Bilgi sistemlerinin güvenliğini sağlamanın maliyeti. Şirketin bilgi güvenliği maliyeti ne kadar? Küçük şirketler için ne kadar siber güvenlik maliyeti

2018-08-21T12: 03: 34 + 00:00

Büyük ticari şirketler, yıllık gelirlerinin yaklaşık %1'ini işlerinin fiziksel güvenliğini sağlamaya harcarlar. Kurumsal güvenlik, teknolojiler ve üretim araçları kadar bir kaynaktır. Ancak veri ve hizmetlerin dijital olarak korunması söz konusu olduğunda, finansal riskleri ve gerekli maliyetleri hesaplamak zorlaşıyor. Siber güvenlik için BT bütçesinden ne kadar para ayırmanın makul olduğunu, vazgeçilebilecek minimum bir araç seti olup olmadığını size söylüyoruz.

Güvenlik maliyetleri artıyor

Dünya çapındaki ticari kuruluşlara göre, rapor Gartner, 2017 yılında yazılım, özel hizmetler ve donanım dahil olmak üzere siber güvenlik ihtiyaçlarına yaklaşık 87 milyar dolar harcadı. Bu, 2016'dan %7 daha fazla. Bu yıl rakamın 93 milyara ulaşması bekleniyor ve gelecek yıl 100 sınırını geçecek.

Uzmanlara göre, Rusya'daki bilgi güvenliği hizmetleri pazarı yaklaşık 55-60 milyar ruble (yaklaşık 900 bin dolar). 2/3'ü devlet emriyle kapatılmıştır. Kurumsal sektörde, bu tür maliyetlerin payı büyük ölçüde işletmenin biçimine, coğrafyasına ve faaliyet alanına bağlıdır.

Ortalama olarak yerli bankalar ve finansal yapılar yatırım siber güvenliklerinde yılda 300 milyon ruble, sanayiciler - 50 milyona kadar, ağ şirketleri (perakende) - 10 ila 50 milyon arasında.

Öte yandan, Rusya siber güvenlik pazarının büyüme rakamları, birkaç yıldır küresel ölçekte olduğundan 1,5-2 kat daha yüksek. 2017'de büyüme, 2016'ya göre (müşteri parası bazında) %15 oldu. 2018'in sonunda, daha da etkileyici olabilir.

Yüksek büyüme oranları, pazarın genel olarak canlanması ve kuruluşların BT altyapılarının gerçek güvenliğine ve verilerin güvenliğine keskin bir şekilde artan ilgileriyle açıklanmaktadır. Bir bilgi koruma sistemi kurmanın maliyetleri artık bir yatırım olarak görülüyor, bunlar önceden planlanıyor ve sadece arta kalan olarak alınmıyor.

Pozitif Teknolojilertekler büyümenin üç itici gücü:

1. Son 1.5-2 yıldaki yüksek profilli olaylar, bugün sadece tembellerin bir işletmenin finansal istikrarı için bilgi güvenliğinin rolünü anlamamasına neden oldu. Beş üst düzey yöneticiden biri, işleri bağlamında pratik güvenlikle ilgileniyor.

Geçtiğimiz yıl, temel bilgileri görmezden gelen işletmeler için öğretici oldu. ... Güncel güncellemelerin olmaması ve zafiyetlere dikkat etmeden çalışma alışkanlığı, Fransa'da Renault, Japonya'da Honda ve Nissan fabrikalarının kapanmasına; bankalar, enerji, telekomünikasyon şirketleri etkilendi. Örneğin Maersk, bir seferde 300 milyon dolara mal oldu.

1. WannaCry, NotPetya, Bad Rabbit fidye yazılımı salgınları, yerli şirketlere antivirüs ve güvenlik duvarları kurmanın kendilerini güvende hissetmek için yeterli olmadığını öğretti. Kapsamlı bir stratejiye, BT varlıklarınızın envanterine, özel kaynaklara ve bir tehdit yanıt stratejisine ihtiyacınız var.
2. Bir anlamda, tüm alanları (sağlık ve eğitimden ulaşım ve finansa) kapsayan dijital bir ekonomiye doğru bir rota açıklayan devlet tarafından belirlenir. Bu politika, genel olarak BT sektörünün ve özel olarak bilgi güvenliğinin büyümesini doğrudan etkiler.

Güvenlik açıklarının maliyeti

Bütün bunlar öğreticidir, ancak her iş benzersiz bir hikayedir. Şirketin genel BT bütçesinden bilgi güvenliğine ne kadar harcanacağı sorusu, doğru olmasa da, müşteri açısından en acil sorudur.

Kanada pazarı örneğinde uluslararası araştırma şirketi IDC aramalar kurumdaki toplam BT bütçesinin siber güvenlik yatırımlarının optimum %9,8-13,7'si. Yani, şu anda Kanada işletmesi bu ihtiyaçlar için ortalama %10 civarında harcama yapıyor (bunun sağlıklı bir şirketin göstergesi olduğuna inanılıyor), ancak anketlere göre %14'e yakın olmak istiyor.

Şirketlerin, kendilerini sakin hissetmek için bilgi güvenliğine ne kadar harcamaları gerektiğini merak etmeleri için hiçbir sebep yok. Günümüzde siber güvenlik olaylarından kaynaklanan riskleri değerlendirmek, fiziksel tehditlerden kaynaklanan kayıpları hesaplamaktan daha zor değil. dünya çapında varİstatistik , buna göre:

• Hacker saldırıları küresel ekonomiye yılda 110 milyar dolardan fazlaya mal oluyor.
• Küçük işletmeler için her olayın maliyeti ortalama 188.000 ABD dolarıdır.
• 2016'daki hack'lerin %51'i, belirli bir şirkete karşı organize suç gruplarını hedef aldı.
• Saldırıların %75'i maddi zarar verme amacıyla, maddi motivasyonla gerçekleştirilmektedir.

2018 baharında Kaspersky Lab, büyük ölçekli ders çalışma ... Dünya çapında 6 bin şirket uzmanıyla yapılan bir ankete göre, kurumsal ağların ve veri sızıntılarının hacklenmesinden kaynaklanan hasar son birkaç yılda %20-30 arttı.

Ticari kuruluşlar için Şubat 2018 için ortalama hasar maliyeti, büyüklüğü, faaliyet kapsamı ne olursa olsun 1,23 milyon dolardı. KOBİ'ler için personelin bir hatası veya hackerların başarılı eylemleri 120 bin dolara mal oluyor.

Bilgi güvenliği için fizibilite çalışması

İşletmede bilgi güvenliğini organize etmek için gerekli finansal kaynakları doğru bir şekilde değerlendirmek için bir fizibilite çalışması hazırlamak gerekir.

1. BT altyapısının bir envanterini çıkarır ve riskleri değerlendirir, azalan önem sırasına göre bir güvenlik açıkları listesi derleriz. Bu aynı zamanda itibar kayıplarını (sigorta oranlarında artış, kredi notunda düşüş, hizmetler için kesinti maliyeti), sistemi geri yükleme maliyetini (ekipman ve yazılımı güncelleme) içerir.
2. Bilgi güvenliği sisteminin çözmesi gereken görevleri sıralıyoruz.
3. Sorunları çözmek için ekipman, araçlar seçiyoruz ve maliyetini belirliyoruz.

Şirketin siber güvenlik tehditlerini ve risklerini değerlendirme yetkinliği yoksa, her zaman bir bilgi güvenliği denetimi sipariş edebilirsiniz. Bugün bu prosedür kısa ömürlü, ucuz ve ağrısızdır.

Yüksek düzeyde proses otomasyon uzmanlarına sahip endüstriyel şirketlerönermek uyarlanabilir bir güvenlik mimarisi modeli kullanın (Uyarlanabilir Güvenlik Mimarisi), Gartner tarafından 2014 yılında önerildi. Tehditleri tespit etmeye ve bunlara yanıt vermeye yönelik araçlara daha fazla dikkat ederek bilgi güvenliği maliyetlerini uygun şekilde yeniden tahsis etmenize olanak tanır ve BT altyapısı için bir izleme ve analitik sisteminin uygulanmasını ima eder.

Küçük şirketler için ne kadar siber güvenlik maliyeti

Capterra blogunun yazarları karar verdi saymak küçük ve orta ölçekli işletmeler için bilgi güvenliği sisteminin ilk kullanım yılında ortalama maliyeti ne kadardır. Bunun için seçildi liste piyasadaki 50 popüler "kutu" teklifinden.

Fiyat aralığının oldukça geniş olduğu ortaya çıktı: yılda 50 dolardan (küçük şirketler için 2-3 ücretsiz çözüm bile var) 6 bin dolara (tek paketler ve her biri 24 bin var, ancak bunlar dahil edilmedi) hesaplama). Ortalama olarak, küçük bir işletme, ilkel bir siber savunma sistemi kurmak için 1.400 dolara güvenebilir.

En ucuzları, belirli tehdit türlerine (kimlik avı gibi) karşı korunmaya yardımcı olabilecek bir iş VPN'si veya e-posta koruması gibi teknik çözümlerdir.

Yelpazenin diğer ucunda, "gelişmiş" olay yanıtı ve kapsamlı koruma araçlarına sahip eksiksiz izleme sistemleri bulunur. Kurumsal ağı büyük ölçekli saldırılardan korumaya yardımcı olurlar ve hatta bazen görünümlerini tahmin etmeye ve erken aşamalarda durdurmaya izin verirler.

Şirket, bilgi güvenliği sistemi için birkaç ödeme modeli seçebilir:

• Lisans başına fiyat, Ortalama fiyat - 1000-2000 ABD Doları veya lisans başına 26 ila 6000 ABD Doları.
• Kullanıcı başına fiyat. Bir şirkette bir bilgi güvenliği sisteminin kullanıcı başına ortalama maliyeti 37 dolar, aralık kişi başı aylık 4 ila 130 dolar arasındadır.
• Bağlı cihazın fiyatı. Bu modelin ortalama maliyeti cihaz başına 2,25 dolar. Fiyatı aylık 0,96 dolar ile 4,5 dolar arasında değişiyor.

Bilgi güvenliğinin maliyetini doğru bir şekilde hesaplamak için küçük bir şirketin bile risk yönetiminin temellerini uygulaması gerekecektir. 24 saat içinde düzeltilemeyen ilk olay (site, hizmet, ödeme sistemi düştü) işletmenin kapanmasına neden olabilir.

Bilgi güvenliğinin maliyetini haklı çıkarmak için iki ana yaklaşım vardır.

Bilimsel yaklaşım... Bunu yapmak için, şirketin (veya sahibinin) yönetimini bilgi kaynaklarının maliyetini değerlendirmeye, bilgi koruma alanındaki ihlallerden kaynaklanan olası zararların değerlendirilmesini belirlemeye dahil etmek gerekir.

1. Bilginin maliyeti düşükse, şirketin bilgi varlıklarına yönelik önemli bir tehdit yoktur ve potansiyel hasar minimumdur, bilgi güvenliğini sağlamak daha az finansman gerektirir.

2. Bilginin belirli bir değeri varsa, tehditler ve potansiyel zararlar önemli ve tanımlanmışsa, bilgi güvenliği alt sisteminin maliyetlerinin bütçelenmesi sorunu ortaya çıkar. Bu durumda kurumsal bir bilgi güvenliği sistemi kurmak gerekir.

Uygulamalı bir yaklaşım diğer alanlardaki benzer sistemlere dayalı bir kurumsal bilgi güvenliği sisteminin gerçek maliyeti seçeneğinin belirlenmesinden oluşur. Bilgi güvenliği alanındaki uzmanlar-uygulayıcılar, bilgi güvenliği rejiminin özel gereksinimlerine bağlı olarak, bir bilgi güvenliği sisteminin maliyetinin bir kurumsal bilgi sisteminin maliyetinin yaklaşık %10-20'si olması gerektiğine inanmaktadır.

Bir bilgi güvenliği sisteminin etkinliğini değerlendirmek için özel yöntemler geliştirilirken, örneğin ISO 17799 gibi bir dizi standartta resmileştirilmiş bilgi güvenliği rejimini "en iyi uygulama" (pratik deneyime dayalı olarak) sağlamak için genel olarak kabul edilen gereksinimler pratikte uygulanır.

Bilgi güvenliği maliyetlerini değerlendirmek için modern yöntemlerin kullanılması, donanım ve yazılımın doğrudan ve dolaylı maliyetleri, organizasyonel önlemler, çalışanların eğitimi ve ileri eğitimi, yeniden organizasyon, işin yeniden yapılandırılması dahil olmak üzere bir kuruluşun bilgi varlıklarının tüm harcama kısmını hesaplamanıza olanak tanır. , vesaire.

Mevcut kurumsal güvenlik sistemlerinin maliyet etkinliğini kanıtlamak ve bilgi güvenliği yöneticilerinin bilgi güvenliği için bütçeyi haklı çıkarmalarının yanı sıra ilgili hizmetin çalışanlarının etkinliğini kanıtlamak için gereklidirler. Yabancı şirketler tarafından kullanılan maliyet tahmin yöntemleri şunları sağlar:

Dağıtılmış bir bilgi işlem ortamının güvenlik düzeyi ve bir kurumsal bilgi güvenliği sisteminin toplam sahip olma maliyeti hakkında yeterli bilgi edinin.

Bir kuruluşun bilgi güvenliği bölümlerini hem kendi aralarında hem de sektördeki diğer kuruluşların benzer bölümleriyle karşılaştırın.

Kuruluşunuzun bilgi güvenliği yatırımlarını optimize edin.

