Презентация на тему: Тема 2. Виды обеспеченья системы информационной безопасности Лекция №

Тема 2. Виды обеспеченья системы информационной безопасности Лекция №
Тема 2. Виды обеспеченья системы информационной безопасности Лекция №
Литература
Тема 2. Виды обеспеченья системы информационной безопасности Лекция №
Составляющие определения затрат на обеспечение ИБ
Модели и методы для оценки экономической эффективности инвестиций в СОИБ
Модель оценки совокупной стоимости владения информационными системами (ТСО)
Модель оценки возврата инвестиций
Стандартные методы оценки экономической эффективности инвестиций
Метод оценки отдачи активов
Метод оценки «цены» акционера
Методика оценки единовременных затрат на закупку и внедрение инженерно-технических, программных, программно-аппаратных и других средств защиты информации
Тема 2. Виды обеспеченья системы информационной безопасности Лекция №
Тема 2. Виды обеспеченья системы информационной безопасности Лекция №
Тема 2. Виды обеспеченья системы информационной безопасности Лекция №
Тема 2. Виды обеспеченья системы информационной безопасности Лекция №
Тема 2. Виды обеспеченья системы информационной безопасности Лекция №
Тема 2. Виды обеспеченья системы информационной безопасности Лекция №
Тема 2. Виды обеспеченья системы информационной безопасности Лекция №
Затраты коммерческих финансовых организаций на функционирование СОИБ
Гистограмма затрат на ИБ для отдельных видов финансовых организаций
Подходы к оптимизации затрат на обеспечение ИБ ХС с использованием методов математического моделирования
Тема 2. Виды обеспеченья системы информационной безопасности Лекция №
1/23
Средняя оценка: 4.7/5 (всего оценок: 31)
Код скопирован в буфер обмена
Скачать (245 Кб)
1

Первый слайд презентации

Тема 2. Виды обеспеченья системы информационной безопасности Лекция № 4 Финансово-экономическое обеспечение функционирования системы обеспечения информационной безопасности хозяйствующего субъекта

Изображение слайда
2

Слайд 2

Учебные вопросы: 1. Назначение структура и основные направления финансово-экономического обеспечения информационной безопасности ХС. Структура затрат на информационную безопасность ХС 2. Анализ и оценка эффективности затрат на информационную безопасность ХС 3. Оптимизация затрат на информационную безопасность ХС 2

Изображение слайда
3

Слайд 3: Литература

1. Фрэнсисом Г. и др. Управление ресурсами в условиях рынка: Кн. 6: Управление финансами, Пер. с англ. / Международный институт менеджмента ЛИНК. – Жуковский, 2001 2. Цыгалов Ю. Экономическая эффективность инвестиций в ИТ: оптимальный метод оценки [Электронный документ]. http://www.pcweek.ru 3. Петренко С.А., Симонов С.В. Управление информационными рисками. М.: ДМК, 2005. 4. Михайлов К.М. Оптимизировать затраты. Журнал « Information Security » №2, 2004. 5. Баутов А. Экономический взгляд на проблемы информационной безопасности. Журнал «Открытые системы» №2, 2002. 3

Изображение слайда
4

Слайд 4

Финансово-экономическое обеспечение СОИБ ХС Оптимизация затрат на информационную безопасность ХС Анализ финансово-экономической деятельности ХС Н А П Р А В Л Е Н И Я С И Л Ы 1. Экономисты ХС 2. Бухгалтерия 3. Служба безопасности ХС 4. Внешние эксперты (консалтинг) 1. Методики проведения анализа финансово-экономической деятельности 2. Отчетные документы ХС по ФЭД 3. Финансовые показатели ХС 4. Экономические показатели ХС 5. Методики оценки качественного состояния ХС С Р Е Д С Т В А Анализ и оценка эффективности затрат на информационную безопасность ХС 1. Служба безопасности ХС 2. IT – специалисты 3. Экономисты ХС 4. Внешние эксперты (консалтинг) 1. Служба безопасности ХС 2. IT – специалисты 3. Экономисты ХС 4. Внешние эксперты (консалтинг) 1. Методики формирования затрат на информационную безопасность ХС 2. Модель TCO 3. Модель ROI 4. Методики оценки эффективности инвестиций в ИБ 1. Методики определения минимально достаточного уровня ИБ 2. Методики и модели оптимизации затрат на информационную безопасность ХС 3. Модель TCO 4. Модель ROI 5. Методики оценки эффективности инвестиций в ИБ Структура подсистемы финансово-экономического обеспечения СОИБ ХС 4

Изображение слайда
5

Слайд 5: Составляющие определения затрат на обеспечение ИБ

1. Структурирование затрат на контроль ИБ ХС 2. Структурирование внутренних затрат на компенсацию нарушений политики ИБ ХС 3. Структурирование внешних затрат на компенсацию нарушений политики ИБ ХС. 4. Структурирование затрат на предупредительные мероприятия 5

Изображение слайда
6

Слайд 6: Модели и методы для оценки экономической эффективности инвестиций в СОИБ

1. Модель оценки совокупной стоимости владения информационными системами - ТСО (Total Cost of Ownership,); 2. Модель оценки возврата инвестиций - ROI (Return on Investment,); 3. Стандартные методы оценки экономической эффективности инвестиций, например, возврата инвестиций; 4. Метод оценки отдачи активов; 5. Метод оценки «цены» акционера; 6. Метод оценки единовременных затрат на внедрение и закупку программных, программно-аппаратных и др. средств защиты информации. 6

Изображение слайда
7

Слайд 7: Модель оценки совокупной стоимости владения информационными системами (ТСО)

Основная цель использования данной модели - оценка размера вложенных в информационные технологии и обеспечение информационной безопасности средств. Способом использования этой модели является сравнение ТСО своего предприятия с ТСО других компаний аналогичного профиля В основу модели ТСО положены две категории затрат : - прямые (бюджетные): капитальные затраты; расходы на управление СОИБ; расходы на техническую поддержку инженерно-технических, программно-аппаратных, программных и других средств защиты; расходы на разработку средств защиты информации внутренними силами; расходы на аутсорсинговые мероприятия; командировочные расходы; расходы на услуги связи; также возможны и другие группы расходов. По перечисленным группам прямых расходов определяют отдельные составляющие ТСО. - косвенные: расходы первой группы, связанных с внедрением и расходы второй группы связанные с функционированием СОИБ ХС. Показатель совокупной стоимости владения СОИБ рассчитывается по формуле: ТСО = Пр + Кр1 + Кр2, где: Пр - прямые расходы; Кр1 - косвенные расходы первой группы; Кр2 - косвенные расходы второй группы. Пр= Пр1+Пр2 +Пр3+Пр4+Пр5+Пр6+Пр7+Пр8, где: Пр1 - капитальные затраты; Пр2 - расходы на управление ИТ; Пр3 - расходы на техническую поддержку АО и ПО; Пр4 - расходы на разработку прикладного ПО внутренними силами; Пр5 - расходы на аутсорсинг; Пр6 - командировочные расходы; Пр7 - расходы на услуги связи; Пр8 - другие группы расходов. Общая стоимость владения СОИБ - это качественная ключевая характеристика, отображающая экономические аспекты состояния ИТ в компании вообще и показывающая эффективность их работы 7

Изображение слайда
8

Слайд 8: Модель оценки возврата инвестиций

Модель ROI рассчитывает коэффициент возврата инвестиций в инфраструктуру предприятия. Для оценки доходной части: провести анализ направлений и целей бизнеса, которые достигаются путем внедрения проекта, либо совершенствования имеющейся СОИБ (берут измеримые показатели бизнеса: сокращение операционных расходов, поддержка конкурентоспособного состояния, улучшение внутреннего контроля и по ним оценивают величину эффекта от внедрения СОИБ. рассчитать коэффициент возврата инвестиций в инфраструктуру предприятия по формуле: ROI = Эф/И, где: Эф – величина эффекта от внедрения СОИБ; И - инвестиции в СОИБ. 8

Изображение слайда
9

Слайд 9: Стандартные методы оценки экономической эффективности инвестиций

Стандартные методы оценки экономической эффективности инвестиций можно подразделить на: - простые методы (метод расчета срока окупаемости инвестиций; метод расчета коэффициента эффективности инвестиций); - методы дисконтирования (метод расчета чистой текущей стоимости; метод расчета индекса рентабельности инвестиций; метод расчета нормы доходности (рентабельности) инвестиций) 9

Изображение слайда
10

Слайд 10: Метод оценки отдачи активов

Эффективность использования капитала хозяйствующего субъекта оценивается исходя из ставки альтернативной доходности (например, функционирование СОИБ способствует повышению надежности предприятия, что дает большую отдачу, чем вложения в высокодоходные акции). Для этого рассчитывают коэффициент превышения ставки доходности СОИБ над ставкой альтернативной доходности по формуле: К = С д соиб / С д альт, где: С д соиб - ставка доходности СОИБ; С д альт - ставка альтернативной доходности. 10

Изображение слайда
11

Слайд 11: Метод оценки «цены» акционера

Актуальность оценки эффективности затрат в расчете на привлечение одного акционера и рост стоимости акций можно определить проведя оценку эффективности инвестиций в СОИБ в расчете на привлечение одного акционера по формуле: Эф акц = Эф / (Q 1 акц — Q 0 акц ), где: Эф акц - эффективность инвестиций в информационную инфраструктуру ХС в расчете на привлечение одного акционера; Эф - эффект от внедрения СОИБ; Q 0 акц - количество акционеров ХС до внедрения СОИБ; Q 1 акц - количество акционеров после внедрения СОИБ. А коэффициент роста стоимости акции по формуле: К акц = С 1 акц / С 0 акц, где: К акц - коэффициент роста стоимости акции; С 0 акц - стоимость акции до внедрения СОИБ; С 1 акц - стоимость акции после внедрения СОИБ. 11

Изображение слайда
12

Слайд 12: Методика оценки единовременных затрат на закупку и внедрение инженерно-технических, программных, программно-аппаратных и других средств защиты информации

Для принятия решения о приобретении тех или иных средств защиты информации рассчитывают единовременные затраты на приобретение и внедрение средств защиты по формуле : З ед =  Зв i  min, где: З ед - единовременные затраты на приобретение и внедрение средств защиты информации; Зв i - единовременные затраты на приобретение и внедрение средств защиты информации i-й группы. Далее решают задачу выбора средства защиты относительно величины минимума затрат 12

Изображение слайда
13

Слайд 13

Общие признаки уровня организационной зрелости ХС Уровень 1 – начальный (анархия ) - сотрудники сами определяют, что хорошо, а что плохо. Главную роль в успехе предприятия играют деловые качества лидера или группы единомышленников; - затраты и качество не прогнозируются; - отсутствуют формализованные планы; - отсутствует контроль изменений; - руководство плохо представляет реальное положение дел; - нестабильность, нехватка времени, денег и сил. Признаки уровня обеспечения информационной безопасности ХС - политика в области ИБ не формализована; - руководство не занимается вопросами обеспечения ИБ; - обеспечением ИБ могут заниматься сотрудники ХС по собственной инициативе и в соответствии со своим уровнем и пониманием задач. - производится оценка единовременных затрат на закупку и внедрение инженерно-технических, программно-аппаратных и других средств защиты информации и, как правило, выбирается вариант, где они наименьшие. Уровень 2– повторяемый (фольклор): - выявлена определенная повторяемость организационных процессов; - опыт организации представлен в виде так называемых «преданий корпоративной мифологии»; - знания накапливаются в виде личного опыта сотрудников и пропадают при их увольнении. - более устойчивый характер бизнеса, повторяемость основных бизнес-процессов и возможность реального управления ими; - повышение актуальности задач контроля за движением материальных и денежных средств, поиска путей снижения издержек. - существует понимание задач по обеспечению ИБ; - существуют (стихийно или эволюционно) сложившиеся процедуры защиты информации, полнота и эффективность которых не анализируется; - руководством не ставится задача формализации процедур защиты информации; - основная движущая сила – инициатива и личностные качества сотрудников, вовлеченных в процессы обеспечения ИБ; - проводится оценка единовременных затрат на приобретение средств защиты и их внедрение с учетом прошлого опыта. Уровень 3 – определенный (стандартный): - положения так называемой «корпоративной мифологии» оформлены в виде документов; - основные производственные процессы повторяемы и перестают быть зависимыми от личных качеств исполнителей; - информация о процессах для оценки эффективности не собирается; - наличие формализованного описания процессов не гарантирует их действенность. - акценты постепенно смещаются из области учетной политики в область аналитики; - начинает развиваться управление корпоративными знаниями; - стратегическое планирование отсутствует; - анализ базируется в основном на показателях предшествующего периода. - руководство осознает задачи обеспечения ИБ; - существует документация, относящаяся к политике ИБ; - появляется интерес к использованию стандартов при решении задач обеспечения ИБ; - различные средства защиты информации используются системно в виде функционирующей СОИБ; - осознается задача управления режимом ИБ на всех стадиях функционирования ИС ХС. - при выборе средств защиты информации уже не просто оценивают, а производят глубокий анализ единовременных затрат на закупку и внедрение инженерно-технических, программных, программно-аппаратных и др. средств. Уровень 4 – управляемый (измеряемый): - все процессы измеряемы и стандартизированы; - затраты и качество прогнозируются; - есть постоянные и надежные клиенты; - стратегические планы количественно измеримы; - начинается формирование внутрифирменных стандартов контроля и количественного измерения качества не столько самой продукции, сколько всех процессов - от производства до сбыта; - управленческие решения принимаются не интуитивно, а на основе явных знаний, которыми обладает компания; - стратегические и оперативные планы взаимосвязаны, обратная связь обеспечивает эффективное согласование между уровнями управления. - функционирование СОИБ ХС и контроль на всех этапах жизненного цикла; - имеется полный комплект документов по обеспечению режима ИБ, оформленных на основе требований стандартов; - осуществляется контроль за выполнением требований инструкций по обеспечению режима ИБ; - регулярно проводится внутренний (возможно, и внешний) аудит в области ИБ; - руководство имеет реальное представление относительно существующих угроз и уязвимостей, а также последствий возможных инцидентов; - экономическую эффективность затрат на этом уровне оценивают с помощью методов оценки совокупной стоимости владения СОИБ (ТСО) и оценка возврата инвестиций (ROI). Уровень 5 – оптимизируемый: - повторяемость и измеримость всех процессов; - сохранение информация о функционировании всех процессов; - направленность стратегии на достижение и сохранение технологического, организационного и финансового преимущества; - формализация бизнес-процессов и рыночных перспектив позволяет не только оценить эффективность планирования, но и оптимизировать пути достижения целей; - Изменение функций контроля. - заинтересованность руководства в количественной оценке рисков информационной безопасности; - определение остаточных уровней рисков ИБ; - ставится задача оптимизации СОИБ ХС на основе критериев – эффективность – стоимость, минимальной достаточности и др.; - для оценки экономической эффективности затрат на функционирование, модернизацию СОИБ используют методы: отдачи активов, цены акционера, анализа совокупной стоимости владения и анализ возврата инвестиций. 13

Изображение слайда
14

Слайд 14

Уровень 1 – начальный (анархия) Общие признаки уровня организационной зрелости ХС - сотрудники сами определяют, что хорошо, а что плохо. Главную роль в успехе предприятия играют деловые качества лидера или группы единомышленников; - затраты и качество не прогнозируются; - отсутствуют формализованные планы; - отсутствует контроль изменений; - руководство плохо представляет реальное положение дел; - нестабильность, нехватка времени, денег и сил. Признаки уровня обеспечения информационной безопасности ХС - политика в области ИБ не формализована; - руководство не занимается вопросами обеспечения ИБ; - обеспечением ИБ могут заниматься сотрудники ХС по собственной инициативе и в соответствии со своим уровнем и пониманием задач. - производится оценка единовременных затрат на закупку и внедрение инженерно-технических, программно-аппаратных и других средств защиты информации и, как правило, выбирается вариант, где они наименьшие. 14

Изображение слайда
15

Слайд 15

Уровень 2– повторяемый (фольклор) Общие признаки уровня организационной зрелости ХС - выявлена определенная повторяемость организационных процессов; - опыт организации представлен в виде так называемых «преданий корпоративной мифологии»; - знания накапливаются в виде личного опыта сотрудников и пропадают при их увольнении. - более устойчивый характер бизнеса, повторяемость основных бизнес-процессов и возможность реального управления ими; повышение актуальности задач контроля за движением материальных и денежных средств, поиска путей снижения издержек. Признаки уровня обеспечения информационной безопасности ХС - существует понимание задач по обеспечению ИБ; - существуют (стихийно или эволюционно) сложившиеся процедуры защиты информации, полнота и эффективность которых не анализируется; - руководством не ставится задача формализации процедур защиты информации; - основная движущая сила – инициатива и личностные качества сотрудников, вовлеченных в процессы обеспечения ИБ; - проводится оценка единовременных затрат на приобретение средств защиты и их внедрение с учетом прошлого опыта. 15

Изображение слайда
16

Слайд 16

Уровень 3 – определенный (стандартный) Общие признаки уровня организационной зрелости ХС - положения так называемой «корпоративной мифологии» оформлены в виде документов; - основные производственные процессы повторяемы и перестают быть зависимыми от личных качеств исполнителей; - информация о процессах для оценки эффективности не собирается; - наличие формализованного описания процессов не гарантирует их действенность. - акценты постепенно смещаются из области учетной политики в область аналитики; - начинает развиваться управление корпоративными знаниями; - стратегическое планирование отсутствует; - анализ базируется в основном на показателях предшествующего периода. Признаки уровня обеспечения информационной безопасности ХС - руководство осознает задачи обеспечения ИБ; - существует документация, относящаяся к политике ИБ; - появляется интерес к использованию стандартов при решении задач обеспечения ИБ; - различные средства защиты информации используются системно в виде функционирующей СОИБ; - осознается задача управления режимом ИБ на всех стадиях функционирования ИС ХС. - при выборе средств защиты информации уже не просто оценивают, а производят глубокий анализ единовременных затрат на закупку и внедрение инженерно-технических, программных, программно-аппаратных и др. средств. 16

Изображение слайда
17

Слайд 17

Уровень 4 – управляемый (измеряемый) Общие признаки уровня организационной зрелости ХС - все процессы измеряемы и стандартизированы; - затраты и качество прогнозируются; - есть постоянные и надежные клиенты; - стратегические планы количественно измеримы; - начинается формирование внутрифирменных стандартов контроля и количественного измерения качества не столько самой продукции, сколько всех процессов - от производства до сбыта; - управленческие решения принимаются не интуитивно, а на основе явных знаний, которыми обладает компания; - стратегические и оперативные планы взаимосвязаны, обратная связь обеспечивает эффективное согласование между уровнями управления. Признаки уровня обеспечения информационной безопасности ХС - функционирование СОИБ ХС и контроль на всех этапах жизненного цикла; - имеется полный комплект документов по обеспечению режима ИБ, оформленных на основе требований стандартов; - осуществляется контроль за выполнением требований инструкций по обеспечению режима ИБ; - регулярно проводится внутренний (возможно, и внешний) аудит в области ИБ; - руководство имеет реальное представление относительно существующих угроз и уязвимостей, а также последствий возможных инцидентов; - экономическую эффективность затрат на этом уровне оценивают с помощью методов оценки совокупной стоимости владения СОИБ (ТСО) и оценка возврата инвестиций (ROI). 17

Изображение слайда
18

Слайд 18

Уровень 5 – оптимизируемый Общие признаки уровня организационной зрелости ХС - повторяемость и измеримость всех процессов; - сохранение информация о функционировании всех процессов; - направленность стратегии на достижение и сохранение технологического, организационного и финансового преимущества; - формализация бизнес-процессов и рыночных перспектив позволяет не только оценить эффективность планирования, но и оптимизировать пути достижения целей; - Изменение функций контроля. Признаки уровня обеспечения информационной безопасности ХС - заинтересованность руководства в количественной оценке рисков информационной безопасности; - определение остаточных уровней рисков ИБ; - ставится задача оптимизации СОИБ ХС на основе критериев – эффективность – стоимость, минимальной достаточности и др.; - для оценки экономической эффективности затрат на функционирование, модернизацию СОИБ используют методы: отдачи активов, цены акционера, анализа совокупной стоимости владения и анализ возврата инвестиций. 18

Изображение слайда
19

Слайд 19

Оптимизация – процесс определения такого состояния исследуемой системы, при котором обеспечивается достижение экстремального (минимального или максимального) значения одним или несколькими показателями ее функционирования ( функции цели ) 19

Изображение слайда
20

Слайд 20: Затраты коммерческих финансовых организаций на функционирование СОИБ

Доля затрачиваемой прибыли Количество организаций X X сред Все организации, % Крупные банки, % Средние банки, % Мелкие банки, % Страховые компании, % Инвестиционные фонды, % 0,0 0,05 56,68 27,39 50,00 59,47 67,51 78,37 0,1 0,15 33,36 53,04 41,59 33,33 20,22 20,19 0,2 0,25 9,46 18,26 7,52 7,2 12,27 0,96 0,3 0,35 0,50 1,30 0,88 0,00 0,00 0,48 0,4 – 1,0 0,45 -0,95 0,00 0,00 0,00 0,00 0,00 0,00 Сумма 100% 100% 100% 100% 100% 100% Мат.ожи-дание 10,38% 14,35% 10,93% 9,77% 9,48% 7,36% 20

Изображение слайда
21

Слайд 21: Гистограмма затрат на ИБ для отдельных видов финансовых организаций

а) б) в) г) д) 21

Изображение слайда
22

Слайд 22: Подходы к оптимизации затрат на обеспечение ИБ ХС с использованием методов математического моделирования

Параметрами модели оптимизации затрат являются следующие: - риск информационной безопасности, R ; - стоимость средств защиты информационных ресурсов ХС (СОИБ), S ; - вероятность нанесения ХС ущерба вследствие наличия уязвимостей СОИБ, P ; - размер возникающего ущерба, U. Качественная зависимость величины информационного риска от затрат на обеспечение ИБ показана на рисунке Отношение δ R /δ S, назовем градиентом информационной безопасности. Его величина показывает степень снижения риска информационной безопасности на единицу стоимости средств защиты информационных ресурсов ХС. Из рисунка видно, что кривая зависимости имеет три области: - δ R /δ S < 0, имеем область снижения величины риска информационной безопасности при увеличении затрат на обеспечение информационной безопасности ХС; - δ R /δ S = 0, - точка оптимального соотношения между величиной риска информационной безопасности и затратами ХС на обеспечение информационной безопасности; - δ R /δ S > 0, - область неоправданного расходования материальных средств ХС, при котором дальнейшее увеличение затрат на обеспечение информационной безопасности не приводит к снижению величины риска информационной безопасности. R Уровень остаточного риска R ост S опт Оптимальная величина затрат S График зависимости величины риска от затрат на обеспечение ИБ 22

Изображение слайда
23

Последний слайд презентации: Тема 2. Виды обеспеченья системы информационной безопасности Лекция №

U Вероятность нанесения ущерба, P i P Величина ущерба, U i Зависимость вероятности нанесения ущерба информационным ресурсам ХС от величины ущерба при δ R /δ S < 0 P = 1 P = 0 R S Ri max Ri min Si График зависимости риска безопасности ХС от стоимости СОИБ при δ R /δ S = 0 R S δ R / δ S < 0 δ R / δ S > 0 График зависимости риска безопасности ХС от стоимости СОИБ при δ R /δ S = 0 23

Изображение слайда