Тема 2 Виды обеспеченья системы информационной безопасности Лекция

Зарегистрируйтесь, чтобы просмотреть полный документ!

Тема 2. Виды обеспеченья системы информационной безопасности Лекция № 4 Финансово-экономическое обеспечение функционирования системы обеспечения информационной безопасности хозяйствующего субъекта

• Учебные вопросы: 1. Назначение структура и основные направления финансово-экономического обеспечения информационной безопасности ХС. Структура затрат на информационную безопасность ХС 2. Анализ и оценка эффективности затрат на информационную безопасность ХС 3. Оптимизация затрат на информационную безопасность ХС 2

Литература • 1. Фрэнсисом Г. и др. Управление ресурсами в условиях рынка: Кн. 6: Управление финансами, Пер. с англ. / Международный институт менеджмента ЛИНК. – Жуковский, 2001 • 2. Цыгалов Ю. Экономическая эффективность инвестиций в ИТ: оптимальный метод оценки [Электронный документ]. http: //www. pcweek. ru • 3. Петренко С. А. , Симонов С. В. Управление информационными рисками. М. : ДМК, 2005. • 4. Михайлов К. М. Оптимизировать затраты. Журнал «Information Security» № 2, 2004. • 5. Баутов А. Экономический взгляд на проблемы информационной безопасности. Журнал «Открытые системы» № 2, 2002. 3

Структура подсистемы финансово-экономического обеспечения СОИБ ХС Финансово-экономическое обеспечение СОИБ ХС Н А П Р А В Л Е Н И Я Анализ финансовоэкономической деятельности ХС Анализ и оценка эффективности затрат на информационную безопасность ХС С И Л Ы 1. Экономисты ХС 2. Бухгалтерия 3. Служба безопасности ХС 4. Внешние эксперты (консалтинг) 1. Служба безопасности ХС 2. IT – специалисты 3. Экономисты ХС 4. Внешние эксперты (консалтинг) Оптимизация затрат на информационную безопасность ХС 1. Служба безопасности ХС 2. IT – специалисты 3. Экономисты ХС 4. Внешние эксперты (консалтинг) С Р Е Д С Т В А 1. Методики проведения анализа финансовоэкономической деятельности 2. Отчетные документы ХС по ФЭД 3. Финансовые показатели ХС 4. Экономические показатели ХС 5. Методики оценки качественного состояния ХС 1. Методики формирования затрат на информационную безопасность ХС 2. Модель TCO 3. Модель ROI 4. Методики оценки эффективности инвестиций в ИБ 1. Методики определения минимально достаточного уровня ИБ 2. Методики и модели оптимизации затрат на информационную безопасность ХС 3. Модель TCO 4. Модель ROI 5. Методики оценки эффективности инвестиций в ИБ 4

Составляющие определения затрат на обеспечение ИБ 1. Структурирование затрат на контроль ИБ ХС 2. Структурирование внутренних затрат на компенсацию нарушений политики ИБ ХС 3. Структурирование внешних затрат на компенсацию нарушений политики ИБ ХС. 4. Структурирование затрат на предупредительные мероприятия 5

Модели и методы для оценки экономической эффективности инвестиций в СОИБ 1. Модель оценки совокупной стоимости владения информационными системами - ТСО (Total Cost of Ownership, ); 2. Модель оценки возврата инвестиций - ROI (Return on Investment, ); 3. Стандартные методы оценки экономической эффективности инвестиций, например, возврата инвестиций; 4. Метод оценки отдачи активов; 5. Метод оценки «цены» акционера; 6. Метод оценки единовременных затрат на внедрение и закупку программных, программно-аппаратных и др. средств защиты информации. 6

