Сергей Петренко - Политики безопасности компании при работе в Интернет

Поэтому на практике можно воспользоваться методом оценки целесообразности затрат на систему информационной безопасности. Такой выбор был обусловлен несколькими соображениями – это финансовая ориентированность метода и достаточно полная оценка стоимости различных мер по безопасности и выгод от внедрения. Для того чтобы привести пример оценки мер по обеспечению безопасности, воспользуемся упрощенным вариантом «дерева ошибок», так называемой таблицей оценки угроз и рисков (Threat and Risk Assessment – TRA). Использование TRA позволит показать, как на практике получить количественную оценку вероятности событий и возникновения последствий и в дальнейшем использовать эти данные для определения ожидаемых потерь без применения контрмер безопасности.

Методика Return on Investment for Security

Ранее мы определились с методами оценки экономической целесообразности затрат на систему информационной безопасности: расходную часть мы рассчитали с помощью программного продукта ТСО Manager и получили текущий и целевой показатели совокупной стоимости владения. Сейчас мы оценим доходную часть, объединяя метод ожидаемых потерь с таблицей оценки угроз и риска.

Первым шагом является построение таблицы TRA. Но прежде дадим краткое описание контрмер по обеспечению информационной безопасности.

Контрмеры по обеспечению безопасности направлены на достижение следующих эффектов: уменьшение вероятности происхождения инцидента и/или уменьшение последствий, если инцидент все равно случается. Меры, снижающие вероятность, называются профилактическими, а меры, снижающие последствия, называются лечебными. Примеры контрмер обоих типов представлены в табл. П5.16.

Таблица П5.16. Типы контрмер безопасности

Пусть вероятность происшествия описана семью уровнями – от «незначительного» до «экстремального». Определим эти уровни в следующей таблице (табл. П5.17). Таблица П5.17. Преобразованные вероятности угроз к ежегодной частоте

Последствия от нарушения политики безопасности также описаны шестью уровнями – от «несущественного» к «критическому», и каждому уровню соответствуют потери в случае ликвидации нарушений, которые определены экспертами Gartner Group (см. табл. П5.18). Таблица П5.18. Последствия, преобразованные в стоимость ликвидации нарушений

Теперь рассчитаем показатель ALE для ЗАО «Страхование», используя форму таблицы TRA (см. табл. П5.19), в которой сопоставляются вероятности угроз, степень тяжести нарушения и частота событий. Следует отметить, что показатель ALE мы вычисляем согласно формуле:

ALE = f × L, где:

f – частота возникновения потенциальной угрозы, уровень которой определяется на основании вероятности (см. табл. П5.17).

L – величина потерь в рублях, которая определяется на основании степени тяжести нарушения (см. табл. П5.18).

Таблица П5.19. Расчет показателя ожидаемых потерь для ЗАО «Страхование»

Следующим шагом обоснования инвестиций в систему информационной безопасности является проведение анализа возврата инвестиций (см. табл. П5.21). Для этого сначала определим затраты на внедрение системы информационной безопасности.

Чтобы обеспечить должный уровень безопасности, в ЗАО «Страхование» необходимо внедрить следующие элементы системы информационной безопасности: систему защиты шлюзов Интернета, систему антивирусной защиты файловых серверов и рабочих станций и систему защиты корпоративной электронной почты. Руководством в качестве поставщика решений была выбрана компания Trend Micro, которая предоставляет широкий спектр решений в области информационной безопасности для предприятий различного масштаба.

Затраты на внедрение комплекса решений Trend Micro приведены в табл. П5.20.

Таблица П5.20. Инвестиции в систему корпоративной защиты для ЗАО «Страхование»

Период окупаемости инвестиционных проектов, связанных с внедрением информационных технологий, не должен превышать трех лет, поэтому период оценки эффективности данного проекта внедрения равен трем годам. Обозначим показатели оценки:

Свн – затраты на внедрение;

Сл – затраты на покупку лицензий;

С пр – затраты на проектные работы;

Ci – затраты на техническую поддержку;

ТСОт – текущий показатель ТСО (из отчетов ТСО Manager);

ТСОц – целевой показатель ТСО (из отчетов ТСО Manager);

ТСОф – фактический показатель ТСО;

AS – ежегодные сбережения;

В – выгоды при оптимизации показателя ТСО;

CF – денежный поток;

r – ставка дисконтирования;

NPV3 – чистая приведенная стоимость затрат на проект внедрения; NPVfl – чистая приведенная стоимость доходов от проекта внедрения.

Затраты на внедрение системы защиты информации рассчитываются по следующей формуле:

Выгоды от оптимизации текущего показателя ТСО вычисляются по формуле:

Чистая приведенная стоимость затрат на проект внедрения и доходов от проекта внедрения рассчитываются по следующим формулам:

В первом случае роль денежного потока играют затраты на внедрение, а во втором – это выгоды от оптимизации показателя ТСО и внедрения корпоративной системы защиты. Таблица П5.21. Расчет показателей возврата инвестиций в систему информационной безопасности для ЗАО «Страхование»

Внутренняя норма рентабельности рассчитывается при NPV, равном нулю. Расчет точки безубыточности проекта внедрения корпоративной системы информационной безопасности выполнен графически (см. рис.), и точка безубыточности равна 1,6 года.

Таким образом, проект внедрения корпоративной системы информационной безопасности можно считать экономически выгодным, так как чистая приведенная стоимость доходов от проекта внедрения положительна и больше чистой приведенной стоимости затрат на проект внедрения в 2,9 раза.

Инструкция для администратора безопасности сети

Администратор безопасности сети компании X назначается из числа наиболее подготовленных системных администраторов, владеющих сетевыми технологиями на основе ТСР/IР-протокола.

Он отвечает за корректное функционирование брандмауэров, настройку и поддержание в работоспособном состоянии серверов и клиентов, а также за реализацию политики безопасности сети.

Читать дальше