ОПРЕДЕЛЕНИЕ БЮДЖЕТА ДЛЯ РЕАЛИЗАЦИИ ПРОЕКТА СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ОСНОВАНИИ ОЦЕНКИ ПОСЛЕДСТВИЙ ИНЦИДЕНТОВ
Лившиц Илья Иосифович , Лонцих Павел Абрамович , Никифорова Ксения Александровна
2015 / Номер 6(101) 2015 [ Социально-экономические и общественные науки ]
Кратко рассмотрена проблема формирования экономических оценок процессов обеспечения ИБ. Данная проблема имеет важное значение, так как в настоящее время применяются разноплановые подходы при обосновании бюджета для нормального функционирования СМИБ. Основное внимание обращено на сложности формирования оценок затрат для обеспечения требуемого бизнесом уровня ИБ в условиях отсутствия приемлемых (признанных) отраслевых метрик ИБ и проблем при достоверной оценке результативности СМИБ. С учетом поставленной проблемы предложены формулы расчета бюджета для реализации проекта СМИБ на основании оценки последствий инцидентов ИБ и результативности различных применяемых мер (средств) обеспечения ИБ. Дополнительно рассмотрен практический кейс, поясняющий расчет для конкретной моделируемой ситуации. Предложенная численная оценка затрат на обеспечение ИБ основывается на применении метрик ИБ (оценки результативности мер и средств обеспечения ИБ), использует оценки последствий инцидентов ИБ (подтвержденные объективными данными аудитов) и позволяет формировать общую оценку бюджета для реализации проекта СМИБ с целью обеспечить заданный высшим руководством уровень обеспечения ИБ. Данные результаты могут найти применение при формировании, экспертизе, оптимизации и документированном обосновании бюджетов СМИБ, формируемых с целью достижения требуемого уровня обеспечения ИБ в различных организациях.
Ключевые слова:
информационная безопасность (ИБ),система менеджмента информационной безопасности (СМИБ),результативность,метрики ИБ,инциденты ИБ,меры (средства) информационной безопасности,менеджмент рисков,information security (IT-Security),information security management system (ISMS),effectiveness,IT-Security metrics,IT-Security incidents,IT-Security measures (means),risk management
Библиографический список:
- Лившиц И.И., Танатарова А.Т. Внутренний аудит в интегрированных системах менеджмента // Стандарты и качество. 2014. № 8 (926). С. 86-88.
- Лившиц И.И. Применение моделей СМИБ для оценки защищенности интегрированных систем менеджмента // Труды СПИИРАН. 2013. № 8. С. 147-162.
- Dealing with Data Breaches and Data Loss Prevention, An Osterman Research White Paper, Published March 2015, Osterman Research, Inc.
- Хайретдинов Р. Банки в социальных сетях: управление рисками [Электронный ресурс]. URL: http://ural.ib-bank.ru/files/files/11%20Khairetdinov.pdf (23.03.2015).
- Chinese Hacked U.S. Military Contractors, Senate Panel Say [Электронный ресурс]. URL: http://www.slideshare.net/SelectedPresentations/08-smorodinsky (23.03.2015).
- ГОСТ Р ИСО/МЭК 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности» [Электронный ресурс]. URL: libgost.ru (23.03.2015).
- Информационная технология. Управление услугами. Часть 1. Требования к системе управления услугами: ГОСТ Р ИСО/МЭК 20000-1-2013. Введ. 01.01.15. М.: Федеральное агентство по стандартизации и метрологии, 2013. 28 с.
- Societal security - Business continuity management systems - Requirements: ISO 22301:2012, International Organization for Standardization, 2012-05-15. 24 pages.
- Information technology - Security techniques - Information security management systems - Requirements: ISO/IEC 27001:2013, International Organization for Standardization, 2013-09-25. 23 pages.
- Лившиц И.И., Полещук А.В. Практическая оценка результативности СМИБ в соответствии с требованиями различных систем стандартизации - ИСО 27001 и СТО Газпром // Труды СПИИРАН. 2015. № 1. С. 172-185.
- Лившиц И.И., Молдовян А.А., Танатарова А.Т. Исследование зависимости сертификации по международным стандартам ISO от типов организации для ведущих отраслей промышленности // Труды СПИИРАН. 2014. Вып. 3 (34). С. 160-177.
- The Global State of Information Security Survey 2015 [Электронный ресурс]. URL: www.pwc.com/gx/en/consulting-services/information-security-survey/index.jhtml (24.03.2015).
- Ногин В.Д. Принятие решений при многих критериях. СПб.: Государственный Университет - Высшая школа экономики, 2007. 103.
- Душа И. Приоткрытый рынок ИБ АСУ ТП // Безопасность Деловой Информации. 2015. Вып. 9. С. 17-19.
- Лившиц И.И., Лонцих П.А., Полещук А.В. Оценка результативности внедрения системы менеджмента информационной безопасности в соответствии с требованиями ГОСТ Р ИСО/МЭК 27001-2006 и СТО Газпром серии 4.2.: материалы Всероссийской конференции «Информационные технологии, менеджмент качества, информационная безопасность» (IT&MQ&IS-2015), Кабардино-Балкарский государственный университет им. Х.М. Бербекова, май 2015 г. С. 71-79.
Файлы: