- •1 Подготовка курсовой работы
- •1.1. Цели и задачи выполнения курсовой проекта
- •1.2 Тематика курсовых работ
- •1.3 Интеграция выполняемых курсовых проектовс объектами образовательной программы
- •1.4 Технология выполнения курсовой проекта
- •1.Содержание, оформление и защита курсовой проекта
- •2.1 Содержание пояснительной записки
- •1.2 Пример оценки затрат на иб
- •1.3 Рекомендации
- •2.2. Содержание графической части
- •2.3. Требования к оформлению пояснительной записки
- •Книжные издания
- •Статьи из периодических журналов
- •2.4 Требования к графическим материалам
- •2.5. Организация защиты курсовых работ
- •2.6 Рекомендуемая литература
- •Приложение а (обязательное) Пример титульного листа пояснительной записки
- •Приложение б (обязательное) Пример задания на курсовую работу
- •Задание на курсовую работу
- •Приложение в (справочное) Рекомендуемый перечень стандартов и госТов
- •Государственные стандарты Российской Федерации
- •Д.1 Должностная инструкция сотруднику, ответственному за защиту информации
- •1 Общие положения
- •2 Общие обязанности администратора
- •3 Обязанности администраторов по предотвращению утечки информации по техническим каналам
- •4 Обязанности администраторов по предотвращению несанкционированного доступа к обрабатываемой информации
- •Начальник _________ отдела
- •Д.4 инструкция по защите электронной информации ______от компьютерных вирусов
- •По об работке закрытой информации на пэвм
- •Запрещается:
- •Д.7 Матрица доступа субъектов автоматизированной системы объекта информатизации [название] к ее защищаемым информационным ресурсам
- •Д.8 Описание технологического процесса об работки информации в автоматизированной системе объекта информатизации «Название».
- •Д.9 Пример схемы построения антивирусной защиты
- •Организационная структура системы антивирусной защиты информации в __________________________
- •Д.11 кабинет № отдела
- •1 Общие сведения об объекте
- •2 Состав оборудования, средств защиты и мебели установленных в кабинете
- •2.3 Меры защиты технических средств и помещения
- •3 Памятка по обеспечению режима секретности и эксплуатации оборудования, установленного в выделенном помещении
- •4 План размещения оборудования и мебели в выделенном помещении
- •Приложение е е1 Международные требования по информационной безопасности
- •2 Федеральные критерии безопасности информационных технологий
- •3 Общие критерии оценки безопасности информационных технологий
1.Содержание, оформление и защита курсовой проекта
Курсовая проектсостоит из пояснительной записки и графических материалов.
2.1 Содержание пояснительной записки
Основным документом, излагающим сущность выполненной работы, является пояснительная записка, в которой четко, убедительно и в логической последовательности раскрывается содержание отдельных этапов решения задачи, решаемой в курсовой, приводится описание принятых решений и их обоснование. Записка содержит текстовую часть с необходимыми математическими выкладками, а также программы, описание баз данных и т.п.
Рекомендуемый объем пояснительной записки – 30 -35 страниц текста, включая иллюстрации. Структура пояснительной записки должна быть следующей:
титульный лист;
задание на курсовую работу;
содержание;
введение;
перечень сокращений, условных обозначений, символов, единиц и терминов;
основная часть;
заключение;
список литературы;
приложения.
Форма титульного листа пояснительной записки должна соответствовать требованиям (приложение А). Титульный лист заполняется шрифтом Times New Roman обычный, размер 14
Задание на курсовое проектирование является вторым листом пояснительной записки и выполняется на специальном бланке (приложение Б).
Содержание должно включать введение, наименование всех разделов и подразделов с указанием номеров страниц, на которых размещается начало материала.
