![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Entry tags:
Как рассчитать окупаемость инвестиций для DLP-системы. Часть 2
Как рассчитать окупаемость инвестиций для DLP-системы. Часть 2
Часть 1-я
Такая документация в каждой компании своя. Её состав и содержание «на совести» компании. В предельном случае можно внедрить систему неофициально, без внесения соответствующих пунктов в трудовой договор и прочего. Вот только использование такой системы будет незаконно.
Стоимость человеко-дня = 20 т.р. Без правильного комплекта ОРД DLP будет конфликтовать с законодательством защищающим права на частную жизнь и, не будучи поддержана орг. мерами, останется просто дорогой игрушкой.
TCO = 9 070 т.р. в год.
Теперь переходим к оценке вероятного среднегодового ущерба.
Для расчета ALE используется следующая знакомая многим формула. В этой формуле:
Вероятность угрозы – частота инцидентов ИБ
Величина уязвимости - % успешных инцидентов
Размер ущерба – совокупная стоимость скомпрометированных информационных активов
Угрозы будем рассматривать те, от которых защищается DLP-система, группа активов, критичных с точки зрения конфиденциальности (различные виды тайн, ПДн, финансовая информации).
Для оценки этих факторов риска нам необходимо будет пройти все этапы, предусмотренные методикой управления рисками ИБ, которая изначально была описана BSI в 3-й части стандарта BS 7799-3, затем была заложена в стандарты ISO 27000, и была адаптирована GlobalTrust для практического применения.
Все эти этапы управления риском мы разбираем на практическом тренинге, который будет проходить в конце июля в рамках учебного курса SearchInform «DLP от А до Я» и начнется как-раз с буквы А, т.е. с нашего тренинга по оценки рисков и эффективности DLP-систем.
Основной документ, который формируется по результатам применения данной методики - рисков ИБ (ПР) - документ, характеризующий риски ИБ объекта защиты (ОЗ).
Там есть все составляющие риска ИБ, в том числе и ROI DLP. Но пойдем дальше. Первое, что нам необходимо сделать для оценки риска – разобраться с активами. Нужна инвентаризация активов и оценка их ценности для бизнеса. Ценность актива выражается размером потенциального ущерба, который может быть нанесен в результате его компрометации. Для оценки этого ущерба необходим анализ последствий инцидентов (в нашем случае - утечек информации).
Все последствия утечек можно разделить на три группы. Рассмотреть соответствующие сценарии для каждой группы критичных активов, дать свои оценки наихудшему сценарию и наиболее вероятному сценарию развития событий. Далее сопоставить свои результаты с усредненными оценками, полученным различными исследователями.
В качестве примера посмотрим на расчеты Forrester Research.
В данному примере оцениваются прямые убытки, связанные с утечкой ПДн клиентов, в расчете на одну порцию данных. Если утекла клиентская база насчитывающая 100 000 записей, то прямой ущерб составит $21,8 млн.
Далее оцениваются последствия репутационного ущерба для компании с годовым оборотом в $1 млрд. В данном случае он может составлять более 60% маржи (валовой прибыли) – $120 млн.
Далее прямые и косвенные последствия утечки суммируются. Получаем цифры по недополученной прибыли на периоде 5 лет.
На графике показана прибыль компании до и после инцидента.
Теперь размер ущерба сопоставляется со стоимостью DLP. Вобщем-то страховка от угроз ИБ столько и должна стоить. Если учесть еще вероятность реализации рассматриваемого инцидента, то эти проценты возрастут на порядок и ROI DLP как раз попадет в интервал 10-100. Но как оценить эту вероятность угроз? Далее покажем как это можно сделать.
После того, как мы разобрались с активами и их ценностью, можно переходить к анализу угроз и уязвимостей для DLP. Модель угроз DLP в конечном счете находит отражение в политиках.
DLP-система ограничена своими политиками. Половина политик направлены не на выявление утечек, а на мониторинг действий сотрудников. Т.е. DLP обеспечивает значительный ROI не связанный с утечками.
DLP-система выявляет не инциденты, связанные с утечками, а события ИБ (десятки и сотни тысяч в месяц), которые могут потенциально быть инцидентами. Нет возможности заблокировать все обнаруженные события, а значит нет возможности и предотвратить возможные утечки.
Нужна статистика по организации: сколько было инцидентов, сколько утечек предотвращено, как оценивается ущерб. Сопоставляя это с общей и отраслевой статистикой, можно достаточно точно оценивать вероятность угроз, потенциальный ущерб и ценность активов.
Поскольку у нас нет сейчас такой статистики, воспользуемся очередным отчетом об утечках. Например, для банков имеем 21 зарегистрированный инцидент
Это подтверждается картиной распределения утечек по типам информации.
Примерно 20 инцидентов год связаны с утечкой банковской тайны, если эту цифру разделить на 1000 банков то получится 0,02 или 2% - вероятность инцидента в течение года. Ожидаемая частота угрозы – 1 раз в 50 лет.
Если посмотреть на распределение утечек по способам получения информации, то мы видим, что далеко не все утечки предотвращаются DLP системой, а только приблизительно 70% инцидентов (левая половина графика). Это надо учитывать в модели угроз. Банковских инцидентов, которые можно предотвратить при помощи DLP, будет не 21, а примерно 15.
Теперь рассчитаем ALE до и после внедрения DLP. В качестве среднего размера ущерба возьмем «среднее по больнице» из статистики инцидентов 2015 – $33 млн.
Величина уязвимости показывает эффективность DLP. Предположим, что сам факт использования DLP на порядок уменьшает количество инцидентов. А их тех, которые происходят, на порядок снижается количество успешных. Поэтому после частота угрозы и величина уязвимости у нас соответствующим образом уменьшаются.
В результате данных расчетов получаем ROI = 3.5. Это означает, что возврат инвестиций в DLP в данном случае в 3.5 раза превышает ее стоимость. Хороший результат для инвестиций, плохой – для страховки.
ALE и ROI носят вероятностный характер.
ROI = (-2 ; 50) слишком большая неопределенность метода оценки.
ROI = (2;5) – нормальная неопределенность. Например:
ROI = 3.5 с вероятностью 80%, =2 с вероятностью 4%, =5 с вероятностью 7% и т.п.
Эта презентация в формате pdf выложена на сайте GlobalTrust по адресу:
http://globaltrust.ru/ru/about/presscenter/informacionnye-materialy/prezentacii-reshenii-globaltrust/vebinar-kak-rasschitat-okupaemost-investicii-v-dlp-sistemy/view
Видеозапись вебинара выложена здесь:
http://iso27000.ru/video/video-s-seminarov-globaltrust/kak-rasschitat-okupaemost-investicii-dlya-dlp-sistemy
Часть 1-я
Такая документация в каждой компании своя. Её состав и содержание «на совести» компании. В предельном случае можно внедрить систему неофициально, без внесения соответствующих пунктов в трудовой договор и прочего. Вот только использование такой системы будет незаконно.
Стоимость человеко-дня = 20 т.р. Без правильного комплекта ОРД DLP будет конфликтовать с законодательством защищающим права на частную жизнь и, не будучи поддержана орг. мерами, останется просто дорогой игрушкой.
TCO = 9 070 т.р. в год.
Теперь переходим к оценке вероятного среднегодового ущерба.
Для расчета ALE используется следующая знакомая многим формула. В этой формуле:
Вероятность угрозы – частота инцидентов ИБ
Величина уязвимости - % успешных инцидентов
Размер ущерба – совокупная стоимость скомпрометированных информационных активов
Угрозы будем рассматривать те, от которых защищается DLP-система, группа активов, критичных с точки зрения конфиденциальности (различные виды тайн, ПДн, финансовая информации).
Для оценки этих факторов риска нам необходимо будет пройти все этапы, предусмотренные методикой управления рисками ИБ, которая изначально была описана BSI в 3-й части стандарта BS 7799-3, затем была заложена в стандарты ISO 27000, и была адаптирована GlobalTrust для практического применения.
Все эти этапы управления риском мы разбираем на практическом тренинге, который будет проходить в конце июля в рамках учебного курса SearchInform «DLP от А до Я» и начнется как-раз с буквы А, т.е. с нашего тренинга по оценки рисков и эффективности DLP-систем.
Основной документ, который формируется по результатам применения данной методики - рисков ИБ (ПР) - документ, характеризующий риски ИБ объекта защиты (ОЗ).
Там есть все составляющие риска ИБ, в том числе и ROI DLP. Но пойдем дальше. Первое, что нам необходимо сделать для оценки риска – разобраться с активами. Нужна инвентаризация активов и оценка их ценности для бизнеса. Ценность актива выражается размером потенциального ущерба, который может быть нанесен в результате его компрометации. Для оценки этого ущерба необходим анализ последствий инцидентов (в нашем случае - утечек информации).
Все последствия утечек можно разделить на три группы. Рассмотреть соответствующие сценарии для каждой группы критичных активов, дать свои оценки наихудшему сценарию и наиболее вероятному сценарию развития событий. Далее сопоставить свои результаты с усредненными оценками, полученным различными исследователями.
В качестве примера посмотрим на расчеты Forrester Research.
В данному примере оцениваются прямые убытки, связанные с утечкой ПДн клиентов, в расчете на одну порцию данных. Если утекла клиентская база насчитывающая 100 000 записей, то прямой ущерб составит $21,8 млн.
Далее оцениваются последствия репутационного ущерба для компании с годовым оборотом в $1 млрд. В данном случае он может составлять более 60% маржи (валовой прибыли) – $120 млн.
Далее прямые и косвенные последствия утечки суммируются. Получаем цифры по недополученной прибыли на периоде 5 лет.
На графике показана прибыль компании до и после инцидента.
Теперь размер ущерба сопоставляется со стоимостью DLP. Вобщем-то страховка от угроз ИБ столько и должна стоить. Если учесть еще вероятность реализации рассматриваемого инцидента, то эти проценты возрастут на порядок и ROI DLP как раз попадет в интервал 10-100. Но как оценить эту вероятность угроз? Далее покажем как это можно сделать.
После того, как мы разобрались с активами и их ценностью, можно переходить к анализу угроз и уязвимостей для DLP. Модель угроз DLP в конечном счете находит отражение в политиках.
DLP-система ограничена своими политиками. Половина политик направлены не на выявление утечек, а на мониторинг действий сотрудников. Т.е. DLP обеспечивает значительный ROI не связанный с утечками.
DLP-система выявляет не инциденты, связанные с утечками, а события ИБ (десятки и сотни тысяч в месяц), которые могут потенциально быть инцидентами. Нет возможности заблокировать все обнаруженные события, а значит нет возможности и предотвратить возможные утечки.
Нужна статистика по организации: сколько было инцидентов, сколько утечек предотвращено, как оценивается ущерб. Сопоставляя это с общей и отраслевой статистикой, можно достаточно точно оценивать вероятность угроз, потенциальный ущерб и ценность активов.
Поскольку у нас нет сейчас такой статистики, воспользуемся очередным отчетом об утечках. Например, для банков имеем 21 зарегистрированный инцидент
Это подтверждается картиной распределения утечек по типам информации.
Примерно 20 инцидентов год связаны с утечкой банковской тайны, если эту цифру разделить на 1000 банков то получится 0,02 или 2% - вероятность инцидента в течение года. Ожидаемая частота угрозы – 1 раз в 50 лет.
Если посмотреть на распределение утечек по способам получения информации, то мы видим, что далеко не все утечки предотвращаются DLP системой, а только приблизительно 70% инцидентов (левая половина графика). Это надо учитывать в модели угроз. Банковских инцидентов, которые можно предотвратить при помощи DLP, будет не 21, а примерно 15.
Теперь рассчитаем ALE до и после внедрения DLP. В качестве среднего размера ущерба возьмем «среднее по больнице» из статистики инцидентов 2015 – $33 млн.
Величина уязвимости показывает эффективность DLP. Предположим, что сам факт использования DLP на порядок уменьшает количество инцидентов. А их тех, которые происходят, на порядок снижается количество успешных. Поэтому после частота угрозы и величина уязвимости у нас соответствующим образом уменьшаются.
В результате данных расчетов получаем ROI = 3.5. Это означает, что возврат инвестиций в DLP в данном случае в 3.5 раза превышает ее стоимость. Хороший результат для инвестиций, плохой – для страховки.
ALE и ROI носят вероятностный характер.
ROI = (-2 ; 50) слишком большая неопределенность метода оценки.
ROI = (2;5) – нормальная неопределенность. Например:
ROI = 3.5 с вероятностью 80%, =2 с вероятностью 4%, =5 с вероятностью 7% и т.п.
Эта презентация в формате pdf выложена на сайте GlobalTrust по адресу:
http://globaltrust.ru/ru/about/presscenter/informacionnye-materialy/prezentacii-reshenii-globaltrust/vebinar-kak-rasschitat-okupaemost-investicii-v-dlp-sistemy/view
Видеозапись вебинара выложена здесь:
http://iso27000.ru/video/video-s-seminarov-globaltrust/kak-rasschitat-okupaemost-investicii-dlya-dlp-sistemy