Научная статья на тему 'Определение бюджета для реализации проекта системы менеджмента информационной безопасности на основании оценки последствий инцидентов'

Определение бюджета для реализации проекта системы менеджмента информационной безопасности на основании оценки последствий инцидентов Текст научной статьи по специальности «Экономика и бизнес»

CC BY
346
106
i Надоели баннеры? Вы всегда можете отключить рекламу.
Журнал
iPolytech Journal
ВАК
Область наук
Ключевые слова
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ (ИБ) / СИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ (СМИБ) / INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) / РЕЗУЛЬТАТИВНОСТЬ / EFFECTIVENESS / МЕТРИКИ ИБ / IT-SECURITY METRICS / ИНЦИДЕНТЫ ИБ / IT-SECURITY INCIDENTS / МЕРЫ (СРЕДСТВА) ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ / INFORMATION SECURITY (IT-SECURITY) / МЕНЕДЖМЕНТ РИСКОВ / RISK MANAGEMENT / IT-SECURITY MEASURES (MEANS)

Аннотация научной статьи по экономике и бизнесу, автор научной работы — Лившиц Илья Иосифович, Лонцих Павел Абрамович, Никифорова Ксения Александровна

Кратко рассмотрена проблема формирования экономических оценок процессов обеспечения ИБ. Данная проблема имеет важное значение, так как в настоящее время применяются разноплановые подходы при обосновании бюджета для нормального функционирования СМИБ. Основное внимание обращено на сложности формирования оценок затрат для обеспечения требуемого бизнесом уровня ИБ в условиях отсутствия приемлемых (признанных) отраслевых метрик ИБ и проблем при достоверной оценке результативности СМИБ. С учетом поставленной проблемы предложены формулы расчета бюджета для реализации проекта СМИБ на основании оценки последствий инцидентов ИБ и результативности различных применяемых мер (средств) обеспечения ИБ. Дополнительно рассмотрен практический кейс, поясняющий расчет для конкретной моделируемой ситуации. Предложенная численная оценка затрат на обеспечение ИБ основывается на применении метрик ИБ (оценки результативности мер и средств обеспечения ИБ), использует оценки последствий инцидентов ИБ (подтвержденные объективными данными аудитов) и позволяет формировать общую оценку бюджета для реализации проекта СМИБ с целью обеспечить заданный высшим руководством уровень обеспечения ИБ. Данные результаты могут найти применение при формировании, экспертизе, оптимизации и документированном обосновании бюджетов СМИБ, формируемых с целью достижения требуемого уровня обеспечения ИБ в различных организациях.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по экономике и бизнесу , автор научной работы — Лившиц Илья Иосифович, Лонцих Павел Абрамович, Никифорова Ксения Александровна

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

BUDGET DETERMINATION FOR INFORMATION SECURITY MANAGEMENT SYSTEM PROJECT IMPLEMENTATION BASED ON INCIDENT CONSEQUENCE EVALUATION

The present paper summarizes the problem of IT-Security process economic evaluation formation. This problem has importance since diverse approaches are applied currently to budget justification for normal ISMS functioning. The main focus is on the complexity of cost estimation formation for IT-Security level formation in accordance with business requirements under the absence of acceptable industry metrics of IT-Security for accurate ISMS efficiency evaluation. With allowance for the set problem, the authors propose some formula for calculation of the budget for ISMS project implementation based on the evaluation of IT-Security incident consequences and the efficiency of different measures used to ensure information security. Moreover, a practical case explaining the calculation for a particular simulated situation is considered. The proposed numerical estimation of costs for IT-Security provision is based on the use of IT-Security metrics (efficiency assessments of measures and means of IT-Security provision). It also uses evaluations of IT-Security incident consequences (confirmed by objective audit data) and allows to form a general budget assessment for ISMS project implementation in order to ensure the level of IT-Security specified by senior management. The obtained results can be applied in the formation, expertise, optimization and justification of ISMS budgets formed with the purpose of achievement of the required level of IT-Security in various organizations.