Модель оценки совокупной стоимости владения информационными системами (ТСО) • Основная цель использования данной модели - оценка размера вложенных в информационные технологии и обеспечение информационной безопасности средств. • Способом использования этой модели является сравнение ТСО своего предприятия с ТСО других компаний аналогичного профиля • В основу модели ТСО положены две категории затрат: - прямые (бюджетные): капитальные затраты; расходы на управление СОИБ; расходы на техническую поддержку инженерно-технических, программно-аппаратных, программных и других средств защиты; расходы на разработку средств защиты информации внутренними силами; расходы на аутсорсинговые мероприятия; командировочные расходы; расходы на услуги связи; также возможны и другие группы расходов. По перечисленным группам прямых расходов определяют отдельные составляющие ТСО. - косвенные: расходы первой группы, связанных с внедрением и расходы второй группы связанные с функционированием СОИБ ХС. • Показатель совокупной стоимости владения СОИБ рассчитывается по формуле: ТСО = Пр + Кр1 + Кр2, где: Пр - прямые расходы; Кр1 - косвенные расходы первой группы; Кр2 - косвенные расходы второй группы. Пр= Пр1+Пр2 +Пр3+Пр4+Пр5+Пр6+Пр7+Пр8, где: Пр1 - капитальные затраты; Пр2 - расходы на управление ИТ; Пр3 - расходы на техническую поддержку АО и ПО; Пр4 - расходы на разработку прикладного ПО внутренними силами; Пр5 - расходы на аутсорсинг; Пр6 - командировочные расходы; Пр7 - расходы на услуги связи; Пр8 - другие группы расходов. • Общая стоимость владения СОИБ - это качественная ключевая характеристика, отображающая экономические аспекты состояния ИТ в компании вообще и показывающая эффективность их работы 7

Модель оценки возврата инвестиций • Модель ROI рассчитывает коэффициент возврата инвестиций в инфраструктуру предприятия. • Для оценки доходной части: - провести анализ направлений и целей бизнеса, которые достигаются путем внедрения проекта, либо совершенствования имеющейся СОИБ (берут измеримые показатели бизнеса: сокращение операционных расходов, поддержка конкурентоспособного состояния, улучшение внутреннего контроля и по ним оценивают величину эффекта от внедрения СОИБ. - рассчитать коэффициент возврата инвестиций в инфраструктуру предприятия по формуле: ROI = Эф/И, где: Эф – величина эффекта от внедрения СОИБ; И - инвестиции в СОИБ. 8

Стандартные методы оценки экономической эффективности инвестиций • Стандартные методы оценки экономической эффективности инвестиций можно подразделить на: - простые методы (метод расчета срока окупаемости инвестиций; метод расчета коэффициента эффективности инвестиций); - методы дисконтирования (метод расчета чистой текущей стоимости; метод расчета индекса рентабельности инвестиций; метод расчета нормы доходности (рентабельности) инвестиций) 9

Метод оценки отдачи активов • Эффективность использования капитала хозяйствующего субъекта оценивается исходя из ставки альтернативной доходности (например, функционирование СОИБ способствует повышению надежности предприятия, что дает большую отдачу, чем вложения в высокодоходные акции). Для этого рассчитывают коэффициент превышения ставки доходности СОИБ над ставкой альтернативной доходности по формуле: К = Сдсоиб / Сдальт, где: Сдсоиб - ставка доходности СОИБ; Сдальт - ставка альтернативной доходности. 10

Метод оценки «цены» акционера • Актуальность оценки эффективности затрат в расчете на привлечение одного акционера и рост стоимости акций можно определить проведя оценку эффективности инвестиций в СОИБ в расчете на привлечение одного акционера по формуле: Эфакц = Эф / (Q 1 акц — Q 0 акц), где: Эфакц - эффективность инвестиций в информационную инфраструктуру ХС в расчете на привлечение одного акционера; Эф - эффект от внедрения СОИБ; Q 0 акц - количество акционеров ХС до внедрения СОИБ; Q 1 акц - количество акционеров после внедрения СОИБ. А коэффициент роста стоимости акции по формуле: Какц = С 1 акц / С 0 акц, где: Какц - коэффициент роста стоимости акции; С 0 акц - стоимость акции до внедрения СОИБ; С 1 акц - стоимость акции после внедрения СОИБ. 11

Методика оценки единовременных затрат на закупку и внедрение инженерно-технических, программных, программно-аппаратных и других средств защиты информации • Для принятия решения о приобретении тех или иных средств защиты информации рассчитывают единовременные затраты на приобретение и внедрение средств защиты по формуле : Зед= Звi min, где: Зед - единовременные затраты на приобретение и внедрение средств защиты информации; Звi - единовременные затраты на приобретение и внедрение средств защиты информации i-й группы. • Далее решают задачу выбора средства защиты относительно величины минимума затрат 12

