:::::: № 1 январь-февраль 2005 г. :::::: — Журнал «Защита информации. Инсайд»

:::::: № 1 январь-февраль 2005 г. :::::: - Журнал «Защита информации. Инсайд» Инвестиции

:::::: № 1 январь-февраль 2005 г. :::::: — журнал «защита информации. инсайд»

Реалии современного бизнеса таковы, что в условиях агрессивной рыночной среды практически любая компания постоянно сосредоточена на поддержании своей конкуренто-способности. И акцент здесь все больше смещается от конкурентоспособности продуктов или услуг к конкурентоспособности компании в целом. Очевидно, что основным инструментом поддержания конкурентоспособности компании является стратегическое бизнес-планирование, направленное на развитие ее адаптивности и повышение устойчивости к воздействию рыночной среды.

Одним из критериев, определяющих финансовую устойчивость компании, являются темпы роста прибыли, опережающие темпы роста затрат на содержание компании. Поэтому на первый план выходят вопросы управления затратами и минимизации издержек. Довольно часто в этих условиях страдают ИТ-бюджеты компаний (особенно в тех организациях, где ИТ не является основным фактором производства), потому что качество и эффективность информационной системы влияют на конечные финансовые показатели опосредованно, через качество бизнес-процессов. Что касается бюджетов на защиту информации, то в этом случае, как правило, финансирование и вовсе ведется по остаточному принципу.

И здесь очень важно ответить на вопрос: как относиться к вложениям в информационную безопасность (ИБ) – как к затратам или как к инвестициям? Необходимо для себя разрешить противоречие: если относиться к вложениям в ИБ как к затратам, то сокращение этих затрат позволит решить тактическую задачу освобождения средств. Однако это заметно отдалит компанию от решения стратегической задачи, связанной с повышением ее адаптивности к рынку, где безопасность бизнеса в целом и ИБ в частности играет далеко не последнюю роль. Поэтому, если у компании есть долгосрочная стратегия развития, она, как правило, рассматривает вложения в ИБ как инвестиции. Именно такой подход позволяет определить цели и задачи построения системы защиты информации (СЗИ), а самое главное, он дает возможность сосредоточиться на результатах, ожидаемых от внедрения этой системы.

В чем же разница? И затраты, и инвестиции есть отвлечение средств, необходимость потратить деньги. Разница в том, что затраты – это, в первую очередь, «осознанная необходимость», инвестиции – это перспектива окупаемости. И в этом случае требуется тщательная оценка эффективности таких инвестиций и экономическое обоснование планируемых затрат.

Эффекты, которых мы достигаем

Основным экономическим эффектом, к которому стремится компания, создавая СЗИ, является существенное уменьшение материального ущерба вследствие реализации каких-либо существующих угроз информационной безопасности. При этом, руководствуясь статистическими данными различных аналитических служб, можно сделать вывод о том, что ущерб этот вполне реален и измеряется в денежных единицах. Например, по данным обзора информационной безопасности и компьютерных преступлений, подготовленного Институтом компьютерной безопасности США при участии ФБР (CSI/FBI Computer Crime and Security Survey), в 2003 году объем ущерба от утечки конфиденциальной информации среди 530 участвовавших в опросе коммерческих и государственных предприятий США составил более 70 млн долл., ущерб от хакерских атак – более 65 млн долл., а ущерб от вирусов – более 270 млн долл. Здесь следует учитывать, что все участвовавшие в опросе организации обладают СЗИ. Так, системы межсетевого экранирования используют 98%, системы антивирусной защиты – 99%, а системы анализа защищенности – 73%. Следовательно, можно предположить, что отсутствие этих систем защиты, а также многих других (контроля доступа, обнаружения вторжений, биометрии и т. д.) привело бы к еще более серьезным последствиям для бизнеса этих предприятий.

Таким образом, обеспечение информационной безопасности компании имеет вполне конкретный экономический смысл. А достижение этой цели должно осуществляться экономически оправданными мерами. Принимать решение о финансировании проектов по ИБ целесообразно лишь в том случае, когда вы уверены, что не просто увеличили расходную часть своего бюджета, а произвели инвестиции в развитие компании. При этом отдача от таких инвестиций должна быть вполне прогнозируемой.

Именно поэтому в основе большинства методов оценки эффективности вложений в информационную безопасность лежит сопоставление затрат, требуемых на создание СЗИ, и ущерба, который может быть причинен компании из-за отсутствия этой системы.

Методы, которые мы выбираем

Когда представляется возможным выразить эффект от внедрения СЗИ в денежных единицах, оценка экономической эффективности такого внедрения становится делом техники. Сегодня для оценки эффективности СЗИ довольно часто используются такие показатели, как отдача на инвестиционный капитал (Return of Investments – ROI) и совокупная стоимость владения (Total Cost of Ownership – TCO).

ROI – это процентное отношение прибыли (или экономического эффекта) от проекта к инвестициям, необходимым для реализации этого проекта (в общем случае под инвестициями понимают ТСО). При принятии решения об инвестициях полученное значение сравнивают со средним в отрасли либо выбирают проект с лучшим значением ROI из имеющихся вариантов. Несмотря на длительный опыт применения этого показателя в ИТ, на сегодняшний день достоверных методов расчета ROI не появилось, а попытки определить его путем анализа показателей деятельности компаний, внедривших у себя те или иные информационные технологии, привели к появлению показателя ТСО, предложенного компанией Gartner Group в конце 80-х годов.

В основу общей модели расчета ТСО положено разделение всех затрат на две категории: прямые и косвенные. Под косвенными затратами, как правило, понимаются скрытые расходы, которые возникают в процессе эксплуатации СЗИ. Эти незапланированные расходы могут существенно превысить стоимость самой системы защиты. По данным той же Gartner Group, прямые затраты составляют 15–21% от общей суммы затрат на использование ИТ.

Одним из ключевых преимуществ показателя ТСО является то, что он позволяет сделать выводы о целесообразности реализации проекта в области ИБ на основании оценки одних лишь только затрат. Тем более, что в случае с защитой информации нередко возникает ситуация, когда экономический эффект от внедрения СЗИ оценить нельзя, но объективная необходимость в ее создании существует.

Другим преимуществом этого показателя является то, что модель расчета ТСО предполагает оценку не только первоначальных затрат на создание СЗИ, но и затрат, которые могут иметь место на различных этапах всего жизненного цикла системы. Но, несмотря на это, показатель ТСО, впрочем, как и ROI, является статичным, отражающим некий временной срез – «фотографический снимок», не учитывая изменения ситуации во времени. Ведь информационные системы с течением времени подвергаются постоянным изменениям, появляются новые угрозы и уязвимости. Таким образом, обеспечение ИБ – это процесс, который необходимо рассматривать именно во времени. Поэтому для анализа эффективности инвестиций в ИБ предлагается рассмотреть возможность применения системы динамических показателей, основанных на методе дисконтированных потоков денежных средств (Discounted Cash Flows – DCF).

Очень чистые стоимости

Целью любых инвестиций является увеличение притока денежных средств (в данном случае – уменьшение размера ущерба в результате реализации угроз ИБ) по сравнению с существующим. При оценке инвестиционного проекта необходимо рассмотреть все потоки денежных средств, связанные с реализацией данного проекта. Неденежные затраты (такие, например, как амортизация) и затраты, уже понесенные до принятия решения об инвестициях, рассматриваться не должны. При этом необходимо учитывать зависимость потока денежных средств от времени. Ведь очевидно, что за получение через год экономического эффекта в размере 100 рублей сегодня инвесторы будут готовы заплатить существенно меньшую сумму, а никак не эти же 100 рублей.

Поэтому будущие поступления денежных средств (снижение ущерба) должны быть дисконтированы, то есть приведены к текущей стоимости. Для этого применяют ставку дисконтирования, величина которой отражает риски, связанные с обесцениванием денег из-за инфляции и с возможностью неудачи инвестиционного проекта, который может не принести ожидаемого эффекта. Другими словами, чем выше риски, связанные с проектом, тем больше значение ставки дисконтирования. Эта ставка также отражает общий уровень стоимости кредита для инвестиций.

Нередко ставка дисконтирования определяется показателем средневзвешенной стоимости капитала (Weighted Average Cost of Capital – WACC). Это средняя норма дохода на вложенный капитал, которую приходится выплачивать за его использование. Обычно WACC рассматривается как минимальная норма отдачи, которая должна быть обеспечена инвестиционным проектом.

Непосредственно для оценки эффективности инвестиций используют показатель чистой текущей стоимости (Net Present Value – NPV). По сути, это текущая стоимость будущих денежных потоков инвестиционного проекта с учетом дисконтирования и за вычетом инвестиций. Этот показатель рассчитывается по следующей формуле:

:::::: № 1 январь-февраль 2005 г. :::::: - Журнал «Защита информации. Инсайд»

где CFi – чистый денежный поток для i -го периода, CF – начальные инвестиции, r – ставка дисконтирования (стоимость капитала, привлеченного для инвестиционного проекта).

При значении NPV большем или равном нулю, считается, что вложение капитала эффективно. При сравнении нескольких проектов принимается тот из них, который имеет большее значение NPV, если только оно положительное.

Предположим, некой компании требуется оценить проект по защите одного из сегментов сети своей информационной системы при помощи системы обнаружения вторжений (IDS). Допустим, известна величина риска, исчисляемая в денежном выражении (20 000 долл. за год), которая учитывает потери от реализации тех или иных атак и вероятности их осуществления. Также известно, что величина риска после внедрения IDS сократится на 70%. Стоимость IDS составляет 15 000 долл. Ставку дисконтирования возьмем среднюю для ИТ рынка – 30 %. Подробнее потоки денежных средств по данному проекту представлены в таблице.

Периоды123
Первоначальные инвестиции— 15 000, 00   
Выгоды (размер риска) 20 000, 0020 000, 0020 000, 00
Размер остаточного риска -6 000, 00-6 000, 00-6 000, 00
Стоимость годовой поддержки -2 000, 00-2 000, 00-2 000, 00
Затраты на администрирование и инфраструктуру -5 400, 00-5 400, 00-5 400, 00
Итого:-15 000, 006 600, 006 600, 006 600, 00
Про бизнес:  Как рассчитать рентабельность проекта: формула и примеры

Если на основе данных, представленных в таблице, рассчитать показатель ROI, то получится, что внедрение IDS в данном случае даст экономический эффект, на 39% превышающий вложения. При анализе этого проекта с учетом стоимости капитала мы имеем следующий результат: инвестирование в этот проект не будет эффективным, так как значение NPV будет отрицательным (3014).