Текст научной работы на тему «Определение бюджета для реализации проекта системы менеджмента информационной безопасности на основании оценки последствий инцидентов»

УДК 004.94

ОПРЕДЕЛЕНИЕ БЮДЖЕТА ДЛЯ РЕАЛИЗАЦИИ ПРОЕКТА СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ОСНОВАНИИ ОЦЕНКИ ПОСЛЕДСТВИЙ ИНЦИДЕНТОВ

19 Я

© И.И. Лившиц1, П.А. Лонцих2, К.А. Никифорова3

1ООО «Газинформсервис»,

198096, Россия, г. Санкт-Петербург, ул. Кронштадтская, 10, «А». 2Иркутский национальный исследовательский технический университет, 664074, Россия, г. Иркутск, ул. Лермонтова, 83. 3Санкт-Петербургский национальный исследовательский университет информационных технологий, механики и оптики, 197101, Россия, г. Санкт-Петербург, Кронверкский проспект, 49.

Кратко рассмотрена проблема формирования экономических оценок процессов обеспечения ИБ. Данная проблема имеет важное значение, так как в настоящее время применяются разноплановые подходы при обосновании бюджета для нормального функционирования СМИБ. Основное внимание обращено на сложности формирования оценок затрат для обеспечения требуемого бизнесом уровня ИБ в условиях отсутствия приемлемых (признанных) отраслевых метрик ИБ и проблем при достоверной оценке результативности СМИБ. С учетом поставленной проблемы предложены формулы расчета бюджета для реализации проекта СМИБ на основании оценки последствий инцидентов ИБ и результативности различных применяемых мер (средств) обеспечения ИБ. Дополнительно рассмотрен практический кейс, поясняющий расчет для конкретной моделируемой ситуации. Предложенная численная оценка затрат на обеспечение ИБ основывается на применении метрик ИБ (оценки результативности мер и средств обеспечения ИБ), использует оценки последствий инцидентов ИБ (подтвержденные объективными данными аудитов) и позволяет формировать общую оценку бюджета для реализации проекта СМИБ с целью обеспечить заданный высшим руководством уровень обеспечения ИБ. Данные результаты могут найти применение при формировании, экспертизе, оптимизации и документированном обосновании бюджетов СМИБ, формируемых с целью достижения требуемого уровня обеспечения ИБ в различных организациях. Ключевые слова: информационная безопасность (ИБ); система менеджмента информационной безопасности (СМИБ); результативность; метрики ИБ; инциденты ИБ; меры (средства) информационной безопасности; менеджмент рисков.

BUDGET DETERMINATION FOR INFORMATION SECURITY MANAGEMENT SYSTEM PROJECT IMPLEMENTATION BASED ON INCIDENT CONSEQUENCE EVALUATION I.I. Livshitz, P.A. Lontsikh, K.A. Nikiforova

Gazinformservice JSC,

10 lit.A, Kronshtadskaya St., St. Petersburg, 198096, Russia. Irkutsk National Research Technical University, 83 Lermontov St., Irkutsk, 664074, Russia.

St. Petersburg National Research University of Information Technologies, Mechanics and Optics, 49 Kronverksky pr., St. Petersburg, 197101, Russia.

The present paper summarizes the problem of IT-Security process economic evaluation formation. This problem has importance since diverse approaches are applied currently to budget justification for normal ISMS functioning. The main focus is on the complexity of cost estimation formation for IT-Security level formation in accordance with business requirements under the absence of acceptable industry metrics of IT-Security for accurate ISMS efficiency evaluation. With allowance for the set problem, the authors propose some formula for calculation of the budget for ISMS project implementation based on the evaluation of IT-Security incident consequences and the efficiency of different measures used to ensure information security. Moreover, a practical case explaining the calculation for a particular simulated situation is considered. The proposed numerical estimation of costs for IT-Security provision is based on the use of IT-Security metrics (efficiency assessments of measures and means of IT-Security provision). It also uses evaluations of IT-Security incident consequences (confirmed by objective audit data) and allows to form a general budget assessment for ISMS

1Лившиц Илья Иосифович, кандидат технических наук, ведущий аналитик, тел.: (812) 9344846, e -mail: [email protected] Livshitz Iliya, Candidate of technical sciences, Leading Analyst, tel.: (812) 93AA8A6, e-mail: [email protected]

2Лонцих Павел Абрамович, доктор технических наук, профессор, зав. кафедрой управления качеством и механики, руководитель Иркутского филиала ассоциации по сертификации «Русский Регистр», тел.: (3952) 405179, e-mail: [email protected] Lontsykh Pavel, Doctor of technical sciences, Professor, Head of the Department of Quality Management and Mechanics, Head of the Irkutsk Branch of the Certification Association "Russian Register", tel.: (3952) 405179, e-mail: [email protected]

3Никифорова Ксения Александровна, кафедра безопасности информационных технологий, тел.: 79219278587, e-mail: [email protected]

Nikiforova Ksenia, Department of Information Technology Security, tel.: 79219278587, e-mail: [email protected]

project implementation in order to ensure the level of IT-Security specified by senior management. The obtained results can be applied in the formation, expertise, optimization and justification of ISMS budgets formed with the purpose of achievement of the required level of IT-Security in various organizations.

Keywords: information security (IT-Security); information security management system (ISMS); effectiveness; IT-Security metrics; IT-Security incidents; IT-Security measures (means); risk management.

На современном этапе развития технологии обеспечения информационной безопасности одним из важных по-прежнему является вопрос эффективного управления данным процессом. Минимально, необходимо учитывать два аспекта указанного процесса: технический - собственно управление средствами (мерами) обеспечения ИБ (задача результативности); и экономический - обоснование ресурсов, выделяемых на нормальное функционирование указанного процесса (задача эффективности). Технический аспект в настоящее время достаточно отработан - комплекс средств (мер), направленных на обеспечение ИБ, принято объединять в единую систему менеджмента информационной безопасности (СМИБ), создаваемую в рамках всей организации, подчиненную высшему руководству и периодически оцениваемую по определенным метрикам. Для СМИБ выполняется требование по оценке результативности - как оценки степени достижения всех установленных целей и мероприятий, направленных на обеспечение определенного уровня ИБ.

Экономический аспект процессов обеспечения ИБ разработан недостаточно, так как наблюдается широкий диапазон разноплановых подходов и методов к задаче обоснования достаточного бюджета для нормального функционирования СМИБ. Поскольку напрямую невозможно установить однозначную зависимость между бюджетом и достижимым уровнем результативности (т.е. уровень обеспечения ИБ не зависит явно только от размера выделения финансовых средств), представляется необходимым предложить некоторые численные метрики. Наиболее оптимальным и удобным для практического применения представляется подход анализа зависимости бюджета СМИБ посредством оценки последствий инцидентов ИБ.

Постановка задачи

Проблема получения оценок бюджета СМИБ достаточно хорошо известна [1, 2 и др.]. И эта проблема длительное время «консервировалась» высшим руководством предприятий с позиции «необходимости разрабатывать, закупать и внедрять». Организационные вопросы доминировали над «техническими» задачами, и, в том числе, вопросы обеспечения ИБ также были отнесены к остаточному распределению бюджета. Мотивация высшего руководства в части финансирования систем менеджмента (в том числе СМИБ) должна опираться как на внутренние аспекты (обеспечение комплексной безопасности для достижения плановых показателей), так и на внешние требования регуляторов, которые накладывают известные ограничения именно на технические системы организации. Кроме того, должны быть приняты во внимание и новые вызовы («таргетированные» атаки на объекты критичной инфраструктуры, недобросовест-

ные подрядчики и ограничения вендоров в силу санк-ционных требований и пр.), способные стать причинами техногенных катастроф и привести к значительным убыткам. Например, авария 15.06.2014 г. на Ачинском НПЗ привела к гибели 8 человек, 6 месяцам простоя по выпуску товарного бензина и убыткам более чем в 1 млрд рублей (по данным издания «Коммерсант»).

Для получения общих оценок бюджета на обеспечение безопасности наиболее известен подход применения простого коэффициента к бюджету, выделяемому на обеспечение функционирования ИТ-инфраструктуры. Однако не всегда можно однозначно установить, что выделенных финансовых ресурсов будет достаточно для обеспечения требуемого уровня обеспечения ИБ. Отчасти это может быть связано с отсутствием точных заданных оценок необходимого уровня обеспечения ИБ от высшего руководства компаний или наличием только отдельных метрик «технического» функционирования мер (средств) обеспечения ИБ (например, минимальная доступность базовых сервисов, размер санкций со стороны регуляторов).

Например, по данным [3], около 25% организаций применяют автоматизированные системы для поиска и устранения «чувствительных» данных. Однако, поскольку конфиденциальные данные распределены по всему предприятию, лица, принимающие решения (ЛПР), не обладают полной информацией о том, где эти данные хранятся и кто имеет к ним доступ. Соответственно, эти оценки не дают «полной картины» возможных нарушений и размера потенциального ущерба для всей организации при негативном сценарии реализации инцидентов ИБ, в частности:

1. Риски репутации. По данным [4], реализуются риски, порождаемые социальными сетями: сотрудники могут «выносить сор из избы» и легко организовать репутационную атаку, особенно при согласованной поддержке «заинтересованных» СМИ;

2. Риски нарушения ИБ со стороны третьих лиц. По данным [5], крупные организации часто не разглашают данные о нарушениях ИБ своих поставщиков и субподрядчиков (пример Э. Сноудена, сотрудника компании - подрядчика АНБ).

Предлагается следующая постановка задачи: определение комбинированной метрики, расчет которой позволит, опираясь на оценки последствий инцидентов ИБ, сформировать общую оценку бюджета для реализации проекта СМИБ с целью обеспечить заданный уровень обеспечения ИБ.

В качестве нормативной базы рассматриваются национальные стандарты ГОСТ Р ИСО/МЭК серии 18044, 20000, 22301 и 27001 [6-9]. Для определения метрик ИБ применяется методика оценки результативности СМИБ, представленная в работе [10]. Дополнительно предлагается использовать ранги «лидеров» отраслей, представленные в работе [11].

Анализ существующих подходов к оценке бюджета

Бюджет на обеспечение ИБ, по разным оценкам, составляет до 10% от бюджета ИТ (в частности, в отчете [12] приводятся оценки бюджета на обеспечения ИБ в диапазоне от 3,6 до 3,8% от бюджета ИТ в течение периода измерений 2010-2014 гг.). Характерно, что максимальное значение бюджета ИБ составляет 6,9% в промышленной отрасли {Industrial product) по данным за 2014 г. В то же время необходимо отметить, что эти оценки не коррелируют с оценкой динамики роста количества инцидентов: например, среднее количество детектированных инцидентов ИБ в отрасли энергетики возросло с 1.179 {2013 г.) до 7.391 {2014 г.), т.е. на 526% [12].

Дополнительно обратим внимание на статистику сертификации СМИБ по стандарту ISO 27001, с учетом расчетов по рангам - «лидерам» [11]. Исследование показало, что рост количества выданных сертификатов на СМИБ составил: для «лидеров» 1-го ранга от 17 до 22%, для «лидеров» 2-го ранга - свыше 35% и для «лидеров» 3-го ранга - от 19 до 27%. Необходимо принять во внимание, что не все компании в процессе обеспечения ИБ создают именно «официальную» СМИБ, и также верно, что не все организации проводят для СМИБ внешнюю независимую оценку (сертификацию) в аккредитованных органах по сертификации. Эти оценки являются значимыми для решения поставленной задачи - иначе говоря, сколько бизнес готов выделять на обеспечение ИБ. Для уточнения поставленной ранее задачи предлагается в качестве комбинированной метрики применять оценки инцидентов ИБ для выявления оценок выделяемого бюджета на ИБ с учетом ряда ключевых требований бизнеса, рассмотренных далее.

Требования бизнеса к обеспечению уровня ИБ

Далее предлагается кратко рассмотреть основные требования бизнеса, способные оказать значительное влияние на решение поставленной задачи.

1. Требование обеспечения стопроцентной защиты. При данной постановке организация требует, что для всех активов были внедрены соответствующие меры (средства) обеспечения ИБ. Это требование, очевидно, представляется логичным (в терминах «разумного поведения ЛПР») для организаций, которых можно отнести к объектам критичной инфраструктуры [13]. В иных случаях вполне достаточно получить пороговые значения стоимости активов и/или бюджета

на реализацию мер (средств) обеспечения ИБ от ЛПР. В качестве примера можно привести подходы службы ИБ компании «Эльдорадо» {http://www.cnews.ru/news/ line/index.shtml?2015 /03/04/593449) и компании МГТС {http://safe.cnews.ru/reviews/index.shtml72015/03/13/593 760).

2. Требования контроля привлекаемых подрядчиков. Современные стандарты [6-9] в явном виде содержат требования к процессам аутсорсинга (иногда говорят «внешнее обеспечение»), которые позволяют организациям более эффективно выполнять специфические процессы через уполномоченных посредников. Однако не все процессы и не всегда можно передавать «на сторону», в том числе и по соображениям экономического порядка. В качестве примера приведем данные исследования EMC {http://www.cnews.ru/news/line/index.shtml?2014/12/09/5 90643), посвященного системам защиты данных. Аутсорсинг процессов, связанных с чувствительными данными, может привести к значительным издержкам - при выборе двух и более посредников затраты превышали 20%, по сравнению со схемой с одним подрядчиком, а при выборе трех подрядчиков затраты на инфраструктуру защиты данных превышали в среднем 1 млн долларов США. Эти же опасения подтверждаются в отчете [12]: крупные компании часто уделяют минимальное внимание мониторингу безопасности своих партнеров, поставщиков и цепочек поставок.

3. Применение организационных мер ИБ. ЛПР логично полагают уместным не тратить значительные средства на реализацию технических систем обеспечения ИБ, когда можно реализовать организационные меры, например, в рамках реализации СМИБ - именно как системы менеджмента. По данным [3], в организациях, как правило, реализованы следующие процедуры для обеспечения процесса управления инцидентами ИБ с соответствующей долей применения (см. табл. 1).

4. Влияние на активы организации. В отчете [12] предложено наблюдение, что количество и качество обнаружения инцидентов ИБ является зависимостью от размера компании, соответственно, применение специальных мер (средств) обеспечения ИБ может влиять, в определенной мере, на количество детектируемых инцидентов. Согласно представленным оценкам, общее число обнаруженных инцидентов ИБ по сравнению с 2013 г. превышает 42,8 млн в год, что

Таблица 1

Процедуры для процесса управления инцидентами ИБ_

Применяемая процедура Доля, %

Корпоративная политика управления инцидентами 63 %

Назначение менеджера по инцидентам ИБ и формирование команды реагирования на инциденты ИБ 54 %

Ведение протокола для идентифицированных активов, в отношении которых было выявлено нарушение ИБ 46 %

Ведение протокола информирования о нарушениях ИБ деловых партнеров, клиентов и иных заинтересованных сторон 45 %

Идентификация заинтересованных сторон, которые могут помочь в процессе расследования инцидентов ИБ 38 %

составляется порядка 117 тысяч инцидентов каждый день. Отметим, что речь идет только об обнаруженных и категорированных инцидентах, но есть серьезные опасения, что не все компании, особенно крупные, готовы публично подтвердить факты нарушения ИБ в своих ИТ-системах.

Принято разделять финансовые и нефинансовые издержки в результате событий инцидентов ИБ. К финансовым издержкам относят, традиционно, потери доходов, прерывания доступности бизнес-систем, санкции со стороны регуляторов и снижение доверия со стороны клиентов. К нефинансовым издержкам относят снижение репутации, утечки данных о продуктах (услугах), потери ценной исследовательской информации (инновациях), а также неуместное разглашение чувствительной информации о бизнес-планах, стратегии развития, процессах производства и пр. Соответственно, вопрос «доказательства» для ЛПР размера запрашиваемого бюджета ИБ должен быть увязан с уровнем финансовой ответственности за обеспечение непрерывности бизнес-процессов и принятой финансовой дисциплиной в каждой организации - расчет уровня возврата инвестиций (IRR), стоимости полного цикла поддержки мер (средств) обеспечения ИБ (ТСО) и пр.

Оценка бюджета для СМИБ

В соответствии с постановкой задачи предлагается формировать оценку бюджета, выделяемого на СМИБ, на основе формирования перечня защищаемых активов, включенных в область распространения ("scope"), определения перечня средств (мер) обеспечения ИБ и оценки их результативности, выполняемых в рамках аудитов всех видов. Преимущество предложенного метода заключается в получении объективных оценок из нескольких независимых источников, для которых могут быть подтверждены повторяемость и воспроизводимость.

В наилучшем варианте представители службы ИБ могут располагать достоверными оценками на имеющийся и/или планируемый комплекс мер (средств) обеспечения ИБ исходя из выполненной оценки рисков (как это требуется [7-9]); в наихудшей ситуации вниманию ЛПР предоставляются оценки прошлого года с прогнозом относительно перспектив совершенствования технологий ИБ и примерных трендов развития атакующих (противоборствующих) техник и неясных угроз на перспективу планирования. В отчете [3] представлены следующие оценки (см. табл. 2).

Очевидно, что любой владелец актива обладает всей полнотой информации (в том числе и в части защищенности) и, следовательно, может обосновать как минимальные, так и максимальные риски, которые напрямую определяют размер потенциального ущерба в случае негативного сценария реализации инцидента ИБ. Именно по данной причине в предлагаемом методе получения оценок бюджета СМИБ реализованы все возможные аудиты, так как проверку умысла можно осуществить лишь посредством равной по уровню компетенции экспертизы. По данным [14], существуют определенные сложности с оценкой объективности представленных «операторами» обоснова-

ний в отношении как рисков, так и размеров потенциального ущерба. Дополнительные сложности вносят и регуляторы, проверки, которые не всегда затрагивают «правильность расчетов критичности информации».

Таблица 2

Прогноз перспектив совершенствования технологий ИБ

Оценки бюджета ИБ со стороны ЛПР Динамика, %

Бюджет на 2015 г. будет значительно больше, чем бюджет 2014 г. 13 %

Бюджет на 2015 г. будет немного больше, чем бюджет 2014 г. 38 %

Бюджет на 2015 г. будет таким же, как бюджет 2014 г. 48 %

Бюджет на 2015 г. будет немного меньше, чем бюджет 2014 г. 1 %

Бюджет на 2015 г. будет значительно меньше, чем бюджет 2014 г. 0 %

На первом этапе оценки определяется «базовый коэффициент», который содержит общую оценку защищаемых активов и применяемых мер (средств) обеспечения ИБ:

./■ _ £1=1 м ИБ I /,14

КЭфф. базовая ^п д^- , (|)

где Ми6 \ - стоимость меры (средства) обеспечения ИБ; А] - стоимость защищаемых активов.

Данная обобщенная оценка дает удобный инструмент для анализа двух крайних концептуальных оценок.

КЭфф. ^ 0: называем ситуацией «Тришкин кафтан», которая характеризуется низким уровнем применяемых технических средств защиты, высокой долей ручного труда, и, как следствие, наблюдается запаздывание реакции, что может привести в результате к потере контроля активов в случае негативного сценария инцидента ИБ.

