Что лучше всего описывает цель расчета ale

Информатика. Тест с ответами #84

Поможем успешно пройти тест. Знакомы с особенностями сдачи тестов онлайн в Системах дистанционного обучения (СДО) более 50 ВУЗов. При необходимости проходим систему идентификации, прокторинга, а также можем подключиться к вашему компьютеру удаленно, если ваш вуз требует видеофиксацию во время тестирования.

Закажите решение теста для вашего вуза за 470 рублей прямо сейчас. Решим в течение дня.

RGB– код синего цвета записывается как …
#808080
#FF0000
#0000FF
#00FF00

В ОС Windows уникально —
полное имя файла
собственное имя файла

Для отображения информации, которая предназначена только для определенной аудитории и демонстрация которой нецелесообразна при каждом показе, в программе PowerPoint предусмотрена возможность …
скрытия слайдов
шифрования данных
удаления слайдов
использования паролей

В текстовом редакторе MS Word действие параметров форматирования символов распространяется …
слева направо на вставляемые рядом символы
сверху вниз на вставляемые ниже строки
на всю строку, в которой находится символ
справа налево на все ранее введенные символы

На каком уровне OSIустановлена полоса пропускания?
Физический
Сетевой
Транспортный
Канальный

Основные принципы цифровых вычислительных машин были разработаны …
Блезом Паскалем
Готфридом Вильгельмом Лейбницем
Джоном фон Нейманом
Чарльзом Беббиджем

Топологиями локальных вычислительных сетей являются …
корпоративная, административная, смешанная
серверная, доменная, терминальная
звезда, шина, кольцо
ромашка, сфера, звезда

Для просмотра содержимого файловой системы используется:
a) «Мой компьютер»
b) «Проводник»
c) «проверка диска»
d) «сведения о системе»

Для создания нового документа выполнить следующее:
команда Создать меню Файл
щелчок по кнопке Создать на панели инструментов Стандартная
команда Файл меню Вставка
команда Новое меню Окно

В СУБД MS Access не существует запрос на _________ данных
удаление
обновление
создание
добавление

Рубрикация по тематике в поле «Тематика» осуществляется на основе классификатора, который является …
иерархическим
универсальным
алфавитным
хронологическим

Какой основной прикладной протокол использует электронная почта?
ESMTP
FTP
Gopher
NNTP

Сквозной поиск во всех разделах возможен из Карточки поиска раздела …
«Законодательство»
«Финансовые консультации»
любого
«Законопроекты»

Что лучше всего описывает цель расчета ALE?
A. Количественно оценить уровень безопасности среды
B. Оценить возможные потери для каждой контрмеры
C. Количественно оценить затраты / выгоды
D. Оценить потенциальные потери от угрозы в год

Моделирование, заключающееся в стремлении человека воспроизвести то, что его однажды привело к случайному успеху, называется ______________ моделированием
имитационным
психологическим
эвристическим
педагогическим

Источник

Срез знаний по курсу «Информационная безопасность»

Срез знаний по курсу «Информационная безопасность»

1. Кто является основным ответственным за определение уровня классификации информации?

A. Руководитель среднего звена
B. Высшее руководство
C. Владелец

2. Какая категория является наиболее рискованной для компании с точки зрения вероятного мошенничества и нарушения безопасности?

B. Хакеры
C. Атакующие
D. Контрагенты (лица, работающие по договору)

3. Если различным группам пользователей с различным уровнем доступа требуется доступ к одной и той же информации, какое из указанных ниже действий следует предпринять руководству?

A. Снизить уровень безопасности этой информации для обеспечения ее доступности и удобства использования
B. Требовать подписания специального разрешения каждый раз, когда человеку требуется доступ к этой информации
C. Улучшить контроль за безопасностью этой информации

D. Снизить уровень классификации этой информации

4. Что самое главное должно продумать руководство при классификации данных?

