SlideShare uma empresa Scribd logo

Security Measurement.pdf

Aleksey Lukatskiy
Aleksey Lukatskiy
1 de 66
Baixar para ler offline
Измерение эффективности ИБ Алексей Лукацкий Бизнес-консультант по безопасности Security Training © 2008 Cisco Systems, Inc. All rights reserved. 1/66
“Если вы можете измерить то, о чем говорите, и выразить это в цифрах, вы что-то знаете об этом предмете. Но если вы не можете выразить это количественно, ваши знания крайне ограничены и неудовлетворительны.” Лорд Кельвин (Уильям Томсон), британский физик Presentation_ID Security Training © 2006 Cisco Systems, Inc. Systems, reserved. © 2008 Cisco All rights Inc. All rights Cisco Confidential reserved. 2/66
Модель зрелости измерений ИБ 5. Управлять всем 4. Как связать с бизнесом? 3. Как можно измерять? 2. Что можно измерять? 1. А разве можно измерять? Security Training © 2008 Cisco Systems, Inc. All rights reserved. 3/66
Измерение ИБ это многогранная задача 1. Уровень опасности или сколько мы потеряем? 2. Сколько денег на ИБ достаточно? 3. Мы достигли цели? 4. Насколько оптимально мы движемся к цели? 5. Сколько стоит информация? 6. Насколько мы соответствуем стандартам или требованиям? 7. Какая из мер защиты выгоднее/лучше? 8. Как мы соотносимся с другими? 9. … Security Training © 2008 Cisco Systems, Inc. All rights reserved. 4/66
Проблема измерений ИБ Security Training © 2008 Cisco Systems, Inc. All rights reserved. 5/66
Почему мы отказываемся измерять?  Это нематериально, а значит неизмеримо  Отсутствуют методы измерения  «Проценты, статистика… С помощью них можно доказать все, что угодно»  «Чтобы оценить этот показатель, нужно потратить миллионы рублей. А менее масштабный проект дает большую погрешность» Важные для предприятия проекты пропускаются в пользу слабых только потому, что во втором случае методы оценки ожидаемого эффекта всем известны, а в первом нет Security Training © 2008 Cisco Systems, Inc. All rights reserved. 6/66
Проблемы измерений  Принятие решений часто требует количественной оценки предполагаемых нематериальных активов или вопросов  Многие считают такую оценку невозможной, а нематериальное неподдающимся измерению Именно это часто является причиной отказа от многих проектов (предубеждение пессимизма)  Раз это невозможно, то мало кто пытается это сделать  Но Если какой-либо объект/явление можно наблюдать тем или иным образом  существует метод его измерения Security Training © 2008 Cisco Systems, Inc. All rights reserved. 7/66
Развенчание мифа  Если что-то лучше  Есть признаки улучшения  Улучшение можно наблюдать  Наблюдаемое улучшение можно посчитать  То, что можно посчитать, можно измерить  То, что можно измерить, можно оценить  …и продемонстрировать! Security Training © 2008 Cisco Systems, Inc. All rights reserved. 8/66
Начнем с определений или что такое измерение? Security Training © 2008 Cisco Systems, Inc. All rights reserved. 9/66
Что такое измерение?  Измерение – это определенность, точная величина? Количественное выражение чего-либо? Расчет точной стоимости чего-либо? Сведение к одному числу?  Измерение – это совокупность снижающих неопределенность наблюдений, результат которых выражается некоей величиной!  Измерение – это не только полное, но и частичное сокращение неопределенности Security Training © 2008 Cisco Systems, Inc. All rights reserved. 10/66
“Как это не парадоксально, но всякая точная наука основывается на приблизительности. Если кто-то говорит вам, что точно знает что- то, можете смело делать вывод: вы разговариваете с человеком, не имеющим понятия о точности.” Бертран Рассел, британский математик и философ Presentation_ID Security Training © 2006 Cisco Systems, Inc. Systems, reserved. © 2008 Cisco All rights Inc. All rights Cisco Confidential reserved. 11/66
Вернемся к определениям или что такое информационная безопасность? Security Training © 2008 Cisco Systems, Inc. All rights reserved. 12/66
“Правильно поставленная проблема уже наполовину решена.” Чарльз Кеттеринг, американский изобретатель Presentation_ID Security Training © 2006 Cisco Systems, Inc. Systems, reserved. © 2008 Cisco All rights Inc. All rights Cisco Confidential reserved. 13/66
О понятии ИБ  ИБ – это не универсальное, не стандартное понятие  Оно персонифицировано в каждой конкретной ситуации, для каждой конкретной организации, для каждого конкретного CISO В одной и той же компании, разные CISO могут по-разному заниматься ИБ В одной и той же компании при одном и том же CISO, но разных CEO, ИБ может двигаться в разных направлениях  ИБ – это понятие, зависящее от множества факторов/элементов Security Training © 2008 Cisco Systems, Inc. All rights reserved. 14/66
Термин «безопасность»  Безопасность – отсутствие опасности В.Даль  Безопасность – состояние, при котором не угрожает опасность С.Ожегов  Безопасность – состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз ФЗ «О безопасности» Security Training © 2008 Cisco Systems, Inc. All rights reserved. 15/66
Термин «безопасность»  Безопасность информации - деятельность, направленная на предотвращение или существенное затруднение несанкционированного доступа к информации (или воздействия на информацию) ФСТЭК  ИБ – технологическая задача, обеспечивающая целостность, конфиденциальность и доступность А как же борьбы со спамом? Или шантаж DDoS?  Безопасность - состояние защищенности объекта от внешних и внутренних угроз Security Training © 2008 Cisco Systems, Inc. All rights reserved. 16/66
Термин «безопасность»  Безопасность – системное свойство, позволяющее развиваться и процветать в условиях конфликтов, неопределенности и рисков на основе самоорганизации и управления  Безопасность – деятельность людей, общества, государства по выявлению, предупреждению, ослаблению, устранению и отражению опасностей и угроз, способных погубить их, лишить ценностей, нанести неприемлемый ущерб, закрыть путь для выживания и развития  Информационная безопасность - динамическое состояние сохранения жизненно важных параметров предприятия в информационной сфере Security Training © 2008 Cisco Systems, Inc. All rights reserved. 17/66
Как я понимаю ИБ?!  Информационная безопасность - состояние защищенности интересов стейкхолдеров предприятия в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества, государства и бизнеса Переработанное определение из Доктрины информационной безопасности  Очень емкое и многоуровневое определение  Может без изменения применяться в ЛЮБОЙ организации Меняться будет только наполнение ее ключевых элементов – стейкхолдеры, информационная сфера, интересы Security Training © 2008 Cisco Systems, Inc. All rights reserved. 18/66
Стейкхолдеры ИБ • ИТ • ИБ Внутри • • Юристы Служба внутреннего контроля предприятия • • HR Бизнес-подразделения • Руководство • Пользователи Снаружи • • Акционеры Клиенты предприятия • • Партнеры Аудиторы • ФСТЭК • ФСБ Регуляторы • • Роскомнадзор СВР • МО • ФАИТ Security Training © 2008 Cisco Systems, Inc. All rights reserved. 19/66
Информационная сфера  Информационная сфера - это совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений  В данном определении информационная инфраструктура включает в себя также и технологии обработки информации Security Training © 2008 Cisco Systems, Inc. All rights reserved. 20/66
Интересы стейкхолдеров  Универсального списка интересов не существует – у каждого предприятия на каждом этапе его развития в различном окружении при различных руководителях интересы различны ИБ Юристы Регуляторы • Конфиденциальность • Соответствие • Соответствие • Целостность • Защита от • Доступность преследования • Новые законы Пользователи Акционеры ИТ • Тайна переписки • Рост стоимости акций • Доступность • Бесперебойный • Контроль топ- сервисов Интернет менеджмента • Интеграция • Комфорт работы • Прозрачность • Снижение CapEx Security Training © 2008 Cisco Systems, Inc. All rights reserved. 21/66
Интересы бизнеса  Рост (доли рынка, маржинальности, доходности…)  Экспансия (новые рынки, новые целевые аудитории)  Рост продуктивности сотрудников  Соответствие требованиям  Инновации и новые бизнес-практики  Реинжиниринг бизнес-процессов  Взаимоотношения с клиентами (лояльность) … Security Training © 2008 Cisco Systems, Inc. All rights reserved. 22/66
Определите объект измерения!!!  Самое важное – определить объект измерения!  Что для вас информационная безопасность? Снижение числа вредоносных программ? Получение аттестата PCI Council? Снижение числа запросов в Help Desk по поводу забытых паролей? Снижение числа утечек конфиденциальной информации? Защита от наездов регуляторов?  Что конкретно ВЫ имеете ввиду?!  Определитесь с объектом измерения и половина работы по измерению будет проведена! Security Training © 2008 Cisco Systems, Inc. All rights reserved. 23/66
Закончим с определениями или что такое эффективность? Security Training © 2008 Cisco Systems, Inc. All rights reserved. 24/66
“Ничто так не мешает прогрессу знания, как расплывчатость терминологии.” Томас Рейд, шотландский философ Presentation_ID Security Training © 2006 Cisco Systems, Inc. Systems, reserved. © 2008 Cisco All rights Inc. All rights Cisco Confidential reserved. 25/66
Что такое эффективность?  Мало кто может сказать, что такое эффективность – большинство может сослаться на разрозненные наблюдения, которые ассоциируются у них с эффективностью Число эпидемий стало меньше Заказчики стали меньше звонить в Help Desk по поводу недоступности сайта Пользователи стали реже заносить вредоносные программы на флешках Руководство не жалуется, что не может «достучаться» до корпоративной ИС из командировки Сервер AD ни разу не «упал» в этом месяце Security Training © 2008 Cisco Systems, Inc. All rights reserved. 26/66
Что такое эффективность?  Эффективность – это поддающийся количественному определению вклад в достижение конечных целей  Важно в конкретном случае детализировать понятие «эффективность» (объект измерения) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 27/66
Efficiency vs. Effectiveness  Термин «эффективность» на английском языке имеет два значения Результативность Оптимальность  Сначала мы обычно оцениваем достижение цели как таковой (результат) Но интересно ли нам достижение цели любыми средствами? Security Training © 2008 Cisco Systems, Inc. All rights reserved. 28/66
Измерение на результат и процесс  Измерения, нацеленные на результат Наиболее привычные для служб ИБ Чаще всего выдаются системами защиты  Измерения, нацеленные на процесс Сложнее оцениваются Требуют взаимодействия с людьми • Процент заблокированного спама • Процент прошедшего спама через Антиспам антиспам и о котором сообщили сотрудники, прошедшие тренинг повышения осведомленности Security Training © 2008 Cisco Systems, Inc. All rights reserved. 29/66
Цели ИБ  Прежде чем оценивать эффективность, необходимо понять, определить и зафиксировать цели, эффективность достижения которых мы измеряем!!! Получение аттестата ФСТЭК на все АС/ИСПДн Сертификация ключевых процессов на соответствие ISO 27001 Достижение 4 уровня по СТО БР ИББС Сокращение числа инцидентов ИБ до 3 в месяц Внедрение защищенного мобильного доступа для руководства Внедрение защищенного удаленного доступа для географической экспансии Повышение устойчивости инфраструктуры к DDoS-атакам с целью повышения лояльности клиентов и снижение их текучки Снижение затрат на ИБ на 15% Security Training © 2008 Cisco Systems, Inc. All rights reserved. 30/66
Главный промежуточный итог Security Training © 2008 Cisco Systems, Inc. All rights reserved. 31/66
Измерение эффективности ИБ  Комбинация 3 ключевых элементов Что позволяет выбрать такое Метод оценки ИБ? Метрики для демонстрации Цели Способ демонстрации ИБ целевой аудитории Частоту оценки Измерение Инструментарий оценки … Security Training © 2008 Cisco Systems, Inc. All rights reserved. 32/66
Отдельные аспекты измерения Security Training © 2008 Cisco Systems, Inc. All rights reserved. 33/66
Могут ли быть нефинансовые метрики?  Классические финансовые метрики определяют балансовую стоимость предприятия, его доходы и расходы  Рыночная стоимость, капитализация определяются в т.ч. и нефинансовыми показателями Уровень корпоративного управления Наличие бренда Прозрачность Эффективность управления И т.д.  Не зря появляется такое понятие, как система сбалансированных показателей (Balanced scorecard, BSC) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 34/66
Security balanced scorecard Заказчик Compliance Финансы Заказчик Базовая Будущее BSC Ценность для бизнеса Внутренние Обучение и рост процессы Операционная эффективность Security Training © 2008 Cisco Systems, Inc. All rights reserved. 35/66
Иерархия метрик в масштабе службы ИБ Система управления (Security Governance) Система управления (Security Management) Технические средства (Security System) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 36/66
Иерархия метрик в масштабе предприятия Корпоративные измерения (финансы, индексы, рейтинги) Сравнение с другими компаниями Измерение достижения департаментами своих целей и их оптимальности Измерение отдельных элементов (продуктов, процессов, услуг) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 37/66
Принципы выбора метрик Характеристика Пример хорошей метрики Пример плохой метрики Конкретная Число неудачных попыток Число неудачных попыток входа в систему в неделю входа в систему на одного сотрудника Измеримая Уровень лояльности Доход от внедрения внутренних клиентов системы защиты Достижимая Число инцидентов в Отсутствие инцидентов ИБ текущем квартале < 5 за текущий квартал Релевантная Число проектов Число запущенных завершенных в срок проектов Актуальная Число пропатченных ПК в Число пропатченных ПК в этом году прошлом году Security Training © 2008 Cisco Systems, Inc. All rights reserved. 38/66
Что показать руководству? Градация уровней Пример расчета 1 2 3 4 5 Значение Уровень Вес Рейтинг Число уязвимостей на ПК (в среднем) 100 75 50 25 0 34 4 25 100 Число инцидентов ИБ >5 5 3-4 1-2 0 2 4 25 100 Число непропатченных 100% 75% 50% 25% 0% 65% 3 25 75 ПК Объем спама <80% 80% 90% 95% >95% 24% 1 25 25 Совокупный рейтинг 300  Задача: повысить индекс до максимальных 500 Security Training © 2008 Cisco Systems, Inc. All rights reserved. 39/66
Проблема финансовой оценки ИБ  Универсального метода финансовой оценки ИБ не существует Возможность применения различных финансовых методик зависит от знаний и опыта как стороны демонстрирующей оценку (служба ИБ), так и стороны, которой демонстрируют  Многие руководители (не только службы ИБ) считают, что оценить ИБ финансово невозможно Но можно оценить стоимость защищаемой информации, ущерб от инцидентов, эффективность проекта по IT Security  Это возможно, но только при условии выхода на бизнес-уровень, где вы можете посчитать отдачу! Security Training © 2008 Cisco Systems, Inc. All rights reserved. 40/66
Пример 1: снижение арендной платы  Решение по защищенному удаленному доступу  перевод сотрудников на дом  уменьшение арендуемых площадей  снижение арендной платы  Экономия на: Аренда площадей Питание сотрудников Оплата проездных (если применимо) Оплата канцтоваров Оплата коммунальных расходов, а также Улучшение психологического климата за счет работы дома Рост продуктивности Security Training © 2008 Cisco Systems, Inc. All rights reserved. 41/66
Пример 2: рост продуктивности Предприятие Филиал Дом Отель Главный Si Аэропорт офис HQ Si WAN/Internet Дорога Кафе Вчера: Люди “шли” на работу Сегодня: Работа “идет” к людям 100 500 1000 сотрудников сотрудников сотрудников Зарплата ($25K в год) $2,5 млн. $12,5 млн. $25 млн. 1 час потери продуктивности $1,200 $6,000 $12,000 Потери в год от 1 часа в неделю $62,5K $312,5К $625К  Многие компании фокусируются на предоставлении сервиса на своей территории (зарплата, билеты, документооборот…)  Сотрудник в среднем тратит только 30–40% времени в офисе Security Training © 2008 Cisco Systems, Inc. All rights reserved. 42/66
Что надо сделать?!  Вспомните про цели и определение объекта измерения!  Что вы хотите измерить деньгами Сколько вы потеряете не внедрив систему защиты? Сколько вы потратите на систему защиты за 3 года? За сколько лет вернутся деньги, потраченные на систему защиты? Выгоден ли этот проект? (определите, что для вас выгода) Какая система защиты из двух дешевле? Или выгоднее? Рискованны ли инвестиции в этот проект? Security Training © 2008 Cisco Systems, Inc. All rights reserved. 43/66
Классические финансовые модели Оценка проекта по ИБ  Total Cost of Ownership (TCO) Во сколько обойдется проект с учетом косвенных и всех прямых затрат?  Net Present Value (NPV) Какова ценность вкладываемых финансовых ресурсов для проекта при определенной ставке дисконтирования?  Internal Rate of Return (IRR) Какова ставка дисконтирования, при которой проект еще имеет смысл?  Return on Investment (ROI) Что мы потеряем и что получим от внедрения проекта?  Playback Period (PbP) Security Training Когда вернутся инвестиции? © 2008 Cisco Systems, Inc. All rights reserved. 44/66
«Новые» финансовые методы  Оценка стоимости нематериальных активов МСФО 38 «Нематериальные активы» GAAP (для США) EVS 2000 (для Евросоюза) Стандарты оценки РФ (утверждены ПП-519 от 6.07.2001)  Economic Value Added (EVA)  Economic Value Sourced (EVS)  iValue  Total Economic Impact (TEI)  Applied Information Economics (AIE) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 45/66
Как превратить безопасность в деньги? «Простейший» пример Security Training © 2008 Cisco Systems, Inc. All rights reserved. 46/66
Проект по IdM  Задача: оценить проект по внедрению системы управления идентификаций, аутентификацией и авторизацией (IdM)  Исходные данные: Число пользователей – 120000 Ежегодная ротация кадров – 15% Среднее число ID/паролей – 5 Число рабочих часов в день – 8 Число рабочих дней в год - 260  Вспоминаем про определение объекта измерения Security Training © 2008 Cisco Systems, Inc. All rights reserved. 47/66
Первая фаза расчета – установка ID  Ежегодное число новых пользователей – 18000 (120000*15%)  Необходимо поддерживать 90000 новых ID/паролей (5*18000)  Создание нового ID/пароля – в среднем 120 секунд (анализ заявки, создание и настройка учетной записи)  Всего на администрирование новых пользователей уходит 3000 часов (~2 человека при полной нагрузке) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 48/66
Вторая фаза расчета – рутина  В среднем 20 входов в систему/приложения ежедневно (из-за истекшего таймаута, смены приложения и т.д.)  Среднее время регистрации – 15 секунд  Ежедневно тратится 10000 ресурсо-часов на регистрацию  Ежегодно тратится 2200000 ресурсо-часов на регистрацию в разные системы и приложения Security Training © 2008 Cisco Systems, Inc. All rights reserved. 49/66
Третья фаза расчета – проблемы  В среднем 1% всех попыток регистрации заканчивается неудачно  Повторная регистрация разрешается через 60 секунд  Общее время на повторную регистрацию в год составляет 88000 часов Security Training © 2008 Cisco Systems, Inc. All rights reserved. 50/66
Четвертая фаза расчета – поддержка  В среднем после 3-х неудачных попыток входа в систему учетная запись блокируется  После 2-х неудачных попыток входа рекомендуется позвонить в службу поддержки  2400 звонков ежедневно в службу поддержки по факту 2-х неудачных попыток входа в систему  SLA = 4 часа на обработку одного инцидента  18000 пользователей ждут максимум по 4 часа – 72000 часа потери времени (продуктивности)  2400 звонка максимум по 4 часа – 9600 часов в день или 2112000 ресурсо-часов в год Security Training © 2008 Cisco Systems, Inc. All rights reserved. 51/66
Итого  Время затраченное на администрирование новых ID/паролей, ежедневную регистрацию и повторные ввод ID/пароля составляет 2291000 часов в год… что составляет 1% всего рабочего времени компании  Еще 2184000 ресурсо-часов в год на поддержку неудачных попыток входа… что также больше 1% всего рабочего времени компании  Итого – 4475000 ресурсо-часов или больше 2% всего рабочего времени компании в год - только на одну задачу – управление Identity Security Training © 2008 Cisco Systems, Inc. All rights reserved. 52/66
General Motors - факты  Предоставление доступа в среднем через 7 дней после заявки  Синхронизация паролей и ID в разных системах – 3 дня  50% запросов требует контактов с пользователем  «Разруливание» проблем с доступом – 10 дней  Конфликт между ID может приводить к задержкам в работе до 90 дней Security Training © 2008 Cisco Systems, Inc. All rights reserved. 53/66
General Motors - потери  Обработка 6600 проблем с доступом – потеря продуктивности – 3,000,000 долларов  Восстановление доступа для 56000 учетных записей – потеря продуктивности – 18,200,000 долларов  2500 сотрудников (учетных записей) уволено – затраты на удаление – 162,500 долларов  Прямой ущерб – 1,200,000 долларов Security Training © 2008 Cisco Systems, Inc. All rights reserved. 54/66
В качестве резюме или есть ли универсальный алгоритм измерения? Security Training © 2008 Cisco Systems, Inc. All rights reserved. 55/66
Универсальный алгоритм 1. Что вы пытаетесь измерить? Что представляет собой объект измерения? 2. Почему вы хотите его измерить? Какое решение будет принято по результатам измерения? Какое пороговое значение определяемого показателя? 3. Что вам известно сейчас? 4. Какую ценность имеет данная информация? К каким последствиям приведет ошибка? Какова ее вероятность? Какие усилия по измерению будут экономически оправданы? 5. Какие наблюдения позволят подтвердить или исключить различные возможности? Security Training © 2008 Cisco Systems, Inc. All rights reserved. 56/66
Мало измерить – важно добиться достижения измеренных показателей Security Training © 2008 Cisco Systems, Inc. All rights reserved. 57/66
Прямая и косвенная отдача  Преимущества для бизнеса и использование преимуществ – это разные вещи  Снижение арендной платы  уменьшение арендуемых площадей  перевод сотрудников на дом  решение по защищенному удаленному доступу  Экономия на: Аренда площадей Питание сотрудников Оплата проездных (если применимо) Оплата канцтоваров  Принятие решения о переводе принимает менеджмент Надо не только предлагать решение, но и продвигать его Security Training © 2008 Cisco Systems, Inc. All rights reserved. 58/66
Прямая и косвенная отдача Статья экономии Человека/часов Цена* Идентификация несоответствующих компьютеров 1.0 $12.00 Определение местоположения несоответствующих компьютеров 1.0 $12.00 Приведение в соответствие 2.0 $24.00 Потенциально сэкономленные затраты на 1 компьютер $48.00  ИБ дала возможность сэкономить, но…  …воспользовался ли бизнес этой возможностью? Security Training © 2008 Cisco Systems, Inc. All rights reserved. 59/66
Что дальше?  Измерения не нужны сами по себе  Измерения нужны для принятия решений  Не готовы к действиям – не занимайтесь измерениями  Пример Метрика - число уязвимых ПК в финансовом департаменте за прошедший квартал Готовы ли мы внедрить процесс управления патчами для этих ПК? Готовы ли мы регулярно оценивать уязвимости и ставить новые патчи? Security Training © 2008 Cisco Systems, Inc. All rights reserved. 60/66
А что после измерения? Цель Метрика Целевое значение Инициатива Улучшить управление # инцидентов < 7 в квартал Обучение рисками безопасности пользователей % систем защиты, 43% Заключение SLA на отданных на аутсорсинг аутсорсинг ИБ Улучшение управления % проектов, 95% Увеличить число проектами завершенных в срок сертифицированных специалистов по управлению проектами % проектов, 95% Внедрение PMO в выполненных в рамках отделе бюджета Повысить уровень % сотрудников, 25% Обучение MBA бизнес-знаний в службе прошедших MBA ИБ Количество Business 1 Изменение оргштатной Relations Manager (BRM) структуры отдела Compliance Соответствие ISO 27001 Получение сертификата Обучение по ISO 27001 через год Внедрение compliance- решения Улучшение операций % сбоев в системе < 5 в квартал Внедрение системы защиты контроля качества Security Training © 2008 Cisco Systems, Inc. All rights reserved. 61/66
Заключение Security Training © 2008 Cisco Systems, Inc. All rights reserved. 62/66
Прогресс и изменения  Все жаждут прогресса, но никто не хочет изменений  Люди инертны Склонны верить тому, что узнали в самом начале (ВУЗе, первой работе и т.д.) Ленивы и не будут упорно трудиться ради изменений Людей устраивает средний результат. Это зона комфорта. Best Practices никому не нужны (как и мировые рекорды) Люди считают свои решения лучшими  Чтобы пересмотреть точку зрения, человека надо долго переубеждать или показать воочию  Изменения происходят не вдруг – имейте терпение Security Training © 2008 Cisco Systems, Inc. All rights reserved. 63/66
Новый взгляд на безопасность Security Training © 2008 Cisco Systems, Inc. All rights reserved. 64/66
Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Security Training © 2008 Cisco Systems, Inc. All rights reserved. 65/66
Security Training © 2008 Cisco Systems, Inc. All rights reserved. 66/66

Recomendados

Measurement of security efficiency
Measurement of security efficiencyMeasurement of security efficiency
Measurement of security efficiency
Aleksey Lukatskiy
 
Оценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБОценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБ
Aleksey Lukatskiy
 
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
UISGCON
 
Incident management (part 5)
Incident management (part 5)Incident management (part 5)
Incident management (part 5)
Aleksey Lukatskiy
 
[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана
[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана
[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана
UISGCON
 
Security Effectivness and Efficiency
Security Effectivness and EfficiencySecurity Effectivness and Efficiency
Security Effectivness and Efficiency
Aleksey Lukatskiy
 
Как обосновать затраты на ИБ?
Как обосновать затраты на ИБ?Как обосновать затраты на ИБ?
Как обосновать затраты на ИБ?
Aleksey Lukatskiy
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБ
Aleksey Lukatskiy
 

Recomendados

Measurement of security efficiency
Measurement of security efficiencyMeasurement of security efficiency
Measurement of security efficiency
Aleksey Lukatskiy
 
Оценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБОценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБ
Aleksey Lukatskiy
 
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса
UISGCON
 
Incident management (part 5)
Incident management (part 5)Incident management (part 5)
Incident management (part 5)
Aleksey Lukatskiy
 
[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана
[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана
[Long 15-30] Андрей Лысюк - Переход в облака, выход из тумана
UISGCON
 
Security Effectivness and Efficiency
Security Effectivness and EfficiencySecurity Effectivness and Efficiency
Security Effectivness and Efficiency
Aleksey Lukatskiy
 
Как обосновать затраты на ИБ?
Как обосновать затраты на ИБ?Как обосновать затраты на ИБ?
Как обосновать затраты на ИБ?
Aleksey Lukatskiy
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБ
Aleksey Lukatskiy
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходов
Aleksey Lukatskiy
 
Threat Modeling (Part 1)
Threat Modeling (Part 1)Threat Modeling (Part 1)
Threat Modeling (Part 1)
Aleksey Lukatskiy
 
Threat Modeling (Part 2)
Threat Modeling (Part 2)Threat Modeling (Part 2)
Threat Modeling (Part 2)
Aleksey Lukatskiy
 
Решения Cisco в области информационной безопасности
Решения Cisco в области информационной безопасностиРешения Cisco в области информационной безопасности
Решения Cisco в области информационной безопасности
Cisco Russia
 
Threat Modeling (Part 4)
Threat Modeling (Part 4)Threat Modeling (Part 4)
Threat Modeling (Part 4)
Aleksey Lukatskiy
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)
Aleksey Lukatskiy
 
Мировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решенийМировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решений
Aleksey Lukatskiy
 
Incident management (part 1)
Incident management (part 1)Incident management (part 1)
Incident management (part 1)
Aleksey Lukatskiy
 
Security And Usability
Security And UsabilitySecurity And Usability
Security And Usability
Aleksey Lukatskiy
 
Threat Modeling (Part 3)
Threat Modeling (Part 3)Threat Modeling (Part 3)
Threat Modeling (Part 3)
Aleksey Lukatskiy
 
ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...
ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...
ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...
Cisco Russia
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасника
Aleksey Lukatskiy
 
Security and football: what's difference
Security and football: what's differenceSecurity and football: what's difference
Security and football: what's difference
Aleksey Lukatskiy
 
Threat Modeling (Part 5)
Threat Modeling (Part 5)Threat Modeling (Part 5)
Threat Modeling (Part 5)
Aleksey Lukatskiy
 
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВМЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
Vladislav Chernish
 
Краткое введение в Cisco SecureX
Краткое введение в Cisco SecureXКраткое введение в Cisco SecureX
Краткое введение в Cisco SecureX
Cisco Russia
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
Aleksey Lukatskiy
 
7 cases of risk probality measurement
7 cases of risk probality measurement7 cases of risk probality measurement
7 cases of risk probality measurement
Aleksey Lukatskiy
 
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсовФинансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсов
Aleksey Lukatskiy
 
Управление ИБ в условиях кризиса
Управление ИБ в условиях кризисаУправление ИБ в условиях кризиса
Управление ИБ в условиях кризиса
Aleksey Lukatskiy
 
Windows Server 2012 R2 и System Center 2012 R2 - Что нового
Windows Server 2012 R2 и System Center 2012 R2 - Что новогоWindows Server 2012 R2 и System Center 2012 R2 - Что нового
Windows Server 2012 R2 и System Center 2012 R2 - Что нового
Anatoliy Bakal
 
SERGIO A HERRERA
SERGIO A HERRERASERGIO A HERRERA
SERGIO A HERRERA
Sergio Herrera
 

Mais conteúdo relacionado

Mais procurados

Решения Cisco в области информационной безопасности
Решения Cisco в области информационной безопасностиРешения Cisco в области информационной безопасности
Решения Cisco в области информационной безопасности
Cisco Russia
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)
Aleksey Lukatskiy
 
Мировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решенийМировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решений
Aleksey Lukatskiy
 
Incident management (part 1)
Incident management (part 1)Incident management (part 1)
Incident management (part 1)
Aleksey Lukatskiy
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасника
Aleksey Lukatskiy
 
Security and football: what's difference
Security and football: what's differenceSecurity and football: what's difference
Security and football: what's difference
Aleksey Lukatskiy
 
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВМЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
Vladislav Chernish
 
Краткое введение в Cisco SecureX
Краткое введение в Cisco SecureXКраткое введение в Cisco SecureX
Краткое введение в Cisco SecureX
Cisco Russia
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
Aleksey Lukatskiy
 
7 cases of risk probality measurement
7 cases of risk probality measurement7 cases of risk probality measurement
7 cases of risk probality measurement
Aleksey Lukatskiy
 

Mais procurados (20)

Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходов
 
Threat Modeling (Part 1)
Threat Modeling (Part 1)Threat Modeling (Part 1)
Threat Modeling (Part 1)
 
Threat Modeling (Part 2)
Threat Modeling (Part 2)Threat Modeling (Part 2)
Threat Modeling (Part 2)
 
Решения Cisco в области информационной безопасности
Решения Cisco в области информационной безопасностиРешения Cisco в области информационной безопасности
Решения Cisco в области информационной безопасности
 
Threat Modeling (Part 4)
Threat Modeling (Part 4)Threat Modeling (Part 4)
Threat Modeling (Part 4)
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)
 
Мировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решенийМировой рынок ИБ индустриальных решений
Мировой рынок ИБ индустриальных решений
 
Incident management (part 1)
Incident management (part 1)Incident management (part 1)
Incident management (part 1)
 
Security And Usability
Security And UsabilitySecurity And Usability
Security And Usability
 
Threat Modeling (Part 3)
Threat Modeling (Part 3)Threat Modeling (Part 3)
Threat Modeling (Part 3)
 
ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...
ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...
ИТ-подразделение Cisco защищает инфраструктуру и данные компании с помощью In...
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасника
 
Security and football: what's difference
Security and football: what's differenceSecurity and football: what's difference
Security and football: what's difference
 
Threat Modeling (Part 5)
Threat Modeling (Part 5)Threat Modeling (Part 5)
Threat Modeling (Part 5)
 
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВМЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
 
Краткое введение в Cisco SecureX
Краткое введение в Cisco SecureXКраткое введение в Cisco SecureX
Краткое введение в Cisco SecureX
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
 
7 cases of risk probality measurement
7 cases of risk probality measurement7 cases of risk probality measurement
7 cases of risk probality measurement
 
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсовФинансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсов
 
Управление ИБ в условиях кризиса
Управление ИБ в условиях кризисаУправление ИБ в условиях кризиса
Управление ИБ в условиях кризиса
 

Destaque

Windows Server 2012 R2 и System Center 2012 R2 - Что нового
Windows Server 2012 R2 и System Center 2012 R2 - Что новогоWindows Server 2012 R2 и System Center 2012 R2 - Что нового
Windows Server 2012 R2 и System Center 2012 R2 - Что нового
Anatoliy Bakal
 
Новый подход к резервному копированию БД - Zero Data Loss Recovery Appliance
Новый подход к резервному копированию БД - Zero Data Loss Recovery ApplianceНовый подход к резервному копированию БД - Zero Data Loss Recovery Appliance
Новый подход к резервному копированию БД - Zero Data Loss Recovery Appliance
Andrey Akulov
 
Решения Microsoft System Center для мониторинга и управления инфраструктурой ...
Решения Microsoft System Center для мониторинга и управления инфраструктурой ...Решения Microsoft System Center для мониторинга и управления инфраструктурой ...
Решения Microsoft System Center для мониторинга и управления инфраструктурой ...
ebuc
 
Softline rent model_vspp_csp_spla_2012(public)
Softline rent model_vspp_csp_spla_2012(public)Softline rent model_vspp_csp_spla_2012(public)
Softline rent model_vspp_csp_spla_2012(public)
Pavel Novikov
 
Презентация ООО "НГКТ"
Презентация ООО "НГКТ"Презентация ООО "НГКТ"
Презентация ООО "НГКТ"
eamalyavko
 
Eoi презентация сколково(новая) ppt-rus
Eoi презентация сколково(новая) ppt-rusEoi презентация сколково(новая) ppt-rus
Eoi презентация сколково(новая) ppt-rus
MithLum
 
Презентация IT компании. Презентация для сервисной компании.
Презентация IT компании. Презентация для сервисной компании. Презентация IT компании. Презентация для сервисной компании.
Презентация IT компании. Презентация для сервисной компании.
Агентство Презентаций "Romanoff"
 

Destaque (20)

Windows Server 2012 R2 и System Center 2012 R2 - Что нового
Windows Server 2012 R2 и System Center 2012 R2 - Что новогоWindows Server 2012 R2 и System Center 2012 R2 - Что нового
Windows Server 2012 R2 и System Center 2012 R2 - Что нового
 
SERGIO A HERRERA
SERGIO A HERRERASERGIO A HERRERA
SERGIO A HERRERA
 
Частные «облака» на уровне системного слоя
Частные «облака» на уровне системного слояЧастные «облака» на уровне системного слоя
Частные «облака» на уровне системного слоя
 
Новый подход к резервному копированию БД - Zero Data Loss Recovery Appliance
Новый подход к резервному копированию БД - Zero Data Loss Recovery ApplianceНовый подход к резервному копированию БД - Zero Data Loss Recovery Appliance
Новый подход к резервному копированию БД - Zero Data Loss Recovery Appliance
 
Интеграция и совместная работа вычислительной платформы Cisco UCS и системног...
Интеграция и совместная работа вычислительной платформы Cisco UCS и системног...Интеграция и совместная работа вычислительной платформы Cisco UCS и системног...
Интеграция и совместная работа вычислительной платформы Cisco UCS и системног...
 
Защита облачных данных или Как сделать Dropbox в корпоративной среде
Защита облачных данных или Как сделать Dropbox в корпоративной средеЗащита облачных данных или Как сделать Dropbox в корпоративной среде
Защита облачных данных или Как сделать Dropbox в корпоративной среде
 
Решения Microsoft System Center для мониторинга и управления инфраструктурой ...
Решения Microsoft System Center для мониторинга и управления инфраструктурой ...Решения Microsoft System Center для мониторинга и управления инфраструктурой ...
Решения Microsoft System Center для мониторинга и управления инфраструктурой ...
 
CloudsNN 2013 Гаджиев Георгий. Windows azure iaas обзор
CloudsNN 2013 Гаджиев Георгий. Windows azure iaas обзорCloudsNN 2013 Гаджиев Георгий. Windows azure iaas обзор
CloudsNN 2013 Гаджиев Георгий. Windows azure iaas обзор
 
Техническая поддержка
Техническая поддержкаТехническая поддержка
Техническая поддержка
 
Softline rent model_vspp_csp_spla_2012(public)
Softline rent model_vspp_csp_spla_2012(public)Softline rent model_vspp_csp_spla_2012(public)
Softline rent model_vspp_csp_spla_2012(public)
 
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
Мониторинг аномалий и эпидемий с помощью NetFlow и реагирование на инциденты ...
 
System Center 2012 Operations Manager + SP1
System Center 2012 Operations Manager + SP1 System Center 2012 Operations Manager + SP1
System Center 2012 Operations Manager + SP1
 
Уральский банк Сбербанка России. Абдурагимов Гасан. "Реализованный в Уральско...
Уральский банк Сбербанка России. Абдурагимов Гасан. "Реализованный в Уральско...Уральский банк Сбербанка России. Абдурагимов Гасан. "Реализованный в Уральско...
Уральский банк Сбербанка России. Абдурагимов Гасан. "Реализованный в Уральско...
 
Облачные решения. Брошюра
Облачные решения. БрошюраОблачные решения. Брошюра
Облачные решения. Брошюра
 
Презентация ООО "НГКТ"
Презентация ООО "НГКТ"Презентация ООО "НГКТ"
Презентация ООО "НГКТ"
 
Опыт переноса в облако услуги «Service Desk»
Опыт переноса в облако услуги «Service Desk»Опыт переноса в облако услуги «Service Desk»
Опыт переноса в облако услуги «Service Desk»
 
Что хочет клиент ИТ-рынка сегодня ...
Что хочет клиент ИТ-рынка сегодня ...Что хочет клиент ИТ-рынка сегодня ...
Что хочет клиент ИТ-рынка сегодня ...
 
Eoi презентация сколково(новая) ppt-rus
Eoi презентация сколково(новая) ppt-rusEoi презентация сколково(новая) ppt-rus
Eoi презентация сколково(новая) ppt-rus
 
Презентация IT компании. Презентация для сервисной компании.
Презентация IT компании. Презентация для сервисной компании. Презентация IT компании. Презентация для сервисной компании.
Презентация IT компании. Презентация для сервисной компании.
 
Security and Crisis
Security and CrisisSecurity and Crisis
Security and Crisis
 

Semelhante a Security Measurement.pdf

Будущие исследования ИБ
Будущие исследования ИББудущие исследования ИБ
Будущие исследования ИБ
Aleksey Lukatskiy
 
Как обосновать затраты на информационную безопасность
Как обосновать затраты на информационную безопасностьКак обосновать затраты на информационную безопасность
Как обосновать затраты на информационную безопасность
RISClubSPb
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
Александр Лысяк
 
Защита информации 2030: о чем стоит думать уже сейчас?!
Защита информации 2030: о чем стоит думать уже сейчас?!Защита информации 2030: о чем стоит думать уже сейчас?!
Защита информации 2030: о чем стоит думать уже сейчас?!
Aleksey Lukatskiy
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Vlad Styran
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по иб
Teymur Kheirkhabarov
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
RISClubSPb
 
You are hacked? How contact with press?
You are hacked? How contact with press?You are hacked? How contact with press?
You are hacked? How contact with press?
Aleksey Lukatskiy
 
Кибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоровКибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоров
Cisco Russia
 
Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мер
Alexey Evmenkov
 

Semelhante a Security Measurement.pdf (20)

Будущие исследования ИБ
Будущие исследования ИББудущие исследования ИБ
Будущие исследования ИБ
 
Security Metrics.pdf
Security Metrics.pdfSecurity Metrics.pdf
Security Metrics.pdf
 
Как обосновать затраты на информационную безопасность
Как обосновать затраты на информационную безопасностьКак обосновать затраты на информационную безопасность
Как обосновать затраты на информационную безопасность
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
 
Information classification
Information classificationInformation classification
Information classification
 
Внутренний маркетинг службы ИБ
Внутренний маркетинг службы ИБВнутренний маркетинг службы ИБ
Внутренний маркетинг службы ИБ
 
Внутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасностиВнутренний маркетинг информационной безопасности
Внутренний маркетинг информационной безопасности
 
Центр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтраЦентр информационной безопасности сегодня и завтра
Центр информационной безопасности сегодня и завтра
 
Защита информации 2030: о чем стоит думать уже сейчас?!
Защита информации 2030: о чем стоит думать уже сейчас?!Защита информации 2030: о чем стоит думать уже сейчас?!
Защита информации 2030: о чем стоит думать уже сейчас?!
 
Кибериммунитет к угрозам.pdf
Кибериммунитет к угрозам.pdfКибериммунитет к угрозам.pdf
Кибериммунитет к угрозам.pdf
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по иб
 
СМИБ - игра в долгую
СМИБ - игра в долгуюСМИБ - игра в долгую
СМИБ - игра в долгую
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
 
Система менеджмента информационной безопасности: стандарты, практики внедрени...
Система менеджмента информационной безопасности: стандарты, практики внедрени...Система менеджмента информационной безопасности: стандарты, практики внедрени...
Система менеджмента информационной безопасности: стандарты, практики внедрени...
 
You are hacked? How contact with press?
You are hacked? How contact with press?You are hacked? How contact with press?
You are hacked? How contact with press?
 
Кибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоровКибербезопасность с точки зрения директоров
Кибербезопасность с точки зрения директоров
 
Iso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мерIso 27001 внедрение технических защитных мер
Iso 27001 внедрение технических защитных мер
 
People-Centric security (intro) rus
People-Centric security (intro) rusPeople-Centric security (intro) rus
People-Centric security (intro) rus
 
пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015пр Про измерение ИБ для VolgaBlob Trend 2015
пр Про измерение ИБ для VolgaBlob Trend 2015
 

Mais de Aleksey Lukatskiy

Mais de Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 

Security Measurement.pdf

  • 1. Измерение эффективности ИБ Алексей Лукацкий Бизнес-консультант по безопасности Security Training © 2008 Cisco Systems, Inc. All rights reserved. 1/66
  • 2. “Если вы можете измерить то, о чем говорите, и выразить это в цифрах, вы что-то знаете об этом предмете. Но если вы не можете выразить это количественно, ваши знания крайне ограничены и неудовлетворительны.” Лорд Кельвин (Уильям Томсон), британский физик Presentation_ID Security Training © 2006 Cisco Systems, Inc. Systems, reserved. © 2008 Cisco All rights Inc. All rights Cisco Confidential reserved. 2/66
  • 3. Модель зрелости измерений ИБ 5. Управлять всем 4. Как связать с бизнесом? 3. Как можно измерять? 2. Что можно измерять? 1. А разве можно измерять? Security Training © 2008 Cisco Systems, Inc. All rights reserved. 3/66
  • 4. Измерение ИБ это многогранная задача 1. Уровень опасности или сколько мы потеряем? 2. Сколько денег на ИБ достаточно? 3. Мы достигли цели? 4. Насколько оптимально мы движемся к цели? 5. Сколько стоит информация? 6. Насколько мы соответствуем стандартам или требованиям? 7. Какая из мер защиты выгоднее/лучше? 8. Как мы соотносимся с другими? 9. … Security Training © 2008 Cisco Systems, Inc. All rights reserved. 4/66
  • 5. Проблема измерений ИБ Security Training © 2008 Cisco Systems, Inc. All rights reserved. 5/66
  • 6. Почему мы отказываемся измерять?  Это нематериально, а значит неизмеримо  Отсутствуют методы измерения  «Проценты, статистика… С помощью них можно доказать все, что угодно»  «Чтобы оценить этот показатель, нужно потратить миллионы рублей. А менее масштабный проект дает большую погрешность» Важные для предприятия проекты пропускаются в пользу слабых только потому, что во втором случае методы оценки ожидаемого эффекта всем известны, а в первом нет Security Training © 2008 Cisco Systems, Inc. All rights reserved. 6/66
  • 7. Проблемы измерений  Принятие решений часто требует количественной оценки предполагаемых нематериальных активов или вопросов  Многие считают такую оценку невозможной, а нематериальное неподдающимся измерению Именно это часто является причиной отказа от многих проектов (предубеждение пессимизма)  Раз это невозможно, то мало кто пытается это сделать  Но Если какой-либо объект/явление можно наблюдать тем или иным образом  существует метод его измерения Security Training © 2008 Cisco Systems, Inc. All rights reserved. 7/66
  • 8. Развенчание мифа  Если что-то лучше  Есть признаки улучшения  Улучшение можно наблюдать  Наблюдаемое улучшение можно посчитать  То, что можно посчитать, можно измерить  То, что можно измерить, можно оценить  …и продемонстрировать! Security Training © 2008 Cisco Systems, Inc. All rights reserved. 8/66
  • 9. Начнем с определений или что такое измерение? Security Training © 2008 Cisco Systems, Inc. All rights reserved. 9/66
  • 10. Что такое измерение?  Измерение – это определенность, точная величина? Количественное выражение чего-либо? Расчет точной стоимости чего-либо? Сведение к одному числу?  Измерение – это совокупность снижающих неопределенность наблюдений, результат которых выражается некоей величиной!  Измерение – это не только полное, но и частичное сокращение неопределенности Security Training © 2008 Cisco Systems, Inc. All rights reserved. 10/66
  • 11. “Как это не парадоксально, но всякая точная наука основывается на приблизительности. Если кто-то говорит вам, что точно знает что- то, можете смело делать вывод: вы разговариваете с человеком, не имеющим понятия о точности.” Бертран Рассел, британский математик и философ Presentation_ID Security Training © 2006 Cisco Systems, Inc. Systems, reserved. © 2008 Cisco All rights Inc. All rights Cisco Confidential reserved. 11/66
  • 12. Вернемся к определениям или что такое информационная безопасность? Security Training © 2008 Cisco Systems, Inc. All rights reserved. 12/66
  • 13. “Правильно поставленная проблема уже наполовину решена.” Чарльз Кеттеринг, американский изобретатель Presentation_ID Security Training © 2006 Cisco Systems, Inc. Systems, reserved. © 2008 Cisco All rights Inc. All rights Cisco Confidential reserved. 13/66
  • 14. О понятии ИБ  ИБ – это не универсальное, не стандартное понятие  Оно персонифицировано в каждой конкретной ситуации, для каждой конкретной организации, для каждого конкретного CISO В одной и той же компании, разные CISO могут по-разному заниматься ИБ В одной и той же компании при одном и том же CISO, но разных CEO, ИБ может двигаться в разных направлениях  ИБ – это понятие, зависящее от множества факторов/элементов Security Training © 2008 Cisco Systems, Inc. All rights reserved. 14/66
  • 15. Термин «безопасность»  Безопасность – отсутствие опасности В.Даль  Безопасность – состояние, при котором не угрожает опасность С.Ожегов  Безопасность – состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз ФЗ «О безопасности» Security Training © 2008 Cisco Systems, Inc. All rights reserved. 15/66
  • 16. Термин «безопасность»  Безопасность информации - деятельность, направленная на предотвращение или существенное затруднение несанкционированного доступа к информации (или воздействия на информацию) ФСТЭК  ИБ – технологическая задача, обеспечивающая целостность, конфиденциальность и доступность А как же борьбы со спамом? Или шантаж DDoS?  Безопасность - состояние защищенности объекта от внешних и внутренних угроз Security Training © 2008 Cisco Systems, Inc. All rights reserved. 16/66
  • 17. Термин «безопасность»  Безопасность – системное свойство, позволяющее развиваться и процветать в условиях конфликтов, неопределенности и рисков на основе самоорганизации и управления  Безопасность – деятельность людей, общества, государства по выявлению, предупреждению, ослаблению, устранению и отражению опасностей и угроз, способных погубить их, лишить ценностей, нанести неприемлемый ущерб, закрыть путь для выживания и развития  Информационная безопасность - динамическое состояние сохранения жизненно важных параметров предприятия в информационной сфере Security Training © 2008 Cisco Systems, Inc. All rights reserved. 17/66
  • 18. Как я понимаю ИБ?!  Информационная безопасность - состояние защищенности интересов стейкхолдеров предприятия в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества, государства и бизнеса Переработанное определение из Доктрины информационной безопасности  Очень емкое и многоуровневое определение  Может без изменения применяться в ЛЮБОЙ организации Меняться будет только наполнение ее ключевых элементов – стейкхолдеры, информационная сфера, интересы Security Training © 2008 Cisco Systems, Inc. All rights reserved. 18/66
  • 19. Стейкхолдеры ИБ • ИТ • ИБ Внутри • • Юристы Служба внутреннего контроля предприятия • • HR Бизнес-подразделения • Руководство • Пользователи Снаружи • • Акционеры Клиенты предприятия • • Партнеры Аудиторы • ФСТЭК • ФСБ Регуляторы • • Роскомнадзор СВР • МО • ФАИТ Security Training © 2008 Cisco Systems, Inc. All rights reserved. 19/66
  • 20. Информационная сфера  Информационная сфера - это совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений  В данном определении информационная инфраструктура включает в себя также и технологии обработки информации Security Training © 2008 Cisco Systems, Inc. All rights reserved. 20/66
  • 21. Интересы стейкхолдеров  Универсального списка интересов не существует – у каждого предприятия на каждом этапе его развития в различном окружении при различных руководителях интересы различны ИБ Юристы Регуляторы • Конфиденциальность • Соответствие • Соответствие • Целостность • Защита от • Доступность преследования • Новые законы Пользователи Акционеры ИТ • Тайна переписки • Рост стоимости акций • Доступность • Бесперебойный • Контроль топ- сервисов Интернет менеджмента • Интеграция • Комфорт работы • Прозрачность • Снижение CapEx Security Training © 2008 Cisco Systems, Inc. All rights reserved. 21/66
  • 22. Интересы бизнеса  Рост (доли рынка, маржинальности, доходности…)  Экспансия (новые рынки, новые целевые аудитории)  Рост продуктивности сотрудников  Соответствие требованиям  Инновации и новые бизнес-практики  Реинжиниринг бизнес-процессов  Взаимоотношения с клиентами (лояльность) … Security Training © 2008 Cisco Systems, Inc. All rights reserved. 22/66
  • 23. Определите объект измерения!!!  Самое важное – определить объект измерения!  Что для вас информационная безопасность? Снижение числа вредоносных программ? Получение аттестата PCI Council? Снижение числа запросов в Help Desk по поводу забытых паролей? Снижение числа утечек конфиденциальной информации? Защита от наездов регуляторов?  Что конкретно ВЫ имеете ввиду?!  Определитесь с объектом измерения и половина работы по измерению будет проведена! Security Training © 2008 Cisco Systems, Inc. All rights reserved. 23/66
  • 24. Закончим с определениями или что такое эффективность? Security Training © 2008 Cisco Systems, Inc. All rights reserved. 24/66
  • 25. “Ничто так не мешает прогрессу знания, как расплывчатость терминологии.” Томас Рейд, шотландский философ Presentation_ID Security Training © 2006 Cisco Systems, Inc. Systems, reserved. © 2008 Cisco All rights Inc. All rights Cisco Confidential reserved. 25/66
  • 26. Что такое эффективность?  Мало кто может сказать, что такое эффективность – большинство может сослаться на разрозненные наблюдения, которые ассоциируются у них с эффективностью Число эпидемий стало меньше Заказчики стали меньше звонить в Help Desk по поводу недоступности сайта Пользователи стали реже заносить вредоносные программы на флешках Руководство не жалуется, что не может «достучаться» до корпоративной ИС из командировки Сервер AD ни разу не «упал» в этом месяце Security Training © 2008 Cisco Systems, Inc. All rights reserved. 26/66
  • 27. Что такое эффективность?  Эффективность – это поддающийся количественному определению вклад в достижение конечных целей  Важно в конкретном случае детализировать понятие «эффективность» (объект измерения) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 27/66
  • 28. Efficiency vs. Effectiveness  Термин «эффективность» на английском языке имеет два значения Результативность Оптимальность  Сначала мы обычно оцениваем достижение цели как таковой (результат) Но интересно ли нам достижение цели любыми средствами? Security Training © 2008 Cisco Systems, Inc. All rights reserved. 28/66
  • 29. Измерение на результат и процесс  Измерения, нацеленные на результат Наиболее привычные для служб ИБ Чаще всего выдаются системами защиты  Измерения, нацеленные на процесс Сложнее оцениваются Требуют взаимодействия с людьми • Процент заблокированного спама • Процент прошедшего спама через Антиспам антиспам и о котором сообщили сотрудники, прошедшие тренинг повышения осведомленности Security Training © 2008 Cisco Systems, Inc. All rights reserved. 29/66
  • 30. Цели ИБ  Прежде чем оценивать эффективность, необходимо понять, определить и зафиксировать цели, эффективность достижения которых мы измеряем!!! Получение аттестата ФСТЭК на все АС/ИСПДн Сертификация ключевых процессов на соответствие ISO 27001 Достижение 4 уровня по СТО БР ИББС Сокращение числа инцидентов ИБ до 3 в месяц Внедрение защищенного мобильного доступа для руководства Внедрение защищенного удаленного доступа для географической экспансии Повышение устойчивости инфраструктуры к DDoS-атакам с целью повышения лояльности клиентов и снижение их текучки Снижение затрат на ИБ на 15% Security Training © 2008 Cisco Systems, Inc. All rights reserved. 30/66
  • 31. Главный промежуточный итог Security Training © 2008 Cisco Systems, Inc. All rights reserved. 31/66
  • 32. Измерение эффективности ИБ  Комбинация 3 ключевых элементов Что позволяет выбрать такое Метод оценки ИБ? Метрики для демонстрации Цели Способ демонстрации ИБ целевой аудитории Частоту оценки Измерение Инструментарий оценки … Security Training © 2008 Cisco Systems, Inc. All rights reserved. 32/66
  • 33. Отдельные аспекты измерения Security Training © 2008 Cisco Systems, Inc. All rights reserved. 33/66
  • 34. Могут ли быть нефинансовые метрики?  Классические финансовые метрики определяют балансовую стоимость предприятия, его доходы и расходы  Рыночная стоимость, капитализация определяются в т.ч. и нефинансовыми показателями Уровень корпоративного управления Наличие бренда Прозрачность Эффективность управления И т.д.  Не зря появляется такое понятие, как система сбалансированных показателей (Balanced scorecard, BSC) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 34/66
  • 35. Security balanced scorecard Заказчик Compliance Финансы Заказчик Базовая Будущее BSC Ценность для бизнеса Внутренние Обучение и рост процессы Операционная эффективность Security Training © 2008 Cisco Systems, Inc. All rights reserved. 35/66
  • 36. Иерархия метрик в масштабе службы ИБ Система управления (Security Governance) Система управления (Security Management) Технические средства (Security System) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 36/66
  • 37. Иерархия метрик в масштабе предприятия Корпоративные измерения (финансы, индексы, рейтинги) Сравнение с другими компаниями Измерение достижения департаментами своих целей и их оптимальности Измерение отдельных элементов (продуктов, процессов, услуг) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 37/66
  • 38. Принципы выбора метрик Характеристика Пример хорошей метрики Пример плохой метрики Конкретная Число неудачных попыток Число неудачных попыток входа в систему в неделю входа в систему на одного сотрудника Измеримая Уровень лояльности Доход от внедрения внутренних клиентов системы защиты Достижимая Число инцидентов в Отсутствие инцидентов ИБ текущем квартале < 5 за текущий квартал Релевантная Число проектов Число запущенных завершенных в срок проектов Актуальная Число пропатченных ПК в Число пропатченных ПК в этом году прошлом году Security Training © 2008 Cisco Systems, Inc. All rights reserved. 38/66
  • 39. Что показать руководству? Градация уровней Пример расчета 1 2 3 4 5 Значение Уровень Вес Рейтинг Число уязвимостей на ПК (в среднем) 100 75 50 25 0 34 4 25 100 Число инцидентов ИБ >5 5 3-4 1-2 0 2 4 25 100 Число непропатченных 100% 75% 50% 25% 0% 65% 3 25 75 ПК Объем спама <80% 80% 90% 95% >95% 24% 1 25 25 Совокупный рейтинг 300  Задача: повысить индекс до максимальных 500 Security Training © 2008 Cisco Systems, Inc. All rights reserved. 39/66
  • 40. Проблема финансовой оценки ИБ  Универсального метода финансовой оценки ИБ не существует Возможность применения различных финансовых методик зависит от знаний и опыта как стороны демонстрирующей оценку (служба ИБ), так и стороны, которой демонстрируют  Многие руководители (не только службы ИБ) считают, что оценить ИБ финансово невозможно Но можно оценить стоимость защищаемой информации, ущерб от инцидентов, эффективность проекта по IT Security  Это возможно, но только при условии выхода на бизнес-уровень, где вы можете посчитать отдачу! Security Training © 2008 Cisco Systems, Inc. All rights reserved. 40/66
  • 41. Пример 1: снижение арендной платы  Решение по защищенному удаленному доступу  перевод сотрудников на дом  уменьшение арендуемых площадей  снижение арендной платы  Экономия на: Аренда площадей Питание сотрудников Оплата проездных (если применимо) Оплата канцтоваров Оплата коммунальных расходов, а также Улучшение психологического климата за счет работы дома Рост продуктивности Security Training © 2008 Cisco Systems, Inc. All rights reserved. 41/66
  • 42. Пример 2: рост продуктивности Предприятие Филиал Дом Отель Главный Si Аэропорт офис HQ Si WAN/Internet Дорога Кафе Вчера: Люди “шли” на работу Сегодня: Работа “идет” к людям 100 500 1000 сотрудников сотрудников сотрудников Зарплата ($25K в год) $2,5 млн. $12,5 млн. $25 млн. 1 час потери продуктивности $1,200 $6,000 $12,000 Потери в год от 1 часа в неделю $62,5K $312,5К $625К  Многие компании фокусируются на предоставлении сервиса на своей территории (зарплата, билеты, документооборот…)  Сотрудник в среднем тратит только 30–40% времени в офисе Security Training © 2008 Cisco Systems, Inc. All rights reserved. 42/66
  • 43. Что надо сделать?!  Вспомните про цели и определение объекта измерения!  Что вы хотите измерить деньгами Сколько вы потеряете не внедрив систему защиты? Сколько вы потратите на систему защиты за 3 года? За сколько лет вернутся деньги, потраченные на систему защиты? Выгоден ли этот проект? (определите, что для вас выгода) Какая система защиты из двух дешевле? Или выгоднее? Рискованны ли инвестиции в этот проект? Security Training © 2008 Cisco Systems, Inc. All rights reserved. 43/66
  • 44. Классические финансовые модели Оценка проекта по ИБ  Total Cost of Ownership (TCO) Во сколько обойдется проект с учетом косвенных и всех прямых затрат?  Net Present Value (NPV) Какова ценность вкладываемых финансовых ресурсов для проекта при определенной ставке дисконтирования?  Internal Rate of Return (IRR) Какова ставка дисконтирования, при которой проект еще имеет смысл?  Return on Investment (ROI) Что мы потеряем и что получим от внедрения проекта?  Playback Period (PbP) Security Training Когда вернутся инвестиции? © 2008 Cisco Systems, Inc. All rights reserved. 44/66
  • 45. «Новые» финансовые методы  Оценка стоимости нематериальных активов МСФО 38 «Нематериальные активы» GAAP (для США) EVS 2000 (для Евросоюза) Стандарты оценки РФ (утверждены ПП-519 от 6.07.2001)  Economic Value Added (EVA)  Economic Value Sourced (EVS)  iValue  Total Economic Impact (TEI)  Applied Information Economics (AIE) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 45/66
  • 46. Как превратить безопасность в деньги? «Простейший» пример Security Training © 2008 Cisco Systems, Inc. All rights reserved. 46/66
  • 47. Проект по IdM  Задача: оценить проект по внедрению системы управления идентификаций, аутентификацией и авторизацией (IdM)  Исходные данные: Число пользователей – 120000 Ежегодная ротация кадров – 15% Среднее число ID/паролей – 5 Число рабочих часов в день – 8 Число рабочих дней в год - 260  Вспоминаем про определение объекта измерения Security Training © 2008 Cisco Systems, Inc. All rights reserved. 47/66
  • 48. Первая фаза расчета – установка ID  Ежегодное число новых пользователей – 18000 (120000*15%)  Необходимо поддерживать 90000 новых ID/паролей (5*18000)  Создание нового ID/пароля – в среднем 120 секунд (анализ заявки, создание и настройка учетной записи)  Всего на администрирование новых пользователей уходит 3000 часов (~2 человека при полной нагрузке) Security Training © 2008 Cisco Systems, Inc. All rights reserved. 48/66
  • 49. Вторая фаза расчета – рутина  В среднем 20 входов в систему/приложения ежедневно (из-за истекшего таймаута, смены приложения и т.д.)  Среднее время регистрации – 15 секунд  Ежедневно тратится 10000 ресурсо-часов на регистрацию  Ежегодно тратится 2200000 ресурсо-часов на регистрацию в разные системы и приложения Security Training © 2008 Cisco Systems, Inc. All rights reserved. 49/66
  • 50. Третья фаза расчета – проблемы  В среднем 1% всех попыток регистрации заканчивается неудачно  Повторная регистрация разрешается через 60 секунд  Общее время на повторную регистрацию в год составляет 88000 часов Security Training © 2008 Cisco Systems, Inc. All rights reserved. 50/66
  • 51. Четвертая фаза расчета – поддержка  В среднем после 3-х неудачных попыток входа в систему учетная запись блокируется  После 2-х неудачных попыток входа рекомендуется позвонить в службу поддержки  2400 звонков ежедневно в службу поддержки по факту 2-х неудачных попыток входа в систему  SLA = 4 часа на обработку одного инцидента  18000 пользователей ждут максимум по 4 часа – 72000 часа потери времени (продуктивности)  2400 звонка максимум по 4 часа – 9600 часов в день или 2112000 ресурсо-часов в год Security Training © 2008 Cisco Systems, Inc. All rights reserved. 51/66
  • 52. Итого  Время затраченное на администрирование новых ID/паролей, ежедневную регистрацию и повторные ввод ID/пароля составляет 2291000 часов в год… что составляет 1% всего рабочего времени компании  Еще 2184000 ресурсо-часов в год на поддержку неудачных попыток входа… что также больше 1% всего рабочего времени компании  Итого – 4475000 ресурсо-часов или больше 2% всего рабочего времени компании в год - только на одну задачу – управление Identity Security Training © 2008 Cisco Systems, Inc. All rights reserved. 52/66
  • 53. General Motors - факты  Предоставление доступа в среднем через 7 дней после заявки  Синхронизация паролей и ID в разных системах – 3 дня  50% запросов требует контактов с пользователем  «Разруливание» проблем с доступом – 10 дней  Конфликт между ID может приводить к задержкам в работе до 90 дней Security Training © 2008 Cisco Systems, Inc. All rights reserved. 53/66
  • 54. General Motors - потери  Обработка 6600 проблем с доступом – потеря продуктивности – 3,000,000 долларов  Восстановление доступа для 56000 учетных записей – потеря продуктивности – 18,200,000 долларов  2500 сотрудников (учетных записей) уволено – затраты на удаление – 162,500 долларов  Прямой ущерб – 1,200,000 долларов Security Training © 2008 Cisco Systems, Inc. All rights reserved. 54/66
  • 55. В качестве резюме или есть ли универсальный алгоритм измерения? Security Training © 2008 Cisco Systems, Inc. All rights reserved. 55/66
  • 56. Универсальный алгоритм 1. Что вы пытаетесь измерить? Что представляет собой объект измерения? 2. Почему вы хотите его измерить? Какое решение будет принято по результатам измерения? Какое пороговое значение определяемого показателя? 3. Что вам известно сейчас? 4. Какую ценность имеет данная информация? К каким последствиям приведет ошибка? Какова ее вероятность? Какие усилия по измерению будут экономически оправданы? 5. Какие наблюдения позволят подтвердить или исключить различные возможности? Security Training © 2008 Cisco Systems, Inc. All rights reserved. 56/66
  • 57. Мало измерить – важно добиться достижения измеренных показателей Security Training © 2008 Cisco Systems, Inc. All rights reserved. 57/66
  • 58. Прямая и косвенная отдача  Преимущества для бизнеса и использование преимуществ – это разные вещи  Снижение арендной платы  уменьшение арендуемых площадей  перевод сотрудников на дом  решение по защищенному удаленному доступу  Экономия на: Аренда площадей Питание сотрудников Оплата проездных (если применимо) Оплата канцтоваров  Принятие решения о переводе принимает менеджмент Надо не только предлагать решение, но и продвигать его Security Training © 2008 Cisco Systems, Inc. All rights reserved. 58/66
  • 59. Прямая и косвенная отдача Статья экономии Человека/часов Цена* Идентификация несоответствующих компьютеров 1.0 $12.00 Определение местоположения несоответствующих компьютеров 1.0 $12.00 Приведение в соответствие 2.0 $24.00 Потенциально сэкономленные затраты на 1 компьютер $48.00  ИБ дала возможность сэкономить, но…  …воспользовался ли бизнес этой возможностью? Security Training © 2008 Cisco Systems, Inc. All rights reserved. 59/66
  • 60. Что дальше?  Измерения не нужны сами по себе  Измерения нужны для принятия решений  Не готовы к действиям – не занимайтесь измерениями  Пример Метрика - число уязвимых ПК в финансовом департаменте за прошедший квартал Готовы ли мы внедрить процесс управления патчами для этих ПК? Готовы ли мы регулярно оценивать уязвимости и ставить новые патчи? Security Training © 2008 Cisco Systems, Inc. All rights reserved. 60/66
  • 61. А что после измерения? Цель Метрика Целевое значение Инициатива Улучшить управление # инцидентов < 7 в квартал Обучение рисками безопасности пользователей % систем защиты, 43% Заключение SLA на отданных на аутсорсинг аутсорсинг ИБ Улучшение управления % проектов, 95% Увеличить число проектами завершенных в срок сертифицированных специалистов по управлению проектами % проектов, 95% Внедрение PMO в выполненных в рамках отделе бюджета Повысить уровень % сотрудников, 25% Обучение MBA бизнес-знаний в службе прошедших MBA ИБ Количество Business 1 Изменение оргштатной Relations Manager (BRM) структуры отдела Compliance Соответствие ISO 27001 Получение сертификата Обучение по ISO 27001 через год Внедрение compliance- решения Улучшение операций % сбоев в системе < 5 в квартал Внедрение системы защиты контроля качества Security Training © 2008 Cisco Systems, Inc. All rights reserved. 61/66
  • 62. Заключение Security Training © 2008 Cisco Systems, Inc. All rights reserved. 62/66
  • 63. Прогресс и изменения  Все жаждут прогресса, но никто не хочет изменений  Люди инертны Склонны верить тому, что узнали в самом начале (ВУЗе, первой работе и т.д.) Ленивы и не будут упорно трудиться ради изменений Людей устраивает средний результат. Это зона комфорта. Best Practices никому не нужны (как и мировые рекорды) Люди считают свои решения лучшими  Чтобы пересмотреть точку зрения, человека надо долго переубеждать или показать воочию  Изменения происходят не вдруг – имейте терпение Security Training © 2008 Cisco Systems, Inc. All rights reserved. 63/66
  • 64. Новый взгляд на безопасность Security Training © 2008 Cisco Systems, Inc. All rights reserved. 64/66
  • 65. Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Security Training © 2008 Cisco Systems, Inc. All rights reserved. 65/66
  • 66. Security Training © 2008 Cisco Systems, Inc. All rights reserved. 66/66