Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
Оцінка загальної вартості витрат на впровадження систем захисту інформації
Інформація про навчальний заклад
ВУЗ:
Національний університет Львівська політехніка
Інститут:
Не вказано
Факультет:
ЗІ
Кафедра:
Захист інформації
Інформація про роботу
Рік:
2024
Тип роботи:
Звіт
Предмет:
Менеджмент
Частина тексту файла (без зображень, графіків і формул):
МІНІСТЕРСТВО ОСВІТИ І НАУКИ, МОЛОДІ ТА СПОРТУ УКРАЇНИ
НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»
Кафедра «Захист інформації»
/
ЗВІТ
До виконання практичної роботи № 3
«Оцінка загальної вартості витрат на впровадження систем захисту інформації»
з курсу:
«Менеджмент інформаційної безпеки»
Мета роботи – засвоїти на практиці використання методики оцінкизагальної вартості витрат на впровадження систем захисту інформації.
ОСНОВНІ ВІДОМОСТІ
Визначення ефективності заходів інформаційної безпеки (ІБ) в компаніїпередбачає деяку оцінку витрат на її впровадження, а також досягнутого прицьому ефекту (кількість успішно відбитих вірусних атак, виявлених спамповідомлень, швидкість оброблення інцидентів тощо). Дійсно, порівняння цихоцінок дає змогу отримати уявлення про те, як повертаються інвестиції в ІБ, атакож економічно коректно планувати бюджет компанії на ІБ і керувати ним.
Багато рішень в галузі ІБ часто приймаються на інтуїтивно-понятійномурівні, без будь-яких економічних розрахунків і обґрунтувань. Проте, настійнорекомендується звертатися до обґрунтованих техніко-економічних методів ізасобів, що дає змогу кількісно вимірювати рівень захищеності компанії, атакож визначати економічну ефективність витрат на ІБ.
На цей час оцінювати ефективність корпоративної системи захистуінформації (СЗІ) рекомендується за допомогою деяких критеріїв ефективності,наприклад: показників загальної вартості володіння (англ. Totalcostofownership, TCO), економічної ефективності СЗІ, коефіцієнтів поверненняінвестицій в ІБ (англ. ReturnonInvestment, ROI) та інші.
Методику ТСО можна використовувати для доведення економічноїефективності існуючих корпоративних СЗІ. Вона дає змогу керівникам службінформаційної безпеки обґрунтовувати бюджет на ІБ, а також доводитиефективність роботи співробітників служби/відділу ІБ.
Оскільки економічну ефективність корпоративної СЗІ можна виміряти,з’являється можливість оперативно вирішувати завдання контролю ікоректування показників економічної ефективності, зокрема показника ТСО.Таким чином, цей показник може бути інструментом оптимізації витрат назабезпечення необхідного рівня захищеності корпоративної мережі зв’язку(КМЗ) та обґрунтування бюджету на ІБ.
1. Оцінювання поточного рівня ТСО
Під час оцінювання ТСО необхідно провести збір інформації і розрахуватипоказники ТСО компанії за такими позиціями:
− компоненти КМЗ (включаючи систему захисту інформації) таінформаційні активи компанії (наприклад, сервери, клієнтськікомп’ютери, периферійні пристрої, мережеві пристрої тощо);
− витрати на апаратні і програмні засоби захисту інформації (витратніматеріали, амортизація);
− витрати на організацію ІБ в компанії (обслуговування СЗІ та системууправління нею, а також штатних засобів захисту периферійнихпристроїв, серверів, мережевих пристроїв, планування і управлінняпроцесами захисту інформації, розроблення концепції та політикибезпеки тощо);
− витрати на організаційні заходи захисту інформації;
− непрямі витрати на організацію ІБ в компанії, зокрема, на забезпеченнянеперервності, живучості процесу функціонування компанії.