КЭфф. ^ 1: называем ситуацией «Золотая безопасность», которая характеризуется применением, часто весьма избыточного, количества дорогостоящих мер (средств) обеспечения ИБ, приближающихся по стоимости к защищаемым активам. Однако необходимо принять во внимание, что при защите ключевых систем информационной инфраструктуры или критически важных объектов государственной инфраструктуры высокий уровень затрат на обеспечение безопасности установлен регуляторами и не подлежит произвольному сокращению.

С учетом требований практического применения, выполним декомпозицию формулы (1) по требованиям стандартов [6-9] в разумных и достаточных пределах:

_ Иёаз: • ^=i ^^=1м иб it •

. расш.

2"=1А i • ^

(2)

где Итек. - кол-во выявленных инцидентов ИБ за текущий период; Иеаз. - кол-во инцидентов ИБ за предыдущий период; i (1, m) - перечень мер (средств) обеспечения ИБ; k (1, 3) - виды аудитов (соответственно,

первой, второй и третьей стороной); Миб к - стоимость меры (средства) обеспечения ИБ; а - оценка результативности меры (средства) обеспечения ИБ по итогам аудитов; ] (1, п) - перечень видов активов; А ^ -стоимость защищаемого актива; V¡- оценка значимости для бизнеса защищаемого актива.

В общем порядке замечаний отметим, что по требованиям [9] различают виды активов: (сервисы, помещения, критичные данные, ПО и иные нематериальные активы, персонал, информационные системы).

Практический кейс

Рассмотрим практический кейс для демонстрации работы предложенного метода определения бюджета для реализации проекта СМИБ на основании оценки последствий инцидентов ИБ.

Предположим, что:

1. Стоимость мер (средств) обеспечения ИБ - М (СЗИ), / = (1, 5); стоимость составляет 23 000 у.е.

2. Стоимость мер (средств) обеспечения ИБ - М (аудиты), к = (1, 3); стоимость составляет 11 000 у.е.

3. Считается, что а ¡ = 0,9 для всех видов аудитов.

4. Стоимость мер (средств) обеспечения - М (организационные меры), / = (1, 5); стоимость составляет 5 000 у.е.

5. Считается, что а = 0,9 для всех предложенных организационных мер.

6. Стоимость мер (средств) обеспечения - М (тесты на проникновения, исследования уязвимостей), / = (1, 2); стоимость составляет 7 000 у.е.

7. Считается, что а ¡ = 0,9 для всех видов тестов и исследований.

8. Всего: Стоимость мер (средств) обеспечения ИБ составляет 46 000 у.е.

9. Соотношение количества инцидентов ИБ (текущее) и количества инцидентов ИБ (базовое) является переменной при моделировании.

10. Оценка результативности технических систем и средств обеспечения ИБ (кроме аудитов, организационных мер, тестов на проникновение и исследование уязвимостей) является переменной при моделировании.

Следующие расчеты выполнены для 4-х значений соотношения И тек/И баз (от 0,7 до 0,99) и для 5 значений результативности технических систем и средств обеспечения ИБ (от 0,5 до 0,99). Стоимость защищаемых активов принята равной 1 000 000 у.е. Результаты представлены на рис.1.

В данном кейсе принята модель построения СМИБ, предусматривающая комплексный подход, т.е. помимо реализации технических и организационных средств (мер) обеспечения ИБ предусмотрены дополнительно все возможные виды аудитов, а также тесты на проникновения и исследования уязвимостей в течение года. Этот поход позволяет при формировании оценки бюджета динамично пересчитывать новые (уточненные) весовые коэффициенты, прежде всего -по оценке результативности «отработки» инцидентов ИБ (см. рис. 2).

