Измерение эффективности ИБ
TRANSCRIPT
1/469 © 2008 Cisco Systems, Inc. All rights reserved. Security Training
Как посчитать эффективность ИБ? Версия 1.7
Алексей Лукацкий
Бизнес-консультант по безопасности
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 2/469
Что говорит и думает руководство?
Он спрашивает: «Каков уровень риска?»
Он думает: «Чем нам это грозит?»
Он спрашивает: «Соответствуем ли мы требованиям?»
Он думает: «Не накажут ли нас?»
Он спрашивает: «Почему так дорого?»
Он думает: «А может лучше кофе или туалетной бумаги купить?»
Знания CISO/CIO не совпадают с восприятием CxO
Любой вопрос подразумевает измерение ИБ!
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 3/469
“Если вы можете измерить то, о чем говорите, и выразить это в цифрах, вы что-то знаете об этом предмете. Но если вы не можете выразить это количественно, ваши знания крайне ограничены и неудовлетворительны.”
Лорд Кельвин (Уильям Томсон), британский физик
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 4/469
О чем пойдет речь
Зачем измерять безопасность?
Метрики ИБ
Программа управления оценкой эффективности ИБ
Методы измерения ИБ
Средства автоматизации измерения
Стандарты измерения эффективности
Прямая и косвенная отдача от ИБ
Примеры оценки эффективности отдельных проектов по ИБ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 5/469
Безопасность на уровне бизнеса
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 6/469
Опрос ISACA
Опрос «Critical Elements of Information Security Program Success», ISACA
Опрос 157 руководителей в 8 странах
Канада, Франция, Германия, Израиль, Италия, Япония, США, Венесуэла
Отрасли
Финансы, транспорт, ритейл, государство, промышленность, здравоохранение, консалтинг, коммунальные услуги
35 критических факторов успеха
Культура, люди, бюджет и финансы, организация, технологии, законы и стандарты, метрики, повышение осведомленности и обучение
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 7/469
Ключевые факторы успеха Приоритетные
Поддержка ИБ-инициатив топ-менеджментом
Понимание руководством вопросов ИБ
Планирование ИБ до внедрения новых технологий/проектов
Интеграция между бизнесом и ИБ
Связь ИБ с целями организации/бизнеса
Владение и подотчетность процессов внедрения, мониторинга и репортинга ИБ топ-менеджменту и линейным руководителям
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 8/469
Ключевые факторы успеха Дополнительные
Обучение и повышение осведомленности сотрудников по вопросам ИБ
Внедрение политик и стандартов ИБ
Расположение ИБ в иерархии организации
Бюджетирование стратегии ИБ и тактических планов
Коммуникации о важности ИБ со стороны топ-менеджмента
Возможность финансовой оценки ИБ
Применение лучших практик и метрик
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 9/469
Метрики Что и как измерять
5 5
Процесс взаимодействия Двусторонняя связь
2 2
Общий язык Бизнес первичен
1 1
Выход на руководство Сила и влияние
4 4 3 3 Система убеждения Маркетинг и PR
5 критериев успеха
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 10/469
Security Governance
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 11/469
“Концепция "governance" не нова. Она также стара, как и человеческая цивилизация. Просто "governance" означает: процесс принятия решения и процесс, при котором решения внедряются (или не внедряются).”
Комиссия по социальным и экономическим вопросам
ООН
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 12/469
Governance (в бизнесе) – действие по разработке и последовательному управлению связанных в единое целое политиками, процессами и правильными решениями в данной области ответственности
. . . связь между бизнесом и управлением ИТ
. . . стратегические ИТ-решения, за которые отвечает корпоративный менеджмент, а не CIO или другие ИТ-менеджеры
. . . ИТ Governance – это подмножество Corporate Governance, фокусирующееся на информационных системах
…подтверждение того, что ИТ-проекты легко управляются и глубоко влияют на достижение бизнес-целей организации
Другие определения Governance
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 13/469
ИТ Governance подразумевает систему, в которой все ключевые роли, включая совет директоров и внутренних клиентов, а также связанные области, такие как, например, финансы, делают необходимый вклад в процесс принятия ИТ-решений
…взаимосвязь между ИТ, инициативами соответствия (compliance), управлением рисками и корпоративной бизнес-стратегией
Другие определения Governance
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 14/469
IT governance поддерживает следующие дисциплины:
Управление ИТ-активами
Управление ИТ-портфолио
Архитектура предприятия
Управление проектами
Управление программами
Управление ИТ-сервисами
Оптимизация бизнес-технологий
Связь с другими ИТ-дисциплинами
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 15/469
Источник: The Information Paradox
IS
Governance
of IS
Business
Governance
of IS
Enterprise
Governance
of IS
Непрерывный процесс…
Ключевые вопросы Security Governance
Are we
doing
the right
things?
Are we
doing
the right
things?
Are we
doing them
the right
way?
Are we
doing them
the right
way?
Are we
getting
them done
well?
Are we
getting
them done
well?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
doing
the right
things?
Are we
doing
the right
things?
Are we
doing
the right
things?
Мы делаем правильные
вещи?
Are we
doing them
the right
way?
Are we
doing them
the right
way?
Are we
doing them
the right
way?
Мы делаем это
правильно?
Are we
getting
them done
well?
Are we
getting
them done
well?
Are we
getting
them done
well?
Мы преуспели
в достижении?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Мы получаем преиму- щества?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 16/469
Are we
doing
the right things?
Are we
doing
the right things?
Are we
doing them
the right
way?
Are we
doing them
the right
way?
Are we
getting
them done
well?
Are we
getting
them done
well?
Are we
getting
the benefits?
Are we
getting
the benefits?
Are we
getting
the benefits?
Are we
doing
the right things?
Are we
doing
the right things?
Are we
doing
the right things?
Мы делаем правильные
вещи?
Are we
doing them
the right
way?
Are we
doing them
the right
way?
Are we
doing them
the right
way?
Мы делаем это
правильно?
Are we
getting
them done
well?
Are we
getting
them done
well?
Are we
getting
them done
well?
Мы преуспели
в достижении?
Are we
getting
the benefits?
Are we
getting
the benefits?
Are we
getting
the benefits?
Are we
getting
the benefits?
Are we
getting
the benefits?
Мы получаем преиму- щества?
Стратегический вопрос. Инвестиции:
В соответствие с нашим видением?
Соответствуют нашим бизнес-принципам?
Содействуют нашим стратегическим целям?
Обеспечивают оптимальное значение, затраты
и уровень рисков?
Вопрос ценности. Мы имеем:
• Очевидное понимание ожидаемых
преимуществ?
• Релевантные метрики?
• Эффективные преимущества реализации
процесса?
Архитектурный вопрос. Инвестиции:
В соответствие с нашей архитектурой?
Соответствуют нашим архитектурным
принципам?
Содействуют созданию архитектуры?
В соответствие с другими инциативами?
Вопрос реализации. Мы имеем: Эффективный процесс управления изменениями и реализации? Компетентные и доступные технические и бизнес-ресурсы для реализации:
Требуемых возможностей; и Организационных изменений, требуемых для
достижения возможностей.
Источник: Fujitsu Consulting
4 вопроса в деталях
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 17/469
COBIT
Governance & управление портфолие технологических проектов, сервисов, систем & поддерживающей инфраструктуры
Val IT
Governance & управление портфолио программой изменения бизнеса
Are we doing the right things?
Are we doing them the right
way?
Are we doing them well?
Are we getting the benefits?
Are we doing the right things?
Are we doing them the right
way?
Are we doing them well?
Are we getting the benefits?
Мы делаем правильные
вещи?
Мы делаем их
правильно?
Мы преуспели в
достижении?
Мы получили преиму-
щества?
Are we doing the right things?
Are we doing them the right
way?
Are we doing them well?
Are we getting the benefits?
Are we doing the right things?
Are we doing them the right
way?
Are we doing them well?
Are we getting the benefits?
PO
AI
ME
DS
PM VG
IM
“..достучаться до CXO
и других старших менеджеров с
посланием, как ценность ИТ для
бизнеса может быть прозрачным и
увеличивать…”
как решение задачи
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 18/469
Руководство, процесс и структура гарантирующие, что ИТ на предприятии разрешают и поддерживают стратегию и цели предприятия, а также определяющие:
1. какие ключевые решения должны быть приняты;
2. кто отвечает за их принятие; 3. как они должны быть приняты; и 4. процессы и and поддерживающие их
структуры для принятия решений, включающие мониторинг строгого соблюдения процессов и эффективности принятия решений
Stra
tegic
Alignm
ent
Value Delivery
Ris
k M
anagem
ent
Resource Management
Perfo
rmance
Measu
rem
ent
IT IT GovernanceGovernance
DomainsDomains
Stra
tegic
Alignm
ent
Value Delivery
Ris
k M
anagem
ent
Resource Management
Perfo
rmance
Measu
rem
ent
IT IT GovernanceGovernance
Stra
tegic
Alignm
ent
Value Delivery
Ris
k M
anagem
ent
Resource Management
Perfo
rmance
Measu
rem
ent
IT IT GovernanceGovernance
DomainsDomains
Stra
tegic
Alignm
ent
Value Delivery
Ris
k M
anagem
ent
Resource Management
Perfo
rmance
Measu
rem
ent
IT IT GovernanceGovernance
Источник : ITGI
ИТ Governance согласно Val IT
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 19/469
Топ-менеджмент
Управление бизнесом
Операции ИТ
ИТ (функциональное
управление)
Ауд
ито
ры
Связь с другими ИТ-стандартами
Val IT
COBIT
ITIL
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 20/469
Способность показать, как ИБ связана с бизнес-стратегией
Способность показать, как ИБ несет ценность бизнесу
Способность показать, как ИБ управляет рисками
Способность показать, как ИБ управляет ресурсами
Способность показать, как ИБ управляет достижением целей
Резюме: ИБ Governance
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 21/469
Структура ИБ Governance
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 22/469
Модель зрелости измерений ИБ
5. Управлять всем
4. Как связать с бизнесом?
3. Как можно измерять?
2. Что можно измерять?
1. А разве можно измерять?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 23/469
Измерение ИБ это многогранная задача
1. Уровень опасности или сколько мы потеряем?
2. Сколько денег на ИБ достаточно?
3. Мы достигли цели?
4. Насколько оптимально мы движемся к цели?
5. Сколько стоит информация?
6. Насколько мы соответствуем стандартам или требованиям?
7. Какая из мер защиты выгоднее/лучше?
8. Как мы соотносимся с другими?
9. …
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 24/469
Проблема измерений ИБ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 25/469
Почему мы отказываемся измерять?
Это нематериально, а значит неизмеримо
Отсутствуют методы измерения
«Проценты, статистика… С помощью них можно доказать все, что угодно»
«Чтобы оценить этот показатель, нужно потратить миллионы рублей. А менее масштабный проект дает большую погрешность»
Важные для предприятия проекты пропускаются в пользу слабых только потому, что во втором случае методы оценки ожидаемого эффекта всем известны,
а в первом нет
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 26/469
Проблемы измерений
Принятие решений часто требует количественной оценки предполагаемых нематериальных активов или вопросов
Многие считают такую оценку невозможной, а нематериальное неподдающимся измерению
Именно это часто является причиной отказа от многих проектов (предубеждение пессимизма)
Раз это невозможно, то мало кто пытается это сделать
Но
Если какой-либо объект/явление можно наблюдать тем или иным образом существует метод его измерения
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 27/469
Развенчание мифа
Если что-то лучше
Есть признаки улучшения
Улучшение можно наблюдать
Наблюдаемое улучшение можно посчитать
То, что можно посчитать, можно измерить
То, что можно измерить, можно оценить
…и продемонстрировать!
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 28/469
Все связано с измерениями
Результат работы любой системы, программы или процесса должен измеряться
Сравнение или анализ тенденций невозможны без измерения
Внедрение системы качества немыслимо без измерений
Как можно повышать качество, не зная о его текущем уровне
Управление ИБ немыслимо без измерений
Как можно управлять ИБ, не зная о текущем уровне угроз и стоимости защищаемых ресурсов?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 29/469
Безопасность и деньги
Занимаясь повседневной деятельностью мы нечасто думаем о деньгах в контексте ИБ
И только тогда, когда возникает необходимость попросить у руководства деньги на новый проект, продукт или услугу
Выигрывает не тот, кто сильнее, а тот кто лучше приспособлен
Множество проектов и инициатив при нехватке финансовых средств
Особенно в условиях кризиса
Деньги получает тот, кто может сможет лучше обосновать запрашиваемые ресурсы
Сколько надо? Почему столько? Какова отдача?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 30/469
Об измерениях надо думать когда
Есть описанные процессы ИБ
Для бизнес-процессов существуют измеримые цели или требования измерения эффективности
Имеется методика оценки качественного или количественного измерения текущего состояния и сравнения его с целью
Вы достигли определенного уровня зрелости
Вы хотите сертифицироваться по ISO 27001 или ISM3
Вы хотите контролировать процессы ИБ и держать все в руках
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 31/469
Начнем с определений или что такое измерение?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 32/469
Что такое измерение?
Измерение – это определенность, точная величина?
Количественное выражение чего-либо?
Расчет точной стоимости чего-либо?
Сведение к одному числу?
Измерение – это совокупность снижающих неопределенность наблюдений, результат которых выражается некоей величиной!
Измерение – это не только полное, но и частичное сокращение неопределенности
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 33/469
“Как это не парадоксально, но всякая точная наука основывается на приблизительности. Если кто-то говорит вам, что точно знает что-то, можете смело делать вывод: вы разговариваете с человеком, не имеющим понятия о точности.”
Бертран Рассел, британский математик и философ
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 34/469
Точное значение или интервал?
Научные методы описывают результаты в определенном интервале значений
Проект по обеспечению бесперебойной работы сайта позволил повысить лояльность клиентов на 7-12%
Интервал значений позволяет не делать допущений, в которых мы не уверены
Риск = 5% или риск в интервале от 2% до 9%
Интервалы можно складывать, вычитать, умножать, как и точные значения (метод Монте-Карло)
Т.к. измерение снижает неопределенность, то мы должны понимать, что результат измерений должен сопровождаться оценкой погрешности
Вероятность прохождения аттестации ФСТЭК составляет 85%
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 35/469
2 + 2 не всегда равно 4
Измерение – это не всегда количественная оценка в традиционном понимании этого слова
Произойдет ли сбой?
Получим ли мы сертификат соответствия?
Число сигнатур атак в IDS#1 больше чем в IDS#2 (не важно насколько)
Продукт #1 имеет 4 балла в тестах, а продукт #2 – 2 балла (2 балла не обязательно вдвое меньше, чем 4 балла; а 2 системы, имеющие по 2 балла, не обязательно будут также эффективны, как одна система с 4-мя баллами)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 36/469
Качество или количество?
1954 г. - Paul Meehl – «Clinical Versus Statistical Prediction: A Theoretical Analysis and Review of the Evidence», 1954
Работа обновлена в 1996
Количественная оценка работает лучше экспертной (качественной)
В 136-ти случаев из 144-х
Качественная оценка необъективна по своей сути
При качественной оценке сложно предъявить доказательства
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 37/469
Вернемся к определениям или что такое информационная безопасность?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 38/469
“Правильно поставленная проблема уже наполовину решена.”
Чарльз Кеттеринг, американский изобретатель
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 39/469
О понятии ИБ
ИБ – это не универсальное, не стандартное понятие
Оно персонифицировано в каждой конкретной ситуации, для каждой конкретной организации, для каждого конкретного CISO
В одной и той же компании, разные CISO могут по-разному заниматься ИБ
В одной и той же компании при одном и том же CISO, но разных CEO, ИБ может двигаться в разных направлениях
ИБ – это понятие, зависящее от множества факторов/элементов
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 40/469
Термин «безопасность»
Безопасность – отсутствие опасности
В.Даль
Безопасность – состояние, при котором не угрожает опасность
С.Ожегов
Безопасность – состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз
ФЗ «О безопасности»
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 41/469
Термин «безопасность»
Безопасность информации - деятельность, направленная на предотвращение или существенное затруднение несанкционированного доступа к информации (или воздействия на информацию)
ФСТЭК
ИБ – технологическая задача, обеспечивающая целостность, конфиденциальность и доступность
А как же борьбы со спамом? Или шантаж DDoS?
Безопасность - состояние защищенности объекта от внешних и внутренних угроз
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 42/469
Термин «безопасность»
Безопасность – системное свойство, позволяющее развиваться и процветать в условиях конфликтов, неопределенности и рисков на основе самоорганизации и управления
Безопасность – деятельность людей, общества, государства по выявлению, предупреждению, ослаблению, устранению и отражению опасностей и угроз, способных погубить их, лишить ценностей, нанести неприемлемый ущерб, закрыть путь для выживания и развития
Информационная безопасность - динамическое состояние сохранения жизненно важных параметров предприятия в информационной сфере
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 43/469
Как я понимаю ИБ?!
Информационная безопасность - состояние защищенности интересов стейкхолдеров предприятия в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества, государства и бизнеса
Переработанное определение из Доктрины информационной безопасности
Очень емкое и многоуровневое определение
Может без изменения применяться в ЛЮБОЙ организации
Меняться будет только наполнение ее ключевых элементов – стейкхолдеры, информационная сфера, интересы
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 44/469
Стейкхолдеры ИБ
• ИТ
• ИБ
• Юристы
• Служба внутреннего контроля
• HR
• Бизнес-подразделения
• Руководство
• Пользователи
Внутри предприятия
• Акционеры
• Клиенты
• Партнеры
• Аудиторы
Снаружи предприятия
• ФСТЭК
• ФСБ
• Роскомнадзор
• СВР
• МО
• ФАИТ
Регуляторы
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 45/469
Информационная сфера
Информационная сфера - это совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений
В данном определении информационная инфраструктура включает в себя также и технологии обработки информации
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 46/469
Интересы стейкхолдеров
Универсального списка интересов не существует – у каждого предприятия на каждом этапе его развития в различном окружении при различных руководителях интересы различны
ИБ
• Конфиденциальность
• Целостность
• Доступность
Юристы
• Соответствие
• Защита от преследования
• Новые законы
Регуляторы
• Соответствие
Пользователи
• Тайна переписки
• Бесперебойный Интернет
• Комфорт работы
Акционеры
• Рост стоимости акций
• Контроль топ-менеджмента
• Прозрачность
ИТ
• Доступность сервисов
• Интеграция
• Снижение CapEx
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 47/469
Интересы бизнеса
Рост (доли рынка, маржинальности, доходности…)
Экспансия (новые рынки, новые целевые аудитории)
Рост продуктивности сотрудников
Соответствие требованиям
Инновации и новые бизнес-практики
Реинжиниринг бизнес-процессов
Взаимоотношения с клиентами (лояльность)
…
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 48/469
Определите объект измерения!!!
Самое важное – определить объект измерения!
Что для вас информационная безопасность?
Снижение числа вредоносных программ?
Получение аттестата PCI Council?
Снижение числа запросов в Help Desk по поводу забытых паролей?
Снижение числа утечек конфиденциальной информации?
Защита от наездов регуляторов?
Что конкретно ВЫ имеете ввиду?!
Определитесь с объектом измерения и половина работы по измерению будет проведена!
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 49/469
Закончим с определениями или что такое эффективность?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 50/469
“Ничто так не мешает прогрессу знания, как расплывчатость терминологии.”
Томас Рейд, шотландский философ
© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 51/469
Что такое эффективность?
Мало кто может сказать, что такое эффективность – большинство может сослаться на разрозненные наблюдения, которые ассоциируются у них с эффективностью
Число эпидемий стало меньше
Заказчики стали меньше звонить в Help Desk по поводу недоступности сайта
Пользователи стали реже заносить вредоносные программы на флешках
Руководство не жалуется, что не может «достучаться» до корпоративной ИС из командировки
Сервер AD ни разу не «упал» в этом месяце
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 52/469
Что такое эффективность?
Эффективность – это поддающийся количественному определению вклад в достижение конечных целей
Важно в конкретном случае детализировать понятие «эффективность» (объект измерения)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 53/469
Efficiency vs. Effectiveness
Результативность
Оптимальность
Сначала мы обычно оцениваем достижение цели как таковой (результат)
Но интересно ли нам достижение цели любыми средствами?
Термин «эффективность» на английском языке имеет два значения
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 54/469
Измерение на результат и процесс
Измерения, нацеленные на результат
Наиболее привычные для служб ИБ
Чаще всего выдаются системами защиты
Измерения, нацеленные на процесс
Сложнее оцениваются
Требуют взаимодействия с людьми
• Процент заблокированного спама
• Процент прошедшего спама через антиспам и о котором сообщили сотрудники, прошедшие тренинг повышения осведомленности
Антиспам
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 55/469
Что же такое измерение эффективности ИБ?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 56/469
Квинтэссенция измерений эффективности ИБ
Источник: NIST SP800-55
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 57/469
Напомним заинтересованных лиц (стейкхолдеров)
• ИТ
• ИБ
• Юристы
• Служба внутреннего контроля
• HR
• Бизнес-подразделения
• Руководство
• Пользователи
Внутри предприятия
• Акционеры
• Клиенты
• Партнеры
• Аудиторы
Снаружи предприятия
• ФСТЭК
• ФСБ
• Роскомнадзор
• СВР
• МО
• ФАИТ
Регуляторы
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 58/469
Стейкхолдеры в медицине
Отчет: The Financial Impact of Breached Protected Health Information: A Business Case for Enhanced PHI Security
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 59/469
Куда стремится ИБ или немного о целях?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 60/469
Цели ИБ
Прежде чем оценивать эффективность, необходимо понять, определить и зафиксировать цели, эффективность достижения которых мы измеряем!!!
Получение аттестата ФСТЭК на все АС/ИСПДн
Сертификация ключевых процессов на соответствие ISO 27001
Достижение 4 уровня по СТО БР ИББС
Сокращение числа инцидентов ИБ до 3 в месяц
Внедрение защищенного мобильного доступа для руководства
Внедрение защищенного удаленного доступа для географической экспансии
Повышение устойчивости инфраструктуры к DDoS-атакам с целью повышения лояльности клиентов и снижение их текучки
Снижение затрат на ИБ на 15%
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 61/469
Достижение каких целей измеряем?
Цели топ-менеджмента
Цели топ-менеджмента
Операционные цели
Операционные цели
Финансовые цели
Финансовые цели
Цели ИТ Цели ИТ
Цели ИБ Цели ИБ
Цели ИБ в данной ситуации вторичны, т.к. их никто не понимает кроме службы ИБ
Грустно это признавать, но это так
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 62/469
Но есть ли все-таки связь ИБ и бизнесом?
Согласно исследованию E&Y во время кризиса все компании начинают с сокращения затрат (без эффекта)
7 ключевых областей для оптимизации расходов
Оптимизация ассортимента продукции
Изменение стратегии продаж
Сокращение затрат на персонал
Повышение производительности
Аутсорсинг
Оффшоринг
Оптимизация использования и стоимости привлечения ресурсов
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 63/469
Изменение стратегии продаж
Рост выручки рост числа клиентов географическая экспансия решение по защищенному удаленному доступу и защите от утечек информации
Рост выручки рост числа сделок оснащение мобильными устройствами и подключением к Интернет решение по защищенному удаленному доступу
Рост выручки рост числа клиентов/сделок, ускорение сделок, снижение себестоимости сделок новый канал продаж Интернет решение по защищенному удаленному доступу, защите Интернет-ресурсов
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 64/469
Снижение арендной платы
Снижение арендной платы уменьшение арендуемых площадей перевод сотрудников на дом решение по защищенному удаленному доступу
Экономия на:
Аренда площадей
Питание сотрудников
Оплата проездных (если применимо)
Оплата канцтоваров
Оплата коммунальных расходов, а также
Улучшение психологического климата за счет работы дома
Рост продуктивности
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 65/469
Уменьшение складских запасов
Уменьшение складских запасов удаленный доступ к складской ИС поставщиков решение по защищенному удаленному доступу, защита Интернет-ресурсов, Identity & Entitlement Management
Экономия на:
Уменьшение складских площадей
Оптимизация логистики
Ускорение цикла поставки
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 66/469
Оптимизация финансовых затрат
Оптимизация финансовых затрат переход на лизинг или оплату в рассрочку обращение в компании по ИТ/ИБ-финансированию
Выгоды:
CapEx переходит в OpEx
Ускоренная амортизация (коэффициент – 3)
Снижение налога на прибыль и имущество
Не снижает Net Income, EBITDA
Нет проблем списания оборудования
Отсрочка платежа
Фиксированная ставка в рублях
Положительное влияние на финансовые показатели
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 67/469
Рост продуктивности сотрудников
Рост продуктивности снижение времени, потраченного на дорогу перевод сотрудников на дом решение по защищенному удаленному доступу
Рост продуктивности – от 10% до 40%
Дополнительно:
Увеличение рабочего времени
Экономия на аренде площадей
Экономия на питании сотрудников
Экономия на оплате проездных (если применимо)
Экономия на оплате канцтоваров
Улучшение психологического климата за счет работы дома
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 68/469
Вчера: Люди “шли” на работу Сегодня: Работа “идет” к людям
Аэропорт
WAN/Internet
SiSi
SiSi
Отель
Предприятие
Дорога
Кафе
Главный
офис HQ
Филиал Дом
Многие компании фокусируются на предоставлении сервиса на своей территории (зарплата, билеты, документооборот…)
Сотрудник в среднем тратит только 30–40% времени в офисе
100 сотрудников
500 сотрудников
1000 сотрудников
Зарплата ($25K в год) $2,5 млн. $12,5 млн. $25 млн.
1 час потери продуктивности $1,200 $6,000 $12,000
Потери в год от 1 часа в неделю $62,5K $312,5К $625К
Рост продуктивности
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 69/469
Уменьшение числа командировок
Уменьшение числа командировок внедрение видеоконференцсвязи/унифицированных коммуникаций/TelePresence решение по защищенному удаленному доступу и защите унифицированных коммуникаций
Экономия на:
Командировочных затратах ($300-400 на авиабилет + $100 на гостиницу в сутки)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 70/469
Рост продуктивности сотрудников
Чтение электронной почты отвлечение на незапрошенную корреспонденцию антиспам-решение
Экономия на:
Интернет-трафике
Времени чтения почты
Последствия вирусных эпидемий
Особенности
Экономия на времени чтения почты имеет значение для предприятий с большим числом сотрудников
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 71/469
Сокращение затрат на Интернет
Контроль действий сотрудников в Интернет блокирование загрузок постороннего ПО, музыки, видео и контроль посторонних сайтов решение по контролю URL
Экономия на:
Интернет-трафике
Дополнительно
Рост продуктивности (может быть)
Защита от вирусов и троянцев в загружаемом трафике
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 72/469
Другие примеры
Снижение рисков путешествий (и затрат на них) для сотрудников внедрение унифицрованных коммуникаций и Telepresence защита коммуникаций (технологии VPN, AAA и т.п.)
Снижение издержек на ИТ аутсорсинг защита и разграничение удаленного доступа (технологии VPN, AAA, МСЭ и т.п., а также проработка юридических и организационных моментов, связанных с ИБ)
Снижение издержек на внутренний Helpdesk внедрение системы автоматического управления паролями пользователей (технология AAA)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 73/469
Другие примеры
Поглощения и слияния обеспечение конфиденциальности сделки, оценка приобретаемых активов с точки зрения ИБ ИБ
Выход на IPO соответствие требование SOX или листинга иной биржи обеспечение целостности и прозрачности
Повышение кредитного рейтинга выполнение требований S&P или Moodys ИБ (как некоторые из требований рейтинговых агентств)
Рост доверия со стороны акционеров внедрение системы корпоративного управления внедрение СВК внедрение СУИБ (как неотъемлемая часть СВК согласно требованиям ЦБ и ФСФР)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 74/469
А есть ли другие цели?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 75/469
Бизнес-цели
«Бизнес-цели» - отталкиваемся не от того, ЧТО защищаем, а КУДА стремимся
Бизнес-цель может быть
У всего предприятием
У отдельного подразделения
У отдельного проекта/инициативы
У отдельного «важного» человека («спонсора»)
Бизнес-цели не всегда связаны с финансами
Нельзя искать только финансовую выгоду от решения вопросов безопасности
Необходимо учитывать нефинансовые цели (например, лояльность клиентов) и синергетический эффект
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 76/469
Всегда ли выгода измеряется деньгами
Бизнес инвестирует в проекты, приносящие отдачу
Отдача не обязательно носит денежный характер
Критерии
• Бизнес-ориентированный
• Связанный с приоритетами/целями компании
• Измеримый в метриках, понятных бизнесу
• Приносящий ценность или отдачу (желательно финансовую)
• Оптимальный (цель не любыми средствами)
• Выполненный в срок
• Не нарушающий законодательство
Примеры
• Снижение TCO
• Защита взаимоотношений
• Рост доверия
• Соответствие требованиям
• Ускорение выхода на рынок
• Географическая экспансия
• Снижение бизнес-рисков
• Снижение текучки клиентов/партнеров
• Рост лояльности клиентов/сотрудников
• Оптимизация процессов
• Интероперабельность и интеграция
• Стандартизация
• Рост качества
• Оптимизация затрат (на внедрение, эксплуатацию, поддержку и т.п.)
• Повторное использование
• Масштабируемость
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 77/469
Как определить бизнес-цели?
Каким бизнесом занимается организация?
Какие стратегические продукты, сервисы и инициативы в организации?
Каковы активности и потребности?
В каких странах и индустриях делается бизнес?
Какие тенденции, законы и требования отличаются в разных странах?
Каковы внутренние процессы и политики?
С кем регулярно ведет бизнес организация?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 78/469
Как определить бизнес-цели?
Какова политическая ситуация?
Кто владельцы бизнеса?
Каков уровень зрелости организации?
Какие бизнес-задачи сложно или невозможно реализовать?
Каковы риски?
Каковы стратегические ИТ-инициативы?
Не выдумывайте – поинтересуйтесь у топ-менеджмента!
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 79/469
Примеры бизнес-целей
Рост продуктивности сотрудников
Network Virtual Organization (NVO)
Ускорение вывода продукта на рынок
Доступ поставщиков и партнеров к корпоративной сети
Аутсорсинг бизнес- или ИТ-процессов
Данное бизнес-требование демонстрирует, что безопасность может быть не столько технической задачей, сколько юридической
Географическая экспансия
Конфликт законодательств разных стран для международных компаний или сдвиг PoS / PoD
Поглощения и слияния
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 80/469
Связь измерений и бизнес-цели
Наиболее эффективный путь – декомпозиция бизнес-цели на части и выбор метрик для каждой из них
Бизнес-цель
Подцель 1 Подцель 2 Подцель 3
Действие 1 Действие 2
Измерение 1 Измерение 2
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 81/469
Gartner Business Performance Framework
Метрики, оценивающие бизнес-процессы
Бизнес-процессы состоят из действий, которые нужно измерять
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 82/469
Gartner Business Performance Framework
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 83/469
Gartner Business Performance Framework
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 85/469
Связь ИТ и бизнес-задач
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 86/469
Главный промежуточный итог
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 87/469
Измерение эффективности ИБ
Измерение Измерение
Цели ИБ
Цели ИБ
Что такое ИБ?
Что такое ИБ?
Комбинация 3 ключевых элементов позволяет выбрать
Метод оценки
Метрики для демонстрации
Способ демонстрации целевой аудитории
Частоту оценки
Инструментарий оценки
…
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 88/469
Аудитория для измерений ИБ
ИБ ИБ
ИБ ИБ
ИТ ИТ
Юристы Юристы
HR HR Внутренний
аудит Внутренний
аудит
Топ-менеджмент
Топ-менеджмент
Бизнес-отделы Бизнес-отделы
Помимо 3 ключевых элементов важно понимать и аудиторию, которой будут демонстрироваться результаты измерений
HR не интересует уровень соответствия
CxO не интересует число вирусов
ИБ не интересует выгодность проекта
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 89/469
Что мы хотим измерять в ИБ чаще всего?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 90/469
Что мы будем измерять в ИБ?
Какой уровень опасности нам грозит?
Что мы потеряем?
Оценка нематериальных активов
Оценка информации
Оценка материальных активов
ALE
Какова вероятность ущерба?
Что нам грозит?
Насколько мы уязвимы?
Если вы посещали мой курс по моделированию угроз – он отвечает именно на эти вопросы
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 91/469
Что мы будем измерять в ИБ? (продолжение)
Сколько денег на безопасность надо?
Сколько мы потратим? Почему столько?
Какова отдача? И есть ли она?
Выгоден ли этот проект по ИБ?
Рискованны ли инвестиции в ИБ?
Мы соответствуем требованиям?
Стандартов
SLA
Регуляторов
Какая СЗИ лучше?
Лучше = дешевле, функциональнее, быстрее окупается, быстрее работает…
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 92/469
Что мы будем измерять в ИБ? (окончание)
Как мы соотносимся с другими?
Насколько мы защищены?
На каком уровне находимся?
Стало ли лучше по сравнению с прошлым?
Сколько времени потребуется?
На проникновение / распространение вредоносного ПО?
На внедрение СЗИ?
На возврат в исходное состояние после атаки?
Оптимально ли
Мы движемся к цели?
Тратим деньги?
Настроена система защиты?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 93/469
Программа управления оценкой эффективности информационной безопасности
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 94/469
Программа управления оценкой эффективности
Выбор метрик – это только начало оценки эффективности ИБ
Необходима целая программа управления данным процессом
Регулярный, непрерывный, всеохватывающий процесс
Не пытайтесь съесть слона целиком – нужно поэтапное внедрение
Начните с одного бизнес-приложения (АБС), подразделения (работы с клиентами), бизнес-процесса (Интернет-банкинг), части инфраструктуры (например, Интернет-периметра)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 95/469
Программа измерения: 5 обязательных элементов
• Занимаемся?
• Что получаем?
Стратегия измерений Стратегия измерений
• Кто executive sponsor?
• Члены команды Команда Команда
• Что мы измеряем?
• Почему мы измеряем? Анализ GQM Анализ GQM
• Кто пересматривает?
• Как часто?
План пересмотра
План пересмотра
• Аудитория
• Контент Отчеты Отчеты
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 96/469
GQM Framework
GOAL GOAL
Metric
QuestionQuestionQuestionQuestion
Metric Metric Metric MetricMetric
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 97/469
5 шагов построения программы измерения ИБ
• Вовлеченность
• Подотчетность
Назначить ответственного
Назначить ответственного
• Документировать
• Равняться на других
Выстроить структуру Выстроить структуру
• Политические
• Финансовые
• Людские
Получить ресурсы Получить ресурсы
• Что работает?
• Что нет?
• Почему?
Регулярно пересматривать
Регулярно пересматривать
• Признать неудачи
• Изменить положение вещей
Делать выводы Делать выводы
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 98/469
Модель зрелости программы метрик
5. Управлять всем
4. Как связать с бизнесом?
3. Как можно измерять?
2. Что можно измерять?
1. А разве можно измерять?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 99/469
Описание этапов Этап Особенности
Нулевой этап Реактивный подход к безопасности
Подводит нас к ответу на вопрос: «Разве ИБ можно измерять?»
Попытка избегать любых измерений ИБ
Нет времени на новые проекты, не то, что на их измерение
Первый этап Подводит нас к ответу на вопрос: «Что можно измерять?»
Можно решить измерить что-то, но что конкретно? И хотя каждая компания отлична от других в своей ИБ есть ряд направлений, которые применимы ко всем – BCP, управление конфигурациями ОС, железа и приложений, IAM, эффективность реагирования на инциденты, уровень осведомленности персонала.
Второй этап Подводит нас к ответу на вопрос: «Как можно измерять?»
Понимание необходимости измерения метрик
Базовые метрики (технические аспекты ИБ) – непрерывность бизнеса, identity management, реагирование на инциденты, осведомленность персонала
Непонимание методов измерений, частоты измерений, места и способа хранения метрик, адресата для метрик и формата представления результатов (графики, таблицы и т.п.)
Третий этап Подводит нас к ответу на вопрос: «Как связать измерения ИБ с бизнесом?»
Метрики собраны, измерены и увязаны с бизнес-процессами
Можно сравнивать метрики по разным направлениям бизнеса, процессам и подразделениям
Четвертый этап Подводит нас к ответу на вопрос: «Как интегрировать систему измерений ИБ в общую систему измерения эффективности бизнеса?»
Метрики регулярно доносятся до всех руководителей
CxO и LOB-менеджеры понимают необходимость участия в вопросах безопасности
Интеграция с общекорпоративной стратегией управления рисками
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 100/469
«Женская» модель зрелости
Executive Women’s Forum on Information Security, Risk Management, and Privacy
Уровень 1 Уровень 1
• Реактивный подход к ИБ
• А ИБ можно измерять?
Уровень 2 Уровень 2
• Базовые метрики
• Поиск подходов к измерению
Уровень 3 Уровень 3
• Повторяемый процесс измерения хорошо понятных метрик
• Первая привязка к бизнесу
Уровень 4 Уровень 4
• Включение процесса измерения ИБ в общий процесс управления рисками для ИТ и бизнеса
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 101/469
Примеры работы «женской» модели Э
тап 1
Э
тап 1
Служба ИБ задумалась о процессе повышения осведомленности
Служба ИБ задумалась о процессе повышения осведомленности Э
тап 2
Э
тап 2
Служба ИБ вручную готовит отчеты о прошедших тесты для проверки знаний
Служба ИБ вручную готовит отчеты о прошедших тесты для проверки знаний
Эта
п 3
Э
тап 3
Служба ИБ запускает сайт с тестами и автоматической генерацией отчетов
Служба ИБ запускает сайт с тестами и автоматической генерацией отчетов Э
тап 4
Э
тап 4
Служба ИБ включает процесс повышения осведомленности в общую стратегию управления персоналом
Служба ИБ включает процесс повышения осведомленности в общую стратегию управления персоналом
Рост числа внутренних инцидентов породил задачу повышения осведомленности и выстраивания процесса оценки этого проекта/задачи
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 102/469
Модель зрелости NIST
Источник: Guide for Developing Performance Metrics for
Information Security, NIST SP 800-80
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 103/469
Хорошая программа оценки эффективности ИБ
Адекватные бизнес-задачам метрики и методы измерения
Ориентация на разные целевые аудитории
Ориентированный на результат анализ результатов измерений
Поддержка на уровне топ-менеджмента
Без этого внедрение программы обречено не то чтобы на неудачу, скорее на невысокую эффективность
Желательным условием запуска программы является наличие в организации культуры измерений
Качества, KPI, BSC, Six Sigma и т.д.
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 104/469
Типичные ошибки
Выбор сотен метрик вместо концентрации на стратегических
Измерение того, что проще измерить, вместо концентрации на целях измерения
Отсутствие бизнес-фокусировки
Фокус на операционных результат-ориентированных метриках вместо оценки эффективности процесса
Отсутствие контекста
Снижение цены ИБ при росте инцидентов
Отсутствие сотрудничества с другими и доверия к себе
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 106/469
Что является результатом (мерилом) измерения или метрики информационной безопасности
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 107/469
Что такое «метрика безопасности»?
Метрика безопасности – способ применения количественного, статистического и/или математического анализа для измерения «безопасных» стоимости, преимуществ, удач, неудач, тенденций и нагрузок
Отслеживание статуса каждой функции безопасности
Метрики – это не столько цифры, сколько факт достижения поставленных целей, выраженный количественно
KPI, KRI, PI = метрика
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 108/469
GQM: Связь метрик и целей
Цели
Какова наша стратегия ИБ?
Каких конкретных результатов мы хотим достичь?
Вопросы
Как мы узнаем, что мы достигли поставленных целей?
Как мы определяем успешность достижения?
Метрики
Где мы можем найти ответы на наши вопросы?
