внедряя новые
технологические решения, основная доля которых приходится на информационные
технологии. Так успешный и перспективный бизнес сегодня ассоциируется, прежде
всего, с электронной коммерцией, которая позволяет расширить ареал бизнес
деятельности предприятия, что в свою очередь, повышает степень интеграции
деловой активности между предприятиями, увеличивая тем самым степень риска ИБ.
Но угрозы, возникающие при использовании сети Интернет по данным ежегодного
отчета "Global Information Security Survey
2010" международной компании Ernst&Young на данный момент не являются
основным стимулом развития системы информационной безопасности на предприятиях,
хотя число вирусных инцидентов и активизация хакеров в 2011 году существенно
возросли. Две трети респондентов по данным этого отчета посчитали совместимость
с нормативными актами главным стимулом развития информационной безопасности
(ИБ).
Инвестиции в проекты ИТ-безопасности будут увеличиваться. При этом перед техническими специалистами, а также начальниками служб информационной безопасности стоит задача обоснования эффективности таких затрат, т.е. определение стоимости системы ИБ для бизнеса. Существует достаточно много методик определения эффективности системы ИБ каждая, из которых имеет свои преимущества и недостатки. Рассмотрим одну из наиболее известных методик оценки эффективности затрат, методику совокупной стоимости владения TCO (Total Cost of Ownership – совокупная стоимость владения). В мире существует достаточно много методик расчета совокупной стоимости владения.
Методика расчета TCO заключается в учете и оценке всех активов предприятия, капитальных и переменных затрат на технические средства, помещения, персонал и т.д. В TCO для ИБ необходимо учитывать еще и угрозы и риски связанные с функционированием информационной системы предприятия, а также негативных внешних факторов способных привести к осуществлению угрозы ИБ используя уязвимости ресурсов информационной системы предприятия.
Определение ИТ-безопасности для предприятия
ИБ определяется по-разному для различных предприятий и для каждого структурного элемента одного и того же предприятия. Часто, внедряемые методы контроля для достижения определенного уровня ИБ выбираются и управляются различными составными частями предприятия. Например:
· Обычно ИБ в компании базируется на использование Брандмауэра и управлении доступом.
· Приватность рассматривается в контексте законодательства, связей с общественностью и управления предприятием.
· В рамках бизнес процесса ответственность разделена. Часто это ответственность групп занимающихся ИБ; на других предприятиях это отдельная функция возложена финансового директора или директора по производственным вопросам.
Требования к ИТ контролю
Поскольку угрозы и риски связанные Интернет торговлей растут, предприятия сталкиваются с увеличивающимся количеством методов контроля для внедрения новых бизнес моделей. В большинстве случаях эти методы внедряются, несмотря на требования к информационной безопасности, которые небыли адекватно решены. Большинство предприятий чрезмерно концентрируются на своем внешнем периметре, не предпринимая эффективных мер по защите ключевых данных внутри предприятия.
В таблице 1 приведен краткий перечень требований ИТ контроля.
Таблица 1
Требование |
Определение |
Контроль безопасности |
Невмешательство |
Гарантирует, что контроль осуществлен по входу с использованием электронных активов предприятия. |
§ Пользовательский идентификатор/Пароль § Брандмауэр § Неразглашение паролей § UCC4A Несанкционированное Использование Баннеров |
Аутентификация |
Обеспечивает, что пользователи и приложения соответственно идентифицированы перед получением доступа к информационным активам |
§ Пользовательский идентификатор/Пароль § Пакет данных § Биометрическое устройство § Сертификат Открытого Ключа § Местоположение |
Авторизация |
Обеспечивает, что должным образом идентифицированный пользователь/приложение может обратиться только к тем ресурсам ИТ, к которым владелец информационных ресурсов открыл доступ. |
§ Список Прав Доступа § Атрибуты Сертификатов |
Конфиденциальность |
Гарантирует, что только те люди, которым предназначена информация в состоянии ее увидеть |
§ Шифрование |
Целостность |
Гарантирует, что в случае изменения транзакции между отправителем и получателем это будет идентифицировано |
§ Код подлинности сообщения (MAC)/Hash |
Секретность |
Гарантирует, что информация, предоставляемая служащими, клиентами и другими защищена таким образом, чтобы информация использовалась исключительно в соответствии с политикой секретности клиентов предприятия. |
§ Политики и Процедуры § Шифрование § Инструменты управления политикой |
Невозможность отказа |
Гарантирует, что и отправитель и получатель могут недвусмысленно доказать что между ними произошел обмен информацией |
§ Цифровая подпись § Временная метка |
Готовность (пригодность) |
Гарантирует, что ИТ инфраструктура предприятия имеет соответствующую восстанавливаемость и защиту от отказов системы, стихийных бедствий или злонамеренных воздействий. |
§ Резервирование § Балансировка нагрузки § Политики и Процедуры § План непрерывности бизнеса § Место альтернативной обработки данных |
Доверие
Угрозы информационной безопасности
Требования ИТ контроля устанавливаются таким образом , что бы предприятие могло защитить себя от уязвимостей используемых технических и программных средств.Воздействия уязвимостей при эксплуатации могут быть классифицированы на пять типов угроз:
1. Нарушение границ – нарушение условия невмешательства
2. Обнаружение – нарушение конфиденциальности, авторизации и секретности
3. Изменение – нарушение целостности
4. Отказ от обязательств – нарушение условия невозможности отказа. Отказ в связи с отклонением действительности транзакции
5. Отказ в обслуживании – нарушение пригодности
Данные требования ИТ контроля применяются для зашиты от угроз информационной безопасности. Реализация управления информационной безопасностью требует людских, технических и программных ресурсов. Большинство предприятий не могут определить количество расходов на информационную безопасность; с постоянно увеличивающимся списком уязвимостей, стоимость защиты предприятия продолжает расти. Следовательно, предприятия нуждаются в инструменте, который бы помогал отслеживать, управлять и анализировать их инвестиции.
Определение ИТ-безопасности для предприятия
Существует множество различных рисков ИТ-безопасности, в зависимости от специфики предприятия, соответственно необходимый уровень защиты также будет различаться. Факторы, влияющие на различие рисков:
Управление рисками информационной безопасности включает понимание и подготовку к потенциальной компрометации информационной безопасности и увеличению стоимости сокращения риска до приемлемого уровня. Риск может быть измерен в зависимости от уровня воздействия (низкий, средний, высокий) для следующих типов потерь:
· Финансовых
· Конкурентного преимущества
· Юридических/Регулирующих
· Операционных/Отказа в обслуживании
· Репутации на рынке
Литература
1. R. Witty, J. Dubiel, J. Girard, J. Graff, A.Hallawell, B. Hildreth,
N. MacDonald, W.Malik, J. Pescatore, M.Reynolds, K. Russell, A.Weintraub, V.
Wheatman. The Price of Information Security. Gartner Research, Strategic
Analysis Report, R-11-6534, 8 June 2001.
2. “ИТ-безопасность: никто не готов к новым угрозам”. http://www.cnews.ru/reviews/articles/index.shtml?2006/02/01/195291
3. Экономическая безопасность: экономические аспекты. http://www.jetinfo.ru/2003/10/1/article1.10.2003.html