Задачи бюджетирования 17 1Проведение аудита иб 17 2Оценка текущего уровня тсо информационных систем и систем защиты 19 3Формирование целевой модели предприятия 26 (стр. 6 из 12)
Рис.6.[1] Рост ROI в зависимости от длительности существования предприятия.
3. ФАКТОРЫ, ВЛИЯЮЩИЕ НА БЮДЖЕТИРОВАНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ПРЕДПРИЯТИИИ
Информационная Безопасность, как и её Бюджетирование зависит от многих факторов и многие компании пренебрегают финансированием(рис.8), тратя на защиту информации менее 5% бюджета ИТ. Кроме того, все предприятия выбирают различные способы защиты, поэтому у каждой компании разное кол-во затрат(рис.7).
Рис.7.[3] Популярные средства ИТ-Безопасности.
Совокупная стоимость[3] владения для системы ИБ, в общем случае, складывается из стоимости:
- Проектных работ;
- Закупки и настройки программно-технических средств защиты, включающих следующие основные группы: межсетевые экраны, средства криптографии, антивирусы и AAA (средства аутентификации, авторизации и администрирования);
- Затрат на обеспечение физической безопасности;
- Обучения персонала;
- Управления и поддержки системы (администрирование безопасности);
- Аудита ИБ;
- Периодической модернизации системы ИБ;
Рис.8.[2] Процент расходов на защиту информации в ИТ.
При применении экономических методов анализа эффективности инвестиций в ИБ для аргументации принятия тех или иных решений, необходимо помнить, что существуют и другие «неэкономические» факторы, в частности:
- Структура организации и особенности системы управления;
- Осведомленность и вовлеченность руководства в вопросы развития ИТ. От этого зависит и количество бюджетных ассигнований. Статистика ассигнований на ИТ от ассигнований на ИБ показана на рисунке 9;
Рис.9.[2] Бюджетные ассигнования на ИТ, млрд. долларов.
- Особенности стратегии и автоматизации организации. Большинство предприятий мало автоматизированы(рис.10);
- Позиции руководства отделов ИТ и ИБ в компании;
- Роль ИТ в производственном процессе;
- Случившиеся инциденты в области ИБ с тяжелыми последствиями.
Рис.10.[4] Автоматизация предприятий в процентном соотношении.
ЗАКЛЮЧЕНИЕ
В результате проделанной работы был детально изучен процесс бюджетирования информационной безопасности на предприятии. Были выяснены, какие мероприятия необходимы для построения системы бюджетирования на предприятии, и какие параметры автоматизированной информационной системы и системы защиты информации необходимо для этого оценить. Было рассмотрено какое программное обеспечение нужно для построения системы бюджетирования и какие показатели нужно рассчитывать для оценки эффективности.
1. ПОСТАНОВКА ЗАДАЧИ
1.1. Характеристика предприятия и описание бизнес-проблемы
В качестве объекта автоматизации рассматривается провайдер «Большие Сети».
В соответствии с российским законодательством, провайдер – организация, фирма или служба, обеспечивающая пользователям доступ и поставку разнородных услуг, таких как:
· доступ в интернет
· хостинг
· Корпоративный доступ в интернет
· Доступ в интернет по выделенным высокоскоростным линиям связи
Основной вид деятельности предприятия – оказание вышеперечисленных услуг юридическим и физическим лицам.
Для увеличения скорости, стандартизации и повышения качества работы следует компьютеризировать все отделы организации и связать все компьютеры в отдельную сеть. Сеть должна иметь сервер баз данных.
Система автоматизации должна обеспечивать мониторинг всех имеющихся ресуров (активов), отслеживать возможные угрозы для дальнейшего анализа рисков.
После внедрения новой информационной системы повысится прозрачность процессов по обработке информации, что позволит разработать наиболее эффективную политику управления информационной безопасности.
Автоматизированная система хранения данных позволит ускорить анализ проблемных ситуаций, что приведет к снижению издержек, связанных с введением политики управления информационной безопасности. Также ее введение ускорит доступ персонала к разработанной политике, что повысит качество их работы и снизит возможность потери, уничтожении и кражи конфиденциальной информации.
1.2. Цели и задачи информационной системы
Цель - создание автоматизированного комплекса работ по управлению систем обработки информации в области информационной безопасности провайдера для более эффективной его работы.
Задачи:
· Отслеживание изменений в составе активов;
· Выявление и обработка угроз и уязвимостей;
· Оценка и обработка рисков;
· Формирование конкретных методов и средств защиты;
· Формирование критериев оценки безопасности;
Данная информационная система должна:
1. Поддерживать ведение справочников активов, уязвимостей, угроз, рисков, критериев оценки безопасности (КОБ), методов/средств, сотрудников, отделов.
2. Обеспечивать внесение информации об активах, оперативную работу с базой (поиск информации, редактирование, удаление), фиксирование угроз и уязвимостей, действующих на активы, оценка и обработка рисков, формирование списка методов и средств защиты, а так же создание промежуточных отчетов и планов, и итоговых инструкций сотрудников.
1.3. Описание компонентов информационной системы
Справочники:
Для реализации данной задачи необходимо вести следующие справочники:
1. Справочник «Актив» - предназначен для фиксирования информации обо всех имеющихся активах организации. Ведется специалистом по управлению рисками после появления новых или изменения информации об уже сущетсвующих. Уровень сложности – низкий.
Актив (ИД_Актива, ИД_Сотрудника, ИД_Отдела, Наименование, Описание)
2. Справочник «Метод/средство» - предназначен для фиксирования информации обо всех методах и средствах, применяемых для защиты активов организации от выявленных угроз и уязвимостей. Ведется системным аналитиком после выявления новых или изменения информации об уже сущетсвующих. Уровень сложности – низкий.
Метод/средство (ИД_Метода/средства, ИД_Актива, ИД_Риска, ИД_Сотрудника, ИД_Отдела, Наименование, Описание)
3. Справочник «Отдел» - предназначен для фиксирования информации обо всех отделах организации. Ведется руководством после появления нового отдела или изменения информации о существующем. Уровень сложности – низкий.
Отдел (ИД_Отдела, Наименование, Деятельность, Количество сотрудников)
4. Справочник «Сотрудник» - предназначен для фиксирования информации обо всех сотрудниках организации. Ведется отделом кадров после появления новых сотрудников или изменения личной информации о существующих. Уровень сложности – низкий.
Сотрудник (ИД_Сотрудника, ИД_Отдела, Фамилия, Имя, Отчество, Паспортные данные, Телефон, Должность, Руководитль)
5. Справочник «Угроза» - предназначен для фиксирования информации обо всех угрозах, воздействующих на активы организации. Ведется специалистом по управлению рисками после появления новых или изменения информации о существующих. Уровень сложности – низкий.
Угроза (ИД_Угрозы, ИД_Актива, ИД_Сотрудника, ИД_Отдела, Наименование, Описание)
6. Справочник «Уязвимость» - предназначен для фиксирования информации обо всех уязвимостях, воздействующих на активы. Ведется специалистом по управлению рисками после появления новых или изменения информации о существующих. Уровень сложности – низкий.
Уязвимость (ИД_Уязвимости, ИД_Актива, ИД_Сотрудника, ИД_Отдела, Категория, Наименование, Описание)
7. Справочник «Риск» - предназначен для фиксирования информации обо всех рисках, выявленных на основе анализа угроз и уязвимостей, действующих на активы. Ведется специалистом по управлению рисками фирмы после их оценки и обработки. Уровень сложности – низкий.
Риск (ИД_Риска, ИД_Угрозы, ИД_Уязвимости, Наименование, Описание)
8. Справочник «КОБ» - предназначен для фиксирования информации обо всех критериях оценки безопасности организации, сформированных разработчиком ПУИБ после оценки рисков. Уровень сложности – низкий.
КОБ (ИД_ КОБ, ИД_Уязвимости, Наименование, Описание)
Отчеты:
В данном приложении должны формироваться следующие отчеты:
1. Отчет «Об оценке уязвимостей» (список уязвимостей, определяемых на основе анализа ИС). Уровень сложность – низкий.
2. Отчет «Применяемые методы/средства защиты» (список методов и средств, выбранных с целью защиты активов организации от угроз). Уровень сложность – низкий.
3. Отчет «Об оценке риска» (список рисков, определяемый на основе анализа выявленных угроз и уязвимостей). Уровень сложность – средний.
4. Отчет «Об обработке риска» (список рисков с определенным приемлимым уровнем). Уровень сложность – средний.
5. Отчет «Об изменениях» (список изменений, выявленных в ходе внедрения методов и средств защиты). Уровень сложность – низкий.
6. Отчет «Состояние активов на конкретную дату». Уровень сложность – средний.