A. Типы сотрудников, контрагентов и клиентов, которые будут иметь доступ к данным
B. Необходимый уровень доступности, целостности и конфиденциальности

C. Оценить уровень риска и отменить контрмеры
D. Управление доступом, которое должно защищать данные

5. Кто в конечном счете несет ответственность за гарантии того, что данные классифицированы и защищены?

A. Владельцы данных
B. Пользователи
C. Администраторы
D. Руководство

6. Что такое процедура?

A. Правила использования программного и аппаратного обеспечения в компании
B. Пошаговая инструкция по выполнению задачи

C. Руководство по действиям в ситуациях, связанных с безопасностью, но не описанных в стандартах
D. Обязательные действия

7. Какой фактор наиболее важен для того, чтобы быть уверенным в успешном обеспечении безопасности в компании?

A. Поддержка высшего руководства

B. Эффективные защитные меры и методы их внедрения
C. Актуальные и адекватные политики и процедуры безопасности
D. Проведение тренингов по безопасности для всех сотрудников

8. Когда целесообразно не предпринимать никаких действий в отношении выявленных рисков?

A. Никогда. Для обеспечения хорошей безопасности нужно учитывать и снижать все риски
B. Когда риски не могут быть приняты во внимание по политическим соображениям
C. Когда необходимые защитные меры слишком сложны
D. Когда стоимость контрмер превышает ценность актива и потенциальные потери

9. Что такое политики безопасности?

A. Пошаговые инструкции по выполнению задач безопасности
B. Общие руководящие требования по достижению определенного уровня безопасности
C. Широкие, высокоуровневые заявления руководства

D. Детализированные документы по обработке инцидентов безопасности

10. Какая из приведенных техник является самой важной при выборе конкретных защитных мер?

A. Анализ рисков
B. Анализ затрат / выгоды

C. Результаты ALE
D. Выявление уязвимостей и угроз, являющихся причиной риска

11. Что лучше всего описывает цель расчета ALE?

A. Количественно оценить уровень безопасности среды
B. Оценить возможные потери для каждой контрмеры
C. Количественно оценить затраты / выгоды
D. Оценить потенциальные потери от угрозы в год

12. Тактическое планирование – это:

A. Среднесрочное планирование

B. Долгосрочное планирование
C. Ежедневное планирование
D. Планирование на 6 месяцев

13. Что является определением воздействия (exposure) на безопасность?

A. Нечто, приводящее к ущербу от угрозы

B. Любая потенциальная опасность для информации или систем
C. Любой недостаток или отсутствие информационной безопасности
D. Потенциальные потери от угрозы

14. Эффективная программа безопасности требует сбалансированного применения:

A. Технических и нетехнических методов

B. Контрмер и защитных механизмов
C. Физической безопасности и технических средств защиты
D. Процедур безопасности и шифрования

15. Функциональность безопасности определяет ожидаемую работу механизмов безопасности, а гарантии определяют:

A. Внедрение управления механизмами безопасности
B. Классификацию данных после внедрения механизмов безопасности
C. Уровень доверия, обеспечиваемый механизмом безопасности

D. Соотношение затрат / выгод

16. Какое утверждение является правильным, если взглянуть на разницу в целях безопасности для коммерческой и военной организации?

A. Только военные имеют настоящую безопасность
B. Коммерческая компания обычно больше заботится о целостности и доступности данных, а военные – о конфиденциальности

C. Военным требуется больший уровень безопасности, т.к. их риски существенно выше
D. Коммерческая компания обычно больше заботится о доступности и конфиденциальности данных, а военные – о целостности

17. Как рассчитать остаточный риск?

A. Угрозы х Риски х Ценность актива
B. (Угрозы х Ценность актива х Уязвимости) х Риски
C. SLE x Частоту = ALE
D. (Угрозы х Уязвимости х Ценность актива) x Недостаток контроля

18. Что из перечисленного не является целью проведения анализа рисков?

A. Делегирование полномочий

B. Количественная оценка воздействия потенциальных угроз
C. Выявление рисков
D. Определение баланса между воздействием риска и стоимостью необходимых контрмер

19. Что из перечисленного не является задачей руководства в процессе внедрения и сопровождения безопасности?