Кроме того, можно рассчитать внутренний коэффициент отдачи (Internal Rate of Return – IRR). Для этого необходимо найти такую ставку дисконтирования, при которой значение NPV будет равно нулю. В данном случае получим значение IRR равное 15%. Это значение имеет конкретный экономический смысл дисконтированной точки безубыточности. В этой точке дисконтированный поток затрат равен дисконтированному потоку доходов. Данный показатель также позволяет определить целесообразность вложения средств.

В рассматриваемом примере инвестиции в проект нецелесообразны, так как мы получили значение IRR меньше заданной ставки дисконтирования (30%).

Анализируй это

Очевидно, что для оценки эффективности инвестиций в создание СЗИ недостаточно лишь определения показателей. Необходимо еще учесть риски, связанные с реализацией того или иного проекта. Это могут быть риски, связанные с конкретными поставщиками средств защиты информации, или риски, связанные с компетентностью и опытом команды внедрения.

Кроме того, полезно проводить анализ чувствительности полученных показателей. Например, в рассмотренном примере увеличение исходного значения риска всего на 12% приведет к получению положительного значения NPV и увеличению ROI на 8%. А если учесть, что риск – это вероятностная величина, то погрешность в 12% вполне допустима. Так же можно проанализировать чувствительность полученных результатов и к другим исходным данным, например к затратам на администрирование.

Не следует забывать и о том, что далеко не весь ущерб от реализации угроз ИБ можно однозначно выразить в денежном исчислении. Например, причинение урона интеллектуальной собственности компании может привести к таким последствиям, как потеря позиций на рынке, потеря постоянных и временных конкурентных преимуществ или снижение стоимости торговой марки. Поэтому нередко даже при наличии рассчитанных показателей ROI и ТСО решение о создании СЗИ принимается на основе качественной оценки возможных эффектов.

Кроме того, сложно себе представить расчет показателей эффективности инвестиций, например, для такого проекта, как сертификация СЗИ на соответствие стандарту ISO 17799.

Такие дополнительные способы анализа сделают полученные результаты оценки более полезными и понятными.

И все-таки данные – основа информации!

Любой метод оценки эффективности инвестиций в ИБ является всего лишь набором математических формул и логических выкладок, корректность применения которых – только вопрос обоснования. Поэтому качество информации, необходимой для принятия решения о целесообразности инвестиций, в первую очередь, будет зависеть от исходных данных, на основе которых производились вычисления. Уязвимым местом в любой методике расчета является именно сбор и обработка первичных данных, их качество и достоверность.

Кроме того, четкое понимание целей, ради которых создается СЗИ, и непосредственное участие постановщика этих целей в процессе принятия решений также является залогом высокого качества и точности оценки эффективности инвестиций в ИБ. Такой подход гарантирует, что система защиты информации не будет являться искусственным дополнением к уже внедренной системе управления, а будет изначально спроектирована как важнейший элемент, поддерживающий основные бизнес-процессы компании.


Обращайтесь!!!
e-mail:    magazine@biznes-bolika.ru
тел.:        7 (921) 958-25-50, 7 (911) 921-68-24


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

§

Как правило, руководители отечественных предприятий рассматривают проблему защиты конфиденциальной информации преимущественно с технической точки зрения. При этом решение названной проблемы связывается с приобретением и настройкой соответствующих технических средств защиты информации. Насколько современные аппаратно-программные средства защиты информации эффективны и достигли своей зрелости? Давайте посмотрим вместе.

Анализ рынка средств защиты информации

Современный рынок средств защиты конфиденциальной информации можно условно разделить на две группы:

  • средства защиты для госструктур, позволяющие выполнить требования нормативно-правовых документов (федеральных законов, указов Президента РФ, постановлений Правительства РФ), а также требования нормативно-технических документов (государственных стандартов, руководящих документов Гостехкомиссии (ФСТЭК) России, Министерства обороны РФ и Федеральной службы безопасности;
  • средства защиты для коммерческих компаний и структур, позволяющие выполнить рекомендации СТР-К Гостехкомиссии России, ГОСТ Р ИСО/МЭК 15408 под общим названием «Общие критерии оценки безопасности информационных технологий» (ОК) и ISO/IEC 17799:2002 (BS 7799-1:2000) «Управление информационной безопасностью – Информационные технологии. – Information technology – Information security management».

Например, для защиты конфиденциальной информации в органах исполнительной власти могут предъявляться следующие требования.

  1. Выбор конкретного способа подключения к сети Интернет, в совокупности обеспечивающего межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры внутренней сети, проведение анализа защищенности интернет-узла, использование средств антивирусной защиты, централизованное управление, должен производиться на основании рекомендаций документа Гостехкомиссии РФ СТР-К.
  2. АС организации должны обеспечивать защиту информации от НСД по классу «1Г» в соответствии с РД Гостехкомиссии РФ «РД. Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации».
  3. Средства вычислительной техники и программные средства АС должны удовлетворять требованиям четвертого класса РД Гостехкомиссии России «РД. Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации».
  4. Программно-аппаратные средства межсетевого экранирования, применяемые для изоляции корпоративной сети от сетей общего пользования, должны удовлетворять требованиям «РД. Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» по третьему классу защиты.
  5. Информационные системы должны удовлетворять требованиям ГОСТ ИСО/ МЭК 15408 по защищенности информационных систем в рамках заданных профилей защиты.
  6. Программно-аппаратные средства криптографической защиты конфиденциальной информации, в том числе используемые для создания виртуальных защищенных сетей, VPN должны быть легитимны.
  7. Обязательным является использование средств ЭЦП для подтверждения подлинности документов.
  8. Для введения использования персональных цифровых сертификатов и поддержки инфраструктуры открытых ключей для использования средств ЭЦП и шифрования необходимо создать легитимный удостоверяющий центр (систему удостоверяющих центров).
  9. Политика информационной безопасности должна предусматривать обязательное включение в технические задания на создание коммуникационных и информационных систем требований по информационной безопасности согласно требованиям функционального стандарта ГОСТ Р 51583-2000, описывающего этапность построения защищенных информационных систем.
  10. Должен быть регламентирован порядок ввода в эксплуатацию новых информационных систем, их аттестации по требованиям информационной безопасности.

Для выполнения перечисленных требований и надлежащей защиты конфиденциальной информации в госструктурах, как правило, используются исключительно сертифицированные средства. Например, средства защиты от несанкционированного доступа (НСД), межсетевые экраны и средства построения VPN, средства защиты информации от утечки за счет ПЭМИН и пр. В частности, для защиты информации от несанкционированного доступа (НСД) используются аппаратно-программные средства семейства Secret Net («Информзащита»), семейства Dallas Lock («Конфидент»), семейства «Аккорд» (ОКБ САПР), электронные замки «Соболь» («Информзащита»), USB-токены («Аладдин») и пр. Для защиты информации, передаваемой по открытым каналам связи, применяются аппаратно-программные межсетевые экраны с функциями организации VPN, например, Firewall-1/VPN-1 (Check Point), «Застава» («Элвис »), VipNet («Инфотекс»), «Континент» («Информзащита»), ФПСУ-IP («АМИКОН») и др.

Средства защиты информации для коммерческих структур более многообразны и включают в себя:

  • управление обновлениями программных компонентов АС;
  • межсетевоое экранирование;
  • построение VPN;
  • контроль доступа;
  • обнаружение вторжений и аномалий;
  • резервноое копирование и архивирование;
  • централизованное управление безопасностью;
  • предотвращение вторжений на уровне серверов;
  • аудит и мониторинг средств безопасности;
  • контроль деятельности сотрудников в сети Интернет;
  • анализ содержимого почтовых сообщений;
  • анализ защищенности информационных систем;
  • защиту от спама;
  • защиту от атак класса «Отказ в обслуживании»;
  • контроль целостности;
  • инфраструктуру открытых ключей;
  • усиленную аутентификацию и пр.

Дадим краткую характеристику перечисленным средствам защиты.

< … >



Обращайтесь!!!
e-mail:    magazine@biznes-bolika.ru
тел.:        7 (921) 958-25-50, 7 (911) 921-68-24


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

§

Всемирная паутина – Интернет – таит в себе множество соблазнов и засад. Одно из явлений, распространяющееся со скоростью чумы по офисам и квартирам интернет-пользователей, получило название онлайновые (или он-лайн) бои. Эта «чума» поражает не только умы неуверенных в себе тинэйджеров, ищущих «спасения» от общества в виртуальном мире, но и может легко подчинить себе сознание преуспевающего бизнесмена, казалось бы, давно искушенного благами цивилизации.

В «группу риска» входят не только закомплексованные люди или те, кому просто нечем заняться. Процент «бойцов» среди офисных сотрудников («белых воротничков») неукоснительно растет. Менеджеры, бухгалтеры, аудиторы, IТ-специалисты, юристы и все те, кто проводит рабочий день перед компьютером, оснащенным выделенной линией, – вот потенциальные потребители услуг порталов по виртуальному мордобитью. Порталы эти, в свою очередь, не являются закрытыми «заведениями» – они общедоступны. Для начала игры требуется лишь пройти регистрацию участника, и вперед, навстречу подвигам! Главное – денег за это никто не требует (пока), что и привлекает новичков, не подозревающих о том, что скоро их увлечение перерастет в зависимость.

Кратко о сути игры. Зарегистрировавшийся участник прибывает на место действия без оружия, доспехов и иного снаряжения. Все это ему предстоит добыть в поединках, которые организованы по принципу «морского боя» – соперники обмениваются сообщениями о точках, в которые наносятся удары. Если атакуемая точка оказывается незащищенной, значит, – попал. Защита, в свою очередь, негативно сказывается на силе удара. Поэтому излишне защищаться не выгодно.

Про бизнес:  Информация Банка России от 23 декабря 2020 г. "Информация о действующих кредитных организациях с участием нерезидентов на 1 октября 2020 года"

Сетевые воины могут объединяться в кланы. Один из влиятельных бойцовских кланов недвусмысленно называется «ЮРИСТЫ». Вступив в клан, вы заручаетесь поддержкой товарищей, можете одолжить у них оружие или ссудить немного виртуальных денег.

Кстати о деньгах. Игра имеет много уровней. На определенной ее стадии у привороженного игрока начинают ненавязчиво просить самые настоящие, не виртуальные деньги. Постепенно игра коммерциализируется полностью – перейти с одного уровня на другой и получить «модную» экипировку без внесения на счет организатора боев соответствующей суммы уже невозможно. Кое-кто даже умудряется тратить десятки тысяч долларов (!) на предметы и услуги, которых в реальном мире просто не существует.

Кроме психологического здоровья населения и снижения производительности труда «зомбированных» сотрудников компаний, есть много проблем, которые рождает рассматриваемое нами явление. Актуален, например, вопрос о необходимости уплаты соответствующих налогов в бюджет государства: должен ли организатор онлайновых боев платить налог на игорный бизнес?

Налогоплательщиками налога на игорный бизнес признаются организации или индивидуальные предприниматели, осуществляющие предпринимательскую деятельность в сфере игорного бизнеса (ст. 365 НК РФ). Под игорным бизнесом понимается предпринимательская деятельность, связанная с извлечением организациями или индивидуальными предпринимателями доходов в виде выигрыша и (или) платы за проведение азартных игр и (или) пари, не являющаяся реализацией товаров (имущественных прав), работ или услуг (ст. 364 НК РФ). Поэтому важно определиться, с чем мы имеем дело – с реализацией товаров, работ или услуг либо с организацией азартных игр.

Азартной игрой, согласно НК РФ, является основанное на риске соглашение о выигрыше, заключенное двумя или несколькими участниками между собой либо с организатором игорного заведения (организатором тотализатора) по правилам, установленным организатором игорного заведения (организатором тотализатора). При этом выигрыш не обязательно должен быть выражен в денежной сумме. Как указано в Письме МНС РФ «О налоге на игорный бизнес» от 12.03.2004 № 22-1-14/413, «…игра является одним из способов развлечения и характерная для некоторых игр направленность на развитие реакции либо способности к анализу не лишает их наличия азарта. Исходя из этого, игровые автоматы с выигрышем в виде мягкой игрушки подпадают под действие гл. 29 «Налог на игорный бизнес» НК РФ».

Рассматриваемые нами игры, безусловно, развивают и реакцию и способность к анализу. Недостаток мягкой игрушки в них компенсируют оружие и обмундирование поверженного воина, а иногда – виртуальная невеста. Да, женитьба «понарошку» служит дополнительным бонусом в таких играх.

Получается, признаки азартной игры в онлайновых боях налицо и платить налог их организатору надо. Однако ст. 366 НК РФ устанавливает исчерпывающий перечень объектов налогообложения: игровой стол, игровой автомат, касса тотализатора и касса букмекерской конторы. Игровой автомат, исходя из содержания определения, установленного в ст. 364 НК РФ, – это специальное оборудование, в том числе электронное, установленное организатором игорного заведения и используемое для проведения азартных игр. Можно ли признать игровым автоматом интернет-сайт, посредством которого организуются онлайновые бои? – вопрос, на который предстоит ответить сотрудникам налоговых органов.

Защита прав и законных интересов, ущемленных в процессе виртуальной игры, – еще один краеугольный камень проблемы. В соответствии со ст. 1063 ГК РФ требования граждан и юридических лиц, связанные с организацией игр и пари или с участием в них, не подлежат судебной защите. Исключение составляют требования лиц, принявших участие в играх или пари под влиянием обмана, насилия, угрозы или злонамеренного соглашения их представителя с организатором игр или пари, а также требования, указанные в п. 5 ст. 1063 ГК РФ. Страхование убытков от участия в играх также не допускается (п. 2 ст. 928 ГК РФ). Следовательно, в рассматриваемом нами случае речь может идти только о самозащите, способы которой должны быть соразмерны нарушению и не выходить за пределы действий, необходимых для его пресечения (ст. 14 ГК РФ). Видимо, интернет-сообществу предстоит выработать такие способы, но представить их себе, честно говоря, пока трудно.


Обращайтесь!!!
e-mail:    magazine@biznes-bolika.ru
тел.:        7 (921) 958-25-50, 7 (911) 921-68-24


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

§

Принятие полгода назад долгожданного закона «О коммерческой тайне», кроме радости, принесло и много огорчений из-за тех недостатков, которые были заложены в текст закона еще при его обсуждении и принятии. Дискуссии и критические статьи, конечно, помогают разобраться в тонкостях законодательства и хитросплетении мыслей авторов закона. Но при всем этом, нам придется руководствоваться в повседневной жизни именно этим законом. Как извлечь максимальную пользу из этого правового акта, несмотря на имеющиеся там подводные камни, мы и поговорим сегодня.

К сожалению, как показала практика, далеко не все руководители предприятий ознакомились с текстом закона (здесь и далее имеется в виду Федеральный закон № 98-ФЗ «О коммерческой тайне»), переложив это на подчиненных, которые, в свою очередь, пытаясь облегчить себе жизнь, осознанно или нет, саботируют принятие необходимых документов и проведение в жизнь организационных мероприятий. Конечно, это не правило, и многие обладатели информации, имеющей действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, приняли меры к выполнению требований закона по организации ее охраны.

Прежде всего, читателю надо самому себе ответить на главный вопрос – нужно ли ему это и для чего. Если ваш вариант ответа совпадает с предлагаемым ниже, то эта статья может быть вам полезна.

Предлагаемый ответ будет прост – если у вас существует информация, «позволяющая… при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду», то принимать меры к ее охране естественно надо, по крайней мере, для того, чтобы вы, при необходимости, смогли «защищать в установленном законом порядке свои права в случае разглашения, незаконного получения или незаконного использования третьими лицами информации, составляющей коммерческую тайну, в том числе требовать возмещения убытков».

Поскольку законная защита прав обладателем информации, составляющей коммерческую тайну, возможна, прежде всего, в судах различной инстанции, то принимаемые меры по ограничению доступа к такой информации должны быть законными и «разумно достаточными».

Чтобы не делать дополнительных оговорок о возможных особенностях, находящихся в прямой зависимости от различного рода деятельности, территориальной обособленности и объема бизнеса, необходимо договориться, что в этой статье мы рассматриваем абстрактный хозяйствующий субъект.