2. Аудит інформаційної безпеки компанії
За результатами співбесіди, опитування, наради з керівництвом компанії іпроведення інструментальних перевірок (за можливості) рівня захищеностікомпанії здійснюється аналіз (наприклад, згідно ISO 27001):
− політики інформаційної безпеки;
− організації захисту інформаційних активів;
− класифікації інформаційних активів та управління ними;
− управління персоналом;
− фізичної безпеки;
− адміністрування КМЗ;
− управління доступом до КМЗ;
− розроблення та супроводу інформаційних систем;
− планування неперервної роботи компанії;
− перевірки системи на відповідність вимогам ІБ.
На основі виконаного аналізу вибирається модель ТСО, що порівнюється зсередніми і оптимальними значеннями для репрезентативної групи аналогічнихкомпаній, які мають схожі з розглянутою організацією показники за обсягомкомпанії. Така група береться з банку даних про ефективність витрат на ІБ іефективності відповідних профілів захисту аналогічних компаній.
Порівняння поточного показника ТСО компанії, що перевіряється змодельним значенням того ж показника дає змогу провести аналізефективності організації ІБ компанії, результатом якого є визначення«вузьких» місць в організації, причин їх появи і вироблення подальших кроківу напрямі реорганізації корпоративної СЗІ та забезпечення необхідного рівнязахищеності КМЗ.
3. Формування цільової моделі ТСО
За результатами проведеного аудиту будується цільова (бажана) модель,що враховує перспективи розвитку компанії та корпоративної СЗІ (активи,складність, кращі практики, типи СЗІ та її управління, навики співробітниківтощо)
Крім того, розглядаються капітальні витрати та трудовитрати, якінеобхідні для проведення перетворень поточного середовища в цільовесередовище. В роботовитрати на впровадження включаються витрати напланування, проектування, розроблення, впровадження, навчання. Сюди жвходять можливі тимчасові збільшення витрат на управління і підтримку.
Для обґрунтування ефекту від впровадження нової корпоративної системизахисту інформації (ROI) можуть бути використані модельні характеристикизниження загальних витрат (ТСО), що відображаютьможливі зміни вкорпоративній системі захисту інформації.
4. Визначення обсягу витрат на безпеку
Перше завдання – визначити перелік витрат, які відносяться до діяльностікомпанії, та розділити їх за категоріями.Друге – скласти перелік таким чином, щоб зміст кожної позиції (кожногоелемента) був зрозумілим співробітникам компанії.Третє – призначити кодові символи для кожної позиції переліку. Це можебути, наприклад, цифра, буква або їх комбінація.Загальний зміст збору даних за витратами на ІБ – надати керівництвукомпанії інструмент управління.Особливо важливо, щоб позиції переліку витрат були визначені в томувигляді, як вони названі і розділені для різних категорій, в тому числі для:− підрозділу або якої-небудь ділянки;
− ресурсу, що захищається (за всіма типами ресурсів);
− якого-небудь робочого місця користувача інформаційної системикомпанії;
− ризиків за кожною категорією інформації.
Вимоги встановлюються самою компанією для власного (внутрішнього)користування. Проте, при цьому не слід забувати, що зібраної інформаціїповинно бути достатньо для проведення подальшого аналізу.
5. Звіт за витратами на інформаційну безпеку
Результати аналізу витрат на ІБ і підсумковий звіт повинні показатиоб’єктивну картину, яка відображатиме стан інформаційної безпеки.Аналіз витрат на інформаційну безпеку – інструмент управління, якийпризначений для визначення досягнутого рівня захищеності інформаційногоактиву і виявлення проблем при постановці завдань підтримання необхідногорівня ІБ.Представлений у фінансових термінах і складений простою мовою звітпро витрати на ІБ має значні переваги перед іншими видами звітів щододослідження ІБ інформаційного активу компанії та аналізу ризиків.
Зміст такого звіту залежить від того, яку роль відіграє в рамкахпідприємства та особа, якій він призначений.
Керівництву слід надати звіт у вигляді загальних форм. У звіті повиннабути представлена загальна картина стану ІБ компанії, яка викладена зазвичайу фінансових термінах. Іншими словами, в цьому випадку необхідний доступнонаписаний звіт, що містить лише об’єктивну інформацію.
Керівники підрозділів ІТ та ІБ потребують детальніших відомостей продосягнутий рівень захищеності тих інформаційних активів компанії, за які вонивідповідають. Звіт повинен бути детальним і містити дані про типи ресурсів,види загроз тощо.
Метою проведення аналізу витрат на ІБ є отримання результатів у формі,яка буде корисною і зручною для тих, хто в них зацікавлений.Особа, що читає звіт, повинна отримати інформацію, яка надасть змогу:
− порівняти поточний рівень захищеності з рівнем минулого періоду, тобтовизначити тенденції;
− порівняти поточний рівень з поставленими цілями;
− виявити значні області витрат;
− вибрати області для покращення;
− оцінити ефективність програм з покращення.
Керівник очікує отримати звіт за витратами на ІБ, який:
− проінформує його лише про речі, що належать до сфери йоговідповідальності, і ні про що більше;
− написаний легкою для розуміння мовою, не «напханий» спеціальнимитермінами;
− викладений чітко і коротко і містить всю необхідну інформацію;
− надасть змогу визначити першочергові завдання та напрямки діяльності.
6. Прийняття рішень
Усі виявлені причини нанесення збитку заслуговують проведеннякоригувальних заходів, проте, керівник шукає ті області, які дадуть найбільшувіддачу у відповідь на витрачені зусилля. Саме тому, він може розглянути впершу чергу область своїх витрат, яка пов’язана з впровадженням системипередавання звітів на сервер протоколювання.Ретельний аналіз може зумовити керівника відділу ІБ до висновку про те,що краще почати попереджувальні заходи з механізмів захисту, які мають ненайбільшу витратну частину.Необхідно зазначити: витрати на ІБ можуть бути мінімізовані в значніймірі, якщо вдасться виявити специфічні причини витрат і врахувати їх впрограмі зменшення ризиків. У всі рекомендації слід включати (за можливості)дані про вартість реалізації запропонованих програм. Заходи зниження рівняризику повинні переслідувати таку мету – з найменшими витратами отриматинайкращі результати.
7. Методика оцінки ТСО
Застосування методики оцінки TCO (DellSystems) для галузі ІБ можемістити в собі:
− вартість спеціалізованого програмно-апаратного забезпечення(наприклад, SIEM (системи управління інформацією та подіями ІБ), DLP(системи запобігання витоку конфіденційної інформації), веб-фільтри,антиспам системи, IDS/IPS (системи виявлення/запобігання втручанням),Firewall (міжмережеві екрани), WAF (міжмережеві екрани для веб-додатків), сканери вразливостей тощо);
− навчання співробітників;
− витрати на електроенергію (розраховуються за технічнимихарактеристиками серверів, робочих станцій, моніторів, ноутбуків, яківикористовуються в процесі забезпечення ІБ);
− зарплата керівництва і технічних співробітників відділів ІТ, ІБ;
− втрати компанії від вірусних атак (за даними NCSA, один зі ста ПКпіддається атакам раз на місяць, при цьому в 46% випадків відновленнязаймає 19 днів);
− підвищення кваліфікації співробітників;
− оплата простоїв персоналу через несправність техніки або КМЗ (всередньому відмови комп’ютерів і серверів brand-name «білої збірки»складають 3% в перші три роки експлуатації і 6% при середньому часіремонту один тиждень);
− втрати доходу компанії через простої засобів ІБ;
− втрати компанії через використання застарілих засобів ІБ;
− витрати на усунення несправностей;
− транспортні витрати на доставку засобів ІБ в ремонт при неможливостіпровести його силами своїх співробітників.
ЗАВДАННЯ ДО ПРАКТИЧНОЇ РОБОТИ
1. Самостійно обрати конкретну інформаційну систему (ІС) галузі ІБ, щозадана варіантом у Додатку А.