Пример содержания КУРСОВОЙ ПРОЕКТАс темой: «Раз работка средств информационной безопасности предприятия»:
Введение
1 ПОЛИТИКА БЕЗОПАСНОСТИ И ПРИНЦИПЫ ОРГАНИЗАЦИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ
1.1 Нормативно-правовая база информационной безопасности предприятия
1.2 Оценка угроз информационной безопасности
1.3 Политика информационной безопасности предприятия
Выводы по разделу
2 Криптографические средства защиты информации предприятия
2.1 Классификация шифров и выбор способов шифрования
2.2 Использование симметричной криптографии
2.3 Использование ассиметричной криптографии и организация цифровой подписи
2.4 Использование ХЭШ функций для обеспеченья информационной безопасности
Выводы по разделу
3. ОБЩЕТЕХНИЧЕСКИЕ СРЕДСТВА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ
3.1 Контроль физического доступа
3.2 Средства обнаружения атак
3.3 Антивирусы
3.4 Автоматизированные средства управления политикой безопасности
Выводы по разделу
4. ОЦЕНКА ЗАТРАТ НА ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ
Выводы по разделу
Заключение
Список используемой литературы
ПРИЛОЖЕНИЯ
Во введении (объем 1-2 с.) кратко рассматривается актуальность темы, основные положения и документы, лежащие в основе работы, характеризуются современное состояние вопроса и имеющиеся проблемы, формулируются цели и задачи выполнения КУРСОВОЙ РАБОТЫ, где и как будут использоваться результаты.
Содержание раздела (объем 10-12 с.) « Политика безопасности и принципы организации информационной безопасности предприятия» зависит от назначения и масштаба создаваемой системы информационной безопасности . Выявляются угрозы безопасности информации. На основе этого формируется функциональная схема объекта защиты и схема информационных потоков в существующей системе, оцениваются применяемые технические и программные средства в рамках политики информационной безопасности предприятия.
Подраздел Нормативно-правовая база информационной безопасности предприятия включает пункты Международные требования по обеспечению информационной безопасности предприятия, Отечественные требования по обеспечению информационной безопасности предприятия, а также Документация службы информационной безопасности предприятия «N», и оформляется как единое целое с обязательным включением информации по индивидуальным заданиям в соответствии с таблицами 1-2.
Таблица 1 Индивидуальные задания по исследованию критериев ИБ
Варианты (№ по журналу) |
Зарубежные критерии ИБ (Е1) |
1Руководящие документы ГТК России (Е2) |
2 Федеральные критерии безопасности ИТ Е2 |
3 Общие критерии оценки безопасности ИТ (Е2) |
||||||||||||||||||||
|
1 |
2 |
3 |
4 |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
1 |
2 |
3 |
4 |
5 |
1 |
2 |
3 |
4 |
1 |
+ |
|
|
|
+ |
|
|
|
|
|
|
|
|
|
|
+ |
|
|
|
|
+ |
|
|
|
2 |
|
+ |
|
|
|
+ |
|
|
|
|
|
|
|
|
|
|
+ |
|
|
|
|
+ |
|
|
3 |
|
|
+ |
|
|
|
+ |
|
|
|
|
|
|
|
|
|
|
+ |
|
|
|
|
+ |
|
4 |
|
|
|
+ |
|
|
|
+ |
|
|
|
|
|
|
|
|
|
|
+ |
|
|
|
|
+ |
5 |
+ |
|
|
|
|
|
|
|
+ |
|
|
|
|
|
|
|
|
|
|
+ |
|
|
+ |
|
6 |
|
+ |
|
|
|
|
|
|
|
+ |
|
|
|
|
|
+ |
|
|
|
|
+ |
|
|
|
7 |
|
|
+ |
|
|
|
|
|
|
|
+ |
|
|
|
|
|
+ |
|
|
|
|
+ |
|
|
8 |
|
|
|
+ |
|
|
|
|
|
|
|
+ |
|
|
|
|
|
+ |
|
|
|
|
+ |
|
9 |
+ |
|
|
|
|
|
|
|
|
|
|
|
+ |
|
|
|
|
|
+ |
|
|
|
|
+ |
10 |
|
+ |
|
|
|
|
|
|
|
|
|
|
|
+ |
|
|
|
|
|
+ |
|
|
+ |
|
11 |
|
|
+ |
|
|
|
|
|
|
|
|
|
|
|
+ |
+ |
|
|
|
|
+ |
|
|
|
12 |
|
|
|
+ |
+ |
|
|
|
|
|
|
|
|
|
|
|
+ |
|
|
|
|
+ |
|
|
13 |
+ |
|
|
|
|
+ |
|
|
|
|
|
|
|
|
|
|
|
+ |
|
|
|
|
+ |
|
14 |
|
+ |
|
|
|
|
+ |
|
|
|
|
|
|
|
|
|
|
|
+ |
|
|
|
|
+ |
15 |
|
|
+ |
|
|
|
|
+ |
|
|
|
|
|
|
|
|
|
|
|
+ |
|
|
+ |
|
16 |
|
|
|
+ |
|
|
|
|
+ |
|
|
|
|
|
|
+ |
|
|
|
|
+ |
|
|
|
17 |
+ |
|
|
|
|
|
|
|
|
+ |
|
|
|
|
|
|
+ |
|
|
|
|
+ |
|
|
18 |
|
+ |
|
|
|
|
|
|
|
|
+ |
|
|
|
|
|
|
+ |
|
|
|
|
+ |
|
19 |
|
|
+ |
|
|
|
|
|
|
|
|
+ |
|
|
|
|
|
|
+ |
|
|
|
|
+ |
20 |
|
|
|
+ |
|
|
|
|
|
|
|
|
+ |
|
|
|
|
|
|
+ |
|
|
+ |
|
21 |
|
|
|
|
|
|
|
|
|
|
|
|
|
+ |
|
|
|
|
|
|
+ |
|
|
|
22 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
+ |
+ |
|
|
|
|
|
+ |
|
|
23 |
|
|
|
|
+ |
|
|
|
|
|
|
|
|
|
|
|
+ |
|
|
|
|
|
+ |
|
24 |
|
|
|
|
|
+ |
|
|
|
|
|
|
|
|
|
|
|
+ |
|
|
|
|
|
+ |
25 |
|
|
|
|
|
|
+ |
|
|
|
|
|
|
|
|
|
|
|
+ |
|
|
|
+ |
|
26 |
|
|
|
|
|
|
|
+ |
|
|
|
|
|
|
|
|
|
|
|
+ |
|
|
|
+ |
Таблица 2 Варианты исполнения документов по обеспечению информационной безопасности предприятия
Первая буква фамилии |
А |
Б |
В |
Г |
Д |
Е |
Ж |
З |
И |
К |
Л |
М |
Н |
О |
П |
Р |
С |
Т |
У |
Ф |
Х |
Ц |
Ч |
Ш |
Щ |
Э |
Ю |
Я |
Приложение |
||||||||||||||||||||||||||||
Д1 |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Д2 |
|
|
|
|
|
|
|
|
|
|
|
|
|
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
Д3 |
+ |
|
|
+ |
|
|
+ |
|
|
+ |
|
|
+ |
|
|
+ |
|
|
+ |
|
|
+ |
|
|
+ |
|
|
+ |
Д4 |
|
+ |
|
|
+ |
|
|
+ |
|
|
+ |
|
|
+ |
|
|
+ |
|
|
+ |
|
|
+ |
|
|
+ |
|
|
Д5 |
|
|
+ |
|
|
+ |
|
|
+ |
|
|
+ |
|
|
+ |
|
|
+ |
|
|
+ |
|
|
+ |
|
|
+ |
|
Д6 |
+ |
|
+ |
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
Д7 |
+ |
+ |
|
+ |
+ |
|
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
Д8 |
|
+ |
+ |
|
+ |
+ |
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
Д9 |
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
Д10 |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
Д11 |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
|
+ |
При этом документы выносятся в приложение.
В подразделе 1.2 «Оценка угроз информационной безопасности» предусматриваются следующие пункты, позволяющие оценить аналитические и творческие способности студента
Типовые угрозы информационной безопасности
Особенности информационных угроз для предприятия «N»
Модель (схема) информационных угроз
В подразделе 1.3 «Политика информационной безопасности предприятия» конкретизируются элементы политики безопасности, характерные для данного предприятия (по пунктам , в соответствии с отечественными нормативно-правовыми документами. См. Приложение Е2, Федеральные критерии безопасности информационных технологий).
В выводах по разделу должны быть пункты, обосновывающие написание разделов 2, 3, 4.
Раздел «Криптографические средства защиты информации» включает подразделы:
Классификация шифров и выбор способов шифрования
Использование поточного шифрования
Использование блочной криптографии и организация цифровой подписи
Использование хэш- функций для обеспеченья информационной безопасности
Объем – 1-2 с. общих сведений по указанным вопросам в каждом из подразделов, а также, в соответствии с индивидуальным заданием (таблица 3, номер варианта – сумма трех последних цифр в номере зачетной книжки студента) необходимо написать две программы на любом из доступных студенту языков программирования (или в виде макроса для стандартного приложения Windows, другого инструмента ПК: Word, Excel и пр.) реализующую заданный способ шифрования. Общий объем раздела 10 с.
В разделе 3. Общетехнические средства информационной безопасности предприятия, общим объемом 8-10 с. должны быть включены подразделы
3.1 Контроль физического доступа
3.2 Средства обнаружения атак. Антивирусы
3.3 Автоматизированные средства управления политикой безопасности.
При этом документация, соответствующая общим вопросам, изложенным в разделе и конкретизированная, применительно к особенностям предприятия помещается в приложении к КУРСОВОЙ РАБОТЕ(См. Приложения Д4-Д11 настоящего пособия)..
Раздел 4. «Оценка затрат на информационную безопасность» должен быть логически связан с предыдущими разделами, и в нем необходимо привести экономическое обоснование решений, принятых в процессе раз работки системы информационной безопасности При проведении технико-экономического обоснования следует учитывать, что внедрение системы информационной безопасности позволяет корпорации повысить эффективность решения задач. С учетом спецификации системы в данном разделе предусматривается выполнение расчета себестоимости, технико-экономической оценки, а также раз работка вопросов организации исследовательских и проектных работ. В качестве методики оценки затрат на работу рекомендуется использовать модель совокупной стоимости владения сервисами системы информационной безопасности.
Таблица 3 Варианты индивидуальных заданий раз работки программ шифрования
№ по журналу |
Блочное шифрование |
Хэш-функция |
||||||||
Симметричное шифрование |
Асимметричное шифрование |
Организация ЭЦП ГОСТ Р 3410-2001 |
На блочных шифрах |
Самост. алгоритмы |
||||||
DES |
ГОСТ 28147-89 |
пост DES* |
RSA |
Схема Рабина |
Эль-Гамаль |
Мак-Элис |
||||
1 |
+ |
|
|
|
|
|
|
|
|
|
2 |
|
+ |
|
|
|
|
|
|
|
|
3 |
|
|
+ |
|
|
|
|
|
|
|
4 |
|
|
|
+ |
|
|
|
|
|
|
5 |
|
|
|
|
+ |
|
|
|
|
|
6 |
|
|
|
|
|
+ |
|
|
|
|
7 |
|
|
|
|
|
|
+ |
|
|
|
8 |
|
|
|
|
|
|
|
+ |
|
|
9 |
|
|
|
|
|
|
|
|
+ |
|
10 |
|
|
|
|
|
|
|
|
|
+ |
11 |
+ |
|
|
|
|
|
|
|
|
|
12 |
|
+ |
|
|
|
|
|
|
|
|
13 |
|
|
+ |
|
|
|
|
|
|
|
14 |
|
|
|
+ |
|
|
|
|
|
|
15 |
|
|
|
|
+ |
|
|
|
|
|
16 |
|
|
|
|
|
+ |
|
|
|
|
17 |
|
|
|
|
|
|
+ |
|
|
|
18 |
|
|
|
|
|
|
|
+ |
|
|
19 |
|
|
|
|
|
|
|
|
+ |
|
20 |
|
|
|
|
|
|
|
|
|
+ |
21 |
+ |
|
|
|
|
|
|
|
|
|
22 |
|
+ |
|
|
|
|
|
|
|
|
23 |
|
|
+ |
|
|
|
|
|
|
|
24 |
|
|
|
+ |
|
|
|
|
|
|
25 |
|
|
|
|
+ |
|
|
|
|
|
26 |
|
|
|
|
|
+ |
|
|
|
|
27 |
|
|
|
|
|
|
+ |
|
|
|
28 |
|
|
|
|
|
|
|
+ |
|
|
29 |
|
|
|
|
|
|
|
|
+ |
|
30 |
|
|
|
|
|
|
|
|
|
+ |
31 |
+ |
|
|
|
|
|
|
|
|
|
32 |
|
+ |
|
|
|
|
|
|
|
|
Оценка эффективности организации режима ИБ в компании предполагает оценку затрат на ИБ, а также оценку достигаемого при этом эффекта. Действительно, сопоставление этих оценок позволяет оценить возврат инвестиций на ИБ, а также экономически корректно планировать и управлять бюджетом компании на ИБ.
На практике многие решения в области защиты информации часто принимаются на интуитивно-понятийном уровне, без каких-либо экономических расчетов и обоснований. В результате только те начальники служб ИБ, которые смогли заявить и отстоять потребность в защите информации могли как-то повлиять на планирование бюджета компании на ИБ. Однако современные требования бизнеса, предъявляемые к организации режима ИБ компании, диктуют настоятельную необходимость использовать в своей работе более обоснованные технико-экономические методы и средства, позволяющие количественно измерять уровень защищенности компании, а также оценивать экономическую эффективность затрат на ИБ.
В данной работе для оценки эффективности корпоративной системы защиты информации рекомендуется использовать следующие показатели: совокупной стоимости владения (ТСО), экономической эффективности бизнеса и непрерывности бизнеса(BCP), коэффициенты возврата инвестиций на ИБ.
Методика ТСО может быть использована для доказательства экономической эффективности существующих корпоративных систем защиты информации. Она позволяет руководителям служб информационной безопасности обосновывать бюджет на ИБ, а также доказывать эффективность проектасотрудников службы ИБ. Кроме того, поскольку оценка экономической эффективности корпоративной системы защиты информации становится "измеримой", становится возможным оперативно решать задачи контроля и коррекции показателей экономической эффективности и в частности показателя ТСО. Таким образом, показатель ТСО можно использовать как инструмент для оптимизации расходов на обеспечение требуемого уровня защищенности КИС и обоснование бюджета на ИБ. При этом в компании эти проектамогут выполняться самостоятельно, с привлечением системных интеграторов в области защиты информации, или совместно предприятием и интегратором.
Показатель ТСО может применяться практически на всех основных этапах жизненного цикла корпоративной системы защиты информации и позволяет “навести порядок” в существующих и планируемых затратах на ИБ. С этой точки зрения показатель ТСО позволяет объективно и независимо обосновать экономическую целесообразность внедрения и использования конкретных организационных и технических мер и средств защиты информации. При этом для объективности решения необходимо дополнительно учитывать и состояния внешней и внутренней среды предприятия, например показатели технологического, кадрового и финансового развития предприятия. Так как не всегда наименьший показатель ТСО корпоративной системы защиты информации может быть оптимален для компании.
Понятно, что умелое управление ТСО позволяет рационально и экономно реализовывать средства бюджета на ИБ, достигая при этом приемлемого уровня защищенности компании, адекватного текущим целям и задачам бизнеса. Существенно, что сравнение определенного показателя ТСО с аналогичными показателями ТСО по отрасли (аналогичными компаниями) и с “лучшими в группе” позволяет объективно и независимо обосновать затраты компании на ИБ. Ведь часто оказывается довольно трудно или даже практически невозможно оценить прямой экономический эффект от затрат на ИБ. Сравнение же “родственных” показателей ТСО позволяет убедиться в том, что проект создания или реорганизации корпоративной системы защиты информации компании является лучшим по сравнению с некоторым среднестатистическим проектом в области защиты информации по отрасли. Указанные сравнения можно проводить, используя усредненные показатели ТСО по отрасли, рассчитанные экспертами компании с помощью методов математической статистики и об работки наблюдений.
Таким образом, методика ТСО позволяет ответить на следующие актуальные вопросы:
Какие ресурсы и денежные средства тратятся на ИБ?
Оптимальны ли затраты на ИБ для бизнеса компании?
Насколько эффективна проектслужбы ИБ компании по сравнению с другими?
Как эффективно управлять инвестированием в защиту информации?
Какие выбрать направления развития корпоративной системы защиты информации?
Как обосновать бюджет компании на ИБ?
Как доказать эффективность существующей корпоративной системы защиты информации и службы ИБ компании в целом?
Какова оптимальная структура службы ИБ компании?
Как правильно оценить аутсортинговые услуги по сопровождению корпоративной системы защиты информации?
Как оценить эффективность нового проекта в области защиты информации?
В целом методика ТСО позволяет:
получить адекватную информацию об уровне защищенности распределенной вычислительной среды и совокупной стоимости владения корпоративной системы защиты информации;
сравнить подразделения службы ИБ компании, как между собой, так и с аналогичными подразделениями других предприятий в данной отрасли;
оптимизировать инвестиции на ИБ компании с учетом реального значения показателя ТСО.
Здесь под показателем ТСО понимается сумма прямых и косвенных затрат на организацию (реорганизацию), эксплуатацию и сопровождение корпоративной системы защиты информации в течение года. ТСО может рассматриваться как ключевой количественный показатель эффективности организации ИБ в компании, так как позволяет не только оценить совокупные затраты на ИБ, но управлять этими затратами для достижения требуемого уровня защищенности КИС.
При этом прямые затраты включают как капитальные компоненты затрат (ассоциируемые с фиксированными активами или “собственностью”), так и трудозатраты, которые учитываются в категориях операций и административного управления. Сюда же относят затраты на услуги удаленных пользователей, аутсорсинг и др., связанные с поддержкой деятельности организации.
В свою очередь косвенные затраты отражают влияние КИС и подсистемы защиты информации на сотрудников компании посредством таких измеримых показателей как простои и “зависания” корпоративной системы защиты информации и КИС в целом, затраты на операции и поддержку (не относящиеся к прямым затратам). Очень часто косвенные затраты играют значительную роль, так как они обычно изначально не отражаются в бюджете на ИБ, а выявляются явно при анализе затрат в последствии, что в конечном счете приводит к росту “скрытых” затрат компании на ИБ.
Существенно, что TCO не только отражает “стоимость владения” отдельных элементов и связей корпоративной системы защиты информации в течение их жизненного цикла. “Овладение методикой” ТСО помогает службе ИБ лучше измерять, управлять и снижать затраты и/или улучшать уровни сервиса защиты информации с целью адекватности мер защиты бизнесу компании.
Подход к оценке ТСО базируется на результатах аудита структуры и поведения корпоративной системы защиты информации и КИС в целом, включая действия сотрудников служб автоматизации, информационной безопасности и просто пользователей КИС. Сбор и анализ статистики по структуре прямых (операции, административное управление) и косвенных затрат (на конечных пользователей и простои) проводится, как правило, в течение 12 месяцев. Полученные данные оцениваются по ряду критериев с учетом сравнения с аналогичными компаниями по отрасли.
Методика ТСО позволяет оценить и сравнить состояние защищенности КИС компании с типовым профилем защиты, в том числе показать узкие места в организации защиты, на которые следует обратить внимание. Иными словами, на основе полученных данных можно сформировать понятную с экономической точки зрения стратегию и тактику развития корпоративной системы защиты информации, а именно: “сейчас мы тратим на ИБ столько-то, если будем тратить столько-то по конкретным направлениям ИБ, то получим такой-то эффект”.
Известно, что в методике ТСО в качестве базы для сравнения используются данные и показатели ТСО для западных компаний. Однако данная методика способна учитывать специфику российских компаний с помощью так называемых поправочных коэффициентов, например:
по стоимости основных компонентов корпоративной системы защиты информации и КИС, информационных активов компании (Cost Profiles) с учетом данных по количеству и типам серверов, персональных компьютеров, периферии и сетевого оборудования;
по за работанной плате сотрудников (Salary and Asset Scalars) c учетом дохода компании, географического положения, типа производства и размещения организации в крупном городе или нет;
по конечным пользователям ИТ (End User Scalars) c учетом типов пользователей и их размещения (для каждого типа пользователей требуется различная организация службы поддержки и вычислительной инфраструктуры);
по использованию методов так называемой лучшей практики в области управления ИБ (Best Practices) с учетом реального состояния дел по управлению изменениями, операциями, активами, сервисному обслуживанию, обучению, планированию и управлению процессами;
по уровню сложности организации (Complexity Level) с учетом состояния организации конечных пользователей (процент влияния – 40%), технологии SW (40%), технологии HW (20%).
В целом, определение затрат компании на ИБ подразумевает решение следующих трех задач:
оценку текущего уровня ТСО корпоративной системы защиты информации и КИС в целом;
аудит ИБ компании на основе сравнения уровня защищенности компании и рекомендуемого (лучшая мировая практика) уровня ТСО;
формирование целевой модели ТСО.
Рассмотрим каждую из перечисленных задач.
Оценка текущего уровня ТСО. В ходе проектовпо оценке ТСО проводится сбор информации и расчет показателей ТСО организации по следующим направлениям:
существующие компоненты КИС (включая систему защиты информации) и информационные активы компании (серверы, клиентские компьютеры, периферийные устройства, сетевые устройства);
существующие расходы на аппаратные и программные средства защиты информации (расходные материалы, амортизация);
существующие расходы на организацию ИБ в компании (обслуживание СЗИ и СКЗИ, а также штатных средств защиты периферийных устройств, серверов, сетевых устройств, планирование и управление процессами защиты информации, раз работку концепции и политики безопасности и пр.);
существующие расходы на организационные меры защиты информации;
существующие косвенные расходы на организацию ИБ в компании и в частности обеспечение непрерывности или устойчивости бизнеса компании.
Аудит ИБ компании. По результатам собеседования с TOP-менеджерами компании и проведения инструментальных проверок уровня защищенности организации проводится анализ следующих основных аспектов:
политики безопасности;
организации защиты;
классификации и управления информационными ресурсами;
управления персоналом;
физической безопасности;
администрирования компьютерных систем и сетей;
управления доступом к системам;
раз работки и сопровождения систем;
планирования бесперебойной проектаорганизации;
проверки системы на соответствие требованиям ИБ.
На основе проведенного анализа выбирается модель ТСО, сравнимая со средними и оптимальными значениями для репрезентативной группы аналогичных организаций, имеющих схожие с рассматриваемой организацией показатели по объему бизнеса. Такая группа выбирается из банка данных по эффективности затрат на ИБ и эффективности соответствующих профилей защиты аналогичных компаний.
Сравнение текущего показателя ТСО проверяемой компании с модельным значением показателя ТСО позволяет провести анализ эффективности организации ИБ компании, результатом которого является определение “узких” мест в организации, причин их появления и вы работка дальнейших шагов по реорганизации корпоративной системы защиты информации и обеспечения требуемого уровня защищенности КИС.
Формирование целевой модели ТСО. По результатам проведенного аудита моделируется целевая (желаемая) модель, учитывающая перспективы развития бизнеса и корпоративной системы защиты информации (активы, сложность, методы лучшей практики, типы СЗИ и СКЗИ, квалификация сотрудников компании и т. п.).
Кроме того, рассматриваются капитальные расходы и трудозатраты, необходимые для проведения преобразований текущей среды в целевую среду. В трудозатраты на внедрение включаются затраты на планирование, развертывание, обучение и раз работку. Сюда же входят возможные временные увеличения затрат на управление и поддержку.
Для обоснования эффекта от внедрения новой корпоративной системы защиты информации (ROI) могут быть использованы модельные характеристики снижения совокупных затрат (ТСО), отражающие возможные изменения в корпоративной системе защиты информации.