bga68 (bga68) wrote,
bga68
bga68

Categories:

Как рассчитать окупаемость инвестиций для DLP-системы. Часть 2

Как рассчитать окупаемость инвестиций для DLP-системы. Часть 2

Часть 1-я



Такая документация в каждой компании своя. Её состав и содержание «на совести» компании. В предельном случае можно внедрить систему неофициально, без внесения соответствующих пунктов в трудовой договор и прочего. Вот только использование такой системы будет незаконно. 

Стоимость человеко-дня = 20 т.р. Без правильного комплекта ОРД DLP будет конфликтовать с законодательством защищающим права на частную жизнь и, не будучи поддержана орг. мерами, останется просто дорогой игрушкой.



TCO = 9 070 т.р. в год.



Теперь переходим к оценке вероятного среднегодового ущерба.

Для расчета ALE используется следующая знакомая многим формула. В этой формуле:

Вероятность угрозы – частота инцидентов ИБ

Величина уязвимости - % успешных инцидентов

Размер ущерба – совокупная стоимость скомпрометированных информационных активов



Угрозы будем рассматривать те, от которых защищается DLP-система, группа активов, критичных с точки зрения конфиденциальности (различные виды тайн, ПДн, финансовая информации).



Для оценки этих факторов риска нам необходимо будет пройти все этапы, предусмотренные методикой управления рисками ИБ, которая изначально была описана BSI в 3-й части стандарта BS 7799-3, затем была заложена в стандарты ISO 27000, и была адаптирована GlobalTrust для практического применения.

Все эти этапы управления риском мы разбираем на практическом тренинге, который будет проходить в конце июля в рамках учебного курса SearchInform «DLP от А до Я» и начнется как-раз с буквы А, т.е. с нашего тренинга по оценки рисков и эффективности DLP-систем.



Основной документ, который формируется по результатам применения данной методики - рисков ИБ (ПР) - документ, характеризующий риски ИБ объекта защиты (ОЗ).

Там есть все составляющие риска ИБ, в том числе и ROI DLP. Но пойдем дальше. Первое, что нам необходимо сделать для оценки риска – разобраться с активами. Нужна инвентаризация активов и оценка их ценности для бизнеса. Ценность актива выражается размером потенциального ущерба, который может быть нанесен в результате его компрометации. Для оценки этого ущерба необходим анализ последствий инцидентов (в нашем случае - утечек информации).



Все последствия утечек можно разделить на три группы. Рассмотреть соответствующие сценарии для каждой группы критичных активов, дать свои оценки наихудшему сценарию и наиболее вероятному сценарию развития событий. Далее сопоставить свои результаты с усредненными оценками, полученным различными исследователями.

В качестве примера посмотрим на расчеты Forrester Research.



В данному примере оцениваются прямые убытки, связанные с утечкой ПДн клиентов, в расчете на одну порцию данных. Если утекла клиентская база насчитывающая 100 000 записей, то прямой ущерб составит $21,8 млн.



Далее оцениваются последствия репутационного ущерба для компании с годовым оборотом в $1 млрд. В данном случае он может составлять более 60% маржи (валовой прибыли) – $120 млн.



Далее прямые и косвенные последствия утечки суммируются. Получаем цифры по недополученной прибыли на периоде 5 лет.



На графике показана прибыль компании до и после инцидента.



Теперь размер ущерба сопоставляется со стоимостью DLP. Вобщем-то страховка от угроз ИБ столько и должна стоить. Если учесть еще вероятность реализации рассматриваемого инцидента, то эти проценты возрастут на порядок и ROI DLP как раз попадет в интервал 10-100. Но как оценить эту вероятность угроз? Далее покажем как это можно сделать.



После того, как мы разобрались с активами и их ценностью, можно переходить к анализу угроз и уязвимостей для DLP. Модель угроз DLP в конечном счете находит отражение в политиках.

DLP-система ограничена своими политиками. Половина политик направлены не на выявление утечек, а на мониторинг действий сотрудников. Т.е. DLP обеспечивает значительный ROI не связанный с утечками.



DLP-система выявляет не инциденты, связанные с утечками, а события ИБ (десятки и сотни тысяч в месяц), которые могут потенциально быть инцидентами. Нет возможности заблокировать все обнаруженные события, а значит нет возможности и предотвратить возможные утечки.

Нужна статистика по организации: сколько было инцидентов, сколько утечек предотвращено, как оценивается ущерб. Сопоставляя это с общей и отраслевой статистикой, можно достаточно точно оценивать вероятность угроз, потенциальный ущерб и ценность активов.

Поскольку у нас нет сейчас такой статистики, воспользуемся очередным отчетом об утечках. Например, для банков имеем 21 зарегистрированный инцидент



Это подтверждается картиной распределения утечек по типам информации.



Примерно 20 инцидентов год связаны с утечкой банковской тайны, если эту цифру разделить на 1000 банков то получится 0,02 или 2% - вероятность инцидента в течение года. Ожидаемая частота угрозы – 1 раз в 50 лет.



Если посмотреть на распределение утечек по способам получения информации, то мы видим, что далеко не все утечки предотвращаются DLP системой, а только приблизительно 70% инцидентов (левая половина графика). Это надо учитывать в модели угроз. Банковских инцидентов, которые можно предотвратить при помощи DLP, будет не 21, а примерно 15.



Теперь рассчитаем ALE до и после внедрения DLP. В качестве среднего размера ущерба возьмем «среднее по больнице» из статистики инцидентов 2015 – $33 млн.

Величина уязвимости показывает эффективность DLP. Предположим, что сам факт использования DLP на порядок уменьшает количество инцидентов. А их тех, которые происходят, на порядок снижается количество успешных. Поэтому после частота угрозы и величина уязвимости у нас соответствующим образом уменьшаются.



В результате данных расчетов получаем ROI = 3.5. Это означает, что возврат инвестиций в DLP в данном случае в 3.5 раза превышает ее стоимость. Хороший результат для инвестиций, плохой – для страховки.



ALE и ROI носят вероятностный характер.

ROI = (-2 ; 50) слишком большая неопределенность метода оценки.

ROI = (2;5) – нормальная неопределенность. Например:

ROI = 3.5 с вероятностью 80%,  =2 с вероятностью 4%, =5 с вероятностью 7% и т.п.



Эта презентация в формате pdf выложена на сайте GlobalTrust по адресу:
http://globaltrust.ru/ru/about/presscenter/informacionnye-materialy/prezentacii-reshenii-globaltrust/vebinar-kak-rasschitat-okupaemost-investicii-v-dlp-sistemy/view

Видеозапись вебинара выложена здесь:
http://iso27000.ru/video/video-s-seminarov-globaltrust/kak-rasschitat-okupaemost-investicii-dlya-dlp-sistemy
 
 
Tags: dld, dlp, информационная безопасность, тэо
Subscribe

  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments