-  Затраты, связанные с организацией сетевого взаимодействия и безопасного использования информационных систем.

-  Затраты на поддержание системы резервного копирования и ведение архива данных.

-  Проведение инженерно-технических работ по установлению сигнализации, оборудованию хранилищ конфиденциальных документов, защите телефонных линий связи, средств вычислительной техники и т. п.

1.3. Аудит системы безопасности:

-  Затраты на контроль изменений состояния информационной среды предприятия.

-  Затраты на систему контроля за действиями исполнителей.

1.4. Обеспечение должного качества информационных технологий:

-  Затраты на обеспечение соответствия требованиям качества информационных технологий, в том числе анализ возможных негативных аспектов информационных технологий, которые влияют на целостность и доступность информации.

-  Затраты на доставку (обмен) конфиденциальной информации.

-  Удовлетворение субъективных требований пользователей: стиль, удобство интерфейсов и др.

1.5. Обеспечение требований стандартов:

-  Затраты на обеспечение соответствия принятым стандартам и требованиям, достоверности информации, действенности средств защиты.

1.6. Обучение персонала:

-  Повышение квалификации сотрудников предприятия в вопросах использования имеющихся средств защиты, выявления и предотвращения угроз безопасности.

-  Развитие нормативной базы службы безопасности.

2. Затраты на контроль:

2.1. Плановые проверки и испытания.

НЕ нашли? Не то? Что вы ищете?

-  Затраты на проверки и испытания программно-технических средств защиты информации.

-  Затраты на проверку навыков эксплуатации средств защиты персоналом предприятия.

-  Затраты на обеспечение работы лиц, ответственных за реализацию конкретных процедур безопасности по подразделениям.

-  Оплата работ по контролю правильности ввода данных в прикладные системы.

-  Оплата инспекторов по контролю требований, предъявляемых к защитным средствам при разработке любых систем (контроль выполняется на стадии проектирования и спецификации требований).

2.2. Внеплановые проверки и испытания:

-  Оплата работы испытательного персонала специализированных организаций.

-  Обеспечение испытательного персонала (внутреннего и внешнего) материально-техническими средствами.

2.3. Контроль за соблюдением политики ИБ:

-  Затраты на контроль реализации функций, обеспечивающих управление защитой коммерческой тайны.

-  Затраты на организацию временного взаимодействия и координации между подразделениями для решения повседневных конкретных задач.

-  Затраты на проведение аудита безопасности по каждой автоматизированной информационной системе, выделенной в информационной среде предприятия.

-  Материально-техническое обеспечение системы контроля доступа к объектам и ресурсам предприятия.

2.4. Затраты на внешний аудит:

-  Затраты на контрольно-проверочные мероприятия, связанные с лицензионно-разрешительной деятельностью в сфере защиты информации.

2.5. Пересмотр политики информационной безопасности предприятия (проводится периодически):

-  Затраты на идентификацию угроз безопасности.

-  Затраты на поиск уязвимостей системы защиты информации.

-  Оплата работы специалистов, выполняющих работы по определению возможного ущерба и переоценке степени риска.

3. Затраты на ликвидацию последствий нарушения режима ИБ:

3.1. Восстановление системы безопасности до соответствия требованиям политики безопасности.

-  Установка патчей или приобретение последних версий программных средств защиты информации.

-  Приобретение технических средств взамен пришедших в негодность.

-  Проведение дополнительных испытаний и проверок технологических информационных систем.

-  Затраты на утилизацию скомпрометированных ресурсов.

3.2. Восстановление информационных ресурсов предприятия:

-  Затраты на восстановление баз данных и прочих информационных массивов.

-  Затраты на проведение мероприятий по контролю достоверности данных, подвергшихся атаке на целостность.

3.3. Затраты на выявление причин нарушения политики безопасности:

-  Затраты на проведение расследований нарушений политики безопасности (сбор данных о способах совершения, механизме и способах сокрытия неправомерного деяния. поиск следов, орудий и предметов посягательства; выявление мотивов неправомерных действий и т. д.).

-  Затраты на обновление планов обеспечения непрерывности деятельности службы безопасности.

3.4. Затраты на переделки:

-  Затраты на внедрение дополнительных средств защиты, требующих существенной перестройки системы безопасности.

-  Затраты на повторные проверки и испытания системы защиты информации.

4. Внешние затраты на ликвидацию последствий нарушения политики безопасности:

4.1. Обязательства перед государством и партнерами.

-  Затраты на юридические споры и выплаты компенсаций.

-  Потери в результате разрыва деловых отношений с партнерами.

4.2. Потеря новаторства:

-  Затраты на проведение дополнительных исследований и разработки новой рыночной стратегии.

-  Отказ от организационных, научно-технических или коммерческих решений, ставших неэффективными в результате утечки сведений и затраты на разработку новых средств ведения конкурентной борьбы.

-  Потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно-технические достижения.

5. Прочие затраты:

-  Заработная плата секретарей и служащих, организационные и прочие расходы, которые непосредственно связаны с предупредительными мероприятиями.

-  Другие виды возможного ущерба предприятию, в том числе связанные с невозможностью выполнения функциональных задач, определенных его Уставом.

2.4Укрупненные методы расчета стоимости IT-проектов

Калькуляция осуществляется по следующим статьям:

Статьи затрат.

Содержание.

Обозначение или формула для расчета.

1. Материалы (за вычетом реализуемых отходов)

Стоимость материалов, необходимых для проведения исследований, разработки системы, проведения экспериментов.

М

2. Покупные комплектующие изделия

Стоимость покупных комплектующих изделий, необходимых для разработки и реализации системы.

Пк

3.Стоимость специального оборудования

Стоимость специального оборудования, приобретаемого для выполнения данной темы, если заказчик не может представить свое оборудование на время разработки системы.

Ссп

4. Расходы на оплату труда.

Основная и дополнительная заработная плата исполнителей темы. Начисления на заработную плату.

где Lо - основная заработная плата исполнителей;

Ti – трудоемкость исполнителя i-ой должности (мес);

Ri – количество исполнителей i-ой должности;

kд – коэффициент дополнительной заработной платы;

kн – коэффициент начислений на заработную плату;

f – месячная тарифная ставка или (оклад) исполнителя

5. Расходы на командировки

Стоимость научных командировок к заказчику или в другие организации для изучения аналогичных исследований по данной тематике принимается по стоимости намечаемых командировок или в процентах от фонда оплаты труда.

Ском

6. Прочие прямые расходы.

Прямые расходы, не вошедшие в предыдущие статьи.

Спр

7.Контрагентс-кие расходы.

Стоимость работ, выполняемых для данной темы в других организациях, привлекаемых в качестве субподрядчиков.

Ска

8. Накладные расходы.

Затраты организации, связанные с выполнением данной разработки. Сюда входит зарплата администрации, обслуживающего персонала, затраты на отопление, освещение, амортизация оборудования и др. Накладные расходы устанавливаются в процентах к оплате труда исполнителей.

,

где Кнак – коэффициент накладных расходов.

2.5 Особенности установки цен на информационные услуги

Ценовая политика фирм распространяющих современные информационные услуги, предполагает установление базисных цен и системы льгот и скидок с целью стимулирования спроса. Основными видами базисных цен являются:

1. цена часа подсоединения к автоматизированному банку данных;

2. цена получения единицы информации;

3. цена подписки на автоматизированные банки данных (АБД)и отдельные базы данных (БД).

Данные цены оговариваются контрактами и предусматривают плату как за саму информацию, так и за предоставляемые технические средства АБД.

В ряд контрактов на доступ и АБД включаются также следующие цены, в основном относящиеся к ресурсам АБД:

-  минимальная плата за работу с АБД;

-  цена справочной информации;

-  цена дополнительных средств поиска и обработки информации;

-  цена ресурсов ЭВМ и др.

Рассмотрим подробнее структуру перечисленных выше базисных цен.

Цена часа подсоединения подразумевает плату за время подсоединения к ресурсам АБД и поиска в конкретных БД. Этот вид цены применяется практически во всех контрактах и на его долю приходится около половины всех платежей. К недостаткам повременной оплаты (в соответствии с ценой часа подсоединения) относится ее зависимость от быстродействия АБД, отсутствие связи с результатами поиска и качеством информации. Кроме того пользователи тратят усилия не столько на сам по себе поиск, сколько на экономию времени.