< … >



Обращайтесь!!!
e-mail:    magazine@biznes-bolika.ru
тел.:        7 (921) 958-25-50, 7 (911) 921-68-24


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

Анализ существующих подходов

Математические пакеты Maple [7.36] и Mathematica [7.45] отличаются простотой кодирования алгоритмов и не имеют встроенных ограничений на разрядность операндов.

Высокой эффективности можно добиться, используя встроенные средства низкоуровневого языка программирования для разработки функций, необходимых для исследования криптосистем. Однако важно отметить, что реализация примитивов для конструирования современных методов криптоанализа асимметричных шифров оперирует числами в длинной арифметике.

В реализации языков на платформе . NET отсутствует тип extendeddouble: он доступен только неявно при выполнении промежуточных вычислений (например, где умножение дает результат, выходящий за пределы диапазона значений double, но последующее деление возвращает промежуточный результат обратно в этот диапазон).

Кроме того, существует встроенный 128-битный тип данныхdecimal, позволяющий представлять целые числа разрядностью до 96 бит (в соответствии с размером мантиссы), однако он реализуется в режиме эмуляции, поскольку аппаратная поддержка этого типа на сегодняшний день отсутствует [7.11].

Java поддерживает возможность работы с длинными числами и обладает переносимостью, однако недостатком является низкая эффективность реализации.

Рассмотрим специализированные библиотеки функций для работы с длинной арифметикой и теоретико-числовыми задачами, находящиеся в открытом доступе: LIP, LiDIA, CLN, GMP, NTL.

Библиотека для работы с длинной арифметикойLIP (Long Integer Package) [7.18] является одной из первых таких библиотек. Она была разработана на языке ANSIC известным специалистом Арженом Ленстрой (Arjen K. Lenstra) и поддерживается Полом Лейлендом (Paul Leyland).

Библиотека CLN (a Class Library for Numbers) [7.8] реализует элементарные арифметические, логические и трансцендентные функции. Авторами библиотеки являются Бруно Хейбл (Bruno Haible)

и Ричард Крекел (Richard Kreckel). CLN содержит большой набор классов, реализованных на C , в частности, классы для поддержки модулярной арифметики, операций с целыми, рациональными и комплексными числами, числами с плавающей запятой.

Библиотека теоретико-числовых алгоритмов LiDIA [7.16], предложенная Томасом Папаниколау (Thomas Papanikolau, Technical University of Darmstadt), написана на C ,поддерживает различные пакеты для работы с целыми числами ( GMP, CLN, LIP ) и характеризуется высокоэффективными реализациями типов данных с увеличенной точностью и алгоритмов с большой временной сложностью.

Недостатком библиотеки LiDIA является невозможность сборки в операционных системах Windows, что очень существенно в связи с широким использованием продуктов Microsoft и необходимостью проверки их защищенности.

При разработке GMP ( GNUMultiple Precisionarithmeticlibrary ) [7.12] был сделан упор на скорость.

Эффективность от использования библиотеки теоретико-числовых алгоритмов GMP растет при увеличении разрядностиоперандов. Часть функций реализована на языке C, часть — на ассемблере.

Автором является Торбжорд Гранланд (Torbjord Granlund). Помимо несовместимости с платформой Windows, недостатком GMP является отсутствие алгоритмов формирования факторной базы, разложения на множители и ряда других, необходимых для реализации современных методов криптоанализа.

Про бизнес:  Рентабельность - понятие и виды, формула расчета показателей

Известная математическая библиотека библиотека NTL (a Library for doing Number Theory) [7.20] разработана Виктором Шаупом (Victor Shoup) для поддержки теоретико-числовых алгоритмов.

Функции, реализованные на языке C ,характеризуются переносимостью. Библиотеку можно использовать совместно с GMP в целях повышения эффективности. NTL имеет большое количество преимуществ по сравнению с рассмотренными аналогами (см. табл. 7.1), однако для решения поставленной задачи реализованных в библиотеке NTL алгоритмов недостаточно. Кроме того, для ее использования в криптоанализе специалист должен обладать квалификацией программиста.

Как видно из табл. 7.1, ни одно из рассмотренных решений не удовлетворяет одновременно всем пяти установленным критериям.

Инвестиции в информационную безопасность. информационные технологии и управление предприятием

Инвестиции в информационную безопасность

В качестве примера использования методики ТСО для обоснования инвестиций на информационную безопасность (ИБ) рассмотрим проект создания корпоративной системы защиты информации от вирусов и вредоносных апплетов, интегрированной с системой контроля и управления доступом на объекте информатизации.

Для этого сначала условно определим три возможных степени готовности корпоративной системы защиты от вирусов и вредоносных апплетов, а именно: базовую, среднею и высокую.

Базовая. Стационарные и мобильные рабочие станции обладают локальной защитой от вирусов. Антивирусное программное обеспечение и базы сигнатур регулярно обновляются для успешного распознавания и парирования новых вирусов. Установлена программа автоматического уничтожения наиболее опасных вирусов. Основная цель уровня – организация минимальной защиты от вирусов и вредоносных апплетов при небольших затратах.

Средняя. Установлена сетевая программа обнаружения вирусов. Управление программными обновлениями на сервере автоматизировано. Системный контроль над событиями оповещает о случаях появления вирусов и предоставляет информацию по предотвращению дальнейшего распространения вирусов. Превентивная защита от вирусов предполагает выработку и следование определенной политике защиты информации, передаваемой по открытым каналам связи. Дополнительно к техническим мерам активно предлагаются и используются организационные меры защиты информации.

Высокая. Антивирусная защита воспринимается как один из основных компонентов корпоративной системы защиты. Система антивирусной защиты тесно интегрирована в комплексную систему централизованного управления ИБ компании и обладает максимальной степенью автоматизации. При этом организационные меры по защите информации преобладают над техническими мерами. Стратегия защиты информации определяется исключительно стратегией развития бизнеса компании.

Также условно выделим три степени готовности системы контроля и управления доступом: базовая, средняя, высокая.

Базовая. Ведется учет серийных номеров рабочих станций и серверов, инвентаризационные таблички крепятся на соответствующее аппаратное обеспечение. Введена процедура контроля перемещения аппаратных средств КИС. Проводятся постоянные и периодические инструктажи персонала компании. Особое внимание уделяется мобильным компонентам КИС.

Средняя. Используются механические и электронные замки, шлюзовые кабины и турникеты. Организованы контрольно-пропускные пункты и проходные. Осуществляется видеонаблюдение на объекте информатизации. Требования к персоналу определены и доведены под роспись. Разработаны инструкции по действию в штатных и внештатных ситуациях. Задействованы частные и государственные охранные предприятия и структуры.

Высокая. Обеспечение физической безопасности аппаратных средств является частью единой политики безопасности, утвержденной руководством компании. Активно используется весь комплекс мер защиты информации, начиная с организационного и заканчивая техническим уровнем.

Проект по созданию корпоративной системы защиты информации от вирусов предполагает определенное развитие и переход от некоторого базового уровня (уровень 0) к более высокому (уровень 10). В табл. 10.3 приведены характеристики процесса развития корпоративной системы защиты информации на выделенных уровнях защиты.

Таблица 10.3.

Характеристики базового и повышенного уровней защиты

:::::: № 1 январь-февраль 2005 г. :::::: - Журнал «Защита информации. Инсайд»

Таблица 10.3. Характеристики базового и повышенного уровней защиты (окончание)

:::::: № 1 январь-февраль 2005 г. :::::: - Журнал «Защита информации. Инсайд»

В табл. 10.4 приведены список статей и возможный уровень снижения расходов при развитии процессов управления информационной безопасности и защиты от вирусов (начиная от уровня 0 и заканчивая уровнем 10) [4] .

Таблица 10.4. Статьи расходов базового и повышенного уровней защиты :::::: № 1 январь-февраль 2005 г. :::::: - Журнал «Защита информации. Инсайд»

Таблица 10.4. Статьи расходов базового и повышенного уровней защиты (окончание)

:::::: № 1 январь-февраль 2005 г. :::::: - Журнал «Защита информации. Инсайд»

В табл. 10.5 и на рис. 10.2 показан уровень снижения расходов при переходе на более высокий уровень защищенности КИС (переход с уровня 0 на уровень 10). Полученные данные о снижении ТСО в среднем на 230 тыс. долларов в год позволяют обосновать инвестиции в размере около 600 тыс. долларов на защиту от вирусов. При этом период окупаемости составляет не более трех лет.

Таблица 10.5. Уровень снижения расходов при внедрении лучших мировых методик :::::: № 1 январь-февраль 2005 г. :::::: - Журнал «Защита информации. Инсайд»

:::::: № 1 январь-февраль 2005 г. :::::: - Журнал «Защита информации. Инсайд»Рис. 10.2. Уровень снижения расходов при внедрении лучших мировых методик

Прокомментируем перечисленные расходы.

Расходы на аппаратные средства и программное обеспечение. Эта категория модели ТСО включает серверы, компьютеры клиентов (настольные и мобильные компьютеры), периферийные устройства и сетевые компоненты. Расходы на аппаратно-программные средства ИС также входят в эту категорию.

Расходы на операции ИС. Прямые затраты на содержание персонала, стоимость работ и аутсорсинг, произведенные компанией в целом, бизнес-подразделениями или службой ИС для осуществления технических задач и операций по поддержанию инфраструктуры для пользователей распределенных вычислений.

Административные расходы. Прямые затраты на персонал, обеспечение деятельности и расходы внутренних/внешних поставщиков (вендоров) на поддержку операций, включающих управление, финансирование, приобретение и обучение ИС.

Расходы на операции конечных пользователей. Это затраты на самоподдержку конечных пользователей, а также на поддержку их друг другом в противовес официальной поддержке ИС. Затраты включают: самостоятельную поддержку, официальное обучение конечных пользователей, нерегулярное (неофициальное) обучение, самостоятельные прикладные разработки, поддержку локальной файловой системы.

Расходы на простои. Данная категория учитывает ежегодные потери производительности конечных пользователей от запланированных и незапланированных отключений сетевых ресурсов, включая клиентские компьютеры, совместно используемые серверы, принтеры, прикладные программы, коммуникационные ресурсы и ПО для связи. Для анализа фактической стоимости простоев, которые связаны с перебоями в работе сети и которые оказывают влияние на производительность, исходные данные получают из обзора по конечным пользователям. Рассматриваются только те простои, которые ведут к потере производительности.

В табл. 10.6 и на рис. 10.3 показан пример расчета ТСО для организаций, обладающих средним уровнем защищенности КИС (уровень 5).

Таблица 10.6. Пример расчета ТСО :::::: № 1 январь-февраль 2005 г. :::::: - Журнал «Защита информации. Инсайд»

:::::: № 1 январь-февраль 2005 г. :::::: - Журнал «Защита информации. Инсайд»Рис. 10.3. Пример расчета ТСО

Таким образом, применение методики ТСО для обоснования инвестиций в проекты обеспечения информационной безопасности на предприятии вполне обосновано и имеет право на существование. При этом выбор конкретной методики оценки затрат на ИБ находится в сфере ответственности руководителей соответствующих служб и отделов защиты информации.

Данный текст является ознакомительным фрагментом.

Математическая модель угроз безопасности информационных ресурсов

На основе анализа существующих классификационных схем, перечисленных выше, нами были разработаны новые многокритериальные классификации криптосистем, атак и злоумышленников (см. рис. 7.3 — 7.5 ).

Далее мы покажем, как применение разработанных классификационных схем для построения ABC -модели позволяет провести всесторонний анализ угроз безопасности информационных ресурсов, защищенных с использованием криптографических средств.

Пусть A subseteq A_1 times A_2 times ldots times A_8атак, где A_ii=overline{1,9}атаки, определяющего тип атаки в соответствии с критериями разработанной классификации. Каждая модель vec a in A(a_1, a_2, ldots , a_9) vec {a_i} in A_iзлоумышленника задается в виде вектораvec b in BB subseteq B_1 times B_2 times ldots times  B_6B_jj= overline {1,6}злоумышленника, модель криптосистемы vec c in CC subseteq C_1 times C_2 times ldots times  C_6,k= overline{1,6}криптосистемы в соответствии с многокритериальной классификацией. Заметим, что множества значений параметров модели атаки, злоумышленника и криптосистемы конечны.

При дальнейшем изложении для краткости слово «модель» применительно к модели атаки, модели злоумышленника и модели криптосистемы будем опускать.

С каждой атакой будем связывать значение риска, вычисляемое по общеизвестной формуле на основе двух факторов — вероятности происшествия и тяжести возможных последствий:

Риск = Влияние Вероятность

Обозначим через Re : A times B times C to [0;1] vec a in Avec b in Bкриптосистемы vec c in CI : C times A to [0;1] impact — влияние, воздействие). Под влиянием мы будем понимать степень ущерба от применения атакиvec a in Aкриптосистеме vec c in CP : B times A to [0;1] злоумышленникvec b in Bvec a in AReI(vec c, vec a)I_{gh} : C_g times A_h to R_ R_ I_{gh} криптосистемы C_gатакиa_h

Например, если исследуемый алгоритм шифрования реализован в аппаратном обеспечении, это повышает вероятность применения для взлома криптосистемыатак по побочным каналам [7.

37] (это вид криптографических атак, использующих информацию, которая может быть получена с устройства шифрования и не является при этом ни открытым текстом, ни шифртекстом).

Обозначим через overline {I_{gh}} : C_g times A_h to [0;1] ущерба от применения атакиvec a in Aкриптосистеме vec c in Cкриптосистема заданы параметрами (a_1,a_2, ldots , a_9) (c_1,c_2, ldots , c_6) криптосистемы на применимость атаки с заданным значением -го параметра в этой формуле вычисляется по мультипликативному критерию: prodlimits_{g=1}^6 overline {I_{gh}} (c_g, a_h) криптосистемы противоречит возможности применения атаки, то результатом оценки применимости атаки к криптосистеме будет нулевое значение, что соответствует нулевому уровню ущерба от атаки.Функция P(vec b, vec a) (a_1,a_2, ldots , a_9) атаки и (b_1,b_2, ldots , b_6) злоумышленника, выражается аналогично функции I(vec c, vec a) злоумышленника и атаки можно привести следующий пример: наличие у предполагаемого взломщика доступа к распределенным вычислительным ресурсам повышает вероятность применения метода «грубой силы» и, вообще говоря, любой атаки, легко поддающейся распараллеливанию.Таким образом, общая формула для определения уровня риска, связанного с атакой vec a in Avec b in Bкриптосистемы vec c in Cкриптосистема vec c in Cvec a in Aзлоумышленникvec b in BRe (vec a, vec b, vec c) > thetathetatheta  in [0;1] Допустимый уровень рискаthetaABC -модели угрозкриптосистемы. Значение theta

В общем случае:

Множество атак, которым подвержена криптосистема, состоящая из подсистем vec c in  C'C' subseteq Cvec b in B'B' subseteq BLambda = cuplimits_{vec b in B'} cuplimits_{vec c in C'} lambda (vec b, vec c) lambda (vec b, vec c)={ vec a in A : Re (vec a, vec b, vec c) > theta } криптосистемы необходимо с использованием инструментальных средств оценить ее способность противостоять атакам, входящим в множество Lambda

В описанной математической модели сделаны следующие допущения:

Исправление ABC -модели с учетом указанных допущений привело бы к ее значительному усложнению. Вопрос о том, насколько эти допущения снижают точность моделирования угроз безопасности, подлежит дальнейшим исследованиям.

Важно отметить, что разработанная классификационная схема для построения моделей атак на алгоритмы шифрования с небольшими модификациями применима и для моделирования атак на криптопротоколы.

Возможность использования ABC -модели угроз для комплексного исследования криптосистемы является важной, т.к. вопрос совместного функционирования криптопротоколов и шифров в рамках одной криптосистемы, как показано в [7.27], до сих пор был мало изучен.

Оцените статью
Бизнес Болика