· существующие расходы на организационные меры защиты информации;
· существующие косвенные расходы на организацию ИБ в компании и в частности обеспечение непрерывности или устойчивости деятельности компании.
По результатам собеседования с TOP-менеджерами компании и проведения инструментальных проверок уровня защищенности организации проводится анализ следующих основных аспектов: политики безопасности; организации защиты; классификации и управления информационными ресурсами; управления персоналом; физической безопасности; администрирования компьютерных систем и сетей; управления доступом к системам; разработки и сопровождения систем; планирования бесперебойной работы организации; проверки системы на соответствие требованиям ИБ.
На основе проведенного анализа выбирается модель ТСО, сравнимая со средними и оптимальными значениями для репрезентативной группы аналогичных организаций, имеющих схожие с рассматриваемой организацией показатели по объему бизнеса. Такая группа выбирается из банка данных по эффективности затрат на ИБ и эффективности соответствующих профилей защиты аналогичных компаний.
Сравнение текущего показателя ТСО проверяемой компании с модельным значением показателя ТСО позволяет провести анализ эффективности организации ИБ компании, результатом, которого является определение “узких” мест в организации, причин их появления и выработка дальнейших шагов по реорганизации корпоративной системы защиты информации и обеспечения требуемого уровня защищенности КИС.
Формирование целевой модели ТСО. По результатам проведенного аудита моделируется целевая (желаемая) модель, учитывающая перспективы развития бизнеса и корпоративной системы защиты информации (активы, сложность, методы лучшей практики, типы СЗИ и СКЗИ, квалификация сотрудников компании и т. п.).
Кроме того, рассматриваются капитальные расходы и трудозатраты, необходимые для проведения преобразований текущей среды в целевую среду. В трудозатраты на внедрение включаются затраты на планирование, развертывание, обучение и разработку. Сюда же входят возможные временные увеличения затрат на управление и поддержку.
Для обоснования эффекта от внедрения новой корпоративной системы защиты информации (ROI) могут быть использованы модельные характеристики снижения совокупных затрат (ТСО), отражающие возможные изменения в корпоративной системе защиты информации.
Расходы на операции конечных пользователей. Это затраты на самоподдержку конечных пользователей, а также на поддержку пользователей друг друга в противовес официальной ИС поддержке. Затраты включают: самостоятельную поддержку, официальное обучение конечных пользователей, нерегулярное (неофициальное) обучение, самостоятельные прикладные разработки, поддержку локальной файловой системы.
Расходы на простои. Данная категория учитывает ежегодные потери производительности конечных пользователей от запланированных и незапланированных отключений сетевых ресурсов, включая клиентские компьютеры, совместно используемые серверы, принтеры, прикладные программы, коммуникационные ресурсы и программное обеспечение для связи.
Для анализа фактической стоимости простоев, которые связаны с перебоями в работе сети и которые оказывают влияние на производительность, исходные данные получают из обзора по конечным пользователям. Рассматриваются только те простои, которые ведут к потере производительности.
Вместе с методикой ТСО можно использовать разнообразные методы для расчета возврата инвестиций (ROI). Как правило, для оценки доходной части сначала анализируют те цели, задачи и направления бизнеса, которые нужно достигнуть с помощью внедрения или реорганизации существующих проектов в области системной интеграции, автоматизации и информационной безопасности. Далее используют некоторые измеримые показатели эффективности бизнеса для оценки эффекта отдельно по каждому решению. Допустим, с целью сокращения операционных расходов, обеспечения приемлемой конкурентной способности, улучшения внутреннего контроля и т. д. Указанные показатели не надо выдумывать, они существуют в избыточном виде. Далее можно использовать методики расчета коэффициентов возврата инвестиций в инфраструктуру предприятия (ROI), например, также Gartner Group.
Достаточно результативно использовать следующую комбинацию: ТСО как расходную часть и ROI как расчетную. Кроме того, сегодня существуют и другие разнообразные методы и технологии расчета и измерения различных показателей экономической эффективности
Для исключения лишних расходов по защите вся информация делится на категории в соответствии с требуемой степенью защиты. Эта степень определяется, исходя из:
· возможного ущерба для владельца при несанкционированном доступе к защищаемой информации;
· экономической целесообразности преодоления защиты для противника.
Естественно, производить такую оценку для каждого документа было бы слишком трудоёмко. Поэтому сложилась практика определения категорий секретности документов, по которым документы распределяются по формальным признакам. Например, в наших государственных органах принято 4 категории секретности:
· «для служебного пользования»,
· «секретно» (кат.3),
· «совершенно секретно», (кат.2)
· «совершенно секретно особой важности» (кат.1).
Для упрощения решения вопросов защиты следует применять аналогичную схему. Издаётся инструкция, которая определяет, по каким признакам документ (информация) относится к той или иной категории, и какие сотрудники к какой категории имеют доступ.
Решение задачи разработки автоматизированной системы анализа физической защищенности объекта обработки и хранения информации предполагает решение следующих задач:
· рассмотрение типов объектов защиты,
· анализ угроз на объектах защиты
· классификация возможных элементов защиты.
Под объектом защиты понимают любую структуру частных, общественных, государственных, и коммерческих организаций, содержащих информацию которая имеет определенную ценность для владельцев.
В общем случае, составляющими любого объекта обработки и хранения информации являются:
1. территория организации, здания и помещения, в которых хранится и обрабатывается информация и ценности;
2. средства обработки информации (ЭВМ, локальные и глобальные сети) и оргтехнику, используемую для передачи и тиражирования информации (телефоны, факсы, копировальные аппараты, модемы);
3. электронные и бумажные носители информации (жесткие и гибкие магнитные диски, оптические накопители, CD/DVD-ROM и др.);
4. сотрудники и посетители предприятия, владеющие информацией.
Физическая защита обеспечивается службой охраны, основной задачей которой является предупреждение несанкционированного физического проникновения на территорию, в здания и помещения объекта злоумышленников и их сдерживание в течение расчетного времени (до прибытия милиции или сил поддержки).
Непременным условием поддержания ИБ является своевременное пресечение возможных акций нарушителей. Основными этапами действий потенциального злоумышленника при проникновении на объект обработки и хранения информации является: выявление объекта; наблюдение за объектом и разработка вариантов проникновения; реализация основного или альтернативного варианта проникновения на объект; уход из объекта защиты с возможной полной или частичной ликвидацией следов проникновения. Метод проникновения через несетевые периферийные устройства от остальных методов заключается в том, что для его выполнения необходимо физическое присутствие злоумышленника на объекте вычислительной техники. Поэтому главная цель охраны естественным образом может быть декомпозирована на такие частные подцели как:
· предотвращение несанкционированного доступа на территорию объекта и в его жизненно важные зоны;
· обнаружение проникшего на объект нарушителя до момента, когда он может совершить акцию, и доведение информации о вторжении до сил охраны;
· своевременное пресечение акции (захват или нейтрализация нарушителя, угрожающего функционированию объекта обработки и хранения информации), которую может совершить нарушитель, проникший на объект;
· минимизация ущерба.
Все существующие механизмы защиты работают только на этапе реализации угрозы. Т.е. по существу они являются средствами блокирующими, а не упреждающими атаки. В абсолютном большинстве случаев они защищают от атак, которые уже находятся в процессе осуществления. И даже если они смогли предотвратить ту или иную атаку, то намного более эффективным было бы упреждение атак, т.е. устранение самих предпосылок реализации вторжений.
Наиболее важной и трудной проблемой является проблема своевременного пересечения акций злоумышленника на этапе проектирования объекта обработки и хранения информации и в процессе его функционирования. На данных этапах основными задачами является следующее: какие и где ввести новые подсистемы защиты на объекте защиты или как задействовать старые подсистемы для повышения уровня защищенности объекта в текущий интервал времени.
Во время внедрения средств безопасности на объекте, человек может сделать ошибки, которые с легкостью обнаружит в дальнейшем злоумышленник. Поэтому появляется общая задача оценки некоторых показателей защищенности: время в течение, которого на объект обработки и хранения информации не будет предпринято несанкционированного действия, среднее время и вероятность проникновения на объект, степень наблюдаемости объекта защиты и другие.
Электромагнитная защита
Проблема утечки информации из вычислительной техники (ВТ) через побочные электромагнитные излучения и наводки (ПЭМИН) известна специалистам уже на протяжении более чем 20 лет.