МІНІСТЕРСТВО ОСВІТИ І НАУКИ, МОЛОДІ ТА СПОРТУ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»
Кафедра «Захист інформації»
/
ЗВІТ
До виконання практичної роботи № 3
«Оцінка загальної вартості витрат на впровадження систем захисту інформації»
з курсу:
«Менеджмент інформаційної безпеки»
Мета роботи – засвоїти на практиці використання методики оцінкизагальної вартості витрат на впровадження систем захисту інформації.
ОСНОВНІ ВІДОМОСТІ
Визначення ефективності заходів інформаційної безпеки (ІБ) в компаніїпередбачає деяку оцінку витрат на її впровадження, а також досягнутого прицьому ефекту (кількість успішно відбитих вірусних атак, виявлених спамповідомлень, швидкість оброблення інцидентів тощо). Дійсно, порівняння цихоцінок дає змогу отримати уявлення про те, як повертаються інвестиції в ІБ, атакож економічно коректно планувати бюджет компанії на ІБ і керувати ним.
Багато рішень в галузі ІБ часто приймаються на інтуїтивно-понятійномурівні, без будь-яких економічних розрахунків і обґрунтувань. Проте, настійнорекомендується звертатися до обґрунтованих техніко-економічних методів ізасобів, що дає змогу кількісно вимірювати рівень захищеності компанії, атакож визначати економічну ефективність витрат на ІБ.
На цей час оцінювати ефективність корпоративної системи захистуінформації (СЗІ) рекомендується за допомогою деяких критеріїв ефективності,наприклад: показників загальної вартості володіння (англ. Totalcostofownership, TCO), економічної ефективності СЗІ, коефіцієнтів поверненняінвестицій в ІБ (англ. ReturnonInvestment, ROI) та інші.
Методику ТСО можна використовувати для доведення економічноїефективності існуючих корпоративних СЗІ. Вона дає змогу керівникам службінформаційної безпеки обґрунтовувати бюджет на ІБ, а також доводитиефективність роботи співробітників служби/відділу ІБ.
Оскільки економічну ефективність корпоративної СЗІ можна виміряти,з’являється можливість оперативно вирішувати завдання контролю ікоректування показників економічної ефективності, зокрема показника ТСО.Таким чином, цей показник може бути інструментом оптимізації витрат назабезпечення необхідного рівня захищеності корпоративної мережі зв’язку(КМЗ) та обґрунтування бюджету на ІБ.
1. Оцінювання поточного рівня ТСО
Під час оцінювання ТСО необхідно провести збір інформації і розрахуватипоказники ТСО компанії за такими позиціями:
− компоненти КМЗ (включаючи систему захисту інформації) таінформаційні активи компанії (наприклад, сервери, клієнтськікомп’ютери, периферійні пристрої, мережеві пристрої тощо);
− витрати на апаратні і програмні засоби захисту інформації (витратніматеріали, амортизація);
− витрати на організацію ІБ в компанії (обслуговування СЗІ та системууправління нею, а також штатних засобів захисту периферійнихпристроїв, серверів, мережевих пристроїв, планування і управлінняпроцесами захисту інформації, розроблення концепції та політикибезпеки тощо);
− витрати на організаційні заходи захисту інформації;
− непрямі витрати на організацію ІБ в компанії, зокрема, на забезпеченнянеперервності, живучості процесу функціонування компанії.
2. Аудит інформаційної безпеки компанії
За результатами співбесіди, опитування, наради з керівництвом компанії іпроведення інструментальних перевірок (за можливості) рівня захищеностікомпанії здійснюється аналіз (наприклад, згідно ISO 27001):
− політики інформаційної безпеки;
− організації захисту інформаційних активів;
− класифікації інформаційних активів та управління ними;
− управління персоналом;
− фізичної безпеки;
− адміністрування КМЗ;
− управління доступом до КМЗ;
− розроблення та супроводу інформаційних систем;
− планування неперервної роботи компанії;
− перевірки системи на відповідність вимогам ІБ.
На основі виконаного аналізу вибирається модель ТСО, що порівнюється зсередніми і оптимальними значеннями для репрезентативної групи аналогічнихкомпаній, які мають схожі з розглянутою організацією показники за обсягомкомпанії. Така група береться з банку даних про ефективність витрат на ІБ іефективно...