Стремление во что бы то ни стало уменьшить продолжительность сеанса приводит к отказу от использования новейших технологий поиска и обработки информации, требующих значительного времени подсоединения.

Главным способом устранения подобных недостатков является отказ от повременной оплаты в пользу платежей за количество информации или подписной платы.

Цена получения единицы информации включает как цену на собственно информацию, так и цену средств АБД по ее поиску, выборке и предоставлению, являющуюся единой для данного АБД.

Этот вид цены устанавливается на содержательную единицу информации – документ или его часть (поле), либо на ее объемную характеристику – экран терминала, страницу или определенное количество строк.

Кроме того, при предоставлении информации в режимах off–line с пользователя взимается дополнительная плата за распечатку и пересылку по почте результатов.

Цена подписки взимается за предоставление пользователю права доступа к ресурсам АБД и к конкретным БД и обычно предполагает получение пользователем определенных льгот.

Данный вид цены выгоден для владельцев АБД, так как позволяет ограничить их риск, существенно упростить контроль за использованием АБД, а также для пользователей, уверенных в том, что они могут получить интересующую их информацию, и желающих с самого начала знать, во сколько она им обойдется.

По мнению западных экспертов возможно также установление фиксированных платежей на базе цен подписки за неограниченный интерактивный поиск.

В некоторых случаях владельцы АБД требуют уплаты определенного минимума обычно месячного, если общие затраты пользователя не превосходят этой величины.

Административной платой может служить:

-  вступительный взнос, уплачиваемый одновременно за идентификацию пользователя, включающую предоставление пароля и т. п.

-  единовременная плата за предоставление пользователю дополнительного пароля;

-  периодическая фиксированная плата (например, ежемесячно за организационную поддержку работы пользователя– подготовку счетов и др.).

Цена справочной информации (руководство пользователя, директории БД и т. д.) нередко включается в цену подписки или в административную плату. Иногда она оговаривается отдельно.

Применение цены ресурсов ЭВМ (процессора, дисковой памяти, а также так называемых "условных единиц компьютерных ресурсов") практикуется редко и чаще применяется в контрактах на доступ к статистическим базам данных.

К ценам дополнительных ресурсов средств поиска и обработки информации относится:

-  цена сохранения в течение какого-либо периода времени запроса, сформулированного пользователем для его повторного использования;

-  цена проведения количественной обработки результатов поиска (для статистических БД).

В настоящее время растет доля программного обеспечения для Интернета и поставщики стараются выбрать приемлемую модель ценообразования.

Как известно, цена на преобладающую часть программного обеспечения, кроме предназначенного для универсальных ЭВМ, устанавливается пропорционально числу работающих или зарегистрированных пользователей. Но такая модель не подходит к поставщикам интернет-услуг, размещающих на Web-узлах базы данных и прикладные программы, в том числе для электронной торговли, так как с этим программным обеспечением может работать большое число клиентов, часто анонимных.

Для таких программ предлагается устанавливать цену в зависимости от производительности (такая модель использовалась еще в 70-80 годы во времена машин большой и средней мощности). Главный управляющий Oracle сказал, что, начиная с версии Oracle 8i, компания переходит к назначению цены "по числу миллионов команд в секунду (MIPS) для прикладных программ вне брандмауэра".

Microsoft изменила порядок лицензирования SQL Server 7таким образом, чтобы лицензионная плата рассчитывалась в зависимости от числа процессоров.

Согласно исследованиям, проведенных западными учеными, размещение прикладных программ в Интернете может существенно изменить информационную отрасль. Изменения также коснуться механизмов определения цены программного обеспечения и приведут к созданию различных моделей ценообразования для различных классов программного обеспечения.

Правда необходимо отметить, что до сих пор однозначно не решены вопросы: что собственно называть приложением для Интернета; сколько должно стоить приложение, которое не принадлежит пользователю.

РАЗДЕЛ 3. РИСК ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ОЦЕНКА, АНАЛИЗ И УПРАВЛЕНИЕ РИСКАМИ ИБ

3.1. Понятие угрозы, уязвимости, риска. Определение эффективности СЗИ через риск

Актив (Ресурс). В широком смысле, под этим термином понимают все, что представляет ценность с точки зрения организации и является объектом защиты. В прикладных методиках аудита и управления рисками обычно рассматриваются следующие классы активов:

1.  оборудование (физические ресурсы), в том числе носители информации.

2.  информационные ресурсы (базы данных, файлы, все виды документации, формы прикладной системы);

3.  функциональные задачи (сервисы), реализуемые КИС;

4.  сотрудники компании, получающие доступ к информационным ресурсам (пользовательские роли).

Под угрозой информационной безопасности (Threat) будем понимать потенциальную возможность злоумышленника совершить воздействия естественного либо искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. (Например, угроза прослушивания канала связи).

Задачей систем защиты информации (СЗИ) является реализация контрмер, направленных на нейтрализацию угроз, либо потерь, связанных с их реализацией.

Уязвимость (Vulnerability) — слабость в системе защиты, которая делает возможной реализацию определенной угрозы (Например, учетные записи сотрудников КИС удаляются спустя неделю после их увольнения).

Стандартных слов о том, что критичная для бизнеса информация должна быть доступной, целостной и конфиденциальной, явно недостаточно для бизнес-структур, поскольку информация – понятие достаточно абстрактное, угрозы ее безопасности носят вероятностный характер (может случиться, а может и нет), потери от реализации угроз могут быть различными.

Автоматизированная система (АС) может иметь достаточно большое количество угроз информационной безопасности и связанных с ними уязвимостей. С помощью таких каталогов, как BSI ITPM (600 угроз) и сканеров безопасности (1800 уязвимостей) их можно только идентифицировать. После этого, у специалиста по ЗИ возникает второй вопрос – стоит ли их все закрывать? Наверное нет!!! Закрытие всех этих угроз и уязвимостей приведет к трате большого количества временных и денежных ресурсов, в этом случае овчинка просто не будет стоить выделки. Возникает ответный вопрос – если все множество угроз и уязвимостей закрывать не следует, то какое подмножество следует закрывать и в какой последовательности? Этот вопрос требует ответа.

С точки зрения собственника информации и поддерживающей ее инфраструктуры существование некой угрозы или уязвимости может быть не очень критично для него. Вероятность реализации этой угрозы либо использования уязвимости может быть настолько мала, что на факт ее существования можно просто закрыть глаза (например, утечка информации через ПЭМИН для домашнего компьютера). С другой стороны, вероятность реализации угрозы может быть достаточно велика, но стоимость потерь при реализации – столь мала, что нейтрализация данной угрозы потребует большие финансовые затраты, чем возможные потери при реализации.

С точки зрения собственника информации, основными показателями, связанными с угрозами ИБ и влияющими на степень их опасности для АС, является вероятность их реализации, а также возможный ущерб владельцам или пользователям информации. Комплексный показатель, объединяющий эти два показателя – риск информационной безопасности.

Под риском информационной безопасности будем понимать возможные потери собственника или пользователя информации и поддерживающей инфраструктуры связанные с реализацией некоторой угрозы.

NIST SP 800-30. Риск (R) – функция вероятности (P) реализации отдельным источником угрозы (T) отдельной потенциальной уязвимости (V) и результирующего влияния (I) этого враждебного события на организацию или индивида.

;

Согласно принципу разумной достаточности, риски в АС присутствуют всегда, их можно только понижать, не устраняя в принципе (даже ГОСТ можно взломать полным перебором, DES в США как раз и заменили на AES в связи с тем, что риски при его использовании стали очень велики).

Некоторые из возможных потерь для собственника информации являются приемлемыми, другие нет, поэтому для специалиста по ИБ очень важно выделить множество неприемлемых рисков. Кроме этого, для эффективности управления ИБ, важно знать, какие риски необходимо понижать в первую очередь. Вообще говоря, для специалиста по ЗИ очень актуально решение следующей задачи:

ПОСТАНОВКА ЗАДАЧИ (*)

Задано множество рисков ИБ для АС, выделенных на этапе идентификации рисков. Необходимо выделить подмножество неприемлемых рисков, а также задать на множестве отношение порядка , по отношении к величине рисков.

С точки зрения понятия риска ИБ, можно достаточно прозрачно определить такие понятия, как эффективность СЗИ и эффективность контрмеры. Можно сравнивать возможные варианты реализации СЗИ по своей эффективности. Можно определить такие экономические показатели, как коэффициент возврата инвестиций в ИБ (ROI).

Эффективность СЗИ (без учета затратной составляющей) логично определить через уровень остаточных рисков АС. Чем меньше уровень остаточных рисков, тем эффективнее работа СЗИ. То есть если риск при использовании СЗИ1 равен R1, а при введении СЗИ2 равен R2, то СЗИ1 эффективнее СЗИ2, если R1<R2

Эффективность контрмеры (без учета затратной составляющей) логично определить через достигнутый путем ее реализации уровень снижения остаточных рисков.

где - величина остаточных рисков до реализации контрмеры, - величина остаточных рисков после реализации контрмеры. То есть если уровень снижения риска при внедрении контрмеры С1 равен DR1, а при внедрении С2 равен DR2, то С1 эффективнее С2, если DR1>DR2

Эффективность контрмеры с учетом затратной составляющей можно определить через коэффициент возврата инвестиций ROI.

где СКонтрмеры – величина затрат на реализацию контрмеры. Большему ROI соответствуют более эффективные контрмеры.

Более правильно -

Введение меры риска позволяет также ставить перед специалистами по ИБ различные оптимизационные задачи, разрабатывать соответствующие им стратегии управления рисками. Например:

-  выбрать вариант подсистемы информационной безопасности, оптимизиро­ванной по критерию «стоимость-эффективность» при заданном уровне оста­точных рисков;

-  выбрать вариант подсистемы информационной безопасности, при котором минимизируются остаточные риски при фиксированной стоимости подсисте­мы безопасности;

-  выбрать архитектуру подсистемы ИБ с минимальной стоимостью владения на протяжении жизненного цикла при установленном уровне остаточных рисков.

Этапы управления рисками информационной безопасности

Большинство технологий управления рисками ИБ организаций включают в себя следующие этапы:

1. Идентификацию рисков.

2. Оценивание (измерение) рисков.

3. Анализ рисков (с выбором допустимого уровня рисков).

4. Управление рисками, направленное на их снижение.

Технология управления рисками – это непрерывный циклический процесс (непрерывно повторяются этапы 1-4-1).

3.2. Оценка рисков ИБ

В методике оценке рисков NIST SP 800-30 «Risk Management Guide for Information Technology Systems» методология оценки рисков ИБ разложена на девять основных шагов:

Шаг 1 – Определение характеристик системы (сбор информации о системе).

Шаг 2 – Определение уязвимостей.

Шаг 3 – Определение угроз.

Шаг 4 – Анализ мер безопасности.

Шаг 5 – Определение вероятности.

Шаг 6 – Анализ влияния.

Шаг 7 – Определение риска.

Шаг 8 – Выработка рекомендаций.

Шаг 9 – Документирование результатов.

Шаги 2,3,4 и 6 могут выполняться параллельно, по выполнению действий Шага 1.

3.2. Определение характеристик системы

В анализе рисков информационной безопасности первоочередным шагом является определение масштабов обследования. На этом шаге определяются границы информационной системы, включающие в себя ресурсы и информацию.

Лицо или лица, которые выполняют оценку рисков, сначала должны произвести сбор информации о системе, которая обычно классифицируется следующим образом (такая же информация собирается и на предварительной стадии перед проведением аудита ИБ).

-  Аппаратное обеспечение;

-  Программное обеспечение;

-  Взаимодействие системы (например, внешние и внутренние связи);

-  Данные и информация;

-  Лица, которые поддерживают и используют ИС;

-  Назначение системы (например, бизнес-процессы, которые выполняются ИС);

-  Критичность информационных ресурсов (конфиденциальность, целостность, доступность, ценность или важность системы для организации); Например, одно дело – информация КТ, другое дело – не КТ или наоборот, гостайна.

-  Функциональные требования ИС;

-  Пользовательские роли (например, пользователи системы, которые обеспечивают техническую поддержку информационной системы; пользователи приложений, которые используют информационную систему для выполнения своих служебных функций);

-  Политики безопасности системы, которые управляют (регулируют) ИС (организационные политики, федеральные требования, законы, практики отрасли);

-  Архитектура безопасности системы;

-  Текущая сетевая топология (например, сетевая диаграмма);

-  Безопасность механизмов, которые обеспечивают доступность, целостность и конфиденциальности данных и системы;

-  Информационные потоки, принадлежащие ИС (например, связи системы, входные и выходные данные системы);

-  Технические механизмы, которые используются в ИС (например, встроенные или дополнительные продукты защиты, которые поддерживают идентификацию и аутентификацию, дискреционный и мандатный контроль доступа, аудит, защиту остаточной информации, методы шифрования);

-  Механизмы управления, используемые в ИС (например, правила управления, планирование безопасности);

-  Операционные механизмы, используемые в ИС (например, безопасность персонала, восстановительные операции - резервирование, отработка непрерывности функционирования и восстановление; поддержка системы; внешнее хранилище; процедуры создания и удаления учетных записей пользователей; механизмы разделения пользовательских функций таких как, привилегированный пользовательский доступ против обычного пользовательского доступа);

-  Среда физической безопасности ИС (например, средства физической безопасности, политики безопасности центра данных);

-  Безопасность среды ИС (пример, механизмы контроля влажности, воды, энергии, выбросов, температуры и химических веществ).

Для систем в фазе проектирования, информация может быть получена из проектной документации. Для ИС находящихся в стадии разработки – необходимо определить ключевые правила и атрибуты безопасности, планируемые для внедрения. Проектная документация системы и планы безопасности системы могут содержать множество полезной информации о безопасности ИС, которая находится в разработке.

Для функционирующей ИС, важны данные о технологических процессах, включая данные по конфигурации системы, связность, документированные и недокументированные процедуры и практики. Поэтому описание системы может основываться на описании схемы безопасности обеспечиваемой нижележащей инфраструктурой или будущими планами безопасности ИС.

Техники сбора информации о системе

Для сбора информации об информационной системе может быть использована любая или комбинация следующих техник:

Опросные листы. Для сбора необходимой информации персонал, выполняющий оценку рисков, может разработать опросные листы, касающиеся управленческих и операционных механизмов, планируемых или используемых в информационной системе. Эти опросные листы должны распространяться в технической и нетехнической форме персоналу, который занимается проектированием или поддержкой информационной системы. Опросные листы могут также использоваться непосредственно в течение интервьюирования.

Интервьюирование. Интервьюирование с персоналом, который поддерживает и управляет информационную, систему может помочь в оценке рисков для сбора полезной информации об ИС (например, как система управляется и функционирует). Непосредственное посещение информационной системы также позволяет персоналу, который выполняет оценку рисков, осмотреть и собрать информацию о физической, операционной безопасности и безопасности среды этой ИС. Приложение А содержит примеры вопросов, которые задаются в течение интервьюирования с персоналом ИС, для достижения персоналом, который проводит анализ рисков, лучшего понимания операционных характеристик организации. Для систем, которые все еще находятся в фазе проектирования, посещение будет возможностью сбора данных непосредственно на месте внедрения, что поможет оценить физическую среду, в которой ИС будет функционировать.

Образцы вопросов для интервьюирования

-  Кто являются авторизованными пользователями?

-  Какие задачи пользователей организации?

-  Какие задачи решает система в отношении деятельности организации?

-  Какова важность системы для решения пользователями своих задач?

-  Какие требования доступности системы?

-  Какая информация (входная и выходная) важна для организации?

-  Какая информация создается, потребляется, обрабатывается, хранится или принимается системой?

-  Какова важность информации системы для выполнения пользователям своих задач?

-  Как распределены информационные потоки?

-  Какие типы информации обрабатываются и хранятся в системе (например, финансовая, персональные данные, данные о разработках и исследованиях, медицинские данные, управляющая)?

-  Какой уровень конфиденциальности информации системы?

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8