Bir bilgi güvenliği sistemi ile ilgili en iyi bilinen maliyet tahmin tekniklerinden biri, toplam sahip olma maliyeti (TCO) Gartner Group'un CER göstergesi, yıl boyunca kurumsal bilgi güvenliği sisteminin düzenlenmesi (yeniden düzenlenmesi), işletilmesi ve bakımının doğrudan ve dolaylı maliyetlerinin toplamıdır. Bir kurumsal bilgi güvenliği sisteminin yaşam döngüsünün tüm önemli aşamalarında pratik olarak kullanılır ve belirli organizasyonel ve teknik önlemler ile bilgi güvenliği araçlarının tanıtılması ve kullanılmasının ekonomik fizibilitesini nesnel ve bağımsız olarak doğrulamayı mümkün kılar. Kararın nesnelliği için, örneğin işletmenin teknolojik, personel ve finansal gelişiminin göstergeleri gibi işletmenin dış ve iç ortamının durumunu da dikkate almak gerekir.

Belirli bir TCO göstergesinin sektördeki benzer TCO göstergeleriyle (benzer şirketlerle) karşılaştırılması, kuruluşun bilgi güvenliği maliyetlerini nesnel ve bağımsız olarak doğrulamayı mümkün kılar. Gerçekten de, bu maliyetlerin doğrudan ekonomik etkisini değerlendirmek çoğu zaman oldukça zor, hatta neredeyse imkansız olduğu ortaya çıkıyor.

Bir bilgi güvenliği sistemi için toplam sahip olma maliyeti genellikle aşağıdaki maliyetlerden oluşur:

Tasarım çalışması,

Güvenlik duvarları, kriptografi araçları, antivirüsler ve AAA (kimlik doğrulama, yetkilendirme ve yönetim araçları) dahil olmak üzere yazılım ve donanım koruma araçlarının satın alınması ve ayarlanması,

Fiziksel güvenliği sağlamanın maliyeti,

Personel eğitimi,

Sistem yönetimi ve desteği (güvenlik yönetimi),

Bilgi güvenliği denetimi, - bilgi güvenliği sisteminin periyodik olarak modernizasyonu.

Bununla birlikte, doğrudan maliyetler, hem maliyetlerin (sabit varlıklar veya "mülk" ile ilişkili) sermaye bileşenlerini hem de operasyonlar ve yönetim kategorilerinde muhasebeleştirilen emeği içerir. Bu aynı zamanda, kuruluşun faaliyetlerini desteklemekle ilişkili uzak kullanıcılar vb. için hizmetlerin maliyetini de içerir.

Buna karşılık, dolaylı maliyetler, kurumsal bilgi sistemi ve bilgi güvenliği alt sisteminin, kesinti süresi ve kurumsal bilgi güvenliği sisteminin ve bir bütün olarak bilgi sisteminin "donmaları" gibi ölçülebilir göstergeler aracılığıyla kuruluşun çalışanları üzerindeki etkisini, operasyon maliyetleri ve bilgi güvenliği alt sisteminin etkisini yansıtır. destek (doğrudan maliyetlerle ilgili değil). Genellikle, dolaylı maliyetler önemli bir rol oynar, çünkü bunlar genellikle başlangıçta bilgi güvenliği bütçesine yansıtılmaz, ancak daha sonra bir maliyet analizinde tanımlanır.

Kuruluşun TCO göstergelerinin hesaplanması aşağıdaki alanlarda gerçekleştirilir.

Kurumsal bilgi sisteminin bileşenleri(bilgi güvenlik sistemi dahil) ve kuruluşun bilgi faaliyetleri (sunucular, istemci bilgisayarlar, çevre birimleri, ağ cihazları).

Donanım ve yazılım bilgilerinin korunması için giderler Sunucular, istemci bilgisayarlar (masaüstü ve mobil bilgisayarlar), çevre birimleri ve ağ bileşenleri için sarf malzemeleri ve amortisman maliyetleri.

Bilgi güvenliği organizasyon maliyetleri: bilgi güvenliği sisteminin bakımı, çevresel aygıtları, sunucuları, ağ aygıtlarını korumanın standart araçları, bilgi güvenliği süreçlerini planlama ve yönetme, bir güvenlik konsepti ve politikası geliştirme ve diğerleri.

Bilgi sistemi operasyonlarının maliyetleri Kaynaklar: Kullanıcılara teknik destek ve altyapı bakım işlemleri sağlamak için bir bütün olarak kuruluş tarafından veya hizmet tarafından yapılan doğrudan personel maliyetleri, işçilik maliyetleri ve dış kaynak kullanımı.

Yönetim giderleri: doğrudan personel maliyetleri, faaliyetlerin sürdürülmesi ve bilgi sistemlerinin yönetimi, finansmanı, edinimi ve eğitimi dahil olmak üzere operasyonları desteklemek için dahili / harici tedarikçilerin (satıcıların) maliyetleri.

Son kullanıcı işlem maliyetleri: son kullanıcılar için kendi kendine destek maliyetleri, son kullanıcılar için resmi eğitim, düzensiz (gayri resmi) eğitim, bağımsız uygulama geliştirme, yerel dosya sistemi desteği.

Arıza süresi maliyetleri: İstemci bilgisayarlar, paylaşılan sunucular, yazıcılar, uygulama programları, iletişim kaynakları ve iletişim yazılımları dahil olmak üzere ağ kaynaklarının planlı ve plansız kesintilerinden kaynaklanan yıllık son kullanıcı üretkenliği kaybı.

"Bilgi güvenliği" terimi, bağlama bağlı olarak farklı anlamlara sahiptir. En geniş anlamıyla kavram, gizli bilgilerin, üretim sürecinin, şirket altyapısının, mali zarara veya itibar kaybına yol açan kasıtlı veya tesadüfi eylemlerden korunmasını ifade eder.

Bilgi güvenliği ilkeleri

herhangi bir sektörde bilgi güvenliğinin temel ilkesi vatandaş, toplum ve devletin çıkarları dengesini korumaktır. Bir dengeyi korumanın zorluğu, toplumun ve vatandaşın çıkarlarının çoğu zaman çatıştığı gerçeğinde yatmaktadır. Bir vatandaş, kişisel yaşamının ayrıntılarını, kaynaklarını ve gelir düzeyini, kötü işleri gizli tutmaya çalışır. Aksine, toplum yasadışı gelir, yolsuzluk gerçekleri ve suç eylemleri hakkındaki bilgilerin “sınıfını kaldırmak” ile ilgilenmektedir. Devlet, vatandaşın kişisel verileri ifşa etmeme hakkını koruyan ve aynı zamanda suçların açıklanması ve faillerin adalete teslim edilmesi ile ilgili hukuki ilişkileri düzenleyen bir sınırlama mekanizması oluşturur ve yönetir.

Günümüz ortamında önemli hukuki destek ilkesi düzenleyici desteğin bilgi güvenliği endüstrisinin gelişimine ayak uyduramaması durumunda bilgi güvenliğini elde eder. Yasal boşluklar yalnızca siber suçlar için sorumluluktan kaçmaya izin vermekle kalmaz, aynı zamanda gelişmiş veri koruma teknolojilerinin uygulanmasını da engeller.

Küreselleşme ilkesi , veya bilgi güvenliği sistemlerinin entegrasyonu tüm sektörleri etkiler: politik, ekonomik, kültürel. Uluslararası iletişim sistemlerinin geliştirilmesi, tutarlı veri güvenliği gerektirir.

Buna göre ekonomik uygunluk ilkesi , bilgi güvenliğini sağlamaya yönelik önlemlerin etkinliği, harcanan kaynaklarla eşleşmeli veya aşmalıdır. Bir güvenlik sistemini sürdürmenin kurtarılamaz maliyeti, yalnızca ilerlemeye zarar verir.

Sistem esnekliği ilkesi bilgi koruması, yeni teknolojilerin üretilmesini ve uygulanmasını engelleyen herhangi bir rejim kısıtlamasının ortadan kaldırılması anlamına gelir.

Gizli, açık olmayan bilgilerin sıkı bir şekilde düzenlenmesi, gizlilik ilkesi .

Verileri korumak için ne kadar farklı donanım ve yazılım güvenlik araçları kullanılırsa, saldırganların güvenlik açıklarını keşfetmesi ve korumayı atlaması için o kadar çok yönlü bilgi ve beceriler gerekir. Bilgi güvenliğini güçlendirmeyi amaçlar. çeşitlilik ilkesi bilgi sistemlerinin koruyucu mekanizmaları.

Kontrol kolaylığı ilkesi güvenlik sistemi, bilgi güvenliği sistemi ne kadar karmaşıksa, tek tek bileşenlerin tutarlılığını kontrol etmenin ve merkezi yönetimi uygulamanın o kadar zor olduğu fikrine dayanmaktadır.

Personelin bilgi güvenliğine sadık tutumunun anahtarı, bilgi güvenliği kuralları konusunda sürekli eğitim ve şirketin iflasına kadar kurallara uyulmamasının sonuçlarının net bir şekilde açıklanmasıdır. Sadakat ilkesi veri güvenliği yöneticileri ve tüm şirket personeli için güvenlik, çalışan motivasyonu ile bağlantılıdır. Çalışanlar, karşı taraflar ve müşteriler bilgi güvenliğini gereksiz hatta düşmanca algılarsa, en güçlü sistemler bile şirketteki bilgilerin güvenliğini garanti edemez.

Listelenen ilkeler, endüstrinin özelliklerine bağlı unsurlarla desteklenen tüm endüstrilerde bilgi güvenliğinin sağlanması için temel oluşturur. Bankacılık, enerji ve medya örneklerine bakalım.

Bankalar

Siber saldırı teknolojilerinin gelişimi, bankaları yeni ve sürekli olarak temel güvenlik sistemlerini geliştirmeye zorlamaktadır. Bankacılık sektöründe bilgi güvenliğini geliştirmenin amacı, bilgi kaynaklarını güvence altına alabilen ve en son BT ürünlerinin finansal kurumların temel iş süreçlerine entegrasyonunu sağlayan teknolojik çözümler geliştirmektir.

Finansal kurumların bilgi güvenliği mekanizmaları, onaylanmış uluslararası sözleşme ve anlaşmaların yanı sıra federal yasa ve standartlara uygun olarak oluşturulmuştur. Rus bankaları için bilgi güvenliği alanındaki kriterler şunlardır:

• Rusya Merkez Bankası standardı STO BR IBBS-1.0-2010 "Rusya Federasyonu bankacılık sistemindeki kuruluşların bilgi güvenliğinin sağlanması";
• 161 sayılı "Ulusal Ödeme Sistemi Hakkında" Federal Kanun;
• 152 Sayılı "Kişisel Veriler Üzerine" Federal Kanun;
• PCI DSS Ödeme Kartı Endüstrisi Veri Güvenliği Standardı ve diğer belgeler.

Farklı yasa ve standartlara uyma ihtiyacı, bankaların kendi güvenlik araçlarına ihtiyaç duyan birçok farklı operasyon yürütmesi, farklı yönlerde faaliyetler yürütmesi ile ilişkilidir. Örneğin, uzaktan bankacılık hizmetleri (RBS) için bilgi güvenliğinin sağlanması, bankacılık uygulamalarını koruma, veri akışlarını kontrol etme araçlarını içeren bir güvenlik altyapısının oluşturulmasını içerir. bankacılık işlemlerini izlemek ve olayları araştırmak. Bilgi kaynaklarının çok bileşenli koruması, RBS hizmetlerini kullanırken dolandırıcılıkla ilişkili tehditlerin en aza indirilmesini ve bankanın itibarının korunmasını sağlar.

Diğer sektörlerde olduğu gibi bankacılık sektörünün de bilgi güvenliği, personel alımına bağlıdır. Bankalarda bilgi güvenliğinin özelliği, düzenleyici düzeyinde güvenlik uzmanlarına artan ilgidir. 2017 yılının başlarında, Rusya Merkez Bankası, Çalışma ve Sosyal Koruma Bakanlığı ile birlikte, bilgi güvenliği uzmanları için Eğitim ve Bilim Bakanlığı olan FSTEC'in katılımıyla.

Bir bankada IB denetimi nasıl doğru bir şekilde yapılır?

Enerji

Enerji kompleksi, bilgi güvenliğini sağlamak için özel önlemler gerektiren stratejik endüstrilerden biridir. Yönetim ve departmanlardaki işyerlerinde standart bilgi güvenliği araçları yeterliyse, enerji üretimi ve son kullanıcılara ulaştırılması gibi teknolojik alanlarda korumanın daha fazla kontrol edilmesi gerekir. Enerji sektöründe korumanın ana amacı bilgi değil, teknolojik süreçtir. Bu durumda güvenlik sistemi, teknolojik süreç ve otomatik kontrol sistemlerinin bütünlüğünü sağlamalıdır. Bu nedenle, enerji sektörü işletmelerinde bilgi güvenliği mekanizmalarını tanıtmadan önce uzmanlar şunları inceliyor:

• korumanın amacı teknolojik bir süreçtir;
• enerji mühendisliğinde kullanılan cihazlar (telemekanik);
• eşlik eden faktörler (röle koruması, otomasyon, enerji ölçümü).

Enerji sektöründe bilgi güvenliğinin önemi, bilgi siber tehditlerinin uygulanmasının sonuçları ile belirlenir. Bu sadece maddi hasar veya itibara bir darbe değil, her şeyden önce - vatandaşların sağlığına zarar vermek, çevreye zarar vermek, bir şehrin veya bölgenin altyapısının ihlalidir.

Enerji sektöründe bir bilgi güvenliği sistemi tasarlamak, güvenlik risklerini tahmin etmek ve değerlendirmekle başlar. Ana değerlendirme yöntemi, bir güvenlik sistemi düzenlerken kaynakların rasyonel olarak tahsis edilmesine ve siber tehditlerin uygulanmasını önlemeye yardımcı olan olası tehditlerin modellenmesidir. Ayrıca, enerji sektöründeki güvenlik risklerinin değerlendirilmesi süreklidir: maksimum koruma derecesini sağlamak ve sistemi güncel tutmak için ayarları zamanında değiştirmek için sistemin çalışması sırasında sürekli denetimler yapılır.

kitle iletişim araçları

Medyada bilgi güvenliğinin temel görevi, vatandaş, toplum ve devletin çıkarları dahil olmak üzere ulusal çıkarları korumaktır. Medyanın modern koşullarda faaliyeti, son kullanıcılara alınan, işlenen ve yayınlanan haber ve gazetecilik materyalleri biçiminde bilgi akışlarının yaratılmasına indirgenmiştir: okuyucular, izleyiciler, site ziyaretçileri.

