- •1. Основы обеспечения информационной безопасности хозяйствующего субъекта (предприятия)
- •2. Система обеспечения информационной безопасности хозяйствующего субъекта (предприятия).
- •3. Управление соиб хозяйствующего субъекта (предприятия).
- •4.Классификация и анализ угроз информационной безопасности
- •1. Угрозы, обусловленные человеческим фактором:
- •2. Угрозы, связанные с техническими средствами, используемыми при разработке и эксплуатации информационной системы:
- •3. Угрозы, связанные с программными средствами, используемыми при разработке и эксплуатации информационной системы:
- •4. Техногенные угрозы, возникающие вследствие форс-мажорных обстоятельств:
- •5.Анализ и управление рисками информационной безопасности
- •6.Правовые основы функционирования соиб хозяйствующего субъекта
- •7.Организационные основы функционирования соиб хозяйствующего субъекта
- •8.Стандартизация в области информационной безопасности. Эволюция стандартов информационной безопасности
- •Международные стандарты iso13335 и iso15408
- •9.Концепция и политики информационной безопасности хозяйствующего субъекта
- •10.Назначение и структура кадрового обеспечения соиб. Существующая система подготовка кадров в области информационной безопасности
- •11.Подбор кадров и перечень требований к персоналу
- •12. Особенности работы с персоналом соиб хс
- •13.Назначение, структура и основные направления финансово-экономического обеспечения информационной безопасности хс. Структура затрат на информационную безопасность хс
- •14. Анализ и оценка эффективности затрат на информационную безопасность хс
- •15.Оптимизация затрат на информационную безопасность
- •16. Программная защита информации
- •17. Дополнительные программные средства защиты
- •18.Программно-аппаратная защита информации
15.Оптимизация затрат на информационную безопасность
Оптимизация стоимости владения системой должна осуществляться уже на этапах идентификации и оценки информационных рисков и определения вариантов по обработке рисков.
Оценка информационных рисков и формирование предложений по их обработке обычно предполагает проведение следующих работ: идентификацию и определение ценности информационных активов предприятия; определение всех требований к системе ИБ, то есть выявление угроз, уязвимостей, требований бизнеса; оценку вероятности реализации угроз, значимости юридических и бизнес требований; расчет риска и определение его приемлемого уровня; выбор вариантов обработки риска с учетом ценности соответствующих активов и возможного отрицательного воздействия на бизнес и т.д.
Обычно используются следующие виды действий по обработке выявленных рисков:
применение средств контроля, в соответствии с рекомендациями ISO/IEC 17779, позволяющих снизить уровень рисков до приемлемого уровня;
принятие существующего уровня рисков при условии, что он не противоречит политике ИБ организации и критериям приемлемости риска;
уход от рисков;
передача рисков другим сторонам (например, страхование риска).
Понятно, что при выборе соответствующего варианта действий критерий оптимизации ОСВ – один из ключевых. В случае если организация принимает решение о снижении рисков ИБ путем использования средств контроля, то на этапе выбора этих средств появляется возможность оптимизировать стоимость владения системой ИБ путем выбора наиболее эффективных (с экономической точки зрения) мер защиты. Основная возможность оптимизации ОСВ существует на стадии создания/модернизации двух базовых элементов системы ИБ: системы управления ИБ (СУИБ) и подсистем ИБ.
При проектировании СУИБ должны проводиться оценки стоимости поддержки системы ИБ. Для учета этих расходов необходимо разработать и проанализировать сценарии поддержки: соответствующие процессы и процедуры управления, роли, обязанности, трудозатраты и оклады сотрудников, участвующих в обеспечении ИБ. На данном этапе оптимизация ОСВ может осуществляться, например, путем совмещения функциональных обязанностей отдельных сотрудников, применения инструментальных средств и систем автоматизации управления ИБ, аутсорсинга услуг ИБ и т.д.
При создании подсистем ИБ (систем защиты периметра сети, обнаружения и предотвращения вторжений, антивирусной защиты, защиты от утечки информации и др.) существенной составляющей ОСВ выступают капитальные затраты. Методы по их сокращению очевидны: снижение стоимости решения за счет дополнительных скидок, оптимизация решения на этапе внедрения за счет каких-либо новых технологий или применение менее дорогостоящих продуктов другого вендора. Учитывая довольно значительный разброс цен предлагаемых на рынке программно-технических средств защиты, важность проведения оптимизации ОСВ на данной стадии трудно переоценить. Проведение оценки ОСВ для различных вариантов реализации подсистем ИБ позволит выбрать наиболее приемлемое по стоимости и функциональности решение. Также следует учесть, что стоимость решения не должна превышать стоимость вероятного ущерба в результате реализации угроз к защищаемым этой системой информационным активам. Поэтому оценка ОСВ обязательно должна влкючать риск-анализ. В заключение хотелось бы отметить, что описанная методика оценки общей стоимости владения для систем ИБ, с учетом приведенных предложений по ее доработке, и возможности по оптимизации ОСВ помогут исполнительным директорам, руководителям служб автоматизации и информационной безопасности более детально обосновать бюджет, определить все виды затрат на создание/развитие и обеспечение функционирования системы ИБ. Цель применения этих инструментов – структурировать и определить существующие и предполагаемые затраты, оценить их целесообразность и наметить пути оптимизации общей стоимости владения системой ИБ.