A. Поддержка
B. Выполнение анализа рисков

C. Определение цели и границ
D. Делегирование полномочий

20. Почему при проведении анализа информационных рисков следует привлекать к этому специалистов из различных подразделений компании?

A. Чтобы убедиться, что проводится справедливая оценка
B. Это не требуется. Для анализа рисков следует привлекать небольшую группу специалистов, не являющихся сотрудниками компании, что позволит обеспечить беспристрастный и качественный анализ
C. Поскольку люди в различных подразделениях лучше понимают риски в своих подразделениях и смогут предоставить максимально полную и достоверную информацию для анализа

D. Поскольку люди в различных подразделениях сами являются одной из причин рисков, они должны быть ответственны за их оценку

21. Что является наилучшим описанием количественного анализа рисков?

A. Анализ, основанный на сценариях, предназначенный для выявления различных угроз безопасности
B. Метод, используемый для точной оценки потенциальных потерь, вероятности потерь и рисков
C. Метод, сопоставляющий денежное значение с каждым компонентом оценки рисков

D. Метод, основанный на суждениях и интуиции

22. Почему количественный анализ рисков в чистом виде не достижим?

A. Он достижим и используется
B. Он присваивает уровни критичности. Их сложно перевести в денежный вид.
C. Это связано с точностью количественных элементов
D. Количественные измерения должны применяться к качественным элементам

23. Если используются автоматизированные инструменты для анализа рисков, почему все равно требуется так много времени для проведения анализа?

A. Много информации нужно собрать и ввести в программу

B. Руководство должно одобрить создание группы
C. Анализ рисков не может быть автоматизирован, что связано с самой природой оценки
D. Множество людей должно одобрить данные

24. Какой из следующих законодательных терминов относится к компании или человеку, выполняющему необходимые действия, и используется для определения обязательств?

A. Стандарты
B. Должный процесс (Dueprocess)
C. Должная забота (Duecare)

D. Снижение обязательств

25. Что такое CobiT и как он относится к разработке систем информационной безопасности и программ безопасности?

A. Список стандартов, процедур и политик для разработки программы безопасности
B. Текущая версия ISO 17799
C. Структура, которая была разработана для снижения внутреннего мошенничества в компаниях
D. Открытый стандарт, определяющий цели контроля

26. Из каких четырех доменов состоит CobiT?

A. Планирование и Организация, Приобретение и Внедрение, Эксплуатация и Сопровождение, Мониторинг и Оценка

B. Планирование и Организация, Поддержка и Внедрение, Эксплуатация и Сопровождение, Мониторинг и Оценка
C. Планирование и Организация, Приобретение и Внедрение, Сопровождение и Покупка, Мониторинг и Оценка
D. Приобретение и Внедрение, Эксплуатация и Сопровождение, Мониторинг и Оценка

27. Что представляет собой стандарт ISO/IEC 27799?

A. Стандарт по защите персональных данных о здоровье

B. Новая версия BS 17799
C. Определения для новой серии ISO 27000
D. Новая версия NIST 800-60

28. CobiT был разработан на основе структуры COSO. Что является основными целями и задачами COSO?

A. COSO – это подход к управлению рисками, который относится к контрольным объектам и бизнес-процессам
B. COSO относится к стратегическому уровню, тогда как CobiT больше направлен на операционный уровень

C. COSO учитывает корпоративную культуру и разработку политик
D. COSO – это система отказоустойчивости

29. OCTAVE, NIST 800-30 и AS/NZS 4360 являются различными подходами к реализации управления рисками в компаниях. В чем заключаются различия между этими методами?

A. NIST и OCTAVE являются корпоративными
B. NIST и OCTAVE ориентирован на ИТ

C. AS/NZS ориентирован на ИТ
D. NIST и AS/NZS являются корпоративными

30. Какой из следующих методов анализа рисков пытается определить, где вероятнее всего произойдет сбой?

A. Анализ связующего дерева
B. AS/NZS
C. NIST
D. Анализ сбоев и дефектов

31. Что было разработано, чтобы помочь странам и их правительствам построить законодательство по защите персональных данных похожим образом?

A. Безопасная OECD
B. ISO\IEC
C. OECD

32. Символы шифруемого текста перемещаются по определенным правилам внутри шифруемого блока этого текста, это метод:

1. гаммирования;
2. подстановки;
3.кодирования;
4.перестановки;

33. Символы шифруемого текста заменяются другими символами, взятыми из одного или нескольких алфавитов, это метод:

34. Символы шифруемого текста последовательно складываются с символами некоторой специальной последовательности, это метод:

2. подстановки;
3. кодирования;
4. перестановки;
5. аналитических преобразований.

35. Защита информации от утечки это деятельность по предотвращению:

1. получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации;
2. воздействия с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации;
3. воздействия на защищаемую информацию ошибок пользователя информацией, сбоя технических и программных средств информационных систем, а также природных явлений;
4. неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа;

5. несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.

36.Защита информации это:

1. процесс сбора, накопления, обработки, хранения, распределения и поиска информации;
2. преобразование информации, в результате которого содержание информации становится непонятным для субъекта, не имеющего доступа;
3. получение субъектом возможности ознакомления с информацией, в том числе при помощи технических средств;
4. совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и ее носителям;
5. деятельность по предотвращению утечки информации, несанкционированных и непреднамеренных воздействий на неё.

37. Естественные угрозы безопасности информации вызваны:

1.деятельностью человека;
2. ошибками при проектировании АСОИ, ее элементов или разработке программного обеспечения;
3. воздействиями объективных физических процессов или стихийных природных явлений, независящих от человека;

4. корыстными устремлениями злоумышленников;
5. ошибками при действиях персонала.

38 Икусственные угрозы безопасности информации вызваны:

1. деятельностью человека ;

2. ошибками при проектировании АСОИ, ее элементов или разработке программного обеспечения;
3. воздействиями объективных физических процессов или стихийных природных явлений, независящих от человека;
4. корыстными устремлениями злоумышленников;
5. ошибками при действиях персонала.

39. К основным непреднамеренным искусственным угрозам АСОИ относится:

1. физическое разрушение системы путем взрыва, поджога и т.п.;
2. перехват побочных электромагнитных, акустических и других излучений устройств и линий связи;
3. изменение режимов работы устройств или программ, забастовка, саботаж персонала, постановка мощных активных помех и т.п.;
4. чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;
5. неумышленные действия, приводящие к частичному или полному отказу системы или разрушению аппаратных, программных, информационных ресурсов системы.

40.К посторонним лицам нарушителям информационной безопасности относится:

7. лица, нарушившие пропускной режим;

41. Спам, который имеет цель опорочить ту или иную фирму, компанию, политического кандидата и т.п:

2. фишинг;
3. нигерийские письма;
4. источник слухов;
5. пустые письма.

42. Спам распространяет поддельные сообщения от имени банков или финансовых компаний, целью которых является сбор логинов, паролей и пин-кодов пользователей:

1. черный пиар;
2. фишинг;

3. нигерийские письма;
4. источник слухов;
5. пустые письма.

43. Антивирус обеспечивает поиск вирусов в оперативной памяти, на внешних носителях путем подсчета и сравнения с эталоном контрольной суммы:

2. доктор;
3. сканер;
4. ревизор;
5. сторож.

44. Антивирус не только находит зараженные вирусами файлы, но и «лечит» их, т.е. удаляет из файла тело программы вируса, возвращая файлы в исходное состояние:

3. сканер;
4. ревизор;
5. сторож.

45. Антивирус запоминает исходное состояние программ, каталогов и системных областей диска когда компьютер не заражен вирусом, а затем периодически или по команде пользователя сравнивает текущее состояние с исходным:

1.детектор;
2. доктор;
3. сканер;
4. ревизор;

1. детектор;
2. доктор;
3. сканер;
4. ревизор;
5. сторож.

47. Активный перехват информации это перехват, который:

1. заключается в установке подслушивающего устройства в аппаратуру средств обработки информации;
2. основан на фиксации электромагнитных излучений, возникающих при функционировании средств компьютерной техники и коммуникаций;
3. неправомерно использует технологические отходы информационного процесса;
4. осуществляется путем использования оптической техники;
5. осуществляется с помощью подключения к телекоммуникационному оборудованию компьютера.

48. Перехват, который заключается в установке подслушивающего устройства в аппаратуру средств обработки информации называется:

1. активный перехват;
2. пассивный перехват;
3. аудиоперехват;

4. видеоперехват;
5. просмотр мусора.

49. Перехват, который основан на фиксации электромагнитных излучений, возникающих при функционировании средств компьютерной техники и коммуникаций называется:

1. активный перехват;
2. пассивный перехват ;

3. аудиоперехват;
4. видеоперехват;
5. просмотр мусора.

50. Перехват, который осуществляется путем использования оптической техники называется:

1. активный перехват;
2. пассивный перехват;
3. аудиоперехват;
4. видеоперехват;

51. К внутренним нарушителям информационной безопасности относится:

1. клиенты;
2. пользователи системы;
3. посетители;
4. любые лица, находящиеся внутри контролируемой территории;
5. представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации.
6. персонал, обслуживающий технические средства.
7. сотрудники отделов разработки и сопровождения ПО;
8. технический персонал, обслуживающий здание

Источник

Информационная безопасность

Практика информационной безопасности

Страницы

пятница, 29 мая 2009 г.

ISSP \ Домен 01. Информационная безопасность и управление рисками. Часть 5

Количественный анализ рисков пытается присвоить реальные и осмысленные числа всем элементам процесса анализа рисков. Этими элементами могут быть стоимость защитных мер, ценность актива, ущерб для бизнеса, частота возникновения угрозы, эффективность защитных мер, вероятность использования уязвимости и т.д. Количественный анализ рисков позволяет получить конкретное значение вероятности (в процентах) реализации угрозы. Каждый элемент в процессе анализа вставляется в количественном виде в уравнение определения общего и остаточного риска.

Автоматизированные методы анализа рисков

Шаги процесса анализа рисков

• Перенос риска – например, застраховать некоторые риски.

• Избежание риска – прекратить деятельность, вызывающую риск.

• Принятие риска – смириться с риском и не тратить деньги на защиту от него (это целесообразно, если стоимость защитных мер превышает величину возможного ущерба). Однако при этом нужно учитывать, что реализация риска может вести к дополнительным последствиям (например, потере репутации).

Принятие риска. Если компания решает принять риск, это решение должно основываться на стоимости (стоимость контрмер превышает возможные потери) и приемлемом уровне риска (при котором компания может жить с уязвимостью или угрозой). Но компания должна также понимать, что это не полноценное решение. Реализация риска может нести также и ущерб репутации, причем не только репутации компании, но и репутации целой отрасли.

ARO (среднегодовая частота возникновения инцидентов) – это величина, представляющая собой ожидаемую частоту реализации соответствующей угрозы в год. Значение ARO может быть от 0,0 (никогда) до 1,0 (по крайней мере, раз в год) и выше (несколько раз в год). Например, наводнения в той местности, в которой расположено здание компании, происходят в среднем раз в 1000 лет. Значит величина ARO составляет 0,001.

Рассмотрим пример результатов анализа рисков (Таблица 1-4). Используя полученные данные компания может принять обоснованное решение о том, какие угрозы необходимо рассматривать в первую очередь, основываясь на их последствиях и вероятности реализации. Также компания может оценить целесообразный уровень затрат на защиту от каждой угрозы.

Источник

Окупаемость ИБ-систем. Какую прибыль может принести система ИБ

В «СА» №10/2011 я рассказал, как с помощью стандарта ISO 27002 оценивается степень защищенности корпоративных ресурсов. Теперь нужно аргументированно доказать руководству необходимость приобретения новых средств защиты данных, а затем рассчитать бюджет. Вот тут могут возникнуть новые сложности

АНДРЕЙ БИРЮКОВ, специалист по информационной безопасности. Работает в крупном системном интеграторе. Занимается внедрением решений по защите корпоративных ресурсов

Во многих компаниях, особенно небольших, закупками оборудования занимаются непосредственно системные администраторы и технические специалисты. А для того, чтобы получить необходимые для закупки средства, ответственному сотруднику нужно сначала обосновать необходимость данных расходов руководству компании.

Вот тут у «технарей» могут появиться определенные трудности с обоснованием расходов на приобретение нового оборудования и других задач поддержки, требующих определенных финансовых затрат.

Дополнительные сложности возникают при закупке систем ИБ. Для различных бизнес-приложений обосновать необходимость расходов можно, например, с помощью подсчета времени, затрачиваемого на решение разных задач до модернизации соответствующих систем и после них. С системами ИБ все несколько сложнее. Они не приносят непосредственной прибыли, но при этом требуют определенных затрат, как и другие ИТ-системы. Соответственно специалистам по безопасности необходимо каким-то образом обосновать данные затраты.

И для этого нужно научиться оперировать рыночными категориями, экономически обосновывать расходы на ИТ-безопасность.

В бизнесе при инвестировании существует понятие ROI (Return On Investment), которое определяет, сколько времени потребуется для возврата вложенных в то или предприятие инвестиций. Для подсчета значения ROI используется формула:

Это отношение заработанных денег к тем, которые вкладываются в то или иное направление, выраженное в процентах. Если строго, то ROI – это процентное отношение прибыли (или экономического эффекта) от проекта к инвестициям, необходимым для реализации этого проекта. Для лучшего понимания приведу несколько примеров.

ROI = прибыль/инвестиции = 500.000/25.000.000 = 0,02

Такое значение для коэффициента ROI является слишком низким, и в данном случае инвестиции можно смело признать неудачными.

Применим формулу для подсчета коэффициента ROI для приведенных значений

ROI= прибыль/инвестиции = 1000.000/4.400.000 = 0,23

Возврат инвестиций – 23% – это очень неплохое значение, получается, что внедрение системы окупится чуть более чем за четыре года. Однако эта формула хорошо подходит при подсчете возврата инвестиций в обычные ИТ-системы, будь то СХД, база данных или корпоративный веб-портал. При подсчете возврата инвестиций в системы ИБ используется другой показатель.

Средства защиты не являются инструментом непосредственного извлечения доходов. Поэтому при оценке систем безопасности говорят не о заработанных деньгах, а о предотвращении возможных потерь (снижаются потери – это фактически и есть заработок). Впервые термин Return on Investment for Security (ROSI) был введен в употребление специалистами в области IT Security в начале 2002 года.

Традиционно обоснования расходов на безопасность доказывали, что без инвестирования в корпоративную систему защиты информации компания упускает более «осязаемые» выгоды. Обоснование расходов на ИБ включало в себя следующие утверждения:

После приведения подобных доводов ни у кого не вызывает сомнений необходимость расходов на ИБ компании, но появляется нужда в количественном расчете для финансового обоснования инвестиций в корпоративную систему защиты информации.

Существует несколько методов подсчета необходимых инвестиций в ИБ.

Метод ожидаемых потерь

Этот подход базируется на том, что вычисляются потери от нарушений политики безопасности, с которыми может столкнуться компания, и эти потери сравниваются с инвестициями в безопасность, направленными на предотвращение нарушений. Метод ожидаемых потерь основан на эмпирическом опыте организаций и сведений о вторжениях, о потерях от вирусов, об отражении сервисных нападений и т.д.

Например, нарушения безопасности коммерческих организаций приводят к следующим финансовым потерям:

Чтобы «смягчить» ожидаемые потери, компания должна инвестировать средства в безопасность: сетевые экраны, системы обнаружения вторжений, чтобы предотвратить атаку, антивирусы для обнаружения различных форм вирусов.

Если компания решает установить систему ИБ, то ее стоимость обобщенно будет складываться из следующего:

Чтобы определить эффект от внедрения системы ИБ, нужно вычислить показатель ожидаемых потерь (Annualised Loss Expectancy – ALE). По оценкам экспертов, правильно установленная и настроенная система защиты дает 85% эффективности в предупреждении или уменьшении потерь от нарушений политики безопасности. Следовательно, финансовая выгода обеспечивается ежегодными сбережениями, которые получает компания при внедрении системы ИБ.

Метод оценки свойств системы безопасности

Метод оценки свойств системы безопасности (Security Attribute Evaluation Method – SAEM) был разработан в Carnegie Melon University и основан на сравнении различных архитектур систем ИБ для получения стоимостных результатов оценки выгод от внедрения системы ИБ. Методология SAEM заключается в том, чтобы, объединив вероятность события и ранжировав воздействие окружающей среды, предложить различные проекты по ИБ с многовариантным влиянием окружающей среды на относительные затраты.

Недостатком метода является то, что чаще всего безопасность находится вне понимания менеджеров, занимающихся оценкой эффективности, а специалисты по информационной безопасности редко имеют точные данные относительно выгод, приносимых технологией, поэтому приходится полагаться на опыт и интуицию и на их основе принимать решения.

Анализ дерева ошибок

Еще одним не очень известным инструментом оценки выгод является метод анализа дерева ошибок (Fault Tree Analysis).

Цель применения данного метода – показать, в чем заключаются причины нарушений политики безопасности и какие сглаживающие контрмеры могут быть применены.

Дерево ошибок – это графическое средство, которое позволяет свести всю систему возможных нарушений к логическим отношениям «и»–«или» компонентов этой системы. Если доступны данные по нормам отказа критических компонентов системы, то дерево ошибок позволяет определить ожидаемую вероятность отказа всей системы.

В настоящее время этот метод еще недостаточно адаптирован к области информационной безопасности и требует дальнейшего изучения.

Как выбрать наиболее подходящий метод?

Принципиальный недостаток приведенных выше методов в том, что они не дают количественной оценки стоимости и выгод от контрмер безопасности, кроме метода ожидаемых потерь, который объединяет выгоду от каждой контрмеры в единый количественный показатель эффективности. А с точки зрения системы безопасности этот показатель интерпретируется как показатель пригодности всей системы защиты, который обычно указан в договоре с поставщиком системы защиты.

Поэтому на практике лучше использовать метод оценки целесообразности затрат на систему ИБ. Такой выбор обусловлен несколькими соображениями – это финансовая ориентированность метода и достаточно полная оценка стоимости различных мер по безопасности и выгод от внедрения.

Для того чтобы привести пример оценки мер по обеспечению безопасности, воспользуемся упрощенным вариантом дерева ошибок, так называемой таблицей оценки угроз и рисков (Threat and Risk Assessment – TRA). Использование TRA позволит показать, как на практике получить количественную оценку вероятности событий и возникновения последствий и в дальнейшем использовать эти данные для определения ожидаемых потерь без применения контрмер безопасности.

Методика Return on Investment for Security

Оценим доходную часть, объединяя метод ожидаемых потерь с таблицей оценки угроз и риска.

Первым шагом является построение таблицы TRA. Сделаем небольшое отступление и дадим краткое описание контрмер по обеспечению информационной безопасности.

Контрмеры по обеспечению безопасности направлены на достижение следующих эффектов: уменьшение вероятности происхождения инцидента и/или уменьшение последствий, если инцидент все равно случается.

Меры, снижающие вероятность, называются профилактическими, а меры, снижающие последствия, называются лечебными. Пусть вероятность происшествия описана семью уровнями от «незначительного» до «экстремального». Определим эти уровни в следующей таблице (см. таблицу 2).

Последствия от нарушения политики безопасности также описаны шестью уровнями от «несущественного» к «критическому», и каждому уровню соответствуют потери в случае ликвидации нарушений, которые определены экспертно специалистами Gartner Group (см. таблицу 1).

Таблица 1. Типы защиты

Пример расчетов ROSI

Теперь рассчитаем показатель ALE, используя форму таблицы TRA (см. таблицу 2), в которой сопоставляются вероятности угроз, степень тяжести нарушения и частота событий. Показатель ALE мы вычисляем согласно формуле:

Таблица 2. Вероятности угроз и частота событий

Таблица 3. Степень тяжести и потери

Следующим шагом обоснования инвестиций в систему информационной безопасности является проведение анализа возврата инвестиций. Первоначально определим затраты на внедрение системы ИБ.

Для того чтобы обеспечить должный уровень безопасности, необходимо внедрить следующие элементы системы информационной безопасности: систему защиты шлюзов Интернета, систему антивирусной защиты файловых серверов и рабочих станций и систему защиты корпоративной электронной почты.

В качестве используемого средства защиты было выбрано решение, в котором присутствуют как средства для защиты шлюзов и электронной почты, так и защита файловых серверов и рабочих станций.

Затраты на внедрение комплекса решений приведены в таблице 4.

Таблица 4. Расчет показателя ожидаемых потерь

Период окупаемости инвестиционных проектов, связанных с внедрением информационных технологий, не должен превышать трех лет, поэтому период оценки эффективности данного проекта внедрения равен трем годам. Обозначим показатели оценки.

Как подсчитать потери

В таблице 4 присутствуют столбцы «Частота» и «Потери». С частотой инцидентов все более-менее понятно. Потери по каждой из угроз складываются из среднего времени простоя сотрудников, работающих с данным сервисом. Так, например, в случае отказа каналов связи с Интернетом не смогут работать сотрудники отделов HR и PR. Но они не полностью будут простаивать, часть работы по подготовке документов можно делать оффлайн. Определим коэффициент простоя как 0,5.

Таким образом, потери можно посчитать следующим образом: необходимо взять стоимость часа работы сотрудника, помножить на время простоя и на коэффициент простоя (0,5).

Разумеется, приведенный подсчет потерь несколько упрощен. Например, в него не включены простои электронной почты, IP-телефонии и прочих сервисов, использующих каналы связи с Интернетом.

Таблица 5. Инвестиции в систему корпоративной защиты

Но вернемся к нашему примеру расчетов ROSI. Подсчитаем стоимость лицензий.

Затраты на внедрение системы защиты информации рассчитываются по следующей формуле:

Выгоды от оптимизации текущего показателя TCO вычисляются по формуле:

Чистые приведенные стоимости затрат на проект и доходов от проекта внедрения рассчитываются по формулам:

В первом случае роль денежного потока играют затраты на внедрение, а во втором – это выгоды от оптимизации показателя TCO и внедрения корпоративной системы защиты. Ставка дисконтирования равна ставке рефинансирования Центрального Банка РФ. Внутренняя норма рентабельности рассчитывается при NPV, равном нулю. Для большей наглядности расчет ROSI приведем в графическом виде (см. рис. 1), и точка безубыточности равна 1,6 года.

Рисунок 1. Расчет точки безубыточности проекта внедрения системы информационной безопасности

Таким образом, проект внедрения можно считать экономически выгодным, так как чистая приведенная стоимость доходов от проекта внедрения положительна и больше чистой приведенной стоимости затрат на проект внедрения в 2,9 раза.

Таблица 6. Подсчет характеристик внедрения системы защиты за первые три года

Конечно, описанную в статье методику нельзя назвать простой для понимания, однако именно таким способом подсчитывается эффективность инвестиций в системы безопасности. Более подробно ознакомиться с предлагаемой методикой можно в книгах, приведенных в источниках.