Kitle iletişim araçları alanında güvenliğin sağlanması ve kontrolü çeşitli yönlerde uygulanır ve şunları içerir:

• bir bilgi saldırısı tehdidinin gerçekleşmesi durumunda kriz önleme prosedürlerine ilişkin tavsiyelerin geliştirilmesi;
• medya editoryal ofisleri, basın servisleri, halkla ilişkiler departmanları çalışanları için bilgi güvenliği konusunda eğitim programları;
• bilgi saldırısına uğrayan bir organizasyonun geçici olarak dışarıdan yönetimi.

Medyada bilgi güvenliğinin bir diğer sorunu da önyargıdır. Olayların objektif bir şekilde ele alınmasını sağlamak için, gazetecileri hükümet yetkililerinin, yönetiminin ve / veya medyanın sahibinin baskısından koruyacak ve aynı zamanda - dürüst olmayan medya temsilcilerinin eylemlerinden iyi niyetli iş yapılarını sigortalayacak bir koruma mekanizması gereklidir. .

Verilere erişimi kısıtlamak, medya sektöründe bilgi güvenliğinin bir diğer köşe taşıdır. Sorun, bilgi tehditlerini önlemek için bilgiye erişimi kısıtlamanın sansür için bir "örtü" haline gelmemesidir. Avrupa Birliği'nde oylanmayı bekleyen Bilgi Kaynaklarına Erişim Sözleşmesi taslağında, medyanın çalışmalarını daha şeffaf hale getirecek ve ulusal güvenlik çıkarlarının zarar görmemesine yardımcı olacak bir karar yer alıyor. Belgenin normları, devletin internette uygun siciller oluşturarak tüm resmi belgelere eşit erişim sağladığını varsayar ve değiştirilemeyecek erişim kısıtlamaları koyar. Bilgi kaynaklarına erişim kısıtlamalarını iptal etmenize izin verecek yalnızca iki istisna vardır:

• kamu yararı normal koşullar altında yayılmaya tabi olmayan verileri bile ifşa etme yeteneği anlamına gelen;
• Ulusal çıkar bilgileri gizlemek devlete zarar verirse.

Özel sektör

Piyasa ekonomisinin gelişmesi, büyüme ve sert rekabet ile şirketin itibarı maddi olmayan duran varlıkların ayrılmaz bir parçası haline gelir. Olumlu bir imajın oluşması ve güvenliği doğrudan bilgi güvenliği düzeyine bağlıdır. Firmanın piyasadaki yerleşik imajı bilgi güvenliğinin garantisi olarak hizmet ettiğinde de bir geri bildirim vardır. Bu yaklaşımla, üç tür iş itibarı vardır:

1. "İşe yaramaz" bir organizasyonun görüntüsü, bilgi kaynakları üçüncü bir kişinin zararına veya yararına kullanılamayacağı için ilgi çekmeyen bilgiler.

2. Güçlü bir düşmanın görüntüsü, güvenliğini tehdit etmek için "kendi canım". Bir bilgi saldırısını püskürtmek için fırsatların sınırlarının bulanıklaştırılması, zorlu bir düşmanın itibarının korunmasına yardımcı olur: bilgi koruma potansiyelini anlamak ne kadar zorsa, şirket saldırganların gözünde o kadar ulaşılmaz görünür.

3. "Yararlı" bir organizasyonun resmi... Potansiyel bir saldırgan, şirketin yaşayabilirliği ile ilgileniyorsa, bir bilgi saldırısı yerine diyalog ve ortak bir bilgi güvenliği politikasının oluşturulması mümkündür.

Her şirket faaliyetlerini mevzuat normlarını gözeterek ve belirlenen hedeflere ulaşmak için çabalayarak düzenler. Benzer kriterler, bilgi güvenliği politikasının geliştirilmesi, gizli veriler ve BT kaynakları için iç güvenlik sistemlerinin uygulanması ve işletilmesine de uyacaktır. Bir kuruluşta mümkün olan en yüksek düzeyde bilgi güvenliğini sağlamak için, güvenlik sistemlerinin uygulanmasından sonra güvenlik bileşenleri sistematik olarak izlenmeli, yeniden yapılandırılmalı ve gerektiğinde güncellenmelidir.

Stratejik tesislerin bilgi koruması

2017 yılının başlarında, Rusya Federasyonu Devlet Duması, ilk okumada ülkenin bilgi güvenliği ve kritik bilgi altyapısı ile ilgili bir yasa tasarısı paketini kabul etti.

Rusya Federasyonu'nun askeri alanındaki bilgi tehditlerinin ana kaynakları.

Meclis'in bilgi politikası, bilgi teknolojisi ve iletişim komisyonu başkanı Leonid Levin, yasa tasarılarını sunarak, stratejik öneme sahip nesnelere yönelik siber saldırıların sayısındaki artış konusunda uyardı. Komite toplantısında FSB temsilcisi Nikolai Murashov, yıl boyunca Rusya'daki nesnelere 70 milyon siber saldırı gerçekleştirildiğini söyledi. Artan dış saldırı tehditleriyle eş zamanlı olarak, ülke içindeki bilgi saldırılarının ölçeği, karmaşıklığı ve koordinasyonu artıyor.

Parlamenterler tarafından kabul edilen yasa tasarıları, ulusal kritik altyapı ve bireysel endüstriler alanında bilgi sağlamak için yasal temel oluşturur. Ayrıca kanun tasarıları, devlet organlarının bilgi güvenliği alanındaki yetkilerini düzenlemekte ve bilgi güvenliğinin ihlali durumunda daha ağır cezai sorumluluk öngörmektedir.

Daha önce belirtildiği gibi, bir işletmenin güvenliği, yaşam döngüsünün tüm aşamalarında, bilgi sisteminde bir dizi önlemle sağlanır ve genel durumda maliyetten oluşur:

• - tasarım çalışması;
• - yazılım ve donanım koruma araçlarının satın alınması ve yapılandırılması;
• - fiziksel güvenliği sağlamanın maliyeti;
• - Personel eğitimi;
• - sistem yönetimi ve desteği;
• - bilgi güvenliği denetimi;
• - bilgi güvenliği sisteminin periyodik modernizasyonu vb.

Entegre bir bilgi güvenliği sisteminin ekonomik verimliliğinin maliyet göstergesi, yıl boyunca bilgi güvenliği sisteminin organizasyonu, işletimi ve bakımı için doğrudan ve dolaylı maliyetlerin toplamı olacaktır.

Bir şirkette bilgi korumasının düzenlenmesinin etkinliğinin önemli bir nicel göstergesi olarak kabul edilebilir, çünkü yalnızca toplam koruma maliyetlerini tahmin etmeye değil, aynı zamanda gerekli kurumsal güvenlik seviyesine ulaşmak için bu maliyetleri yönetmeye de izin verecektir. Bununla birlikte, doğrudan maliyetler, hem maliyetlerin sermaye bileşenlerini hem de operasyon ve yönetim kategorilerinde muhasebeleştirilen işçilik maliyetlerini içerir. Bu aynı zamanda, kuruluşun faaliyetlerini desteklemekle ilişkili uzak kullanıcılar vb. için hizmetlerin maliyetini de içerir.

Buna karşılık, dolaylı maliyetler, kurumsal bilgi güvenliği sisteminin ve bir bütün olarak entegre güvenlik sisteminin kesinti süresi ve "donmaları", operasyon ve destek maliyeti gibi ölçülebilir göstergeler aracılığıyla entegre bir güvenlik sisteminin ve bilgi güvenliği alt sisteminin çalışanlar üzerindeki etkisini yansıtır. .

Çoğu zaman, dolaylı maliyetler önemli bir rol oynar, çünkü bunlar genellikle başlangıçta entegre bir güvenlik sistemi için bütçeye yansıtılmaz, ancak daha sonra maliyet analizinde açıkça ortaya çıkar, bu da nihayetinde şirketin "gizli" maliyetlerinde bir artışa yol açar. Entegre bir güvenlik sisteminin doğrudan ve dolaylı maliyetlerini nasıl belirleyebileceğinizi düşünün. Şirket yönetiminin, işletmede entegre bir bilgi güvenliği sisteminin uygulanması üzerinde çalıştığını varsayalım. Korumanın amaçları ve amaçları, bilgi güvenliğine yönelik tehditler ve bunlara karşı alınacak önlemler zaten belirlenmiş, bilgiyi korumak için gerekli araçlar edinilmiş ve kurulmuştur.

Tipik olarak, bilgi güvenliği maliyetleri aşağıdaki kategorilere ayrılır:

• - bilgi güvenliği sisteminin yönetim bağlantısının oluşturulması ve bakımı için maliyetler;
• - kontrol maliyetleri, yani işletme kaynaklarının elde edilen güvenlik düzeyini belirlemek ve onaylamak;
• - bilgi güvenliği ihlalinin sonuçlarını ortadan kaldırmaya yönelik dahili maliyetler - gerekli güvenlik düzeyine ulaşılmamasının bir sonucu olarak kuruluşun maruz kaldığı maliyetler;
• - bilgi güvenliği ihlallerinin sonuçlarını ortadan kaldırmanın harici maliyetleri - bilgi sızıntısı, şirket imajı kaybı, ortakların ve tüketicilerin güven kaybı vb. ile ilgili durumlarda güvenlik politikasının ihlali durumundaki kayıpların tazmini;
• - bilgi güvenliği sisteminin bakım maliyetleri ve şirketin güvenlik politikasının ihlal edilmesini önlemeye yönelik önlemler.

Aynı zamanda, bir kerelik ve sistematik maliyetler genellikle ayırt edilir.

Bir kerelik, kurumsal güvenliğin oluşturulması için maliyetler: koruyucu ekipmanın satın alınması ve kurulması için organizasyonel maliyetler ve maliyetler.

Sistematik, işletme ve bakım maliyetleri. Bilgi güvenliği için maliyetlerin toplanması, sınıflandırılması ve analizi işletmelerin dahili bir faaliyeti olduğundan ve listenin ayrıntılı gelişimi belirli bir kuruluşun özelliklerine bağlı olduğundan, maliyetlerin sınıflandırılması keyfidir.

Bir güvenlik sisteminin maliyetlerini belirlemedeki ana şey, işletme içindeki maliyet kalemleri üzerinde karşılıklı anlayış ve anlaşmadır.

Ayrıca maliyet kategorileri sabit olmalı ve çakışmamalıdır. Güvenlik maliyetleri tamamen ortadan kaldırılamaz ancak kabul edilebilir bir düzeye getirilebilir.

Güvenlik maliyetlerinin bazıları kesinlikle gereklidir ve bazıları önemli ölçüde azaltılabilir veya ortadan kaldırılabilir. İkincisi, güvenlik ihlalleri olmadığında ortadan kaybolabilen veya ihlallerin sayısı ve zarar verici etkisi azaldığında azalanlardır.

Güvenliği gözlemlerken ve ihlallerin önlenmesini gerçekleştirirken, aşağıdaki maliyetler hariç tutulabilir veya önemli ölçüde azaltılabilir:

• - güvenlik gereksinimlerini karşılamak için güvenlik sistemini geri yüklemek;
• - işletmenin bilgi ortamının kaynaklarını geri yüklemek;
• - güvenlik sistemi içindeki değişiklikler için;
• - yasal anlaşmazlıklar ve tazminat ödemeleri hakkında;
• - güvenlik ihlallerinin nedenlerini belirlemek.

Gerekli maliyetler, güvenlik tehditlerinin düzeyi yeterince düşük olsa bile gerekli olan maliyetlerdir. Bunlar, kurumsal bilgi ortamının elde edilen güvenlik düzeyini korumanın maliyetleridir.

Kaçınılmaz maliyetler şunları içerebilir:

• a) teknik koruma araçlarının bakımı;
• b) gizli ofis işleri;
• c) güvenlik sisteminin işleyişi ve denetimi;
• d) uzman kuruluşların katılımıyla asgari düzeyde teftiş ve kontrol;
• e) personelin bilgi güvenliği yöntemleri konusunda eğitimi.

Ancak, belirlenmesi zor olan başka maliyetler de vardır. Aralarında:

• a) yeni bir pazar stratejisinin ek araştırma ve geliştirme maliyeti;
• b) bilimsel araştırmadaki önceliğin azaltılmasından ve bilimsel ve teknik başarılar için lisansların patentlenmesinin ve satılmasının imkansızlığından kaynaklanan kayıplar;
• c) ürünlerin tedariki, üretimi ve pazarlanmasındaki "darboğazların" ortadan kaldırılmasıyla ilgili maliyetler;
• d) teşebbüs tarafından imal edilen ürünlerin taviz vermesinden ve bunun için daha düşük fiyatlardan kaynaklanan kayıplar;
• e) onlar için fiyatlarda bir artış, tedarik hacminin sınırlandırılması da dahil olmak üzere ekipman veya teknolojilerin edinilmesinde zorlukların ortaya çıkması.

Listelenen maliyetler, örneğin tasarım, teknolojik, ekonomik planlama, yasal, ekonomik, pazarlama, tarife politikası ve fiyatlandırma gibi çeşitli departmanların personelinin eylemlerinden kaynaklanabilir.

Tüm bu departmanlardaki çalışanların dış kayıplarla tam zamanlı meşgul olma olasılığı düşük olduğundan, maliyet tutarının belirlenmesi, harcanan fiili süre dikkate alınarak yapılmalıdır. Dış kayıpların unsurlarından biri doğru bir şekilde hesaplanamaz - bunlar şirketin imajını baltalamakla, şirketin ürün ve hizmetlerine tüketici güvenini azaltmakla ilişkili kayıplardır. Bu nedenle birçok şirket hizmetlerinin güvenli olmadığını gizler. Şirketler, bu tür bilgilerin açığa çıkmasından şu ya da bu şekildeki saldırılardan daha fazla korkarlar.

Bununla birlikte, birçok işletme, herhangi bir doğruluk derecesi ile tahmin edilemeyecekleri gerekçesiyle bu maliyetleri göz ardı etmektedir - bunlar yalnızca spekülatiftir. Önleyici tedbirlerin maliyetleri. Önleme faaliyetleri departmanlar arasında yürütüldüğünden ve birçok hizmeti etkilediğinden, bu maliyetlerin tahmin edilmesi muhtemelen en zor olanlardır. Bu maliyetler, kurumsal bilgi ortamının kaynaklarının yaşam döngüsünün tüm aşamalarında ortaya çıkabilir:

• - planlama ve organizasyon;
• - satın alma ve devreye alma;
• - teslimat ve destek;
• - bilgi teknolojisini oluşturan süreçlerin izlenmesi.

Buna ek olarak, bu kategorideki maliyetlerin çoğu güvenlik personelinin işi ile ilgilidir. Önleme maliyetleri esas olarak maaşları ve genel giderleri içerir. Bununla birlikte, tespitlerinin doğruluğu, büyük ölçüde, her çalışanın ayrı ayrı harcadığı zamanı belirlemenin doğruluğuna bağlıdır. Bazı ihtiyati maliyetleri doğrudan belirlemek kolaydır. Özellikle, üçüncü şahısların çeşitli işleri için ödeme içerebilirler, örneğin:

• - yazılım ve donanım koruma araçlarının, işletim sistemlerinin ve kullanılmış ağ ekipmanlarının bakımı ve konfigürasyonu;
• - Alarmların kurulumu, gizli belgelerin saklanması için ekipman, telefon iletişim hatlarının korunması, bilgisayar ekipmanı vb. ile ilgili mühendislik ve teknik çalışmaların yapılması;
• - gizli bilgilerin teslimi;
• - istişareler;
• - Eğitim Kursları.

Değerlendirilen maliyetler hakkında bilgi kaynakları. Bilgi güvenliğini sağlamanın maliyetlerini belirlerken şunu unutmamak gerekir:

• - yazılım ve donanım araçlarını satın alma ve devreye alma maliyetleri faturaların, depo belgelerindeki kayıtların vb. analizinden elde edilebilir;
• - personele yapılan ödemeler beyannamelerden alınabilir;
• - maaş ödemelerinin miktarı, bilgi güvenliğini sağlamak için işte harcanan fiili süre dikkate alınarak, çalışanın zamanının yalnızca bir kısmı bilgi güvenliği faaliyetlerine harcanıyorsa, zaman harcamalarının her bir bileşenini değerlendirmenin fizibilitesi dikkate alınmalıdır. sorgulanmamalıdır;
• - güvenlik maliyetlerinin sınıflandırılması ve unsurlara göre tahsisi, işletme içindeki günlük işin bir parçası haline gelmelidir.

Bilgi güvenliğinin maliyeti nasıl gerekçelendirilir?

Nazik izinle yeniden basıldı InfoTeKS İnternet Güven OJSC
Orijinal metin bulunur Burada.

Şirketin olgunluk seviyeleri

Gartner Group, bilgi güvenliği (IS) açısından 4 şirket olgunluk düzeyi tanımlar:

• 0 seviye:
• Şirkette bilgi güvenliği ile ilgilenen kimse yoktur, şirket yönetimi bilgi güvenliği sorunlarının öneminin farkında değildir;
• Finansman mevcut değil;
• IS, standart işletim sistemleri, DBMS ve uygulamalar (parola koruması, kaynaklara ve hizmetlere erişimin farklılaşması) aracılığıyla uygulanır.
• 1. seviye:
• IS yönetim tarafından tamamen "teknik" bir sorun olarak kabul edilir, şirketin bilgi güvenliği sisteminin (ISS) geliştirilmesi için tek bir program (kavram, politika) yoktur;
• Finansman, genel BT bütçesi dahilindedir;
• IS, sıfır seviye + yedekleme araçları, antivirüs araçları, güvenlik duvarları, VPN organizasyon araçları (geleneksel koruma araçları) aracılığıyla uygulanır.
• 2. seviye:
• IS yönetim tarafından bir organizasyonel ve teknik önlemler kompleksi olarak kabul edilir, IS'nin üretim süreçleri için önemine dair bir anlayış vardır, yönetim tarafından onaylanmış şirketin BGYS'sinin geliştirilmesi için bir program vardır;
• IS, birinci seviye + güçlü kimlik doğrulama araçları, posta mesajlarını ve web içeriğini analiz etme araçları, IDS (saldırı tespit sistemleri), güvenlik analiz araçları, SSO (tek kimlik doğrulama araçları), PKI (ortak anahtar altyapısı) ve kurumsal önlemler (iç ve dış denetim, risk analizi, bilgi güvenliği politikası, düzenlemeler, prosedürler, düzenlemeler ve yönergeler).
• 3. seviye:
• IS, CISA (kıdemli bilgi güvenliği görevlisi) tarafından atanan kurum kültürünün bir parçasıdır;
• Finansman ayrı bir bütçe altında sağlanır;
• IS, ikinci seviye + IS yönetim sistemleri, CSIRT (IS ihlal müdahale ekibi), SLA (hizmet seviyesi anlaşması) aracılığıyla uygulanır.

Gartner Group'a göre (veriler 2001 içindir), açıklanan 4 seviyeye göre şirketlerin yüzdesi aşağıdaki gibidir:
0 seviye - %30,
1. seviye - %55,
2. seviye - %10,
3. seviye - %5.

Gartner Group'un 2005 yılı görünümü aşağıdaki gibidir:
0 seviye - %20,
1. seviye - %35,
2. seviye - %30,
Seviye 3 - %15.

İstatistikler, şirketlerin çoğunluğunun (%55) artık gerekli olan minimum geleneksel teknik koruma araçlarını (seviye 1) uyguladığını göstermektedir.

Çeşitli teknolojileri ve koruma araçlarını uygularken, genellikle sorular ortaya çıkar. İlk olarak ne uygulanmalı, saldırı tespit sistemi mi yoksa PKI altyapısı mı? Ne daha etkili olacak? Deloitte & Touche direktörü Stephen Ross, bireysel güvenlik önlemlerinin ve araçlarının etkinliğini değerlendirmek için aşağıdaki yaklaşımı önermektedir.

Yukarıdaki grafiğe dayanarak, en pahalı ve en az etkili olanın özel araçlar (kendi veya özel geliştirmeler) olduğu görülebilir.

En pahalı, ancak aynı zamanda en etkili olanı 4. kategorinin korumasıdır (Gartner Group'a göre seviye 2 ve 3). Bu fon kategorisini uygulamak için risk analizi prosedürünü kullanmak gerekir. Bu durumda risk analizi, mevcut IS ihlali tehditlerine karşı uygulama maliyetlerinin yeterliliğini garanti etmeyi mümkün kılacaktır.

En ucuz, ancak verimliliği yüksek olan, organizasyonel önlemlerdir (iç ve dış denetim, risk analizi, bilgi güvenliği politikası, iş sürekliliği planı, düzenlemeler, prosedürler, düzenlemeler ve yönergeler).

Ek koruma araçlarının getirilmesi (2. ve 3. seviyelere geçiş), önemli finansal yatırımlar ve buna bağlı olarak gerekçelendirme gerektirir. Yönetim tarafından onaylanan ve imzalanan BGYS'nin geliştirilmesi için birleşik bir programın yokluğu, güvenlik yatırımlarının gerekçelendirilmesi sorununu daha da kötüleştirmektedir.

Risk analizi

Risk analizinin sonuçları ve olaylarla ilgili toplanan istatistikler böyle bir gerekçe olarak hizmet edebilir.Risk analizinin uygulanmasına ve istatistiklerin toplanmasına yönelik mekanizmalar, şirketin bilgi güvenliği politikasında açıklanmalıdır.

Risk analizi süreci 6 ardışık adımdan oluşur:

1. Koruma nesnelerinin tanımlanması ve sınıflandırılması (korunacak şirket kaynakları);

3. Saldırganın bir modelini oluşturmak;

4. Tehditlerin ve güvenlik açıklarının belirlenmesi, sınıflandırılması ve analizi;

5. Risk değerlendirmesi;

6. Organizasyonel önlemlerin ve teknik koruma araçlarının seçimi.

Sahnede korunan nesnelerin tanımlanması ve sınıflandırılması aşağıdaki alanlarda şirket kaynaklarının bir envanterini yapmak gerekir:

• Bilgi kaynakları (şirketin gizli ve kritik bilgileri);
• Yazılım kaynakları (OS, DBMS, ERP gibi kritik uygulamalar);
• Fiziksel kaynaklar (sunucular, iş istasyonları, ağ ve telekomünikasyon ekipmanı);
• Servis kaynakları (e-posta, www, vb.).

sınıflandırma kaynağın gizlilik ve kritiklik düzeyini belirlemektir. Gizlilik, kaynak tarafından saklanan, işlenen ve iletilen bilgilerin gizlilik seviyesini ifade eder. Kritiklik, kaynağın şirketin üretim süreçlerinin işleyişinin verimliliği üzerindeki etkisinin derecesi olarak anlaşılır (örneğin, telekomünikasyon kaynaklarının kesintiye uğraması durumunda sağlayıcı şirket iflas edebilir). Gizlilik ve kritiklik parametrelerine belirli niteliksel değerler atayarak, her kaynağın şirketin üretim süreçlerine katılımı açısından önem derecesini belirleyebilirsiniz.

Şirket kaynaklarının bilgi güvenliği açısından önemini belirlemek için aşağıdaki tabloyu alabilirsiniz:

Örneğin, şirket çalışanlarının maaş düzeyi hakkında bilgi içeren dosyalar "kesinlikle gizli" (gizlilik parametresi) ve "ihmal edilebilir" (önemlilik parametresi) değerine sahiptir. Bu değerleri tabloda değiştirerek, bu kaynağın öneminin ayrılmaz bir göstergesini alabilirsiniz. Uluslararası standart ISO TR 13335'te sınıflandırma yöntemlerinin farklı varyantları verilmiştir.

Bir saldırgan modeli oluşturma potansiyel ihlalcileri aşağıdaki parametrelere göre sınıflandırma sürecidir:

• Saldırgan türü (rakip, müşteri, geliştirici, şirket çalışanı vb.);
• Saldırganın koruma nesnelerine göre konumu (dahili, harici);
• Koruma nesneleri ve çevre hakkında bilgi düzeyi (yüksek, orta, düşük);
• Korunan nesnelere erişim fırsatlarının düzeyi (maksimum, ortalama, minimum);
• Eylem zamanı (sürekli, belirli zaman aralıklarında);
• Konum (saldırı sırasında saldırganın varsayılan konumu).

Saldırgan modelinin listelenen parametrelerine niteliksel değerler atayarak, saldırganın potansiyeli (saldırganın tehditleri uygulama yeteneklerinin ayrılmaz bir özelliği) belirlenebilir.

Tehditlerin ve güvenlik açıklarının tanımlanması, sınıflandırılması ve analizi korunan nesnelere saldırı uygulama yollarını belirlemenize olanak tanır. Güvenlik açıkları, bir saldırgan tarafından tehditleri uygulamak için kullanılan bir kaynağın veya ortamının özellikleridir. Yazılım kaynaklarının güvenlik açıklarının listesi İnternette bulunabilir.

Tehditler aşağıdaki kriterlere göre sınıflandırılır:

• tehdidin adı;
• saldırgan türü;
• uygulama araçları;
• istismar edilen güvenlik açıkları;
• gerçekleştirilen eylemler;
• uygulama sıklığı.

Ana parametre, tehdidin uygulanma sıklığıdır. "Saldırgan potansiyeli" ve "kaynak güvenliği" parametrelerinin değerlerine bağlıdır. "Kaynak güvenliği" parametresinin değeri, uzman değerlendirmeleri ile belirlenir. Parametrenin değerini belirlerken, saldırganın öznel parametreleri dikkate alınır: tehdidin uygulanması için motivasyon ve bu tür tehditleri uygulama girişimlerinden (varsa) istatistikler. Tehdit ve güvenlik açığı analizi aşamasının sonucu, her bir tehdit için "uygulama sıklığı" parametresinin bir değerlendirmesidir.

Sahnede risk değerlendirmesi her bir kaynak veya kaynak grubu için tehditlerden bilgi güvenliği ihlallerine yönelik potansiyel zarar belirlenir.

Niteliksel hasar göstergesi iki parametreye bağlıdır:

• Kaynağın önemi;
• Bu kaynağa yönelik tehdidin sıklığı.

Elde edilen hasar değerlendirmelerine dayanarak, uygun organizasyonel önlemler ve teknik koruma araçları makul bir şekilde seçilir.

Olay istatistiklerinin toplanması

Riski değerlendirmek ve buna bağlı olarak yeni koruma teknolojilerini tanıtma veya mevcut koruma teknolojilerini değiştirme ihtiyacını haklı çıkarmak için önerilen metodolojideki tek güvenlik açığı "tehdit gerçekleşme sıklığı" parametresinin tanımıdır. Bu parametre için objektif değerler elde etmenin tek yolu, olaylar hakkında istatistik toplamaktır. Örneğin, bir yıl için birikmiş istatistikler, kaynak başına (belirli bir türde) tehdit sayısını (belirli bir türde) belirlememize izin verecektir. Olay işleme prosedürü çerçevesinde istatistiklerin toplanması üzerinde çalışılması tavsiye edilir.