реализации меры по снижению рисков должна быть меньше величины снижаемого риска.
В План включаются мероприятия по снижению только тех рисков, значения которых выше приемлемого уровня (шаблон Плана представлен в разделе 4.1). Выбираемые мероприятия должны быть такими и в таком количестве, чтобы обеспечить снижение ИГ рисков до приемлемого уровня. Для этого сначала реализуются мероприятия высшего приоритета. После этого проводится повторный расчет рисков с учетом эффективности предпринятых мер. Если остаются риски, уровень которых выше приемлемого, то внедряется следующая группа мероприятий и вновь рассчитываются остаточные риски и т.д.
Включаемые в План мероприятия должны быть такими, чтобы соответствовать следующим возможным решениям по управлению рисками:
• непосредственное снижение риска. Достигается внедрением недостающих контролей OCTAVE;
• исключение (обход) риска. Достигается исключением возникновения рисковой ситуации (например, отказ от априори небезопасной ИТ технологии);
• страхование риска. Применяется при невозможности достижения приемлемого уровня риска другими способами.
Выбор того или иного решения (и соответствующих мероприятий сто обеспечивающих) должен быть оправдан экономически соотнесением стоимости реализуемых мероприятий с достигаемой за счет этого стоимостью снижаемого ИТ риска.
4.5 Расчет экономических показателей дли обоснования мероприятий безопасности
При разработке Плана мероприятий по снижению ИТ рисков (раздел 4.4) необходимо проведение некоторых экономических расчетов, которые позволят обосновать включение мероприятий безопасности в План.
Для этого полезно воспользоваться следующими экономическими показателями:
• ROI (Return of Investment) - коэффициент возврата инвестиций на И.Б;
• NPV (Net Present Value) - коэффициент оценки эффективности инвестиций в ИБ;
• IRR (Internal Return Rate) - выгода от внедренных мероприятий ИБ (внутренняя норма доходности).
Расчет ROI
Используется следующая формула:
ROI= (Incomc+Risk+AddLosses)/ Investment
где:
Income- изменение доходов в результате внедрения системы защиты. Поскольку она непосредственно не используется для увеличения доходов компании, то этот параметр равен нулю;
Risk- параметр, исчисляемый в денежном выражении и учитывающий не только
предотвращенные потенциальные потери в результате действия той или иной угрозы, но и вероятность ее осуществления;
AddLosses- предотвращенные потери, связанные с отсутствием системы защиты, такие как, снижение производительности администратора безопасности, потери времени на поиск информации об уязвимостяхи атаках и т.п.;
Investment- инвестиции в систему защиты.
Расчет параметра Riskосуществляется следующим образом:
Risk=
Threat +Vulnerability + Losses,
где:
Threat- вероятность осуществления атак на корпоративную сеть. Этот параметр рассчитывается на основе статистических данных о различных атаках на компании и организации, действующие в различных секторах экономики. Например, вероятность пострадать от вирусов, троянцев и Интернет-червей составляет 0,94 для любой компании, а самые часто атакуемые компании находятся в секторе высоких технологий, финансовых сервисов и энергетики. В среднем каждую педелю фиксируется 32 атаки на одну компанию (ежеквартальный рост этого значения - 64%). Vulnerability- показатель наличия в сети уязвимостей, которые используются для реализации атак, описываемых предыдущим параметром. Условно можно выделить 4 значения данного показателя - 0 (уязвимости нет), 0.3 (уязвимость низкой степени риска), 0.6 (уязвимость средней степени риска) и 1 (уязвимость высокой степени риска).
Losses- потери, к которым может привести та или иная атака.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.