Какие данные мы должны собрать и проанализировать?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 109/469
KPI, KRI, PI и CSF
KPI – Key Performance Indicator
KRI – Key Result Indicator
Не путать с Key Risk Indicator
PI – Performance Indicator
CSF – Critical Success Factors
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 110/469
Монетарные и нефинансовые метрики информационной безопасности
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 111/469
Функции и процессы любой компании
Основная деятельность (выпуск продукта,
предоставление услуг)
Улучшение основной деятельности
(оптимизация издержек)
Совершенствование предыдущей категории
(управление качеством)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 112/469
Могут ли быть нефинансовые измерения?
ИБ не относится к первой категории функций предприятия
Финансовые метрики сложно применять в этом случае, т.к. ИБ напрямую не генерит бизнес
ИБ чаще всего относится ко второй категории функций
Возможность использования финансовых метрик зависят от оцениваемого процесса
Некоторые проекты ИБ могут помочь оптимизировать издержки
Управление ИБ – это всегда третья категория функций
Финансовых метрик может вообще не быть
Исключение может составлять экономия на персонале за счет более эффективного управления
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 113/469
Могут ли быть нефинансовые измерения?
Классические финансовые метрики определяют балансовую стоимость предприятия, его доходы и расходы
Рыночная стоимость, капитализация определяются в т.ч. и нефинансовыми показателями
Уровень корпоративного управления
Наличие бренда
Прозрачность
Эффективность управления
И т.д.
Не зря появляется такое понятие, как система сбалансированных показателей (Balanced scorecard, BSC)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 114/469
Security balanced scorecard
Заказчик Финансы
Внутренние процессы
Обучение и рост
Базовая BSC
Заказчик
Ценность для бизнеса
Операционная эффективность
Будущее
Compliance
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 115/469
Классификация метрик информационной безопасности
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 116/469
О метриках
Существуют различные классификации метрик ИБ
Например, метрики
оценивающие эффективность реализации политики безопасности
оценивающие эффективность процесса обеспечения безопасности (насколько оправданы затраты)
оценивающие влияние безопасности на бизнес
Например, каждая система может создавать 2 типа метрик
Показывающие достижение целей в системе
Являющиеся входным параметром для систем более высокого уровня
Использование метрик зависит от уровня зрелости процессов ИБ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 117/469
Таксономия метрик ИБ
Метрики
По финансам
Монетарные
Немонетарные
По представлению
Обычные
Двоичные
Процентные
По осязаемости
Осязаемые
Неосязаемые
По отношению к цели
Прямые
Косвенные
По применимости
Прямые
Являющие входом для
других систем
По объекту оценки
Результат
Процесс
По стратегичности
Стратегические
Тактические
Оперативные
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 118/469
Иерархия метрик в масштабе службы ИБ
Система управления (Security Governance)
Система управления (Security Management)
Технические средства (Security System)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 119/469
Иерархия метрик в масштабе предприятия
Корпоративные измерения (финансы, индексы, рейтинги)
Сравнение с другими компаниями
Измерение достижения департаментами своих целей
и их оптимальности
Измерение отдельных элементов (продуктов,
процессов, услуг)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 120/469
Метрики безопасности
Метрики эффективности реализации
Пример (один источник данных): число неудачных попыток аутентификации
Пример (несколько источников данных): число инцидентов безопасности по причине некорректной настройки подсистемы контроля доступа
Метрики эффективности процесса ИБ
Пример: число специалистов, требуемых для реагирования на инциденты
Метрики оценки влияния на бизнес
Пример: стоимость обработки звонка в Help Desk по поводу смены пароля или время простоя бизнес-пользователя в результате вирусной эпидемии
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 121/469
Стратегические/тактические метрики
Стратегическая метрика – показатель правильности выбранного пути
Отклонение от него не требует немедленной реакции
Стандартный срок действия метрики – 3 года
Требуется понимание образа мыслей топ-менеджеров
Никаких деталей – только высокоуровневые индикаторы
Отраслевых стратегических метрик в ИБ нет
В отличие от других отраслей
Исключая число выданных сертификатов и лицензий
Такую идею закинули в СовБез при написании «Культуры ИБ»
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 122/469
Стратегические отраслевые метрики
Здравоохранение
Коэффициент трудовой занятости, общее число госпитализированных и выписанных, показатель рождаемости и смертности и т.п.
Промышленность
Число аварий на производстве, число дефектов на устройство, среднее отклонение от допуска и т.д.
Ритейл
Объем продаж на квадратный метр, продажи на одного покупателя, число покупок на одного покупателю и т.д.
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 123/469
Проект Index of Cyber Security
Оценка уровня восприятия риска кибербезопасности в мире
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 124/469
Как выбирать метрики ИБ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 125/469
Выбор метрик
Не используйте метрики, создающие «видимость» улучшения, без самого улучшения для бизнеса
Например, число обнаруженных вирусов или устраненных уязвимостей
Если измерение не дает ничего с точки зрения бизнеса, то это плохое измерение
Измерение ради научных целей интересны, но не нужны в деле
Метрика должна быть релевантной, измеримой в адекватных терминах и, желательно, ассоциированной со стоимостью
Время/стоимость простоя пользователя в месяц
Не идеальна, но соответствует требованиям
Можно также учесть время, в который происходит простой, роль пользователя, который простаивает и т.д.
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 126/469
Выбор метрик (окончание)
Точность метрики менее важна, чем ее качественная связь с бизнесом и его целями
Метрики должны быть применимы ко всему предприятию
Если мы хотим донести до топ-менеджмента всю важность ИБ
Локальные метрики допустимы на уровне отдела или для собственных задач
Измерения должны быть повторимыми
Не бывает универсальных метрик
У каждого предприятия свои особенности и свои метрики
Не используйте сложных в вычислении метрик
Это снижает доверие к результатам и увеличивает время
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 127/469
От простого к сложному: метод выбора метрик KISS
KISS – Keep It Simple, Stupid!
Не усложняй, тупица!
Метрика не должна быть неизмеримой
У вас не будет надежды
Метрика должна быть вызовом
Иначе не будет мотивации
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 128/469
Принципы выбора метрик
SMART – Specific, Measurable, Achievable, Relevant, Timely
Как можно конкретнее, без двойных толкований, для правильной целевой аудитории
Результат должен быть измеримым, а не эфемерным
Зачем выбирать цель, которая недостижима?
Соответствие стратегическим целям, а не «вообще»
Своевременность и актуальность
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 129/469
Принципы выбора метрик
Характеристика Пример хорошей метрики Пример плохой метрики
Конкретная Число неудачных попыток
входа в систему в неделю
на одного сотрудника
Число неудачных попыток
входа в систему
Измеримая Уровень лояльности
внутренних клиентов
Доход от внедрения
системы защиты
Достижимая Число инцидентов в
текущем квартале < 5
Отсутствие инцидентов ИБ
за текущий квартал
Релевантная Число проектов по ИБ,
завершенных в срок
Число запущенных
проектов по ИБ
Актуальная Число пропатченных ПК в
этом году
Число пропатченных ПК в
прошлом году
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 130/469
От простого к сложному: метод выбора метрик SMART-PURE-CLEAR
PURE – Positively Stated, Understood, Realistic, Ethical
Выберите позитивную метрики
Метрика должна быть понятна целевой аудитории
Метрика должны быть реалистична
Не забывайте про этику
CLEAR – Challenging, Legal, Environmentally Sound, Agreed, Recorded
Метрика содержит вызов?!
Легальна ли ваша метрика?
Не нарушает экологию?
Согласована?
Записана? Запротоколирована?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 131/469
Выбор метрик (окончание)
Нельзя допускать появления кросс-метрик, одинаково подходящих для оценки двух разных целей
Особенно противоположных целей
Метрика А
Цель 1
Цель 2
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 132/469
Как выбирают метрики?
1. Метрики обычно выбираются исходя из корпоративных целей (в 65% случаев)
2. Анализ существующих отчетов, из которых вычленяются чаще всего используемые для оценки деятельности показатели
3. Индивидуальные интервью
4. Карты бизнес-процессов
5. Специальные сессии определения KPI
6. Групповые интервью
7. Стратегические карты
8. Опросы (в 23% случаев)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 133/469
Пример: какой антивирус лучше
Исходные данные
Symantec Antivirus обнаруживает 100K+ штаммов вирусов
Антивирус AntiDIR обнаруживает только один вирус DIR
Задача – определить какой антивирус лучше?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 134/469
Пример: значимость метрик
Измерение числа спам-сообщений в общем объеме почты
Как это важно для предприятия и для бизнеса?
Что изменится, если спама будет 70%, а не 50%
Обнаружение шпионского ПО
Обнаружение 50% всех spyware, встречающихся в диком виде
Обнаружение 95% spyware, которые могут встретиться в компании (даже если это будет 10% от всех spyware)
Число вирусов, а следовательно и атак, бесконечно. Поэтому бессмысленно опираться на конечное число обнаруженных вирусов и уязвимостей
Что такое тысяча или даже миллион по сравнению с бесконечностью
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 135/469
Пример: дорога на Луну
Задача: Я хочу добраться до луны
Решение: насыпать холм до луны
Каждый день холм растет на 10 м
Каждый день я становлюсь на 10 м ближе к цели
Для достижения цели потребуется 38440000 дней
Можно наблюдать процесс достижения цели!!!
Но… цель недостижима, т.к. Земля движется вокруг своей оси, солнца, галактики… и расстояние/направление от холма до Луны постоянно изменяется
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 136/469
Выбор метрик
Будьте осторожны в выборе метрик
Сотрудники будут оптимизировать свою деятельность, чтобы метрики говорили в их пользу
Это допустимо, если от этого выиграет бизнес
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 137/469
Пример: число звонков в Service Desk
Задача: оценить время реагирования на звонок об инциденте
Поощрение за снижение времени реагирования
Сотрудники могут класть трубку сразу после звонка!
Поощрение за число разрешенных инцидентов
Сотрудники будут самостоятельно пытаться закрыть инцидент, не эскалируя его правильному специалисту
Увеличение длительности звонков и ожидания клиентов на линии
Меньше доступных специалистов – ниже удовлетворенность
Комбинируйте метрики
Время реагирования на звонок + длительность звонка
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 138/469
Пример: контроль доступа в Интернет
Задача: оценить эффективность системы контроля доступа
Видимая оценка
• 1,5 часа в день на «одноклассниках»
• 200 сотрудников
• 6600 часов экономии – 825 чел/дней
• $18750 в месяц (при зарплате $500)
• $225000 в год экономии
Скрытая оценка
• Блокирование доступа не значит, что сотрудники будут работать
• Работа «от» и «до» и не больше
• Ухудшение псих.климата
• Потери $150000 в год
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 139/469
Считать можно все!
Единица измерения
Метрика Частота
измерения
секунда Удачная аутентификация квартал
секунда Неудачная аутентификация квартал
долларов на звонок
Стоимость обработки звонка в Help Desk
о смене пароля квартал
минут в день Время регистрации
в системе квартал
долларов за событие
Добавление/удаление учетной записи
квартал
инцидент Инцидент, произошедший
из-за некорректной настройки системы контроля доступа
квартал
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 140/469
Считать можно все!
Единица измерения
Метрика Частота
измерения
долларов на сотрудника
Стоимость системы защиты в расчете на одного сотрудника
(собственного или по контракту) 6 месяцев
процент Число узлов КИС, на которых были
протестированы механизмы защиты ежегодно
час Время между обнаружением
уязвимости и ее устранением квартал
процент
Число прикладных систем, для которых реализовано требование
разделения полномочий между операциями А и Б
6 месяцев
процент Число лэптопов с внедренной
подсистемой шифрования важных и конфиденциальных документов
квартал
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 141/469
Считать можно все!
Единица измерения
Метрика Частота
измерения
процент Число систем, для которых план реагирования на инциденты был
протестирован квартал
процент Число задокументированных
изменений ПО 6 месяцев
процент Число систем с установленными
последними патчами месяц
процент Число систем с автоматическим
антивирусным обновлением 6 месяцев
процент Число сотрудников, прошедших через тренинги по повышению
осведомленности ежегодно
процент Число систем с разрешенными
уязвимыми протоколами 6 месяцев
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 142/469
Что обычно считают?
Какие данные собирает ваша организация? %
Обнаруженных вирусов в файлах 92,30%
Обнаруженных вирусов в почте 92,30%
Неудачный пароль при входе в систему 84,60%
Попытка проникновения/атаки 84,60%
Обнаруженный/отраженный спам 76,90%
Доступ к вредоносным сайтам 69,20%
Неудачное имя при входе в систему 69,20%
Обнаруженных вирусов на сайтах 61,50%
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 143/469
Что обычно считают?
Какие данные собирает ваша организация? %
Внутренняя попытка НСД 61,50%
Нарушение со стороны администратора 61,50%
Удачное проникновение 53,80%
Раскрытие информации 38,50%
Пропущенный спам 38,50%
Ложное обнаружение спама 30,80%
Другое 23,10%
Источник: http://www.csoonline.com/analyst/report2412.html
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 144/469
Что измеряют для не ИТ/ИБ-менеджеров?
Источник: Frost & Sullivan
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 145/469
Почему выбирают неудачные метрики?
Все понимают необходимость выбора метрик в соответствии с, как минимум, принципом SMART
Но выбирают по-прежнему слишком технократичные метрики
Так проще и привычнее!
Если не рассматривать варианты
Непонимания принципов выбора метрик
Нежелания выхода на уровень бизнеса
Отсутствия доступа к исходным данным, ориентированным на бизнес
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 146/469
Сколько метрик ИБ достаточно?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 147/469
Количество метрик
Надо понимать разницу между KPI и PI
Обычно для измеряемого процесса / приложения / подразделения не должно быть больше 7-ми ключевых метрик
Низкоуровневых метрик может быть больше, но их число не должно быть самоцелью
На уровень топ-менеджмента также не должно выноситься более 7-ми метрик
Verizon использует всего одну метрику для топ-менеджмента - индекс риска актива
Опирается на данные анализа защищенности, транслированные в бизнес-язык
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 148/469
Как объединить все в одну метрику?
Задача: повысить индекс до максимальных 500
Градация уровней Пример расчета
1 2 3 4 5 Значение
Уровень Вес Рейтинг
Число уязвимостей на ПК (в среднем) 100 75 50 25 0 34 4 25 100
Число инцидентов ИБ >5 5 3-4 1-2 0 2 4 25 100
Число непропатченных ПК
100% 75% 50% 25% 0% 65% 3 25 75
Объем спама <80% 80% 90% 95% >95% 24% 1 25 25
Совокупный рейтинг 300
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 149/469
Одно и тоже можно измерить по-разному (проект по IdM)
Число сброшенных паролей в месяц
Сброшенных после блокирования учетной записи, например. Или после забытого пароля и использования системы генерации паролей самими пользователями.
Среднее число учетных записей на пользователя
Средним показателем считается 10-12. В любом случае это число демонстрирует необходимость внедрения SSO.
Число учетных записей «без пользователей»
Пользователей переводя на новую работу, повышают, увольняют... А что с их учетными записями?..
Число новых учетных записей
Насколько оно отличается от числа новых сотрудников за тот же период времени?
Среднее время на предоставление доступа новой учетной записи к ресурсам, необходимым для работы
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 150/469
Одно и тоже можно измерить по-разному (проект по IdM)
Среднее время на утверждение изменений в учетной записи и ее правах доступа
Число систем или привилегированных учетных записей без владельца
Число исключений при установлении правил доступа
Обычно при создании новых ролей или внедрении новых приложений число таких исключений велико, но постепенно оно должно стремиться к нулю. Если нет, то есть серьезная проблема с качеством идентификационных параметров учетной записи.
Число нарушений разделения полномочий
Например, есть ли у вас в системе пользователи одновременно с правами разработчика и внедренца системы? Или с правами операциониста и контроллера?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 151/469
Не пытайтесь измерять все – сконцентрируйтесь!
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 152/469
Пример псевдо бизнес-ориентированных метрик ИБ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 153/469
Транзакция
Транзакция – это ключевое понятие на современном предприятии
Обычно оно выпадает из поля деятельность служб ИБ, т.к. транзакция является обычным и легитимным событием
Это не только финансовое понятие
Сетевые потоки (flow)
Сессии
Сообщения
Операции приложений (немного выпадает из традиционного восприятия транзакций, но относится к ним же. Правда, и измеряется сложнее)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 154/469
«Бизнес»-метрики ИБ
Метрика Формула Комментарий
Transaction
Cost
Совокупная цена
средств ИБ / число
транзакций
Снижение данного показателя
может войти в конфликт с
минимально необходимым
уровнем защиты
Controls per
transaction
(CPT)
Число технических
защитных мер / число
транзакций
Интересна в совокупности с
другими метриками.
Например, при одинаковом
количестве инцидентов для
разных приложений больший
CPT говорит о переборе
защитных мер. Транзакции
можно поменять на
подразделения или филиалы
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 155/469
«Бизнес»-метрики ИБ (продолжение)
Метрика Формула Комментарий
Security to IT
Cost Ratio
(STC)
Цена ИБ / цена ИТ Показывает соотношение
затрат на ИБ от ИТ бюджета.
При оценке в совокупности с
метриками по инцидентам
позволит оценить
оптимальный уровень затрат
на ИБ от ИТ-бюджета. Если
STC снижается, а инциденты
растут, то защита
неэффективна. Cost можно
заменить на Value - STV (если
можно оценить не просто
стоимость, сколько ценность)
Transaction
Value
Total Security Value /
Total Transaction
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 156/469
«Бизнес»-метрики ИБ (продолжение)
Метрика Формула Комментарий
Cost per
Control
(CPC)
Цена технических мер
защиты / число
контролируемых
средством защиты
элементов (число
соединений для МСЭ,
число сканируемых
узлов для сканера…)
Снижение CPC может
привести к росту CPT
Loss to Value
Ratio (LTV)
Совокупные потери /
ценность ИБ
Чем меньше, тем лучше.
Однако при падении LTV и
росте STV/STC это уже не
очень хорошо
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 157/469
«Бизнес»-метрики ИБ (продолжение)
Метрика Формула Комментарий
Control
Effectiveness
Ratio (CER)
(100% хорошие
/пропущенные/
события + 100%
плохие
/блокированные/
события) / общее
число событий
Выше CER – эффективнее система
защиты. Однако надо понимать, что данная
метрика должна рассматриваться в
контексте предприятия, а не оторвано от
него. Просто измерять CER можно для
сравнения различных продуктов, но сама
по себе данная метрика не говорит,
снижает ли риски данная защитная мера.
Иными словами, данная метрика
оценивает, насколько защитная мера
делает то, что должна делать, а не то, как
она это делает в конкретной ситуации.
Если CER высок, а число инцидентов не
уменьшается или растет, то выбрана
неадекватная защитная мера (которая
сама по себе может быть очень
эффективной)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 158/469
«Бизнес»-метрики ИБ (продолжение)
Метрика Формула Комментарий
Incident per
Million (IPM)
Число инцидентов /
число транзакций *
миллион – частота
инцидентов
Важно определить, что такое
инцидент. Вместо миллиона
можно взять более реальный для
бизнеса порядок транзакций.
Инцидент может произойти по
причине неэффективной
защитной меры, пропустившей
инцидент, или по причине
отсутствия защитной меры. Чем
ниже, тем лучше. Необходимо
учитывать, что в ряде случаев
этот показатель может быть
достаточно высоким, т.к. в ряде
случаев экономически невыгодно
защищать транзакции
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 159/469
«Бизнес»-метрики ИБ (окончание)
Метрика Формула Комментарий
Incident
Prevention
Rate (IPR)
1 – (число
инцидентов / (100%
предотвращенные
инциденты + число
инцидентов))
CER – важная метрика, но
гораздо важнее число
пропущенных инцидентов. Чем
выше, тем лучше
Risk Aversion
Ratio (RAR)
Хорошие
отброшенные / число
инцидентов
Показывает насколько
организация готова бороться с
реальными инцидентами. RAR –
уровень терпимости организации
к риску. Он ни плох, ни хорош
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 160/469
Пример: оценка системы защиты e-mail Технические метрики
% обнаруженного спама от общего числа писем
% писем с вредоносными программами или фишингом от общего числа писем
% необнаруженного спама/вредоносных программ/фишинга
% ложного обнаружения спама/вредоносных программ/фишинга
Число предотвращенных утечек информации
Число вирусов/спама/утечек в исходящей почте
Число зашифрованных сообщений
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 161/469
Пример: оценка системы защиты e-mail Псевдотехнические метрики
Цена/длительность лечения зараженной почты
Число/стоимость/длительность звонков в службу поддержки по поводу недошедших писем
% пользователей, прошедших тренинг по использованию и защите электронной почты
% пользователей, сообщивших о пропущенном спаме/вредоносной программе/фишинге
Рейтинг успешности повышения осведомленности в области использования и защиты электронной почты
% внутренних нарушителей, отправивших спам/вредоносную программу/конфиденциальную информацию
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 162/469
Пример: оценка системы защиты e-mail Псевдобизнес метрики
Наличие политики использования и защиты электронной почты
Потери от вирусов/спама/утечек/фишинга
Сэкономленное время сотрудников
Затраты на Интернет-трафик для удаленных офисов/мобильных работников
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 163/469
Оценка системы защиты e-mail
Исходные данные Значение Метрика Значение
Ценность (value) 1.000.000 Transaction Value 0,0025
Цена решения 250.000 Transaction Cost 0,000625
Цена средств защиты 20.000
Потери на инцидент 300 Cost per Control 0,000023529
Число транзакций 400.000.000
Control per Transaction 2.13
Проверенных IP 300.000.000
Антиспам 400.000.000 Security to Value Ratio 2%
Антивирус 150.000.000 Loss to Value Ratio 15%
Хороших писем разрешено 80.000.000 Control Effectiveness Ratio 95%
Плохих писем запрещено 300.000.000 Incident per Million 1,25
Хороших писем запрещено 200.000 Incident Prevention Rate 99,9998%
Плохих писем разрешено 500 Risk Aversion Ratio 400
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 164/469
Пример: повышение осведомленности
Цель – ежегодное прохождение сотрудниками тренинга по ИБ и включение в должностные обязанности темы ИБ
Метрики
Сколько пользователей знают, что в компании существует политика безопасности? А сколько ее читало? А сколько ее понимает (измеряется с помощью обычных опросов)?
Сколько инцидентов ИБ связано с человеческим фактором?
Сколько сотрудников сообщают в службу ИБ об инцидентах ИБ (при их организации со стороны самой службы ИБ - аудит, тесты на проникновение, спланированный социальный инжиниринг и т.п.)?
Сколько пользователей поддалось на попытки спланированной службой ИБ социального инжиниринга?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 165/469
Пример: повышение осведомленности
Метрики
Сколько пользователей имеют слабые пароли (определяется путем применения систем подбора паролей)?
Сколько систем не выполняют требования политики безопасности (позволяет идентифицировать администраторов, которые не выполняют возложенные на них обязанности)?
Сколько пользователей открывают письмо от незнакомца?
Сколько пользователей знают, куда обращаться в случае инцидента? Сколько пользователей знают процедуру своих действий при реагировании на инциденты? Эти же метрики могут помочь оценить и процесс управления инцидентами (среди других метрик).
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 166/469
Пример: повышение осведомленности
Метрики
Сколько прошло времени с последнего тренинга/онлайн-курса, который посетил сотрудник Эта метрика скорее оценивает саму службу ИБ, ответственную за регулярные процедуры повышения осведомленности.
Сколько сотрудников было уволено или получило выговоры за нарушение политики безопасности?
В российских компаниях этот показатель равен, как правило, нулю. Но это не значит, что все идеально. Скорее, ситуация обратная - никаких наказаний за нарушения политики ИБ просто не предусмотрено или все плюют на них, а влияния на их применение у службы ИБ не хватает. Сюда же можно отнести и число внешних исков со стороны пострадавших клиентов. Но в России это пока тоже из области фантастики.
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 167/469
Пример: утечки информации
Цена на инцидент
стоимость расследования инцидента
стоимость восстановления после инцидента
стоимость PR/общения с прессой
затраты на юридические издерюки (опционально)
затраты на нарушение соответствия (опционально)
стоимость досудебного урегулирования (опционально)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 168/469
Пример: утечки информации (окончание)
Цена на запись
стоимость уведомления (создание списка пострадавших, печать, почтовые услуги)
стоимость реагирования пострадавших, например, звонки в Help Desk (опционально)
стоимость защитных мер у заказчиков, например, регулярные уведомления, системы борьбы с мошенничеством, средства ИБ (опционально)
Дополнительные метрики
Отток клиентов (в течении 1, 3, 6, 12, n месяцев)
Удар по курсовой стоимости акций (в течении 1, 3, 6, 12, n месяцев)
Удар по доходам (в течении 1, 3, 6, 12, n дней или недель - в месяцах измерять нет смысла - рынок все забывает)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 169/469
Тестирование метрик ИБ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 170/469
Тестирование метрик
Важные вопросы перед внедрением метрик в «боевую эксплуатацию»
Уверены ли мы в том, что выбранные метрики нам подходят?
Не приведет ли внедрение выбранных метрик к неожиданным последствиям?
Легко ли собирать исходные данные для выбранных метрик?
Необходимо обязательно протестировать все метрики перед их использованием
На это может уйти несколько месяцев
Это позволит быть уверенным в качестве выбранных показателей
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 171/469
Особенности измерения
Мы должны иметь возможность убедиться в аккуратности измерения
Перед началом измерений необходимо осуществить калибровку
В противном случае аккуратность и эффективность измерений будет под вопросом
Еще раз: Не бывает плохих или хороших метрик, бывают полезные и неполезные!
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 172/469
Пересмотр метрик ИБ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 173/469
Пересмотр метрик
С течением времени цели могут меняться или достигаться
Это нормальное течение событий
Рекомендуется пересмотр метрик каждые 6 месяцев
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 174/469
База метрик информационной безопасности
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 175/469
Шаблон для метрик безопасности
Поля шаблона Идентификатор метрики
Цель ИБ
Метрика
Тип метрики
Частота измерения
Желаемая цель (к какому значению стремимся)
Формула (метод расчета)
Источник информации
Сотрудник, ответственный за получение метрик
Целевая аудитория
Составляющая BSC
Инициативы, связанные с метрикой
Мера по защите (система, механизм, процесс, сервис)
Связь с другими мерами защиты
Рекомендуемый способ отображения информации
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 176/469
Кто выбирает метрики информационной безопасности?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 177/469
Кто измеряет безопасность?
Любое измерение больше зависит не от используемого метода и выбранных метрик, а от того, кто измеряет
Результат измерений скорее качественный, чем количественный
Результат и его анализ целиком зависят от оценщика
Существующие средства оценки очень ограничены (сканеры, средства аудита и т.д.) и многие вопросы остаются за пределами их рассмотрения
Люди по-прежнему в цене!
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 178/469
Участники процесса выбора метрик
В выборе метрик должны участвовать все заинтересованные стороны
Идеальный вариант – управляющий комитет по ИБ
Учет интересов разных сторон
Выбор и утверждение релевантных метрик, а также пороговых значений для них
Выработка инициатив по претворению в жизнь различных мероприятий
У метрики должен быть владелец
Лучше конкретный сотрудник, а не подразделение
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 179/469
Формирование команды
ИБ Служба ИБ
Служба ИТ
Служба безопасности
HR
Внутренний контроль
Юридический департамент
Бизнес-подразделения
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 180/469
Программа измерения информационной безопасности и фактор времени
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 181/469
Сколько нужно времени?
Оперативные (1-2 квартала)
Тактические (1-1.5 года)
Стратегические (3-5 лет)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 182/469
На все нужно время
Год 2 Год 3
Повышение осведомленности и строительство базовой ИБ
Интеграция в процессы и контроль
Все и вся
Экспансия
Построение сообщества агентов изменений
Год 1 Год 4 Год 5
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 183/469
Методы измерений
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 184/469
Подходы к измерению
Тип Ограничения
Сверху-вниз Сложно оценивать до деталей
Очень много компонентов
Оценка разрыва
Обнаружение слабых мест не помогает в их приоритезации
На базе стандартов
Многие стандарты не имеют механизмов для измерений и
метрик для оценки их использоания
По сравнению с предыдущим
состоянием
Сравнение с предыдущим состоянием не показывает достижения поставленных
целей
Используется для…
Программы и оценки развития
Поиск пробелов
Общая оценка программы для due diligence, compliance
Оценка статуса программы и улучшений
Демонстрация развития
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 185/469
Подходы к измерению (продолжение)
Тип Ограничения
По сравнению с другими
Не существует универсальных или вендор-независимых
сравнений
Используется для…
Программы сравнения
По отношению к критичности для бизнеса
Трудно выполнимо без глубоких знаний предприятия
Ранжирование внимания
Временная динамика по графу атак
Дорого и тяжело для многосценарных систем
Для малосценарных систем результат ограничен качеством
и точностью модели
Многосценарные ситуации и имитационный анализ
По сравнению со списком
пунктов
Отсутствуют общепринятые списки для ИБ
Произвольная выборка, чтобы быть уверенным, что ничего
не упущено
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 186/469
Подходы к измерению (продолжение)
Тип Ограничения
Метрики программы
Сложно составить список критериев. Они должны применяться в контексте
Используется для…
Общая оценка программы и изменения с течением
времени
Метрики ROI Практически неприменимо
в области ИБ Привязка финансовой
метрики к ИБ
Метрики производителей
Вендоры фокусируются на метриках, показывающих свое
лидерство по отношению к конкурентам, а не на компании
Измерение производительности
продуктов в выбранном сегменте
Метрики оценки рисков
Основаны на математических моделях, не всегда
учитывающих вопросы ИБ
Использование в общей стратегии управления рисками
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 187/469
Подходы к измерению (окончание)
Тип Ограничения
Метрики на основе опросов
Основан на ненадежных данных, от которых сложно
ожидать честности и независимости и которые
сложно проверить
Используется для…
Сравнение выбранных граней программы ИБ
Мониторинг соответствия
Ориентировано больше на демонстрацию соответствия,
чем на качество программы ИБ Отчеты о соответствии
BSC Проекты по BSC слишком
часто заканчиваются неудачей Общая оценка деятельности
службы ИБ
KRI Проекты по KRI для ИТ/ИБ не получили пока широкого
распространения Оценки операционных рисков
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 188/469
Прежде чем опишем методы подробнее или что лучше, качественная или количественная оценка?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 189/469
Качество или количество?
1954 г. - Paul Meehl – «Clinical Versus Statistical Prediction: A Theoretical Analysis and Review of the Evidence», 1954
Работа обновлена в 1996
Количественная оценка работает лучше экспертной (качественной)
В 136-ти случаев из 144-х
Качественная оценка необъективна по своей сути
При качественной оценке сложно предъявить доказательства
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 190/469
Качество/количество: кому доверять?
Отсутствие количественной оценки не позволяет
Оценить адекватность затрат на снижение рисков
Оценить возможность перекладывания рисков
Продемонстрировать снижение рисков
Сравнить текущий уровень с предыдущими значениями
Качественная оценка
Качественная оценка Количественная
оценка Количественная
оценка
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 191/469
Когда нет цифр?
Количественная оценка не всегда возможна из-за
Недостатка информации о системе
Недостатка информации о деятельности, подвергающейся оценке
Отсутствии или недостатке данных об инцидентах
Влияния человеческого фактора
Качественная оценка требует
Четкого разъяснения всех используемых терминов
Обоснования всех классификаций частот и последствий
Понимания всех плюсов и минусов качественной (экспертной) оценки
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 192/469
Не бывает плохих или хороших метрик – бывают полезные и не очень!
Количественные данные могут быть посчитаны
Пример: Число попыток атак на вашу сеть
Полезны для ответа на вопросы: Кто? Что? Когда? Где?
Качественные данные не могут быть посчитаны, но могут наблюдаться и оцениваться
Полезны для ответа на вопросы: Как? Зачем?
Пример: Мотивы, по которым нас атакуют
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 193/469
Экспертная оценка
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 194/469
Метод: экспертная оценка
Достоинства Ограничения
Простота реализации Возможность влияния на экспертное мнение заинтересованными лицами
При оценке случайных событий принцип «здравого смысла» неприменим
Волюнтаризм экспертов
Отсутствие достаточного количества экспертов
Балльные оценки экспертов не позволяют судить о количественных соотношениях между оцениваемыми объектами
Зависимость от квалификации эксперта
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 195/469
На базе журналов регистрации
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 196/469
Метод: на базе журналов регистрации
Анализ на базе журналов регистрации является вторым по распространенности методом измерений, т.к. мы обладаем всеми необходимыми данными для анализа, а средства управления СЗИ дают нам возможность проводить этот анализ и генерить отчеты
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 197/469
Метод: на базе журналов регистрации
Достоинства Ограничения
Простота реализации Необходимость больших хранилищ данных
Являются базой для более серьезных методов
«Технократичность» большинства данных
Неизменность При изменении масштаба системы, в которой собираются данные, они перестают быть репрезентативными
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 198/469
(Дез)информация о вредоносных мобильных программах
2577% Рост вредоносных программ Android
в течение 2012 г.
На долю мобильных приложений приходится менее 0,5% от общего количества вредоносных веб-программ
.5%
Рост числа вредоносных программ опережает рост популярности платформы Android
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 199/469
Эксплойты
Эксплойт 9,86%
Кража информации 3,49%
Загрузчики 1,12% Червь 0,89%
Вирус 0,48%
Мобильный код 0,42%
Поддельное антивирусное ПО 0.16%
Вредоносный сценарии/Iframe-
атаки 83,43%
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 200/469
Спам перестает носить массовый характер…
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec
Perscription Drugs
Luxury Watches
Credit Card
Business Reviews
Professional Network
Electronic Money Transfer
Accounting Software
Social Network
Professional Associations
Airline
Weight Loss
Government Organization
Windows Software
Cellular Company
Online Classifieds
Taxes
Лекарства, отпускаемые по рецепту Часы класса «люкс» Кредитная карта Бизнес-обзоры Профессиональная сеть Электронные денежные переводы Бухгалтерское ПО Социальные сети Профессиональные объединения Авиалинии Почта Потеря веса Государственные организации ПО Windows Компании сотовой связи
Тематические объявления в Интернете
Налоги
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 201/469
… и направлен обычно на конкретную жертву
15 АПРЕЛЬ
Январь–март Спам, связанный с ПО Windows, распространение которого совпадает с выпуском предварительной потребительской версии Microsoft Windows 8
Февраль–апрель Спам, связанный с налоговым ПО, во время периода подачи налоговых деклараций в США и России
Январь–март и сентябрь–декабрь Спам, относящийся к профессиональным сетям, таким как LinkedIn, связанным с желанием изменить карьеру. Распространяется в начале и конце года
© Компания Cisco и (или) ее дочерние компании, 2013 г. Все права защищены. 202
Посещаемые интернет-ресурсы...
36% Поисковые
системы 22% Интерактивное
видео
13% Реклама
20% Социальные
сети
0% 10% 20% 30% 40%
Search Engine
Online Video
Ads
Social Network
Наиболее популярное в Интернете
Социальная сеть
Реклама
Видео в Интернете
Поисковая
система
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 203/469
…являются источником возникновения угроз
Поисковые системы vs пиратское программное обеспечение
В 27 раз большая вероятность доставки вредоносного контента
Интернет-реклама vs порнография
В 182 раза большая вероятность доставки вредоносного контента
Интернет-торговля vs пиратское программное обеспечение
В 21 раз большая вероятность доставки вредоносного контента
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 204/469
Оценка разрыва
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 205/469
Метод: оценка разрыва
Метрика - время простоя пользователя в месяц
Идеальная ситуация – метрика = 0
Разрыв между текущей и идеальной ситуацией
Особенности:
Достижение нуля – это не цель
Наличие разрыва – не всегда плохо
Цель – оптимизация, а не устранение всех проблем
Пример
Цель – снизить объем спама с текущего значения 76%
Стремление к нулю может обойтись очень дорого
Решение – найти оптимум между объемом спама, стоимостью защитных мер, отброшенными легитимными сообщениями и выгодами для предприятия
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 206/469
Метод: оценка разрыва
Достоинства Ограничения
Этот метод прост в реализации Сложно заранее определить, где остановиться и какое значение будет компромиссом
Этот метод показывает ясные и точные результаты
Есть немало областей ИБ, которые не могут быть «закрыты» этим методом
Этот метод может быть использован для отслеживания прогресса в той или иной области
Данный метод не позволяет приоритезировать обнаруженные пробелы
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 207/469
На базе стандартов
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 208/469
Метод: на базе стандартов
Анализ на базе стандартов очень похож на анализ разрыва
Анализ разрыва – это всегда анализ на базе стандарта, т.к. мы сравниваем разрыв между текущей ситуацией и каким-то стандартом (не обязательно в классическом понимании)
Стандарты измеряющие программу ИБ
CMM-SEC, ISO 27002, GASSP, CoBIT, ISM3, СТО БР ИББС-1.0
Представление оценки
Двоичное – соответствует/нет
Относительное – в % от достижения 100%-го соответствия
В данном случае приравнивается к мониторингу соответствия
Варианты реализация – самооценка и аудит
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 209/469
Пример: ISM3 и ISO 27001
Цель: «Число человеко-часов в результате простоя в результате вирусной атаки должно быть менее 10 за год»
Достижение цели измеримо
Возможно изменение метрики для перехода на более высокий уровень зрелости
Прост для понимания
Цель: внедрение мер по предотвращению вредоносного кода
Цель измерима только бинарной логикой (Реализовано / Нет)
Не связана с бизнесом
Непонятна руководству
Отсутствует «движение» (прогресс)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 210/469
Метод: на базе стандартов
Достоинства Ограничения
Оценка соответствия общепризнанным стандартам или обязательным требованиям регуляторов
Отсутствие повторяемости, т.к. каждый эксперт по-своему определяет требования стандартов
Различные варианты представления результатов оценки - двоичная (да/нет), процентная или число на шкале.
Высокая зависимость от квалификации эксперта
Неоднозначные трактовки требований стандартов
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 211/469
Оценка соответствия СТО БР ИББС
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 212/469
По сравнению с предыдущим состоянием
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 213/469
Метод: оценка предыдущего состояния
Если мы что-то когда измеряли, то это хороший старт для последующего измерения, но…
Важна первоначальная цель и метод измерений. Если они не адекватны, то и смысла сравнивать с ними никакого нет
Пример: 500 атак в прошлом году против 400 в этом
Меньше людей атакуют?
Изменилась трактовка понятия «атака»?
Мы стали пропускать атаки?
Улучшилась система защиты?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 214/469
Метод: оценка предыдущего состояния
Пример: 1347 инцидентов в прошлом году против 856 в этом
Снижение числа злоумышленников (что может быть и не связно с деятельностью службы ИБ)
Снижение числа регистрируемых инцидентов или закрывание глаз на часть из них
Изменения трактовки термина «инцидент» вследствие внедрения какого-либо из стандартов управления инцидентами (ITU-T E.409, ISO 18044, RFC 2350 или NIST SP 800-61)
Достоинства Ограничения
Позволяет показать прогресс Сложно применим к динамично изменяющимся системам
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 215/469
Сравнение с другими
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 216/469
Метод: сравнение с другими
Многие хотят сравнить себя с другими компаниями
Однако это непросто
В отличие от годовых отчетов, построенных по единым принципам, сравнивать профили защиты гораздо сложнее
Разные настройки, уровни квалификации людей, системы управления, местоположения, «железо», софт, процессы управления рисками, архитектура ИБ, доступные ресурсы
Даже оценка в соответствие со стандартом ISO 17799, в котором можно выбрать параметры для сравнения, не решит проблему, т.к. даже стандарт все понимают по разному
Security Benchmarking – панацея?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 217/469
Метод: сравнение с другими
Достоинства Ограничения
Позволяет потешить самолюбие или равняться на лучших
Практика ИБ у других может быть не применима к вам
Позволяет сравнивать подразделения внутри одного предприятия
Отсутствует достаточная статистика
Сложно найти абсолютно похожее предприятие для сравнения
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 218/469
Сравнение средств защиты с другими
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 219/469
Стоит ли класть все яйца в одну корзину?
Сложность
Операционные затраты
Число уязвимостей
Обучение специалистов
Поддержка
Эксплуатация и управление
Мониторинг и устранение неисправностей
Конфигурация и обновление
Интеграция
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 220/469
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 221/469
Критичность для бизнеса
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 222/469
Метод: оценка критичности для бизнеса
Критичность для бизнеса – один из распространенных методов ранжирования ресурсов
Реализуется путем опросов бизнес-подразделений
Пример
IDS/IPS якобы могут обнаруживать и приоритезировать атаки против критичных для бизнеса систем, но… делается это против неких IP-адресов (заданных, как критичные) и обнаруживаются атаки по известным шаблонам
Но предприятия разные – требуется очень серьезная кастомизация и настройка
SIEM-решения облегчают решение задачи, но при условии предварительной детальной настройки под предприятие
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 223/469
Анализ воздействия на бизнес
Ключевая задача BIA
Определение ценности каждого процесса в организации для бизнеса
Приоритезация бизнес-процессов
Второстепенные задачи BIA
Определение величины потерь в результате «сбоев» в функционировании процессов
Определение длительности «сбоя» и скорости его распространения
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 224/469
Не все йогурты одинаково полезны
Выделение ключевых бизнес-процессов, которые должны функционировать даже в условиях наступления чрезвычайной ситуации
Web-сайт vs. Интернет-банк
Приоритезация бизнес-процессов зависит от множества параметров
Отрасль, масштаб, уровень информатизации и т.д.
Отдельные компоненты/элементы бизнес-процесса могут быть также иметь разный приоритет с точки зрения критичности
Отгрузка товара vs. Печать отчетов об отгрузке
Не забывать про перекрестное использование общих элементов разных бизнес-процессов
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 225/469
ВременнАя динамика или граф атак
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 226/469
Метод: временная динамика
Моделирование угроз для разных нарушителей, действующих против выбранных целей
По графу атак
Методы защиты, увеличивающие время злоумышленника, являются лучшими, чем те, которые разрешают более быстрые атаки
Однако важно не просто замедлять атаку, но управлять ею
Метрики
Вероятность успешной атаки, время атаки, ожидаемые потери
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 227/469
Дерево атак (attack tree)
Дерево атак – метод, учитывающий комбинированный эффект использования уязвимостей злоумышленниками и их зависимость друг с другом
Позволяет оценить наиболее предпочтительный для злоумышленников вариант атаки на выбранную цель
`
AttackerMachine 0
Firewall Router
sshd
Database
ServerMachine 2
FTP
ServerMachine 1
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 228/469
Определение уязвимостей
Идентификация уязвимостей системы
С помощью средств анализа защищенности
Экспертный метод
Пути движения злоумышленника
sshd_bof(0,1) → ftp_rhosts(1,2) → rsh(1,2) → local_bof(2)
ftp_rhosts(0,1) → rsh(0,1) → ftp_rhosts(1,2) → rsh(1,2) → local_bof(2)
ftp_rhosts(0,2) → rsh(0,2) → local_bof(2)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 229/469
Определение времени
Экспертная оценка времени перехода от одной к другой уязвимости
Учитывается
Публичность информации об уязвимости
Публичность эксплойта
Сложность реализации
И т.д.
Вместо времени может учитываться стоимость перехода из одного узла в другой или вероятность использования уязвимостей
8.0
8.0
9.01.0
9.0 9.0
1.0
8.0
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 230/469
Метод: временная динамика
Основная проблема – огромное число ветвлений
Перебор всех возможных атак и вариантов защиты
Применяется, как правило, для выбора наиболее эффективного подхода в защите
Для оценки текущей защиты
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 231/469
Skybox Risk Exposure Analyzer
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 232/469
Как это было сделано в Cisco
Интернет
Демилитаризованная зона (DMZ) Основной сайт
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 233/469
Изучение путей атак на DMZ
Злоумышленники могут захватить эти интернет-серверы
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 234/469
Возможно действие лишь некоторых основных атак
Изучение путей проникновения внутрь
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 235/469
Веерное развитие атаки внутри
Злоумышленник может проникнуть в случае, если он найдет брешь, которую вы еще не устранили
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 236/469
Пример результата работы RedSeal
Пример результата
Злоумышленники извне могут захватить красные узлы
Затем идет атака желтых узлов
Однако зеленые узлы не подверглись воздействию никаких атак
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 237/469
Визуализация оценки эффективности
Проанализировано три PoP из девяти
Они чисты — небольшая площадь соприкосновения
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 238/469
CVSS или как оценить свою уязвимость
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 239/469
Метод: CVSS
Common Vulnerability Scoring System
Разработана как вендор-независимая система оценки уязвимостей
Поддерживается широким спектром производителей и NIAC
Три группы метрик для CVSS
Базовые метрики
ВременнЫе метрики
Метрики окружения
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 240/469
Метрики CVSS
Базовые метрики
Акцент удара (обычный, конфиденциальность, целостность, доступность)
Сложность доступа (высокая, низкая)
Аутентификация (требуется, не требуется)
Вектор доступа (локальная, удаленная)
Влияние на конфиденциальность (нет, частичное, полное)
Влияние на доступность (нет, частичное, полное)
Влияние на целостность (нет, частичное, полное)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 241/469
Метрики CVSS
ВременнЫе метрики
Реализуемость (не подтверждена, PoC, высокая)
Сложность устранения (официальный патч, временный патч, план устранения, недоступно)
Подтвержденность (неподтверждена, подтверждена)
Метрики окружения
Ущерб (нет, низкий, средний, высокий)
Уничтожение цели (нет, низкий, средний, высокий)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 242/469
Особенности CVSS
Формула, использующая эти метрики, позволяет вычислить срочность устранения и опасность
Основная цель измерения – оценка технических уязвимостей в программном и аппаратном обеспечении
Ограничения – CVSS применяется преимущественно аудиторами и разработчиками сканеров безопасности
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 243/469
Checklist’ы
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 244/469
Checklist’ы – хорошо или плохо?
Checklist’ы могут быть полезным источником информации о best practices
Но начинать надо с “Internal Control—Integrated Framework” от COSO или с аналогичного подхода по управлению рисками
Best Practices и checklist’ы могут использоваться, но после проведенных мероприятий по управлению рисками и оценке текущего состояния безопасности
И после кастомизации
Checklist’ы могут помочь один раз, но они не заменяют безопасность
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 246/469
Измерения, предлагаемые вендорами
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 247/469
Метод: метрики вендоров
Многие вендоры часто предлагают свои метрики и методы измерений для облегчения продаж своих продуктов
Метрики для потребителя или для вендора?
Метрики вендоров, как правило, хороши для продаж, но не для оценки состояния защиты
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 248/469
Пример: Cisco NCM
Cisco Network Compliance Manager – это система автоматизации аудита и проверки соответствия требованиям политик ИТ и ИБ, а также различных нормативных требований
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 249/469
Cisco Network Compliance Manager (NCM)
Лучшее в своем роде решение по управлению изменениями
Обнаружение изменений на сети в реальном режиме времени
Предварительная проверка изменений перед их внедрением на сети
Контроль за выполнением корпоративных правил и политик
Аудит и анализ соответствия политиками компании
Внедрение политик и правил на сети
Автоматическая генерация отчетов по соответствию международным рекомендациям (SOX, VISA CISP, HIPAA, GLBA, ITIL, CobiT, COSO)
Согласование изменений Настройка правил согласования
Возможность настройки сложных правил
Отчетность
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 250/469
Cisco NCM: решаемые задачи
• Управление политиками безопасности
• Контроль изменений на сетевом оборудовании с точки зрения ИБ
• Аудит безопасности средств защиты и сетевого оборудования
• Проверка соответствия требованиям ИБ-стандартов
ИБ
• Управление изменениями на сетевом оборудовании
• Распределение конфигов для удаленного оборудования
• Контроль версий ОС на сетевом оборудовании
• Проверка соответствия требованиям ИТ-стандартов (ITIL, COBIT и т.п.)
ИТ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 251/469
Cisco NCM: решаемые задачи (продолжение)
• Автоматизация управления политиками безопасности
• Снижение затрат на разработку, распределение и контроль политик безопасности
• Контроль действий аутсорсера ИБ/ИТ
Управление предприятием
• Снижение затрат на управление средствами защиты и сетевым оборудованием
• Снижение TCO, CapEx и OpEx
Финансы / Бухгалтерия
• Снижение операционных рисков
Внутренний контроль или управление
рисками
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 252/469
Cisco NCM: решаемые задачи (окончание)
• Выполнение требований стандарта Банка России СТО БР ИББС (для финансовых организаций)
• Выполнение требований PCI DSS
• Контроль соответствия требованиям различных нормативных актов (COBIT, ITIL и т.п.)
Юридическая служба
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 253/469
Как оценить Network Compliance Manager
Число авторизованных изменений в неделю
Число актуальных изменений, сделанных за неделю
Число несанкционированных изменений, сделанных в обход утвержденного процесса внесений изменений (в среднем - 30-50%; у лидеров - менее 1% от общего числа изменений).
Показатель (коэффициент) неудачных изменений, вычисляемый как отношение несанкционированных изменений к актуальным
Число срочных изменений
Процент времени, затрачиваемого на незапланированную работу (в среднем - 35-45%; у лидеров - менее 5% от общего числа изменений)
Число необъяснимых изменений (вообще, это основной индикатор уровня проблем в данной сфере)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 254/469
Аудит руками или автоматизировано? Экономическая оценка при выборе альтернатив
Ручной аудит
• MTTR из-за ошибки конфигурации: 150 минут
• Простои & инциденты из-за ошибок в «ручных» конфигурациях: 80%
• Среднее время обнаружения уязвимости: 2 недель
• Настройка нового устройства: 6 часов
• Изменений в час: 20
Автоматизированный аудит
• MTTR из-за ошибки конфигурации: 15 минут (10х)
• Простои & инциденты из-за ошибок в «ручных» конфигурациях: 20%
• Среднее время обнаружения уязвимости: Менее 2 минут (10080х)
• Настройка нового устройства: 20 минут (18х)
• Изменений в час: 5,000
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 255/469
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 256/469
Мониторинг соответствия
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 257/469
Метод: мониторинг соответствия
Многие компании проверяют (измеряют) свое соответствие каким-либо стандартам
CoBIT, ISO 17799, COSO, СТР-К, Стандарт ЦБ и т.д.
Обычно это происходит по чеклистам
Данный метод показывает не уровень программы ИБ и не достижение поставленных целей, а только соответствие определенным стандартам
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 258/469
Оценка соответствия СТО БР ИББС
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 259/469
Комбинируйте
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 260/469
Пример комбинации
Международный оператор связи (ISP)
Ежегодные тесты на проникновение (пентесты)
Сложности
Новые уязвимости находятся каждый год
Служба ИБ во главе с CISO устраняет многие уязвимости, но все равно ежегодно появляются новые
Топ-менеджмент разочарован отсутствием прогресса
CISO необходимо продемонстрировать улучшение ситуации
Топ-менеджмент приравнивает понятие безопасности к числу уязвимостей
CISO необходимо продемонстрировать ценность своих усилий по снижению числа уязвимостей
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 261/469
Комбинация методов измерения
Измерение на базе журналов регистрации
Получили число уязвимостей
По сравнению с предыдущими
Проанализировали динамику
На базе стандартов
Связали с CVSS
Можем связать с OWASP Top10
Экспертная оценка
Выбор соотношения
Можем также привязать к критичности для бизнеса
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 262/469
Нормализация уязвимостей
Шаг 1: Помочь организации увидеть безопасность по новому
Не только считать проблемы, которые еще и не все одинаковы
Шаг 2: Помочь CISO найти новый путь использования данных пентестов
Включать в отчет также серьезность уязвимости
Топ-менеджмент не понимает серьезности различий между уязвимостями
Анализ метрик показал
ISP хочет улучшить ИБ путем устранения уязвимостей
В условиях нехватки средств уязвимости должны быть приоритезированы
Серьезность уязвимости – база для приоритезации
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 263/469
Резюмируя
Число серьезных
уязвимостей снижается
(цель показа)
Число уязвимых IP
остается стабильным
(менеджмент)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 264/469
Оценка рисков
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 265/469
Метод: оценка рисков
Опирается на оценку двух показателей
Вероятность риска
Размер ущерба
Существует 7 способов оценки вероятности риска
Ущерб может быть в различной форме
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 266/469
Методики анализа рисков
AS/NZS 4360
HB 167:200X
EBIOS
ISO 27005 (ISO/IEC IS 13335-2)
MAGERIT
MARION
MEHARI
CRISAM
OCTAVE
ISO 31000
NIST SP 800-3
SOMAP
Lanifex Risk Compass
Austrian IT Security Handbook
A&K Analysis
ISF IRAM (включая SARA, SPRINT)
OSSTMM RAV
BSI 100-3
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 267/469
Методики анализа рисков (продолжение)
Trike
IT-Grundschutz Methodology от BSI (Германия)
AS/NZS 4360:2004 (Австралия)
MAGERIT: Risk Analysis and Management Methodology for Information Systems (Испания)
EBIOS - Expression of Needs and Identification of Security Objectives (Франция)
MEHARI (Франция)
OCTAVE
FRAP
NIST 800-30 (США)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 268/469
Методики анализа рисков (окончание)
MG-2, MG-3 (Канада)
SOMAP
IRAM
РС БР ИББС-2.2
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 269/469
Насколько опасно или как измерить вероятность риска? 7 подходов к оценке
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 270/469
Собственная статистика (первый метод)
Историческая (статистическая) оценка позволяет на основании данных прошлых периодов прогнозировать будущее
Один из эффективных методов
При условии неизменности среды оценки
Необходимо наблюдение и сбор данных в течение нескольких лет
Без наличия адекватных инструментальных средств это непростая задача – сбор, нормализация, хранение и анализ данных
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 271/469
Чужие отчеты и статистика (второй метод)
У нас же есть отчеты CSI/FBI, E&Y, PwC, KPMG, МВД, Infowatch, Perimetrix и т.п.!
Мы не знаем условий, при которых произошел инцидент
Мы не имеем деталей по каждому респонденту
Средняя температура по больнице
Ориентация на отрасль в целом, чем на конкретную компанию
Пример: риски для АСУ ТП
Небольшое число внедрений
Публичной статистики нет (базы BCIT и INL не в счет)
Статистики вендоров нет – «закрытые» технологии
Собственной статистики нет – у ИБ/ИТ не доступа к АСУ ТП
Экспертных оценок в России нет
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 272/469
О доверии к статистике
Proofpoint
• 43% утечек через e-mail
Infowatch
• 5% утечек через e-mail
IDC
• 56% утечек через e-mail
Собираемая статистика очень сильно зависит от используемых методов опроса, аудитории, желания респондентов делиться информацией, масштаба опроса и даже от того, с какой ноги встал интервьюер
Не каждая компания приглашает социологов для осуществления опросов
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 273/469
Публичные отчеты со статистикой угроз
WhiteHat Security – Web Vulnerability Statistics
Positive Technologies – Статистика уязвимостей Web
CSI – CSI Computer Crime & Security Survey
Aberdeen Group – The 2008 Email Security Report
IBM ISS – X-Force 2009 Trend & Risk Report
Symantec – Global Internet Security Threat Report
MessageLabs – 2009 Annual Security Report
Cisco – 2009 Annual Security Report
Verizon – 2009 Data Breach Investigations Report
PwC – 2008 Information Security Breaches Survey
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 274/469
Считаем самостоятельно (третий метод)
Вероятность Вероятность
Уязвимость Уязвимость
Сила защитной
меры
Сила защитной
меры
Возможности нарушителя
Возможности нарушителя
Угроза Угроза
Наличие доступа Наличие доступа
Действие Действие
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 275/469
Как оценить потенциал нападения?
ГОСТ Р ИСО/МЭК 18045 «Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий» определяет в Приложении А (А.8.1) потенциал нападения, зависящий от
Мотивации нарушителя
Компетентности нарушителя
Ресурсов нарушителя
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 276/469
Вычисление потенциала нападения
2 аспекта - идентификация и использование
Время, затрачиваемое на идентификацию уязвимости
Техническая компетентность специалиста
Знание проекта и функционирования атакуемой системы
Доступ к атакуемой системе
Аппаратное обеспечение/ПО или другое оборудование, требуемое для анализа
Эти факторы не всегда независимы друг от друга и могут время от времени заменять друг друга
Компетентность время, доступные ресурсы время
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 277/469
Вычисление потенциала нападения
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 278/469
Вычисление рейтинга уязвимости
Складываются 10 значений из предыдущей таблицы
Таблица – не догма, а руководство к действию
Если значение близко к границе, подумайте об усреднении двух значений
ОО – объект оценки, СФБ – стойкость функции безопасности
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 279/469
Сравнение с другими рисками (четвертый метод)
Сравнение/сопоставление с аналогичным риском
ГОСТ Р 51344-99
Сравнение с риском на аналогичном решении с учетом следующих факторов
Аналогичное оборудование безопасности
Предполагаемое использование и технологии на обоих решениях сравнимы
Опасность и элементы риска сравнимы
Технические условия сравнимы
Условия использования сравнимы
Необходимо учитывать дополнительные факторы
Например, тип защищаемой информации или потенциал нападения
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 280/469
Аналитика (пятый метод)
Прогнозирование с использованием аналитических методов
«Дерево неисправностей» (Fault Tree Analysis) – диаграмма всех возможных последствий инцидента в системе (МЭК 61025)
«Дерево событий» (Event Tree Analysis) - диаграмма всех возможных последствий данного события
Имитационное моделирование отказов/инцидентов
В области ИБ не применяется или применяется крайне редко
В критически важных областях
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 281/469
Бинарная вероятность (шестой метод)
Вероятность принимается равной единице, если угроза может быть осуществлена, и нулю – если нет
При отсутствии защитных мер
Этот подход имеет право на жизнь, но только для небольшого количества систем и сценариев
В обычной жизни это слишком дорого
…или для угроз, которые являются очень распространенными
Данный метод применяется в небольшом количестве различных методик
Ключевые системы информационной инфраструктуры – ФСТЭК
Security Architecture for Enterprise (SAFE) – Cisco
Методика ФСБ по персданным
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 282/469
Когда нет цифр?
Количественная оценка не всегда возможна из-за
Недостатка информации о системе
Недостатка информации о деятельности, подвергающейся оценке
Отсутствии или недостатке данных об инцидентах
Влияния человеческого фактора
Нежелания заниматься измерениями
Качественная оценка требует
Четкого разъяснения всех используемых терминов
Обоснования всех классификаций частот и последствий
Понимания всех плюсов и минусов качественной (экспертной) оценки, а также психологии восприятия риска
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 283/469
Экспертная оценка (седьмой метод)
При отсутствии статистической/исторической информации экспертная оценка является единственным методов определения частоты/вероятности реализации угроз
Эксперты ранжируют вероятность наступления события исходя из своего опыта и знаний анализируемой системы
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 284/469
Достоинства/недостатки метода
Достоинства Ограничения
Простота реализации Возможность влияния на экспертное мнение заинтересованными лицами
При оценке случайных событий принцип «здравого смысла» неприменим
Волюнтаризм экспертов
Отсутствие достаточного количества экспертов
Балльные оценки экспертов не позволяют судить о количественных соотношениях между оцениваемыми объектами
Зависимость от квалификации эксперта
Психология восприятия риска
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 285/469
Психология восприятия риска
Даже при наличии фактов и достаточного объема информации об анализируемой системе у экспертов существует сложность с восприятием риска
Безопасность основана не только на вероятности различных рисков и эффективности различных контрмер (реальность), но и на ощущениях
Ощущения зависят от психологических реакций на риски и контрмеры
Чего вы больше опасаетесь – попасть в авиакатастрофу или автоаварию?
Что вероятнее – пасть жертвой террористов или погибнуть на дороге?
Что опаснее – низкая квалификация персонала или универсальный червь для сетевого оборудования?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 286/469
Метод Дельфи
Основной принцип: если опросить людей, обладающих компетенцией в интересующем нас вопросе, их усредненная оценка обычно будет точна более чем на 80%
Если провести второй раунд, предварительно ознакомив экспертов с результатам первого, то результативность становится еще выше
Модификация метода: брать среднюю оценку после отбрасывания крайних значений
Данный метод рекомендуется применять, если эксперты не могут подкрепить свое мнение серьезными аргументами
Экспертов должно быть не менее трех, а лучше пять
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 287/469
Метод Дельфи: пример
Эксперты Раунд 1 Раунд 2
Эксперт 1 50 55
Эксперт 2 65 60
Эксперт 3 100 80
Эксперт 4 30 50
Эксперт 5 60 60
Итого 61 / 58 61 / 58
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 288/469
Другие методы повышения качества экспертной оценки
Нормированные z-показатели Робина Доуза
Модель линзы Брунсвика
Когнитивные методы Руссо
Модель Раша
Регрессионные модели
Нелинейные модели
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 289/469
Что нам грозит?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 290/469
Процесс моделирования угроз
Определение области применения
Идентификация опасности и предварительная оценка последствий
Оценка величины угрозы
Проверка результатов анализа
Документальное обоснование
Корректировка результатов анализа с учетом последних данных
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 291/469
Пример матрицы рисков/угроз
Источник: ГОСТ Р 51901.1-2002 Классификация риска: • В – высокая величина риска • С – средняя величина риска • М – малая величина риска • Н – незначительная величина риска
Классификация серьезности последствий: • Катастрофическое – практически полная потеря анализируемого объекта • Значительное – крупный ущерб системе • Серьезное – серьезный ущерб системе • Незначительное – незначительное повреждение системы
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 292/469
Имеет ли информация стоимость?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 293/469
Информация имеет стоимость
Для вас
Снижение неопределенности при принятии решений, имеющих экономические последствия
Влияние на поведение людей, приводящее к экономическим последствиям
Собственная стоимость (нематериальный актив)
Для других
Информация не имеет ценности для вас, но если ею воспользуются другие, вы понесете убытки или другие обойдут вас
Информация не имеет ценности для вас, но ее защита требуется государством / регулятором
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 294/469
Почему мы защищаем информационные активы и ресурсы?
Она имеет ценность Она имеет ценность
Имеет ценность для вас Имеет ценность для вас
Снижает неопределенность при принятии решений
Снижает неопределенность при принятии решений
Влияет на поведение людей, приводящее к экономическим
последствиям
Влияет на поведение людей, приводящее к экономическим
последствиям
Нематериальный актив (собственная стоимость) Нематериальный актив
(собственная стоимость)
Не имеет ценности для вас, но имеет для кого-то еще
Не имеет ценности для вас, но имеет для кого-то еще
Если ей воспользуются другие, то вы понесете
убытки или проиграете в конкурентной борьбе
Если ей воспользуются другие, то вы понесете
убытки или проиграете в конкурентной борьбе
Ее защита требуется государством / регулятором
Ее защита требуется государством / регулятором
Она не имеет ценности, но ее принято защищать
Она не имеет ценности, но ее принято защищать
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 295/469
Как оценивать стоимость информацию для вас?
Информация стоит денег сама по себе
Самый простой метод
Множество стандартов оценки нематериальных активов
Информация позволяет улучшить что-то
Стоимость информации равна разнице между стоимостью «до» и «после»
Информация позволяет принимать решения
Самый сложный сценарий оценки стоимости
Методы AIE, iValue и другие
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 296/469
Информация как нематериальный актив
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 297/469
Ценность активов
Активы бывают материальные и нематериальные
Материальные активы оцениваются обычно на основе стоимости их замены или восстановления
Аналогичным образом часто оценивается и программное обеспечение
Ценность информации и иных нематериальных активов определяется либо экспертным способом (метод Дельфи) или с помощью специальных методик
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 298/469
Малоизвестные безопасникам методы
МСФО 38 «Нематериальные активы»
GAAP – для США
EVS 2000 – для Евросоюза
Стандарты оценки РФ
Утверждены ПП-519 от 6.07.2001
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 299/469
Нематериальные активы
Патенты, изобретения, технологии…
Авторские права
Деловая репутация
Фирменные знаки и наименования
Документированные консультации
Торговые марки
ПО, обособленное по «железа»
Права на эксплуатацию
Лицензии
И т.д.
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 300/469
Виды стоимости НМА
Вид стоимости Определение
Стоимость обмена Вероятная цена продажи, когда условия
обмена известны обеим сторонам и сделка
считается взаимовыгодной
Обоснованная рыночная
стоимость
Наиболее вероятная цена, по которой
объект оценки переходит из рук одного
продавца в руки другого на открытом рынке
и добровольно
Стоимость
использования
Стоимость объекта оценки в представлении
конкретного пользователя и с учетом его
ограничений
Ликвидационная
стоимость
Стоимость объекта оценки при вынужденной
продаже, банкротстве
Стоимость замещения Наименьшая стоимость эквивалентного
объекта оценки
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 301/469
Методы оценки НМА
Рыночный
• Метод сравнения продаж аналогичных объектов оценки
Затратный
• Метод стоимости замещения
• Метод восстановительной стоимости
• Метод исходных затрат
Доходный
• Метод расчета роялти
• Метод исключения ставки роялти
• Метод DCF
• Метод прямой капитализации
• Экспресс-оценка
• Метод избыточной прибыли
• Метод по правилу 25%
• Экспертные методы
У каждого метода есть своя область применения, свои достоинства и недостатки
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 302/469
Информация как средство улучшения чего-то
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 303/469
Не цена, но ценность
Ценность стакана воды в городских условиях равна нулю
Вода есть везде
Стакан воды в пустыне бесценнен
Воды практически нет
Цена стакана воды одинакова в обоих условиях
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 304/469
Зависимая ценность
Если ценность зависимого актива ниже или равна ценности анализируемого актива, то итоговая ценность остается прежней
Если ценность зависимых активов выше, то ценность анализируемого актива необходимо повысить с учетом
Уровня соответствующей зависимости
Уровня ценности других активов
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 305/469
Определение ценности
Приобретение (информация что-то дает)
Ускорение сделок, снижение времени вывода продукта на рынок, рост продуктивности, рост числа клиентов и т.д.
Потери (без информации мы что-то теряем)
Прямые – потеря доходов, штрафы за нарушение договорных обязательств, штрафы надзорных органов, иски
Косвенные – упущенная выгода, потеря доли рынка, снижение лояльности заказчиков/партнеров, репутация
Ценность потери
Ценность потери Ценность
приобретения Ценность
приобретения
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 306/469
Оценка возможностей
Точная математическая оценка новых возможностей является очень непростой задачей
Как известно из теории управления финансами
Математики Блэк и Шоулс за эту работу в свое время получили Нобелевскую премию
Поэтому оценку возврата инвестиций в ИБ в финансовом исчислении сделать непросто
Очень сложно (особенно без привязки к бизнес-целям) показать вклад ИБ в появление новых возможностей
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 307/469
Если оценить ценность актива нельзя
Найдите (угадайте) правильное соотношение между стоимостью актива с вашей точки зрения и ожиданиями бизнеса в отношении того же актива
Помните, что вы не должны тратить на защиту актива больше, чем он стоит
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 308/469
Если бы мы жили за границей…
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 309/469
Самый последний пример
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 310/469
Есть ли связь между ИБ и стоимостью акций?
Существующие исследования
Гордон, Лёб и Жу - 2003 год - падение в среднем на 2%
Кавузоглы, Мишра и Рагхунатан - 2004 год - падение в среднем на 2.1%
Хова и Д'Арси - 2003 год - связи не обнаружено
Каннан, Рис и Сридхар - 2004 год - падение на 0,73%.
Теланг и Ваттал – 2011 год - падение на 0.6%
Experian Data Breach Resolution – 2011 год – падение стоимости бренда на 12%
При этом влияние на курс акций имеет место быть только в первый день опубликования
Во второй и последующие дни серьезного влияния на стоимость акций безопасность уже не оказывает
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 311/469
Сколько мы теряем?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 312/469
Почему сложно считать?
Информационный актив может иметь разную ценность
В разное время, для разных аудиторий, в разных бизнес-процессах
Потери могут принимать разные формы
Одно событие может быть причиной нескольких форм потерь
Сложные взаимосвязи между разными формами потерь
Объем потерь определяется множеством факторов
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 313/469
Составляющие потерь
Цена «сбоя» складывается из множества параметров
Восстановление утерянной информации
«Процедурные» затраты
Стоимость времени восстановления
Взаимодействие с пострадавшими стейкхолдерами
Резервирование автоматизации ключевых процессов ручными операциями
Снижение качества обслуживания
Извлечение уроков и т.п.
Необходимо учитывать динамику потерь
Ущерб может наступить мгновенно или спустя недели
Активность бизнес-процессов может зависеть от квартала/сезона ущерб зависит от этого же
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 314/469
Определение потерь
Бизнес-потери
Падение доходов
Штрафы и судебные иски
Упущенная выгода
Потеря доли рынка
Удар по репутации
Снижение лояльности клиентов/партнеров
«Информационные» потери (например, интеллектуальная собственность)
ИТ- или операционные потери
Цена восстановления информации
Цена восстановления ИТ-систем
Цена восстановления бизнес-процессов
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 315/469
Жизненный цикл сбоя
RPO – Recovery Point Objectives, RTO – Recovery Time Objectives, MAD – Maximum Allowable Downtime
Степень влияния и составляющие цены «сбоя» меняется с течением времени
Эта иллюстрация может использоваться при оценке времени восстановления после атаки
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 316/469
Формы потерь
Продуктивность • Простои
• Ухудшение психологического климата
• Простои
• Ухудшение психологического климата
Реагирование
• Расследование инцидента
• PR-активность
• Служба поддержки
• Расследование инцидента
• PR-активность
• Служба поддержки
Замена • Замена оборудования
• Повторный ввод информации
• Замена оборудования
• Повторный ввод информации
Штрафы • Судебные издержки, досудебное урегулирование
• Приостановление деятельности
• Судебные издержки, досудебное урегулирование
• Приостановление деятельности
Конкуренты • Ноу-хау, государственная, коммерческая тайна
• Отток клиентов, обгон со стороны конкурента
• Ноу-хау, государственная, коммерческая тайна
• Отток клиентов, обгон со стороны конкурента
Репутация • Гудвил
• Снижение капитализации, курса акций
• Гудвил
• Снижение капитализации, курса акций
Другое • Снижение рейтинга
• Снижение рентабельности
• Снижение рейтинга
• Снижение рентабельности
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 317/469
Оценка воздействия (ущерба)
Источник: ГОСТ Р 13569
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 318/469
Оценка воздействия (ущерба)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 319/469
Оценка воздействия (ущерба)
Оценка осуществляется с учетом наличия мер защиты
Наличие мер защиты обычно снижает вероятность события, но не ущерб от него. Если мера направлена на снижение ущерба, то обычно она не влияет на вероятность
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 320/469
Цена взлома медицинской системы
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 321/469
Финансовые модели оценки ИБ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 322/469
Проблема финансовой оценки ИБ
Универсального метода финансовой оценки ИБ не существует
Возможность применения различных финансовых методик зависит от знаний и опыта как стороны демонстрирующей оценку (служба ИБ), так и стороны, которой демонстрируют
Многие руководители (не только службы ИБ) считают, что оценить ИБ финансово невозможно
Но можно оценить стоимость защищаемой информации, ущерб от инцидентов, эффективность проекта по IT Security
Это возможно, но только при условии выхода на бизнес-уровень, где вы можете посчитать отдачу!
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 323/469
Что надо сделать!
Вспомните про цели и определение объекта измерения!
Что вы хотите измерить деньгами
Сколько вы потеряете, не внедрив систему защиты?
Сколько я сэкономлю на данной системе защиты?
Какова цена защищаемой информации?
Сколько вы потратите на систему защиты за 3 года?
За сколько лет вернутся деньги, потраченные на систему защиты?
Выгоден ли этот проект? (определите, что для вас выгода)
Какая система защиты из двух дешевле? Или выгоднее?
Рискованны ли инвестиции в этот проект?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 324/469
Стоимость женских духов и экономика ИБ: что общего?
Правда заключается в том, что никакой объективной стоимости нет в природе. Цена любого предмета, произведенного человеком, складывается из массы других, столь же относительных цен – цены труда в столице, деревне, Франции или Занзибаре, цены сырья, цены транспортировки. Все они – условны: то, что человечество на данном этапе своего существования сочло ценным, совсем не обязательно было таковым раньше.
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 325/469
Классические финансовые модели Оценка проекта по ИБ
Net Present Value (NPV)
Какова ценность вкладываемых финансовых ресурсов для проекта при определенной ставке дисконтирования?
Internal Rate of Return (IRR)
Какова ставка дисконтирования, при которой проект еще имеет смысл?
Return on Investment (ROI)
Что мы потеряем и что получим от внедрения проекта?
Playback Period (PbP)
Когда вернутся инвестиции?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 326/469
«Новые» финансовые методы
«Инвестиционные»
Total Value of Opportunity (TVO)
Total Economic Impact (TEI)
Rapid Economic Justification (REJ)
«Затратные»
Economic Value Added (EVA)
Economic Value Sourced (EVS)
Total Cost of Ownership (TCO)
Annual Lost Expectancy (ALE)
«Контекстуальные»
Balanced Scorecard
Customer Index
Information Economics (IE)
IT Scorecard
«Количественные вероятностные»
Real Options Valuation
iValue
Applied Information Economics (AIE)
COCOMO II and Security Extensions
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 327/469
Total Cost of Ownership
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 328/469
Сколько стоит система защиты?
Total Cost of Ownership (TCO) от Gartner
Во сколько обойдется проект с учетом косвенных и всех прямых затрат?
Прямые затраты включают в себя:
Капитальные затраты на программное обеспечение
Капитальные затраты на аппаратное обеспечение
Затраты на дополнительное программно-аппаратное обеспечение (базы данных, браузеры, системы резервирования и т.д.)
Затраты на поддержку и обучение (командировочные расходы, звонки в службу поддержки, общение по e-mail)
Затраты на управление (зарплата администраторов, реагирование на атаки, трафик Internet, модернизация)
Затраты на внедрение
Сопутствующие затраты (прокладка СКС, изменение топологии, перенастройка оборудования)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 329/469
Сколько стоит система защиты? (окончание)
Прайсовая стоимость системы защиты составляет 15-21% от совокупной стоимости владения
Косвенные затраты включают в себя:
Непродуктивная работа пользователей, связанная с действиями «проб и ошибок» из-за отказа от чтения документации и обучения
Простои и сбои системы защиты
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 330/469
ALE, ALE, ALE, ALE
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 331/469
ALE – Annual Loss Expectancy
Совокупные затраты на ИБ = ALE + TCO
Ежегодный ожидаемый размер потерь
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 332/469
SLE – Single Loss Expectancy
Стоимость потерь от одной атаки
Может вычисляться как
Произведение стоимости атакуемого актива (Asset Value) на вероятность атаки (Exposure Factor)
или
Детальная оценка стоимости конкретной атаки
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 333/469
SLE = AV * EF
Мы должны уметь оценивать стоимость активов с различных сторон
Генерируемая активом прибыль или оборот
Стоимость информации
Мы должны иметь представление о вероятности атак
Сбор собственной статистики
Экспертная оценка
Использование международной усредненной статистики (KPMG, PwC, CSI и т.д.)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 334/469
Detailed Attack Costing (DAC)
Детальная оценка стоимости атаки включает в себя:
Стоимость простоя атакуемого актива (потеря продуктивности)
Стоимость восстановления атакуемого актива, включая привлечение внешних сил
Дополнительные затраты (штрафы, неустойки, репутация, судебные тяжбы, уход клиентов и т.п.)
Потенциальные сбережения (например, электричество или Интернет)
Метод обычно применяется для активов, которые напрямую не «завязаны» на генерацию финансовых средств, но важны для бизнеса
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 335/469
Исходные данные
Время простоя вследствие атаки
Время восстановления после атаки
Время повторного ввода потерянной информации
Зарплата обслуживающего персонала
Зарплата сотрудников атакованного узла или сегмента
Численность обслуживающего персонала
Численность сотрудников атакованного узла/сегмента
Объем продаж, выполненных с помощью атакованного узла или сегмента
Стоимость замены оборудования или запасных частей
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 336/469
Gartner TVO
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 337/469
Gartner TVO
TVO (Total Value of Opportunity) – значение ИБ-инициатив для бизнеса, измеряемое в качественных и количественных метриках, определяющих достижение или улучшение бизнес-показателей
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 338/469
Методика Gartner TVO
Что за инициатива?
Как мы измеряем значение для бизнеса?
Что технология делает?
Какие преимущества мы получим?
Как это перевести в деньги?
Сколько это стоит?
Как нам учесть будущие неопределенность и риски?
Сможем ли мы воспользоваться этими возможностями?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 339/469
Главное - начало
Что за инициатива?
Один абзац или предложение
Что мы делаем и зачем мы это делаем
Бизнес-ориентированность
Плохой пример
Построение защиты периметра корпоративной сети
Хороший пример
Внедрение системы управления патчами для роста продуктивности сотрудников (за счет снижения стоимости простоев) и снижения стоимости поддержки
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 340/469
Что дает технология?
Бесконечное число функций и характеристик…
Но только часть из них являются важными и понятными для конкретного предприятия
Опять важны декомпозиция и определение объекта измерения!
4 класса возможностей, даваемых ИТ/ИБ
Фундамент
Операционная поддержка и достижение целей TCO
Прямое воздействие на бизнес
Управление знаниями и информацией
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 341/469
Фундамент
Гибкость
Расширяемость
Масштабируемость
Надежность
Доступность
Требуемая емкость
Требуемая производительность
Совместимость с текущей инфраструктурой
Безопасность и конфиденциальность
Эксплуатационная надежность
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 342/469
Операционная поддержка
Стандартизация платформы
Стандартизация поставщика
Стандартизация приложений
Консолидация систем
Снижение стоимости управления процессами ИБ
Увеличение скорости процессов ИБ
Рост продуктивности персонала ИБ
Интеграция и стандартизации процессов ИБ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 343/469
Воздействие на бизнес
Снижение стоимости бизнес-процессов
Увеличение скорости бизнес-процессов
Рост продуктивности бизнес-пользователей
Функциональная расширяемость
Необходимость перестройки бизнес-процессов
Строгое соблюдение бизнес-регламентов и нормативной базы
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 344/469
Управление информацией и знаниями
Улучшение доступа
Улучшение аккуратности информации
Улучшение своевременности информации
Улучшение навигации
Улучшение разделения и взаимодействия
Персонификация и персонализация
Принятие или рекомендация решений
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 345/469
Приоритезация возможностей
Все выбранные возможности необходимо приоритезировать с точки зрения влияния на бизнес
крайне важный, важный, средней важности, ограниченной важности и неважный
В качестве ссылки рекомендуется использовать Gartner’s Business Performance Framework
Мы ее рассмотрели ранее
Возможности будут достигнуты, если процесс будет реализован с привлечением бизнес-подразделений
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 346/469
Подсчет эффекта
После выбора бизнес-метрик, они должны быть измерены
С участием поставщика технологии, бизнес-подразделений, ИТ-подразделения
Без участия бизнеса контролировать бизнес-метрики невозможно
Необходимо постоянно контролировать индикаторы изменений
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 347/469
Сколько это стоит
Категории затрат
Технологии
Персонал
Операции и процессы
Затраты могут быть одноразовыми или постоянными
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 348/469
Прибыль
Прибыль
Прямая и косвенная
Целенаправленная и случайная
Категории случайных прибылей
Технологии
Персонал
Операции и процессы
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 349/469
Total Economic Impact
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 350/469
TEI от Forrester
Закрытая методика, разработанная компанией Giga Group, купленной Forrester
Требует участия экспертов Forrester
Оценивает эффективность по трем критериям
Гибкость
Стоимость
Преимущества
Использует другие методики (ROV, ROI и т.п.)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 351/469
TEI of Cisco Borderless Networks Study
Базируется на методологии Forrester Total Economic Impact (TEI)
Интервью 13 заказчиков
Опубликованное исследование ROI базируется на организации в США с 5,000 сотрудниками
Трехлетний расчет преимуществ и затрат
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 352/469
BN Business Benefits Calculator 1.0
Разработан Forrester Research
Базируется на методологии Forrester Total Economic Impact (TEI)
Данные базируются на: Интервью с заказчиками
Отчетами заказчиков
Исследованиями аналитиков
Аудитория IT Director/Sr. Managers
Business Decision Makers
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 353/469
Rapid Economic Justification
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 354/469
REJ от Microsoft
Методика Microsoft, ориентированная на оценке бизнес-преимуществ в сравнении с капитальными и ресурсными затратами на достижение преимуществ
Также базируется на известных моделях (TCO, NPV, IRR и т.п.), но при этом использует оценку рисков для инвестиций в ИТ/ИБ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 355/469
EVA и EVS
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 356/469
Economic Value Added (EVA)
Economic Value Added (EVA) от Stern Stewart & Co
Ориентирована на сравнение и выбор инвестиций во внутренние или внешние проекты (процессы)
Что выгоднее – самому строить ИБ или отдать все на откуп аутсорсеру (в облака)?