Общие признаки уровня организационной зрелости ХС Уровень 1 – начальный (анархия) Признаки уровня обеспечения информационной безопасности ХС - сотрудники сами определяют, что хорошо, а что плохо. Главную роль в успехе предприятия играют деловые качества лидера или группы единомышленников; - затраты и качество не прогнозируются; - отсутствуют формализованные планы; - отсутствует контроль изменений; - руководство плохо представляет реальное положение дел; - нестабильность, нехватка времени, денег и сил. Уровень 2– повторяемый (фольклор): - выявлена определенная повторяемость организационных процессов; - опыт организации представлен в виде так называемых «преданий корпоративной мифологии» ; - знания накапливаются в виде личного опыта сотрудников и пропадают при их увольнении. - более устойчивый характер бизнеса, повторяемость основных бизнес-процессов и возможность реального управления ими; - повышение актуальности задач контроля за движением материальных и денежных средств, поиска путей снижения издержек. Уровень 3 – определенный (стандартный): - положения так называемой «корпоративной мифологии» оформлены в виде документов; - основные производственные процессы повторяемы и перестают быть зависимыми от личных качеств исполнителей; - информация о процессах для оценки эффективности не собирается; - наличие формализованного описания процессов не гарантирует их действенность. - акценты постепенно смещаются из области учетной политики в область аналитики; - начинает развиваться управление корпоративными знаниями; - стратегическое планирование отсутствует; - анализ базируется в основном на показателях предшествующего периода. Уровень 4 – управляемый (измеряемый): - политика в области ИБ не формализована; - руководство не занимается вопросами обеспечения ИБ; - обеспечением ИБ могут заниматься сотрудники ХС по собственной инициативе и в соответствии со своим уровнем и пониманием задач. - производится оценка единовременных затрат на закупку и внедрение инженерно-технических, программно-аппаратных и других средств защиты информации и, как правило, выбирается вариант, где они наименьшие. - существует понимание задач по обеспечению ИБ; - существуют (стихийно или эволюционно) сложившиеся процедуры защиты информации, полнота и эффективность которых не анализируется; - руководством не ставится задача формализации процедур защиты информации; - основная движущая сила – инициатива и личностные качества сотрудников, вовлеченных в процессы обеспечения ИБ; - проводится оценка единовременных затрат на приобретение средств защиты и их внедрение с учетом прошлого опыта. - руководство осознает задачи обеспечения ИБ; - существует документация, относящаяся к политике ИБ; - появляется интерес к использованию стандартов при решении задач обеспечения ИБ; - различные средства защиты информации используются системно в виде функционирующей СОИБ; - осознается задача управления режимом ИБ на всех стадиях функционирования ИС ХС. - при выборе средств защиты информации уже не просто оценивают, а производят глубокий анализ единовременных затрат на закупку и внедрение инженерно-технических, программных, программно-аппаратных и др. средств. - все процессы измеряемы и стандартизированы; - затраты и качество прогнозируются; - есть постоянные и надежные клиенты; - стратегические планы количественно измеримы; - начинается формирование внутрифирменных стандартов контроля и количественного измерения качества не столько самой продукции, сколько всех процессов - от производства до сбыта; - управленческие решения принимаются не интуитивно, а на основе явных знаний, которыми обладает компания; - стратегические и оперативные планы взаимосвязаны, обратная связь обеспечивает эффективное согласование между уровнями управления. - функционирование СОИБ ХС и контроль на всех этапах жизненного цикла; - имеется полный комплект документов по обеспечению режима ИБ, оформленных на основе требований стандартов; - осуществляется контроль за выполнением требований инструкций по обеспечению режима ИБ; - регулярно проводится внутренний (возможно, и внешний) аудит в области ИБ; - руководство имеет реальное представление относительно существующих угроз и уязвимостей, а также последствий возможных инцидентов; - экономическую эффективность затрат на этом уровне оценивают с помощью методов оценки совокупной стоимости владения СОИБ (ТСО) и оценка возврата инвестиций (ROI). Уровень 5 – оптимизируемый: - заинтересованность руководства в количественной оценке рисков информационной безопасности; - определение остаточных уровней рисков ИБ; - ставится задача оптимизации СОИБ ХС на основе критериев – эффективность – стоимость, минимальной достаточности и др. ; - для оценки экономической эффективности затрат на функционирование, модернизацию СОИБ используют методы: отдачи активов, цены акционера, анализа совокупной стоимости владения и анализ возврата инвестиций. - повторяемость и измеримость всех процессов; - сохранение информация о функционировании всех процессов; - направленность стратегии на достижение и сохранение технологического, организационного и финансового преимущества; - формализация бизнес-процессов и рыночных перспектив позволяет не только оценить эффективность планирования, но и оптимизировать пути достижения целей; - Изменение функций контроля. 13

Уровень 1 – начальный (анархия) Общие признаки уровня организационной зрелости ХС - сотрудники сами определяют, что хорошо, а что плохо. Главную роль в успехе предприятия играют деловые качества лидера или группы единомышленников; - затраты и качество не прогнозируются; - отсутствуют формализованные планы; - отсутствует контроль изменений; - руководство плохо представляет реальное положение дел; - нестабильность, нехватка времени, денег и сил. Признаки уровня обеспечения информационной безопасности ХС - политика в области ИБ не формализована; - руководство не занимается вопросами обеспечения ИБ; - обеспечением ИБ могут заниматься сотрудники ХС по собственной инициативе и в соответствии со своим уровнем и пониманием задач. - производится оценка единовременных затрат на закупку и внедрение инженерно-технических, программно-аппаратных и других средств защиты информации и, как правило, выбирается вариант, где они наименьшие. 14

Уровень 2– повторяемый (фольклор) Общие признаки уровня организационной зрелости ХС - выявлена определенная повторяемость организационных процессов; - опыт организации представлен в виде так называемых «преданий корпоративной мифологии» ; - знания накапливаются в виде личного опыта сотрудников и пропадают при их увольнении. - более устойчивый характер бизнеса, повторяемость основных бизнеспроцессов и возможность реального управления ими; - повышение актуальности задач контроля за движением материальных и денежных средств, поиска путей снижения издержек. - Признаки уровня обеспечения информационной безопасности ХС - существует понимание задач по обеспечению ИБ; - существуют (стихийно или эволюционно) сложившиеся процедуры защиты информации, полнота и эффективность которых не анализируется; - руководством не ставится задача формализации процедур защиты информации; - основная движущая сила – инициатива и личностные качества сотрудников, вовлеченных в процессы обеспечения ИБ; - проводится оценка единовременных затрат на приобретение средств защиты и их внедрение с учетом прошлого опыта. 15

Уровень 3 – определенный (стандартный) Общие признаки уровня организационной зрелости ХС - положения так называемой «корпоративной мифологии» оформлены в виде документов; - основные производственные процессы повторяемы и перестают быть зависимыми от личных качеств исполнителей; - информация о процессах для оценки эффективности не собирается; - наличие формализованного описания процессов не гарантирует их действенность. - акценты постепенно смещаются из области учетной политики в область аналитики; - начинает развиваться управление корпоративными знаниями; - стратегическое планирование отсутствует; - анализ базируется в основном на показателях предшествующего периода. Признаки уровня обеспечения информационной безопасности ХС - руководство осознает задачи обеспечения ИБ; - существует документация, относящаяся к политике ИБ; - появляется интерес к использованию стандартов при решении задач обеспечения ИБ; - различные средства защиты информации используются системно в виде функционирующей СОИБ; - осознается задача управления режимом ИБ на всех стадиях функционирования ИС ХС. - при выборе средств защиты информации уже не просто оценивают, а производят глубокий анализ единовременных затрат на закупку и внедрение инженернотехнических, программных, программно-аппаратных и др. средств. 16

Уровень 4 – управляемый (измеряемый) Общие признаки уровня организационной зрелости ХС - все процессы измеряемы и стандартизированы; - затраты и качество прогнозируются; - есть постоянные и надежные клиенты; - стратегические планы количественно измеримы; - начинается формирование внутрифирменных стандартов контроля и количественного измерения качества не столько самой продукции, сколько всех процессов - от производства до сбыта; - управленческие решения принимаются не интуитивно, а на основе явных знаний, которыми обладает компания; - стратегические и оперативные планы взаимосвязаны, обратная связь обеспечивает эффективное согласование между уровнями управления. Признаки уровня обеспечения информационной безопасности ХС - функционирование СОИБ ХС и контроль на всех этапах жизненного цикла; - имеется полный комплект документов по обеспечению режима ИБ, оформленных на основе требований стандартов; - осуществляется контроль за выполнением требований инструкций по обеспечению режима ИБ; - регулярно проводится внутренний (возможно, и внешний) аудит в области ИБ; - руководство имеет реальное представление относительно существующих угроз и уязвимостей, а также последствий возможных инцидентов; - экономическую эффективность затрат на этом уровне оценивают с помощью методов оценки совокупной стоимости владения СОИБ (ТСО) и оценка возврата инвестиций (ROI). 17

Уровень 5 – оптимизируемый Общие признаки уровня организационной зрелости ХС - повторяемость и измеримость всех процессов; - сохранение информация о функционировании всех процессов; - направленность стратегии на достижение и сохранение технологического, организационного и финансового преимущества; - формализация бизнес-процессов и рыночных перспектив позволяет не только оценить эффективность планирования, но и оптимизировать пути достижения целей; - Изменение функций контроля. Признаки уровня обеспечения информационной безопасности ХС - заинтересованность руководства в количественной оценке рисков информационной безопасности; - определение остаточных уровней рисков ИБ; - ставится задача оптимизации СОИБ ХС на основе критериев – эффективность – стоимость, минимальной достаточности и др. ; - для оценки экономической эффективности затрат на функционирование, модернизацию СОИБ используют методы: отдачи активов, цены акционера, анализа совокупной стоимости владения и анализ возврата инвестиций. 18

• Оптимизация – процесс определения такого состояния исследуемой системы, при котором обеспечивается достижение экстремального (минимального или максимального) значения одним или несколькими показателями ее функционирования (функции цели) 19

Затраты коммерческих финансовых организаций на функционирование СОИБ Доля затрачиваемой прибыли Количество организаций X Xсред Все организац ии, % 0, 05 56, 68 27, 39 50, 00 59, 47 67, 51 78, 37 0, 15 33, 36 53, 04 41, 59 33, 33 20, 22 20, 19 0, 25 9, 46 18, 26 7, 52 7, 2 12, 27 0, 96 0, 35 0, 50 1, 30 0, 88 0, 00 0, 48 0, 4 – 1, 0 0, 45 -0, 95 0, 00 0, 00 Сумма 100% 100% Мат. ожидание 10, 38% 14, 35% 10, 93% 9, 77% 9, 48% 7, 36% Крупные банки, % Средние Мелкие банки, % Страховые компании, % Инвестиционные фонды, % 20

Гистограмма затрат на ИБ для отдельных видов финансовых организаций а) б) в) г) д) 21

Подходы к оптимизации затрат на обеспечение ИБ ХС с использованием методов математического моделирования • • • Параметрами модели оптимизации затрат являются следующие: - риск информационной безопасности, R; График зависимости величины - стоимость средств защиты информационных ресурсов ХС (СОИБ), S; риска от затрат на обеспечение - вероятность нанесения ХС ущерба вследствие ИБ наличия уязвимостей СОИБ, P; R - размер возникающего ущерба, U. Качественная зависимость величины информационного риска от затрат на обеспечение ИБ показана на рисунке Отношение δR/δS, назовем градиентом информационной безопасности. Его величина показывает степень снижения риска информационной Уровень безопасности на единицу стоимости средств защиты остаточного риска информационных ресурсов ХС. R Оптимальная Из рисунка видно, что кривая зависимости имеет три ост величина области: затрат - δR/δS < 0, имеем область снижения величины Sопт S риска информационной безопасности при увеличении затрат на обеспечение информационной безопасности ХС; - δR/δS = 0, - точка оптимального соотношения между величиной риска информационной безопасности и затратами ХС на обеспечение информационной безопасности; - δR/δS> 0, - область неоправданного расходования материальных средств ХС, при котором дальнейшее увеличение затрат на обеспечение информационной безопасности не приводит к снижению величины риска информационной безопасности. 22

Зависимость вероятности нанесения ущерба информационным ресурсам ХС от величины ущерба при δR/δS < 0 График зависимости риска безопасности ХС от стоимости СОИБ при δR/δS = 0 P R P=1 P=0 Rimax Rimin Вероятность нанесения ущерба, Pi U Величина ущерба, Ui Si S График зависимости риска безопасности ХС от стоимости СОИБ при δR/δS = 0 R δR/δS > 0 δR/δS < 0 S 23

Скачать презентацию Тема 2 Виды обеспеченья системы информационной безопасности Лекция

Л-4 ФЭО ИБ.ppt

Количество слайдов: 23