Рис. 1. Зависимость стоимости средств (мер) обеспечения ИБ от результативности отработки инцидентов

О.И 0 *0 0,70 OJIO 0*0 о.м

^СТОИМОСТЬ 4МТ«1*0* ••••CtOWNHXIfc С1М (А*) ) CtOMMOtTV cm (k+Ф } НООНА* (Л*|/1. * Ноо*м<»фф.) Н

Рис. 2. Сопоставление стоимости активов и бюджета на обеспечение ИБ

Предложенная численная оценка затрат на обеспечение ИБ основывается на использовании метрик ИБ (оценки результативности мер и средств обеспечения ИБ), использует оценки последствий инцидентов ИБ (подтвержденные объективными данными

аудитов) и позволяет формировать общую оценку бюджета для реализации проекта СМИБ с целью обеспечить заданный высшим руководством уровень обеспечения ИБ [15].

Статья поступила 06.04.2015 г.

Библиографический список

1. Лившиц И.И., Танатарова А.Т. Внутренний аудит в интегрированных системах менеджмента // Стандарты и качество. 2014. № 8 (926). С. 86-88.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

2. Лившиц И.И. Применение моделей СМИБ для оценки защищенности интегрированных систем менеджмента // Труды СПИИРАН. 2013. № 8. С. 147-162.

3. Dealing with Data Breaches and Data Loss Prevention, An Osterman Research White Paper, Published March 2015, Os-terman Research, Inc.

4. Хайретдинов Р. Банки в социальных сетях: управление рисками [Электронный ресурс]. URL: http://ural.ib-bank.ru/files/files/11 %20Khairetdinov.pdf (23.03.2015).

5. Chinese Hacked U.S. Military Contractors, Senate Panel Say [Электронный ресурс]. URL: http://www.slideshare.net/SelectedPresentations/08-smorodinsky (23.03.2015).

6. ГОСТ Р ИСО/МЭК 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности» [Электронный ресурс]. URL: libgost.ru (23.03.2015).

7. Информационная технология. Управление услугами. Часть 1. Требования к системе управления услугами: ГОСТ Р ИСО/МЭК 20000-1-2013. Введ. 01.01.15. М.: Федеральное агентство по стандартизации и метрологии, 2013. 28 с.

8. Societal security - Business continuity management systems - Requirements: ISO 22301:2012, International Organization for Standardization, 2012-05-15. 24 pages.

9. Information technology - Security techniques - Information

security management systems - Requirements: ISO/IEC 27001:2013, International Organization for Standardization, 2013-09-25. 23 pages.

10. Лившиц И.И., Полещук А.В. Практическая оценка результативности СМИБ в соответствии с требованиями различных систем стандартизации - ИСО 27001 и СТО Газпром // Труды СПИИРАН. 2015. № 1. С. 172-185.

11. Лившиц И.И., Молдовян А.А., Танатарова А.Т. Исследование зависимости сертификации по международным стандартам ISO от типов организации для ведущих отраслей промышленности // Труды СПИИРАН. 2014. Вып. 3 (34). С. 160-177.

12. The Global State of Information Security Survey 2015 [Электронный ресурс]. URL: www.pwc.com/gx/en/consulting-services/information-security-survey/index.jhtml (24.03.2015).

13. Ногин В.Д. Принятие решений при многих критериях. СПб.: Государственный Университет - Высшая школа экономики, 2007. 103.

14. Душа И. Приоткрытый рынок ИБ АСУ ТП // Безопасность Деловой Информации. 2015. Вып. 9. С. 17-19.

15. Лившиц И.И., Лонцих П.А., Полещук А.В. Оценка результативности внедрения системы менеджмента информационной безопасности в соответствии с требованиями ГОСТ Р ИСО/МЭК 27001-2006 и СТО Газпром серии 4.2.: материалы Всероссийской конференции «Информационные технологии, менеджмент качества, информационная безопасность» (IT&MQ&IS-2015), Кабардино-Балкарский государственный университет им. Х.М. Бербекова, май 2015 г. С. 71-79.

i Надоели баннеры? Вы всегда можете отключить рекламу.