Предполагает сервисную модель службы ИБ, которая продает свои услуги другим подразделениям компаниям, которые являются для службы ИБ заказчиками
Расценки на услуги выбираются эквивалентными расценкам на внешнем рынке
Требует детального учета всех расходов
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 357/469
Economic Value Sourced (EVS)
Economic Value Sourced (EVS) от Cawly & the Meta Group
Позволяет оценивать инвестиционную привлекательность ИТ/ИБ-проектов (не всегда успешно), но не только с экономической точки зрения
Учитывает три фактора: снижение рисков, рост производительности и снижение цикла (сделки или еще чего-то)
Базируется на расчетах EVA, ROI и IRR
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 358/469
Система сбалансированных показателей
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 359/469
Классическая BSC
Система сбалансированных показателей известна как метод, позволяющий оценивать предприятие не только с точки зрения финансовых показателей, а сбалансировать (именно сбалансированность является ключевым преимуществом данного подхода) оценку по 4-м направлениям
Заказчик Финансы
Внутренние процессы Обучение и рост
Базовая BSC
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 360/469
BSC для жизни
Основная задача BSC – уйти от непонятной и сложно формализуемой миссии компании в сторону конкретных, измеряемых и достижимых целей
При этом баланс заключается не только в оценке материальных и нематериальных активов, но и в оценке текущей деятельности и будущих перспектив, которые и позволяют компаниям развиваться в конкурентной среде, а не стоять на месте
В последние годы ряд экспертов, внедрявших BSC на предприятиях, предложили расширить изначальные направления новыми, лучше отражающими специфику отдельных компаний
Пользователи, поставщики, регуляторы и т.п.
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 361/469
BSC в ИБ
Заказчик Заказчик
Ценность для бизнеса
Ценность для бизнеса
Операционная эффективность Операционная эффективность
Будущее Будущее
Compliance Compliance
Достоинства Ограничения
BSC – известный топ-менеджменту метод оценки бизнеса и его преломление в область ИБ позволит найти общий язык с бизнесом
Если BSC не принят в организации, то ограничение его только областью ИБ может не дать эффекта на уровне предприятия
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 362/469
BSC: ориентация на заказчика
Цель Что измеряем
Удовлетворенность заказчиков
Индекс удовлетворенности заказчиков (например,
по результатам опроса)
Число сотрудников бизнес-подразделений,
которым делегированы некоторые функции по ИБ
Число сотрудников, успешно прошедших тренинги
по ИБ
Партнерство с бизнесом
Частота встреч управляющего комитета
Вовлечение службы ИБ в новые проекты, задачи и
направления бизнеса (например, в виде индекса)
Наличие в компании топ-менеджера,
ответственного за ИБ
Выполнение проектов
Заданное качество проекта (например, в виде
индекса)
Завершение проекта в срок (например, в виде
индекса)
Уложились в бюджет (например, в виде индекса)
Реакция на запросы Скорость реагирования на звонки в help desk
Выполнение SLA
Процент приложений и сервисов, для которых
разработан SLA
Число подразделений/заказчиков, заключивших
SLA
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 363/469
BSC: ценность для бизнеса
Цель Что измеряем
Рост выручки предприятия Выручка от запуска нового канала продаж
Рост выручки на одного заказчика Рост удовлетворенности заказчика
Снижение текучки заказчиков
Снижение затрат
Разница между ценой коммерческой СЗИ и
свободно распространяемой
Стоимость звонков в help desk до и после внедрения
системы автоматизированного управления
паролями
Стоимость работ по восстановлению
работоспособности ИТ-инфраструктуры
Контроль и управление ИБ-бюджетом
Соотношение реальных затрат с запрошенными
Процент ИБ-бюджета от выручки
Стоимость ИБ на одного сотрудника
Положительный возврат инвестиций ROI, NPV, PbP проекта по ИБ
Снижение затрат, связанных с рисками
Число инцидентов безопасности в квартал
Число систем, соответствующих требованиям
регуляторов по ИБ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 364/469
BSC: операционная эффективность
Цель Что измерять?
Эффективность процессов
Процент сбоев системы защиты
Соответствие стандарта ISM3 или ISO 27001
Уровень зрелости процессов управления ИБ
Скорость процессов управления ИБ
Качество процессов управления ИБ
Адаптивность
Время инициации проекта после первого запроса
Время на внедрение/настройку системы защиты для
нового приложения
Скорость реакции на новые регулятивные
требования
Управление проектами
Число завершенных проектов
Процент успешно завершенных проектов
Процент расхождения с бюджетом
Внутренняя безопасность Текучка кадров в службе ИБ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 365/469
BSC: ориентация на будущее
Цель Что измерять?
Кадры Процент руководителей, в MBO которых включены
пункты по ИБ
Процент сотрудников службы ИБ, имеющих планы
профессионального развития
Процент трудовых договоров, включающих пункты о
соблюдении конфиденциальности и правил ИБ
Информация Соотношение «будущее развитие/текучка» в ИБ-
бюджете
Число компаний, с которыми заключены контракты
Число систем защиты на аутсорсинге
Существование архитектуры ИБ
Уровень стандартизации процессов, технологий и
систем
Культура Число сотрудников, понимающих миссию службы ИБ
Индекс зрелости культуры ИБ
Число задокументированных best practices или
success stories в области ИБ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 366/469
BSC: ориентация на регуляторов
Цель Что измеряем?
Соответствие Завершение аудита на соответствие PCI DSS
Внедрение рекомендаций по управлению ИБ ITU-
T X.1051
Аттестация ФСТЭК на соответствие СТР-К
Регуляторы Число претензий со стороны регулирующих и
надзорных органов
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 367/469
Customer Index и Information Econimics
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 368/469
Customer Index и Information Economics
Customer Index от Andersen Consulting
Оценивает экономическую ценность проектов (инвестиций) в контексте каждого заказчика/потребителя
Позволяет оценить влияние проекта (инвестиции) на доходы, затраты и прибыли в пересчете на одного заказчика
Методика ориентирована на проекты, запускаемые в интересах заказчиков (клиентов)
Information Economics от The Beta Group
Позволяет ранжировать приоритеты предприятия в области ИТ/ИБ-инвестиций по согласованным параметрам (в т.ч. и традиционным финансовым – NPV, PV, IRR и т.п.)
Также учитываются нематериальные факторы – снижение рисков, уменьшение цикла сделки, конкурентоспособность
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 369/469
Уровень риск-аппетита
Построение инвестиционной границы занимает 40-60 мин и обычно не вызывает разногласий
50
25
0
50 0 100 150 200
ROI, ожидаемый в следующий 5 лет (%)
Вероятн
ость
отр
иц
ате
льного
RO
I (%
)
Инвестиционная граница
Приемлемые инвестиции
Неприемлемые инвестиции
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 370/469
Applied Information Economics
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 371/469
Applied Information Economics
Applied Information Economics от Hubbard Decision Research
Опирается на множество дисциплин (экономика, поведенческая психология, теория принятия решений, теория игр, анализ рисков и т.п.)
Опирается на понятие неопределенности возврата инвестиций и позволяет спрогнозировать различные сценарии инвестирования
Базируется на методе Монте-Карло
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 372/469
Метод Монте-Карло
Метод Монте-Карло появился в конце 1940-х годов для задач, в которых необходимо было оценивать вероятность успешного исхода того или иного события, не комбинаторикой, а просто большим (или очень большим) количеством экспериментов, которые и позволяют, подсчитав удачное число исходов опытов, оценить вероятность успеха
Метод Монте-Карло не дает вам 100%-ую точность
Есть ряд задач, и оценка позитивного ROI относится к ним, когда их сложность, т.е. число измерений, которые надо осуществить, чтобы получить точный ответ, может расти экспоненциально
В таких случаях можно пожертвовать точностью и найти менее точный ответ, но все равно дающий точность выше 50%
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 373/469
Метод Монте-Карло
В AIE, как и в других методах, используется понятие выгод и затрат от проекта по ИБ
Точных цифр мы не знаем и можем только гадать о том, что скрывается за этими неопределенными переменными
Поэтому мы подставляем под эти переменные интервалы возможных значений и моделируем сотни или тысячи возможных сценариев
Результатом станет набор различных сценариев с различными результатами от реализации оцениваемого проекта
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 374/469
Метод Монте-Карло
Например, может оказаться так, что
В 15% случаев проект будет убыточен
В 54% - доходен
В 1.6% вообще может привести к краху предприятия (под крахом подразумевается убыток в сумме равной обороту всего предприятия)
Дальше остается только принимать решение, но принимать уже основываясь на математически выверенных результатах, а не на экспертной оценке
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 375/469
Особенности финансовых методов оценки проектов по ИБ
Все финансовые методы (традиционные и «новые») требуют для расчета исходные данные, обычно отсутствующие у служб информационной безопасности
Нет, потому что мы не знаем, где их взять
Нет, потому что не дают
Нет, потому что мы не верим в эффективность этих методов
Нет, потому что мы боимся соваться в финансы
Нет, потому что нет гарантии, что нам поверят
Нет, потому что мы забыли математику
Нет, потому что нет
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 376/469
Не все формулы просты
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 377/469
Измерения требуют знания математики
Линейный и регрессионный анализ
Метод Монте-Карло
Теория игр (дилемма заключенного)
Когда злоумышленник сменит цель X на цель Y?
Пример: почему MacOS атакуют меньше чем Windows
Чтобы злоумышленники заинтересовались MacOS и стали заниматься монетизацией вредоносного ПО для нее, ее популярность должна превысить порог в 12-16% (он был превышен в 2010-м году). Поэтому сейчас мы видим такой рост интереса к вредоносному ПО для MacOS
Защита А Защита Б
Атака А (1 - p)fv fv
Атака Б (1 – f)v (1 – p)(1 – f)v
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 378/469
Определение объекта измерения при оценке ИБ рублем
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 379/469
Проект по Identity Management
Задача: оценить проект по внедрению единой системы управления идентификаций, аутентификацией и авторизацией
С точки зрения ИБ и обычные пароли эффективны
Вспоминаем про определение объекта измерения
Создание ID, вход в приложения, неудачные входы, звонки в Help Desk, обслуживание пользователей…
Очень важна декомпозиция
Исходные данные:
Число пользователей – 120000
Ежегодная ротация кадров – 15%
Среднее число ID/паролей – 5
Число рабочих часов в день – 8
Число рабочих дней в год - 260
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 380/469
Первая фаза расчета – установка ID
Ежегодное число новых пользователей – 18000 (120000*15%)
Необходимо поддерживать 90000 новых ID/паролей (5*18000)
Создание нового ID/пароля – в среднем 120 секунд (анализ заявки, создание и настройка учетной записи)
Всего на администрирование новых пользователей уходит 3000 часов (~2 человека при полной нагрузке)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 381/469
Вторая фаза расчета – рутина
В среднем 20 входов в систему/приложения ежедневно (из-за истекшего таймаута, смены приложения и т.д.)
Среднее время регистрации – 15 секунд
Ежедневно тратится 10000 ресурсо-часов на регистрацию
Ежегодно тратится 2200000 ресурсо-часов на регистрацию в разные системы и приложения
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 382/469
Третья фаза расчета – проблемы
В среднем 1% всех попыток регистрации заканчивается неудачно
Повторная регистрация разрешается через 60 секунд
Общее время на повторную регистрацию в год составляет 88000 часов
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 383/469
Четвертая фаза расчета – поддержка
В среднем после 3-х неудачных попыток входа в систему учетная запись блокируется
После 2-х неудачных попыток входа рекомендуется позвонить в службу поддержки
2400 звонков ежедневно в службу поддержки по факту 2-х неудачных попыток входа в систему
SLA = 4 часа на обработку одного инцидента
18000 пользователей ждут максимум по 4 часа – 72000 часа потери времени (продуктивности)
2400 звонка максимум по 4 часа – 9600 часов в день или 2112000 ресурсо-часов в год
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 384/469
Итого
Время затраченное на администрирование новых ID/паролей, ежедневную регистрацию и повторные ввод ID/пароля составляет 2291000 часов в год…
что составляет 1% всего рабочего времени компании
Еще 2184000 ресурсо-часов в год на поддержку неудачных попыток входа…
что также больше 1% всего рабочего времени компании
Итого – 4475000 ресурсо-часов или больше 2% всего рабочего времени компании в год - только на одну задачу – управление Identity
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 385/469
General Motors - факты
Предоставление доступа в среднем через 7 дней после заявки
Синхронизация паролей и ID в разных системах – 3 дня
50% запросов требует контактов с пользователем
«Разруливание» проблем с доступом – 10 дней
Конфликт между ID может приводить к задержкам в работе до 90 дней
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 386/469
General Motors - потери
Обработка 6600 проблем с доступом – потеря продуктивности – 3,000,000 долларов
Восстановление доступа для 56000 учетных записей – потеря продуктивности – 18,200,000 долларов
2500 сотрудников (учетных записей) уволено – затраты на удаление – 162,500 долларов
Прямой ущерб – 1,200,000 долларов
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 387/469
Декомпозиция очень важна!
Показатель Значение
Послано спама 40.000.000
Click-through ratio 0.12%
Соотношение
продаж
1/200
Всего продаж 240
Объем продаж $37440
Комиссия
спаммера
50%
Доход $18720
Показатель Значение
Хостинг $230
4 дня аренды
ботнета
$6800
Стоимость базы
$4000
Затраты $11030
Прибыль - $7690 в неделю
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 388/469
Другие «простые» примеры финансовой оценки
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 389/469
Финансовая оценка требует конкретики
Нередко бывает необходимо
сравнить два и более средств защиты
оценить эффективность конкретного средства защиты
Поэтому очень часто необходимо оценивать конкретные продукты
Абстрактная оценка не срабатывает
При расчете эффективности с участием конкретного продукта необходимо учитывать TCO, а не только стоимость лицензии
При финансовой оценке всегда необходимы исходные данные, которые находятся за пределами службы ИБ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 390/469
Удаленный защищенный доступ Снижение арендной ставки
Решение Cisco Virtual Office (CVO) перевод сотрудников на дом уменьшение арендуемых площадей снижение арендной платы
Офис (класс А) Стоимость
м2 в год* Итого**
Башня Федерация 850$ 1700$
Александр Хаус 800€ 1600€
8 марта, 14 570$ 1140$
Daev Plaza 1300$ 2600$
GreenWood 290$ 580$
* + стоимость стоянки $150-250 в месяц ** Из расчета 2 м2 на сотрудника
Элемент CVO Цена
Cisco 861 449$
IP Phone 7911G* 225$
Cisco Security
Manager**
300$
* Опционально ** В пересчете на одно место
*** Дополнительно требуется ACS и HeadEnd VPN для HQ
Без оценки вопросов compliance и применения сертифицированных СКЗИ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 391/469
Удаленный защищенный доступ Дополнительные выгоды
Дополнительная экономия на:
Питании сотрудников
Оплате проездных (если применимо)
Оплате канцтоваров
Оплате коммунальных расходов
А также
Улучшение психологического климата за счет работы дома
Рост продуктивности на 10-40%
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 392/469
Вчера: Люди “шли” на работу Сегодня: Работа “идет” к людям
Аэропорт
WAN/Internet
SiSi
SiSi
Отель
Предприятие
Дорога
Кафе
Главный
офис HQ
Филиал Дом
Рост продуктивности
Многие компании фокусируются на предоставлении сервиса на своей территории (зарплата, билеты, документооборот…)
Сотрудник в среднем тратит только 30–40% времени в офисе
100 сотрудников
500 сотрудников
1000 сотрудников
Зарплата ($25K в год) $2,5 млн. $12,5 млн. $25 млн.
1 час потери продуктивности $1,200 $6,000 $12,000
Потери в год от 1 часа в неделю $62,5K $312,5К $625К
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 393/469
Рост продуктивности Откуда берется 1 час потери продуктивности?
Рабочий день мужчины в России – 8 часов 14 минут
Переработка на 14 минут
Рабочий день мужчины в Москве – 5 часов 33 минуты
Потери 2,5 часов ежедневно (!) – преимущественно пробки
Рабочий день женщины в России – 5 часов 44 минуты
Потери 2 часов 16 минут ежедневно
Рабочий день женщины в Москве – 5 часов 23 минуты
Потери 2 часов 37 минут ежедневно
Источник: Росстат, 06.06.2011
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 394/469
Система контроля доступа Масштаб имеет значение
Статья экономии Человека/
часов Цена*
Идентификация
несоответствующих
компьютеров
1.0 $12.00
Определение
местоположения
несоответствующих
компьютеров
1.0 $12.00
Приведение в
соответствие 2.0 $24.00
Потенциально сэкономленные затраты
на 1 компьютер $48.00
* из расчета зарплаты ИТ-специалиста 2200 долларов в месяц (цифра может варьироваться от $1000 до $4000
Элемент
решения Цена
Cisco ISE
Appliance 3315
Server (100
users) / 3Y
$15490
Cisco ISE
Appliance 3315
Server (500
users) / 3Y
$36490
(~2x)
Cisco ISE
Appliance 3315
Server (1000
users) / 3Y
$62990
(~2,5x)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 395/469
Экономически целесообразен ли антиспам?
Исходные данные:
Число сотрудников (почтовых ящиков) – 7000
Объем электронной корреспонденции – 70000 в сутки (10 сообщений на сотрудника)
Объем спама – 60% (42000 сообщений)
Время обработки одного спам-сообщения сотрудником – 10 сек
Суммарные дневные затраты на спам – 14,583 человеко-дня
Средняя зарплата сотрудника – $1500
Потери компании
В день – $994,29
В месяц – $21784,5
В год – $248573,86
Выгоден ли антиспам в данной ситуации?
Да, как и всегда в крупных организациях
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 396/469
Контроль доступа в Интернет
Оценка экономической эффективности проекта по контролю доступа в Интернет на базе Cisco Web Security
Исходные данные
1,5 часа в день на «одноклассниках» или в «вконтакте»
200 сотрудников
6600 часов экономии – 825 чел/дней
Потери $18750 в месяц (при зарплате $500)
Ежегодные потери $225000
Стоимость Cisco Web Security Appliance (S160) - $15060 ($27100 на 3 года)
Включая Web Usage Control, Web Reputation, Anti-Malware
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 397/469
Выгоден ли аутсорсинг ИБ?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 398/469
Построить или купить готовое? Затраты на собственный мониторинг VPN
Показатель Исходные данные Значение
Число офисов 150
Цена мониторинга
WAN-каналов без VPN
Один специалист
обслуживает офисов
25
Число специалистов 6
Цена VPN-мониторинга Один специалист
обслуживает VPN-
шлюзов
15
Число специалистов 10
Разница в цене
мониторинга VPN
Число специалистов 4
Зарплата специалиста $25000
Итого $100000
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 399/469
Построить или купить готовое? Капитальные затраты в инфраструктуру VPN
Показатель Исходные данные Значение
Стоимость VPN-
решения
Cisco Security Manager $36000
Рабочая станция для
управления
$2000
Cisco ISR 2911 (C2911-
WAAS-SEC/K9)
$8495 * 150 = $1274250
Стоимость
инсталляции
Время внедрения (час) 2 * 150 = 300
Почасовая ставка ИТ-
специалиста
$12 * 300 = $3600
Командировка $800 * 150 = $120000
Итого $1397850
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 400/469
Выгоден ли Managed VPN? Выгодно ли то, что предлагает провайдер связи?
Показатель Значение
Одноразовые инвестиции $250 на филиал
Ежемесячная плата $300 на филиал
Длительность контракта 3 года
Скидка на VPN Managed Service 15%
Собственная VPN Managed VPN Экономия
Зарплата ИТ-
специалистов
$8500 в месяц - $8500
Стоимость
оборудования (на 3 года)
$38829 в месяц - $38829
Услуга Managed VPN - $38250 $(38250)
Итого в месяц $47329 $38250 $9079
Внедрение $123600 $37500 $86100
Резюме $1827444 $1414500 $412944
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 401/469
А если VPN на базе сертифицированной криптографии?
Решение Cisco NME-RVPN для 1500 АЗС
• На базе модуля для ISR G2 (2900/3900)
Решение Cisco/S-Terra для центра
• На базе UCS C-200
Статья затрат (BUILD) Итого
CapEx $9000000
TCO (дизайн, внедрение,
мониторинг,
эксплуатация, поддержка)
*5 (если
верить
Gartner)
Лицензирование в ФСБ ~$100000
Персонал $250000
Статья затрат (BUY) Итого
CapEx $0
TCO $0
Лицензирование в
ФСБ
-
Персонал $0
OpEx $300*1500*12
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 402/469
Размер имеет значение
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 403/469
Размер зарплаты – ключ ко многим проектам по оценке эффективности
Правда заключается в том, что никакой объективной стоимости нет в природе. Цена любого предмета, произведенного человеком, складывается из массы других, столь же относительных цен – цены труда в столице, деревне, Франции или Занзибаре, цены сырья, цены транспортировки. Все они – условны: то, что человечество на данном этапе своего существования сочло ценным, совсем не обязательно было таковым раньше.
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 404/469
ROI Calculator
© 2005 Cisco Systems, Inc. All rights reserved.
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 405/469
Не всегда стоит считать рублем или можно ли оценить эффективность проекта по ПДн?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 406/469
Запускать или нет? Вот в чем вопрос!
Что получаем?
Что тратим?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 407/469
Стоимость 1-го этапа проекта по ПДн
Интегратор 1 Интегратор 2 Интегратор 3 Интегратор 4
$55600 $30390 $123438 $31000
Особенности
Сбор информации о ПДн – около $5K (min – 1.5K, max – 11K)
Категорирование ПДн – min – 0.5K, max – 5K
Сбор информации о защите – около $6K (min – 2K)
Классификация ИСПДн – min – 0.5K, max – 9K
Разработка модели угроз – min – 0.5K, max – 23K
Разработка ТЗ - min – 1K, max – 9K
Техпроект СЗПДн – min – 25K, max – 50K
Подготовка к лицензированию – 3К
Сопровождение в процессе лицензирования – 14К
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 408/469
Стоимость 2-го этапа (худший сценарий)
Аттестация одного АРМ – 10-15К рублей
Аттестация 2-х АРМов, установка 2-х СЗИ, монтаж генераторов шума, разработка документов – 60К рублей
Аттестация сетевой составляющей будет дороже примерно на 30%
ФСТЭК не имеет опыта аттестации сетей более чем из 100 компьютеров
Стоимость сертифицированной СЗИ – +10-15% к стоимости несертифицированного решения
Без сертификации на НДВ
Сертификация общесистемного/прикладного ПО – 130К долларов (для MS Word)
Сертификация ОС – 250К долларов
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 409/469
Стоимость 2-го этапа (окончание)
Обучение с выдачей документа гособразца – 50К рублей (за двоих)
Адекватная защита АРМ – около 200-400 долларов
Защита периметра – 5-10К долларов
Очень экономно и оптимистично
Защита сервера – около 800-1000 долларов
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 410/469
Редкооцениваемые затраты
Получение согласий от всех субъектов ПДн
Переделка договоров, форм анкет, форм на сайте
Уведомление субъектов ПДн о фактах обработки их ПДн
Уведомление субъектов ПДн об устранении нарушений, связанных с их ПДн
Затраты на управление инцидентами, связанными с утечками ПДн
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 411/469
От чего защищаемся?
№ Название статьи Максимальное
наказание
13.11 Нарушение установленного законом
порядка сбора, хранения, использования
или распространения информации о
гражданах (персональных данных)
10.000 руб.
13.14 Разглашение информации с ограниченным
доступом
5.000 руб.
13.12 Нарушение правил защиты информации 20.000 руб. +
конфискация +
приостановление
деятельности на
срок до 90 суток
13.13 Незаконная деятельность в области защиты
информации
20.000 руб. +
конфискация
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 412/469
От чего защищаемся?
№ Название статьи Максимальное
наказание
5.27 Нарушение законодательства о труде и об
охране труда
50.000 руб. +
приостановление
деятельности на
срок до 90 суток +
дисквалификация
должностного
лица до 3-х лет
5.39 Отказ в предоставлении гражданину
информации
1.000 руб.
19.4 Неповиновение законному распоряжению
должностного лица органа,
осуществляющего государственный надзор
(контроль)
10.000 руб.
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 413/469
От чего защищаемся?
№ Название статьи Максимальное
наказание
19.6 Непринятие мер по устранению причин и
условий, способствовавших совершению
административного правонарушения
500 руб.
19.5 Невыполнение в срок законного
предписания (постановления,
представления, решения) органа
(должностного лица), осуществляющего
государственный надзор (контроль)
500.000 руб. +
дисквалификация
должностного
лица до 3-х лет
19.7 Непредставление сведений (информации) 5.000 руб.
19.20 Осуществление деятельности, не связанной
с извлечением прибыли, без специального
разрешения (лицензии)
20.000 руб. +
приостановление
деятельности на
срок до 90 суток
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 414/469
От чего защищаемся?
№ Название статьи Максимальное
наказание
20.25 Неуплата административного штрафа либо
самовольное оставление места отбывания
административного ареста
Двукратное
увеличение
штрафа
Уголовное и дисциплинарное наказание не применяется
А если да, то не к компании, а к ее работникам
На репутацию эти штрафы и утечки влияют слабо
Вопрос влияния инцидентов с ПДн на лояльность клиентов в России не изучен
Но вероятность влияния не высока
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 415/469
Число протоколов также растет
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 416/469
Суммы штрафов пока незначительны
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 417/469
Что планируется?
10.000 руб.
1.000.000 руб.
2% от дохода
Выручка за год
700.000 руб.
4 состава правонарушения
Увеличение суммы штрафа
Рецидив
Доход от обработки ПДн
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 418/469
Очевидное, но ненужное
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 419/469
Безопасность мобильного банкинга
«Что касается мобилок, то в самих мобильных банкингах масса проблем и их актуальность на практике мне очевидна. Сидя в чужой WiFi сети, делаешь перевод Васе, а деньги уходят Пети и всего делов - и никакой конопли не нужно :). И никакого тут FUDа впомине нет. Потому что мобильный банкинг набирает ход по полной и при этом пока абсолютно дырявый на практике. И надо помочь обратить на это внимание»
Илья Медведовский, Digital Security
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 420/469
Исходные данные
¾ россиян не используют мобильный и интернет-банкинг
АnalyticResearchGroup
Постоянными пользователями услуг мобильного банкинга является всего 3% россиян
Фонд общественного мнения (ФОМ)
Только 30,4% банков используют системы дистанционного обслуживания физических лиц
Системы типа мобильный банк установлены только в 6,8% банков
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 421/469
Сколько денег в мобильном банкинге?
Оборот мобильного банкинга в России всего 8.1 млрд. рублей в 2012-м году
По данным J’son & Partners Consulting
Из них доля денежных переводов составляет всего 30%.
Т.е. на денежные переводы, о перехвате и подмене которых говорится в отчете Digital Security, как основной угрозе, приходится всего 2.7 млрд. рублей
Это много или мало?!
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 422/469
2.7 миллиарда – это много?
Объем рынка электронных платежных систем в России в 2012-м году составляет 1811 млрд. рублей
По оценкам J’son & Partners Consulting
Т.е. мобильные переводы денежных средств - это всего 0.14%
Если взять все платежи через мобильный банкинг (т.е. + оплата услуг и товаров), то получится около 0.45%
Не надо забывать, что электронные платежные системы - это тоже копейки в общем объеме денежных переводов
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 423/469
А в масштабе всех денежных переводов?
Объем банковских платежей, совершенных юридическими лицами с использованием платежных поручений, переданных в банк электронным способом, за 1-е полугодие 2010 года превысило 101 трлн руб.
Из них 51 трлн руб. - платежи со счетов, обслуживаемых через системы интернет-банкинга
Без экстраполяции (а рост был) это 200 триллионов рублей в год
Доля мобильного банкинга для физлиц на фоне переводов денежных средств юрлицами через системы ДБО - 0.0013%
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 424/469
Выводы
Злоумышленникам невыгодно вкладываться в массовый взлом мобильного банкинга для физлиц
Взлом юрлиц выгоднее во всех отношениях – обороты, доходы, массовость, судебная практика
Злоумышленникам проще осуществлять мошенничество через 9-ю статью закона «О национальной платежной системе»
Банк обязан безоговорочно вернуть деньги
Разработчикам невыгодно вкладываться в безопасность мобильных приложений
Если их не обяжут регуляторы
Для банков это, в первую очередь, имиджевые проекты
Проект проще закрыть (принять риски), чем защищать
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 425/469
Универсальный метод измерения
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 426/469
Универсальный алгоритм
1. Что вы пытаетесь измерить? Что представляет собой объект измерения?
2. Почему вы хотите его измерить? Какое решение будет принято по результатам измерения? Какое пороговое значение определяемого показателя?
3. Что вам известно сейчас?
4. Какую ценность имеет данная информация? К каким последствиям приведет ошибка? Какова ее вероятность? Какие усилия по измерению будут экономически оправданы?
5. Какие наблюдения позволят подтвердить или исключить различные возможности?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 427/469
У вас есть методы. Теперь нужны данные для них и инструменты
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 428/469
Автоматизация процесса управления метриками ИБ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 429/469
Процесс управления измерениями
Процесс может быть организован в ручном или автоматическом (полуавтоматическом) режиме
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 430/469
Процесс управления измерениями
Autodiscovery
Объективный источник
Опрос
Субъективный источник
Интеграция с существующими источниками данных
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 431/469
Автоматизация оценки
Ручной сбор
Точечные решения
SIEM
Специализированные решения
ERM
GRC
На этапе выбора метрик автоматизация не является критичной
На этапе сбора данных и вычисления метрик автоматизация становится критичным фактором
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 432/469
nCircle Benchmark = ClearPoint Metrics
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 434/469
Визуализация и презентация метрик ИБ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 435/469
Презентация метрик
Не забывайте про контекст
Рост числа инцидентов может быть связан как с реальным ростом, так и с ростом уровня осведомленности сотрудников, которые перестали умалчивать об инцидентах
В отчет должны быть включены инициативы, направленные на улучшение демонстрируемых метрик
Не обещайте то, что вы не можете обеспечить
Не драматизируйте!
Излишнее нагнетание обстановки может повредить, т.к. руководство может подумать, что вы специально это делаете для выбивания бюджета
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 436/469
Примеры отчетов
Типичный отчет руководству компании или CIO
Включает в себя статус проектов по ИБ, данные от антивируса, сканера безопасности, IPS и т.п. Констатация факта, не более того. Никакого финансового анализа, никаких данных о влиянии на бизнес (business impact analysis)
Одностраничный отчет поделен на две части
В левой размещены сами метрики в виде цифр, графиков, диаграмм, а в правой – комментарии и разъяснения к ним. В низу отчета всего несколько строк посвящено тому, что служба ИБ ждет от руководства. Все предельно понятно и лаконично
Публикация сравнений метрик по различным бизнес-подразделениям
Разумеется в условиях здоровой конкуренции между отделами, Борьба за лидерство между бизнес-единицами компании может благотворно сказаться на улучшении показателей ИБ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 437/469
Пример отчета
Форма вторична, содержание первично
Будьте проще и люди к вам потянутся
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 438/469
Как лгать?
Что такое среднестатистическое число атак?
Январь Февраль Март
313 876 1234
Апрель Май Июнь
1465 1290 1096
Июль Август Сентябрь
987 313 1097
Октябрь Ноябрь Декабрь
1178 1354 5467
Среднеарифметическое – 1389
Медиана – 1137,5
Мода - 313
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 439/469
Как лгать? (окончание)
1000
1050
1100
1150
1200
1250
1300
1350
1400
1450
1500
Март Май
Число атак
1230
1240
1250
1260
1270
1280
1290
Март Май
Число атак
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 440/469
Уровень детализации
Удачно
Неудачно CEO
Руководители
бизнес-
подразделений
Пользователи
CISO
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 441/469
Вспомните пример, приводимый ранее
Число серьезных
уязвимостей снижается
(цель показа)
Число уязвимых IP
остается стабильным
(менеджмент)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 442/469
Облачный SIEM Curois: глубокая детализация
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 443/469
Seculert Dashboard: взгляд с разных точек зрения
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 444/469
QualysGuard Executive Dashboard: анализ уровня защищенности
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 445/469
ISACA Compliance Dashboard: уровень соответствия НПА
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 446/469
Оценка уровня соответствия PCI DSS с помощью Splunk
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 447/469
Визуализация слабых мест в глобальном обеспечении ИБ
Инициативы по ИБ
Уровень соответствия требованиям
ИБ
Актуальные риски ИБ
Уровень зрелости
процессов ИБ
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 448/469
Проект системы визуализации уровня ИБ в Министерстве Обороны США
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 449/469
Threat Management Dashboard
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 450/469
Стандарты
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 451/469
Стандарты по измерениям ИБ
NIST SP 800-55 “Security Metrics Guide for Information Technology Systems”
NIST SP 800-80 “Guide for Developing Performance Metrics for Information Security”
ISO 27004 “Information Security Management Measurement”
ISO/IEC 21827, Information technology – Systems security engineering – Capability Maturity Model Capability Maturity Model (SSE-CMM)
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 452/469
Инициативы американских военных и спецслужб по измерениям ИБ
CJCSI 6510.04 и 3401.03 (для МинОбороны США)
DoD IA Metrics Program
Инициативы Office of the Assistant Secretary of Defense (Network and Information Integration)
Инициативы Department of the Navy Chief Information Officer
Mission Oriented Risk and Design Analysis (MORDA)
DHS National Infrastructure Protection Program (NIPP)
DHS/DoD/NIST Software Assurance Measurement Working Group
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 453/469
Инициативы американских военных и спецслужб по измерениям ИБ
US-CERT Cyber Security Metrics for Control Systems
NASA Jet Propulsion Laboratory Information Security Metrics Program
NASA Deputy CIO Information Security Performance Measures
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 454/469
Отраслевые инициативы по измерениям ИБ
Corporate Information Security Working Group Metrics Team
OWASP Application Security Metrics Project
CIS Security Metrics Initiative
Securitymetrics.org
MS DREAD и MS RASQ
Institute for Security and Open Methodologies (ISECOM) Risk Assessment Values (RAV)
@Stake BAR
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 455/469
Отраслевые инициативы по измерениям ИБ
EDUCAUSE/Internet 2 Security Task Force Sub-Working Group on Security Metrics
Web Application Security Metrics Framework
SecMet
Institute for Information Infrastructure Protection (I3P) Taxonomy of Security Metrics for Process Control Systems
Department of Public Safety and Emergency Preparedness Canada Taxonomy
VTT Technical Research Centre of Finland Security Metrics Taxonomy for R&D Organizations
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 456/469
Прямая и косвенная отдача
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 457/469
Прямая и косвенная отдача
Преимущества для бизнеса и использование преимуществ – это разные вещи
Снижение арендной платы уменьшение арендуемых площадей перевод сотрудников на дом решение по защищенному удаленному доступу
Экономия на:
Аренда площадей
Питание сотрудников
Оплата проездных (если применимо)
Оплата канцтоваров
Принятие решения о переводе принимает менеджмент
Надо не только предлагать решение, но и продвигать его
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 458/469
Прямая и косвенная отдача
Статья экономии Человека/часов Цена*
Идентификация несоответствующих компьютеров 1.0 $12.00
Определение местоположения несоответствующих
компьютеров 1.0 $12.00
Приведение в соответствие 2.0 $24.00
Потенциально сэкономленные затраты на 1 компьютер $48.00
ИБ дала возможность сэкономить, но…
…воспользовался ли бизнес этой возможностью?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 459/469
Что дальше?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 460/469
Что дальше?
Измерения и метрики не нужны сами по себе
Измерения нужны для принятия решений
Не готовы к действиям – не внедряйте программу измерения эффективности ИБ
Пример
Метрика - число уязвимых ПК в финансовом департаменте за прошедший квартал
Готовы ли мы внедрить процесс управления патчами для этих ПК?
Готовы ли мы регулярно оценивать уязвимости и ставить новые патчи?
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 461/469
А что после выбора метрик?
Цель Метрика Целевое значение Инициатива
Улучшить управление
рисками
# инцидентов
безопасности
< 7 в квартал Обучение
пользователей
% систем защиты,
отданных на аутсорсинг
43% Заключение SLA на
аутсорсинг ИБ
Улучшение управления
проектами
% проектов,
завершенных в срок
95% Увеличить число
сертифицированных
специалистов по
управлению проектами
% проектов,
выполненных в рамках
бюджета
95% Внедрение PMO в
отделе
Повысить уровень
бизнес-знаний в службе
ИБ
% сотрудников,
прошедших MBA
25% Обучение MBA
Количество Business
Relations Manager (BRM)
1 Изменение оргштатной
структуры отдела
Compliance Соответствие ISO 27001 Получение сертификата
через год
Обучение по ISO 27001
Внедрение compliance-
решения
Улучшение операций % сбоев в системе
защиты
< 5 в квартал Внедрение системы
контроля качества
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 462/469
Заключение
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 463/469
Пять принципов измерений ИБ
Метрики – это середина, а не конец… Метрики – это середина, а не конец…
Думай по-крупному, но начни с малого… Думай по-крупному, но начни с малого…
Снижай неопределенность, а не повышай ее… Снижай неопределенность, а не повышай ее…
Уважение надо заслужить, а не получить… Уважение надо заслужить, а не получить…
Метрики приводят к другим метрикам… Метрики приводят к другим метрикам…
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 464/469
Прогресс и изменения
Все жаждут прогресса, но никто не хочет изменений
Люди инертны
Склонны верить тому, что узнали в самом начале (ВУЗе, первой работе и т.д.)
Ленивы и не будут упорно трудиться ради изменений
Людей устраивает средний результат. Это зона комфорта. Best Practices никому не нужны (как и мировые рекорды)
Люди считают свои решения лучшими
Чтобы пересмотреть точку зрения, человека надо долго переубеждать или показать воочию
Изменения происходят не вдруг – имейте терпение
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 465/469
Новый взгляд на безопасность
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 466/469
Вопросы?
Дополнительные вопросы Вы можете задать по электронной почте [email protected] или по телефону: +7 495 961-1410
© 2008 Cisco Systems, Inc. All rights reserved. Security Training 467/469