Способы оценки информационной безопасности бизнеса
12 февраля 2011, 12:10
Выдержка из книги "Обеспечение информационной безопасности бизнеса", авторы: В.В. Андрианов,С.Л. Зефиров, В.Б. Голованов, Н.А. Голдуев., под общей редакцией А.П. Курило
О рганизации, бизнес которых во многом зависит от информационной сферы, для достижения целей бизнеса должны поддерживать на необходимом уровне систему обеспечения ИБ (СОИБ). СОИБ представляет собой совокупность аппаратно-программных, технических и организационных защитных мер (ЗМ), функционирующих под управлением СМИБ и процессов осознания ИБ, инициирующих и поддерживающих деятельность по менеджменту ИБ.
Желание иметь СОИБ, адекватную целям ИБ организации по обеспечению доступности, целостности и конфиденциальности информационных активов, приводит к стремлению совершенствовать СОИБ. Совершенствование, улучшение СОИБ возможно при условии знания состояний характеристик и параметров используемых ЗМ, процессов менеджмента, осознания ИБ и понимания степени их соответствия требуемым результатам. Понять эти аспекты СОИБ можно только по результатам оценки ИБ организации, полученной с помощью модели оценки ИБ на основании свидетельств оценки, критериев оценки и с учётом контекста оценки.
Критерии оценки – это всё то, что позволяет установить значения оценки для объекта оценки. В качестве критериев оценки ИБ могут использоваться требования ИБ, процедуры ИБ, сочетание требований и процедур ИБ, уровень инвестиций, затрат на ИБ.
К свидетельствам оценки ИБ относятся записи, изложение фактов или любая информация, которая имеет отношение к критериям оценки ИБ и может быть проверена. Такими свидетельствами оценки ИБ могут быть доказательства выполняемой и выполненной деятельности по обеспечению ИБ в виде отчётных, нормативных, распорядительных документов, результатов опросов, наблюдений.
Контекст оценки ИБ объединяет цели и назначение оценки ИБ, вид оценки (независимая оценка, самооценка), объект и области оценки ИБ, ограничения оценки и роли.
Модель оценки ИБ определяет сферу оценки, отражающую контекст оценки ИБ в рамках критерия оценки ИБ, отображение и преобразование оценки в параметры объекта оценки, а также устанавливает показатели, обеспечивающие оценку ИБ в сфере оценки.
В общем виде процесс проведения оценки ИБ (см. рисунок 1) представлен основными компонентами процесса: контекст, свидетельства, критерии и модель оценки, необходимыми для реализации процесса оценки.
Рисунок 1 – Общий вид процесса оценки ИБ организации
Оценка ИБ заключается в выработке оценочного суждения относительно пригодности (зрелости) процессов обеспечения ИБ, адекватности используемых защитных мер или целесообразности (достаточности) инвестиций (затрат) для обеспечения необходимого уровня ИБ на основе измерения и оценивания критических элементов (факторов) объекта оценки.
Наряду с важнейшим назначением оценки ИБ – создание информационной потребности для совершенствования ИБ, возможны и другие цели проведения оценки ИБ такие, как:
– определение степени соответствия установленным критериям отдельных областей обеспечения ИБ, процессов обеспечения ИБ, защитных мер;
– выявление влияния критических элементов (факторов) и их сочетания на ИБ организации;
– сравнение зрелости различных процессов обеспечения ИБ и сравнение степени соответствия различных защитных мер установленным требованиям.
Результаты оценки ИБ организации могут также использоваться заинтересованной стороной для сравнения уровня ИБ организаций с одинаковым бизнесом и сопоставимым масштабом.
В зависимости от выбранного для оценки ИБ критерия можно разделить способы оценки ИБ организации (см. рисунок 2) на оценку по эталону, риск-ориентированную оценку и оценку по экономическим показателям.
Рисунок 2 – Способы оценки ИБ организации
Способ оценки ИБ по эталону сводится к сравнению деятельности и мер по обеспечению ИБ организации с требованиями, закрепленными в эталоне. По сути дела проводится оценка соответствия СОИБ организации установленному эталону. Под оценкой соответствия ИБ организации установленным критериям понимается деятельность, связанная с прямым или косвенным определением выполнения или невыполнения соответствующих требований ИБ в организации. С помощью оценки соответствия ИБ измеряется правильность реализации процессов системы обеспечения ИБ организации и идентифицируются недостатки такой реализации.
В результате проведения оценки ИБ должна быть сформирована оценка степени соответствия СОИБ эталону, в качестве которого могут быть приняты (в совокупности и отдельно):
– требования законодательства Российской Федерации в области ИБ;
– отраслевые требования по обеспечению ИБ;
– требования нормативных, методических и организационно-распорядительных документов по обеспечению ИБ;
– требования национальных и международных стандартов в области ИБ.
Основные этапы оценки информационной безопасности по эталону включают выбор эталона и формирование на его основе критериев оценки ИБ, сбор свидетельств оценки и измерение критических элементов (факторов) объекта оценки, формирование оценки ИБ.
Риск-ориентированная оценка ИБ организации представляет собой способ оценки, при котором рассматриваются риски ИБ, возникающие в информационной сфере организации, и сопоставляются существующие риски ИБ и принимаемые меры по их обработке. В результате должна быть сформирована оценка способности организации эффективно управлять рисками ИБ для достижения своих целей.
Основные этапы риск-ориентированной оценки информационной безопасности включают идентификацию рисков ИБ, определение адекватных процессов менеджмента рисков и ключевых индикаторов рисков ИБ, формирование на их основе критериев оценки ИБ, сбор свидетельств оценки и измерение риск-факторов, формирование оценки ИБ.
Способ оценки ИБ на основе экономических показателей оперирует понятными для бизнеса аргументами о необходимости обеспечения и совершенствования ИБ. Для проведения оценки в качестве критериев эффективности СОИБ используются, например, [24], показатели совокупной стоимости владения (Total Cost of Ownership – ТСО).
Под показателем TCO понимается сумма прямых и косвенных затрат на внедрение, эксплуатацию и сопровождение СОИБ. Под прямыми затратами понимаются все материальные затраты, такие как покупка оборудования и программного обеспечения, трудозатраты соответствующих категорий сотрудников. Косвенными являются все затраты на обслуживание СОИБ, а также потери от произошедших инцидентов. Сбор и анализ статистики по структуре прямых и косвенных затрат проводится, как правило, в течение года. Полученные данные оцениваются по ряду критериев с показателями ТСО аналогичных организаций отрасли.
Оценка на основе показателя TCO позволяет оценить затраты на информационную безопасность и сравнить ИБ организации с типовым профилем защиты, а также управлять затратами для достижения требуемого уровня защищенности.
Основные этапы оценки эффективности СОИБ на основе модели TCO включают сбор данных о текущем уровне ТСО, анализ областей обеспечения ИБ, выбор сравнимой модели ТСО в качестве критерия оценки, сравнение показателей с критерием оценки, формирование оценки ИБ.
Однако этот способ оценки требует создания общей информационной базы данных об эффективности СОИБ организаций схожего бизнеса и постоянной поддержки базы данных в актуальном состоянии. Такое информационное взаимодействие организаций, как правило, не соответствует целям бизнеса. Поэтому оценка ИБ на основе показателя TCO практически не применяется.
- Экономика слов, чисел, рассуждений и мнений
- Ресурсы: квалификация и классификация
- Логика распределения ресурсов в экономике
- Основы системного выделения элементов финансовых ресурсов
- Чем затраты отличаются от расходов
- Где взять деньги для экономического роста
- Сущность и функции кризиса
- Экономическая динамика. Кризис, как состояние экономического равновесия
- Прибыль, инфляция и экономический рост
- Темпы экономического роста - "Голландская болезнь"
- "Голландская болезнь"
- Борьба за ренту
- Социальный капитал
- Образование, человеческий капитал и нтп
- Сбережения, инвестиции и накопление капитала
- Заключение
- Неравенство и экономический рост. Подходит ли кривая Кузнеца для российской экономики?
- Реальные перспективы развития российской экономики и эффективные направления инвестиций
- Введение
- Что такое экономика? Структуры мировой и национальных экономик
- Главные факторы мировой экономики, влияющие на ситуацию в российской экономике
- Положение дел в российской экономике
- Инвестиционные перспективы для российской экономики.
- Приложение. Общая логика среднесрочного циклического развития экономики.
- Стратегическое развитие экономических субъектов России в глобальном миропорядке
- Теоретический анализ особенностей инновационного развития России в условиях финансовой нестабильности
- Оценка текущего инновационного потенциала России
- Проблемы инновационного развития России
- Роль государства и частного сектора в реализации инновационного потенциала России
- Формирование и структура бюджета доходов и расходов
- Отчет о прибылях и убытках. Приложение 1.
- Инновационная экономика России: финансово-экономические предпосылки и условия формирования
- Новая модель роста - «экономика предложения»
- Современные транснациональные корпоративные империи - одна из ключевых первопричин мирового кризиса
- Факторы и темпы экономического роста в России
- Основные факторы роста
- Калькуляция темпов роста
- Экспортно-ориентированный рост
- Ориентированный внутрь рост
- Экономическая политика России: исчерпание старой модели
- Экономическая политика 1999–2009 гг. – экономика спроса
- Макроэкономические и структурные ограничения модели 1999–2009 гг. («экономики спроса»), требующие выработки новой модели роста
- Система опережающих индикаторов для России
- Часть 1: основные методические и статистические проблемы
- Расчет сводного опережающего индикатора и диффузного индекса.
- Часть 2: основные результаты
- Место снг в мировой финансовой системе
- Динамика экономического роста: сравнение внешнеэкономических блоков по некоторым показателям
- Основные достижения снг и проблемы 2011 года и приоритетные направления развития в 2012 году
- Развитие инфраструктуры
- Развитие предпринимательства в россии
- Вклад неоинституционализма в понимание проблем переходной экономики
- Часть 1
- Часть 2
- Часть 3
- Часть 4
- Места возникновения затрат и центры ответственности
- Сша: циклы Жюгляра и смена президентов во втор. Пол. XX - нач. XXI вв.
- 1. Существуют ли циклы Жюгляра в экономике сша? Подмена Митчеллом циклов Жюгляра «деловыми циклами».
- 2. Воздействие циклов Жюгляра на политическую принадлежность американских президентов
- 3. Причины двойного срыва в цикле роста 1975-1982 гг. И начало постиндустриальной эпохи
- Ф.Д.Рузвельт: Новый курс и борьба с Великой депрессией
- Инфляция: основные виды и методы регулирования
- Информационная сущность и характеристики бизнеса
- Способы оценки информационной безопасности бизнеса
- В 2010 году финансовое состояние сша ухудшится
- Китай наносит ответный удар
- Китай наносит ответный удар. Часть вторая
- Китайское чудо на пути к закату
- Особенности функционирования организации в виртуальном пространстве
- Выход – налево
- Депрессивный потребитель
- Призрак бродит
- Китай: десять лет Дракона
- Неофициальный лидер
- Полоса препятствий
- Противоречия экономики Китая
- В ожидании «идеального шторма»
- Часть первая - цифрологическая
- Часть вторая – о причинах
- Часть третья – о дне грядущем
- Резюме – во что же вкладывать?
- Кредитно-долговой мазохизм денежных властей России
- Стратегии модернизации российской экономики
- Интеграция региональных экономических систем
- Об адаптированности западных учебников по «Финансам» к российским аналогам
- Повышение финансовой грамотности населения: международный опыт и российская практика
- Что такое финансовая грамотность
- Пол Кругман: о бебиситтерах и мировом кризисе
- Роль финансового образования в повышении благосостояния населения
- Терминология стоимостной природы финансовых ресурсов