2. Описати у звіті процеси, які ця ІС автоматизовує, її переваги.
3. Здійснити опис структури та архітектурисистеми, вказавши необхідні дані для розрахунку коефіцієнта TCO(кількість працівників, середній робочий тиждень, годинна оплата тощо),планові та позапланові відключення серверів (кількість відключень,тривалість відключень тощо). Даний опис зазначити у звіті.
4. Розрахувати вартість простою сервера вибраної ІС на основі «Методикиоцінки TCO від DellSystems».
Процеси, які автоматизовує ІС
У зв’язку з надзвичайно високою вартістю послуг для багатьох організацій, Pravail APS призначений для автоматичного виявлення і запобігання DDoS атак фактично без взаємодії з користувачем, коли ресурси ще не були пошкоджені. Вона також пропонує плани резервного копіювання, коли атаки не можуть бути легко ідентифіковані.
Опис структури та архітектури системи, та обчислення вартості простою сервера
1. Необхідні дані для розрахунку
Кількість працівників (А1) – 17
Кількість адміністраторів (А2) – 1
Середній робочий тиждень (А3/А4) – 9/5
Річний валовий дохід компанії (А5) – 500000 грн
Годинна оплата праці адміністратора (А6) – 15грн
Годинна оплата праці працівника (А7) – 30грн
2. Планові відключення сервера
Кількість відключень кожного місяця (А8) – 4
Середня тривалість відключення (А9) – 2 год
Кількість користувачів, які відключені при цьому (А10) – 9
Кількість адміністраторів, задіяних при цьому (А11) - 1
3. Позапланові відключення сервера
Кількість відключень кожного місяця (А12) – 3
Середня тривалість відключення (А13) – 1 год
Кількість користувачів, які відключені при цьому (А14) – 0
Кількість адміністраторів, задіяних при цьому (А15) - 1
Дохід на кожного працівника (грн/год)
B8 = A5 / ((A3 * A4 * 50) * A1) = 500000/((9*5*50)*17)=500000/38250 = 13
Планові відключення (годин)
B9 = A8 * 12 * A9 * (A10 + A11) = 4*12*2*(0+1) = 96
Позапланові відключення (годин)
B10 = A12 * 12 * A13 * (A14 + A15) = 3*12*1*1 = 36
Планові витрати на відключення сервера (грн. / рік)
B12 = B13 + B14 = 27360
Планові витрати на адміністраторів (грн. / рік)
B13 = A8 * 12 * A9 * A11 * A6 = 4*12*2*1*15 = 1440
Планові витрати на кінцевих користувачів (грн. / рік)
B14 = A8 * 12 * A9 * A10 * A7 = 4*12*2*9*30 = 25920
Позапланові витрати на відключення сервера (грн. / рік)
B16 = B17 + B18 = 10260
Позапланові витрати на адміністраторів (грн. / рік)
B17 = A12 * 12 * A13 * A15 * A6 = 3*12*1*1*15 = 540
Позапланові витрати на кінцевих користувачів (грн. / рік)
B18 = A12 * 12 * A13 * A14 * A7 = 3*12*1*9*30 = 9720
В результаті отримуємо основні показники.
Втрачений дохід (грн. / рік)
B7 = B8 * (B9 + B10) = 13*(96+36) = 1716
Загальні витрати на зупинки сервера (грн. / рік)
B21 = B7 + B12 + B16 = 1716 +27360+10260 = 39336
Витрати на кожну годину зупинки сервера
B23 = B21 / ((A8 * 12 * A9) + (A12 * 12 * A13)) = 39336/((4*12*2)+(3*12*1) = 39336/54=728 грн.
Висновок: в даній лабораторній роботі ми навчились використовувати методики оцінки загальної вартості витрат на впровадження систем захисту інформації, та обчислювати вартість простою серверу зокрема.
14.04.2015 19:04-
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора