Проверяемый текст
Саввин, Андрей Сергеевич; Методы обеспечения информационной безопасности предприятия (Диссертация 2005)
[стр. 141]

отсутствуют.
Очевидно, такие обследования даже не проводились.
Директор Deloitte & Touche Стивен Росс обосновывает свой подход к определению эффективности различных средств обеспечения ИБ (рис.

18).
Таблица 9 Уровни зрелости компаний по обеспечению ИБ Уровень Отношение руководства Финансирован НС Используемые средства И Б 0*й уровень Без внимания Отсутствует Штатные средства операционных систем, СУБД и приложения (парольная защита, эазграпичепие доступа к ресурсам и сервисам) 1-й уровень ИБ считают «технической проблемой».
Отсутствует политика ИБ.
В рамках общего ИТбюджета Средства 0-го уровня + средства резервного копирования, антивирусные средства,
^(ежсетевые экраны, средства организации VPN (традиционные средства защиты) 2-й уровень ИБ зассматривают как комплекс организациош! ых, технических и финансовых мероприятий.
Есть утвержденная руководством программа
В рамках отдельного бюджета [средства 1-го уровня + средства усиленной зутептификации, средства анализа почтовых сообщений и web-контеита, IDS (системы обнаружений вторжений), средства анализа защищенности SSO, средства однократной аутентификации, РК1 (инфраструктура открытых ключей) и организационные меры [внутренний и внешний аудит, анализ риска, политика ИБ, положения, процедуры, эегламенты).
3-й уровень ИБ часть корпоративной культуры, назначен специалист, ответственный заИБ.
В рамках отдельного бюджета Средства 2-го уровня + системы управления ИБ, CSIRT (группа реагирования на инциденты, нарушения ИБ), SLA (соглашение об уровне сервиса).

Информация, представленная на рис.
18, позволяет сделать следующие выводы: • к 1-й категории относятся наиболее дорогие и наименее эффективные специализированные средства (собственные или заказные разработки);2-ю категорию составляют штатные средства защиты ОС, С УБД и традиционные средства защиты (уровень О и 1 по Gartner Group); • самую дорогую 4-ю категорию составляют наиболее дорогие и наиболее эффективные средства защиты, которые, по градации Gartner Group, 141
[стр. 93]

93 По информации Исаева В.1, Gartner Group идентифицирует 4 уровня зрелости компании с позиции обеспечения и финансирования системы ИБ (табл.
10).
По сведениям за 2001 г., обследованные компании (о параметрах выборки компаний данные отсутствуют) распределились в соответствии с представленными в табл.
10 четырьмя уровнями следующим образом: 0-й уровень 30%, 1-й уровень 55%, 2-й уровень 10%, 3-й уровень 5%.
Прогноз Gartner Group на 2005 г.
таков: соответственно 20%, 35%, 30% и 15%.
Так выглядит статистика зрелости зарубежных компаний (предположительно, американских) в части обеспечения ИБ.
Полагаем, что в России эта ситуация выглядит значительно проблемнее.
Хотя данные отсутствуют.
Очевидно, такие обследования даже не проводились.
Директор Deloitte & Touche Стивен Росс обосновывает свой подход к опреде* лению эффективности различных средств обеспечения ИБ (рис.

24).
Рис.
24 С о о т н о ш е н и е э ф ф е к т и в н о с т и и с т о и м о с т и с р е д с т в о б е с п е ч е н и я И Б http://computerHb.narod.nj

[стр.,94]

Т а б л и ц а 10 У р о в н и з р е л о с т и к о м п а н и й п о о б е с п е ч е н и ю И Б Уровень Отношение руководства Финансирование Используемые средства ИБ 0-й уровень Без внимания Отсутствует Штатные средства операционных систем, СУБД и приложения (парольная защита, разграничение доступа к ресурсам и сервисам) 1-й уровень ИБ считают «технической проблемой».
Отсутствует политика ИБ.
В рамках общего ИТ-бюджета Средства 0-го уровня + средства резервного копирования, антивирусные средства,
межсетевые экраны, средства организации VPN (традиционные средства защиты) 2-й уровень ИБ рассматривают как комплекс организационных, технических и финансовых мероприятий.
Есть утвержденная руководством программа
развития системы ИБ.
В рамках отдельного бюджета Средства 1-го уровня + средства усиленной
аутентификации, средства анализа почтовых сообщений и web-контента, IDS (системы обнаружений вторжений), средства анализа защищенности SSO, средства однократной аутентификации, PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ риска, политика ИБ, положения, процедуры, регламенты).
3-й уровень ИБ часть корпоративной культуры, назначен специалист, ответственный заИБ.
В рамках отдельного бюджета Средства 2-го уровня + системы управления ИБ, CSIRT (группа реагирования на инциденты, нарушения ИБ), SLA (соглашение об уровне сервиса).


[стр.,95]

95 Информация, представленная на рис.
24, позволяет сделать следующие выводы: ■ к 1-й категории относятся наиболее дорогие и наименее эффективные специализированные средства (собственные или заказные разработки);2-ю категорию составляют штатные средства защиты ОС, СУБД и традиционные средства защиты (уровень 0 и 1 по Gartner Group); ■ самую дорогую 4-ю категорию составляют наиболее дорогие и наиболее эффективные средства защиты, которые, по градации Gartner Group, относятся ко 2му и 3-му уровням).
Естественно, что выбор руководством компании средств защиты информации зависит, прежде всего, от объема затрат, т.е.
от финансового фактора, а точнее от грамотного убедительного обоснования затрат.
Оно может базироваться либо на результатах анализа рисков, либо на данных статистики, собранной и обобщенной по имевшим место инцидентам.
Анализу рисков был посвящен раздел 2.2 диссертации.
Что касается формирования статистики, то это трудоемкий, требующий времени, внимания процесс, которым в большинстве случаев нс занимаются в компаниях.
Хотя все авторы соответствующих публикаций по проблемам ИБ, специалисты-практики всегда относят статистику инцидентов к числу наиболее убедительных обоснований для руководства компаний.
Так, Лукацкий А.В.
отмечает, что основная проблема —это посчитать стоимость ущерба, поскольку затраты на ИБ должны быть меньше стоимости объекта защиты или размера ущерба.
Лукацкий А.В.
предлагает следующую упрощенную модель расчета стоимости ущерба (табл.
11).

[Back]