- •Экономические аспекты зи
- •Принцип разумной достаточности, подходы к обоснованию стоимости корпоративной системы защиты
- •Принцип разумной достаточности, подходы к обоснованию стоимости корпоративной системы защиты
- •Принцип разумной достаточности, подходы к обоснованию стоимости корпоративной системы защиты
- •Принцип разумной достаточности, подходы к обоснованию стоимости корпоративной системы защиты
- •Принцип разумной достаточности, подходы к обоснованию стоимости корпоративной системы защиты
- •Стоимость корпоративной сзи
- •Кривая затрат на информационную безопасность, связь затрат на информационную безопасность и уровень достигаемой защищенности, анализ кривой затрат на иб
- •Кривая затрат на информационную безопасность, связь затрат на информационную безопасность и уровень достигаемой защищенности, анализ кривой затрат на иб
- •Стоимостные характеристики it-проектов и проектов иб
- •Стоимостные характеристики it-проектов и проектов иб
- •Методика gartner group
- •Методика gartner group
- •Методика gartner group
- •Методика gartner group
- •Пример расчета стоимости простоя сервера
- •Необходимые данные для расчета
- •Планируемые отключения сервера (включают в себя отключения, вызванные операциями резервного копирования содержимого сервера и переконфигурирование)
- •Внеплановые отключения сервера (включают в себя отключения, вызванные сбоями питания, выходом из строя оборудования, программными ошибками и ошибками человека)
- •Пример расчета стоимости простоя сервера
- •Пример классификации затрат на иб
- •1. Затраты на обслуживание системы безопасности (затраты на предупредительные мероприятия)
- •1.1. Управление системой защиты информации:
- •1.2. Регламентное обслуживание средств защиты информации:
- •Пример классификации затрат на иб
- •2.2. Внеплановые проверки и испытания:
- •2.3. Контроль за соблюдением политики иб:
- •Пример классификации затрат на иб
- •5. Прочие затраты:
- •Укрупненные методы расчета стоимости it-проектов
- •Особенности установки цен на информационные услуги
- •Особенности установки цен на информационные услуги
- •Особенности установки цен на информационные услуги
- •Особенности установки цен на информационные услуги
- •Риск информационной безопасности
- •Этапы управления рисками информационной безопасности
- •Оценка рисков иб
- •Оценка рисков иб
- •Оценка рисков иб
- •Техники сбора информации о системе
- •Техники сбора информации о системе
- •Обзор документов
- •Обзор документов
- •Обзор документов
- •Определение уязвимостей
- •Источники уязвимостей
- •Тестирование безопасности ис
- •Тестирование безопасности ис
- •Идентификация угроз
- •Идентификация угроз
- •Меры безопасности
- •Категории мер безопасности
- •Техники анализа мер безопасности
- •Техники анализа мер безопасности
- •Определение вероятности
- •Анализ влияния
- •Анализ влияния
- •Анализ влияния виды ущерба активам
- •Ущерб на уровне организации и владельцев ир
- •Положение об определении требований по категорированию ресурсов ас
- •1. Категории защищаемой информации
- •Положение об определении требований по категорированию ресурсов ас
- •Положение об определении требований по категорированию ресурсов ас
- •Положение об определении требований по категорированию ресурсов ас
- •Определение уровня риска
- •Матрица уровня риска
- •Описание уровня риска
- •Выработка рекомендаций
- •Документирование результатов
- •Документирование результатов
- •Управление рисками иб
- •Управление рисками иб
- •Управление рисками иб
- •Управление рисками иб
- •Управление рисками иб
- •Страхование информационных рисков
- •Страхование информационных рисков
- •Страхование информационных рисков
- •Страхование информационных рисков
- •Стоимость страхования
- •Стоимость страхования
- •Принятие решения об ограничении распространения информации
- •Принятие решения об ограничении распространения информации
- •Принятие решения об ограничении распространения информации
- •Принятие решения об ограничении распространения информации
- •Принятие решения об ограничении распространения информации
- •Интеллектуальная собственность предприятия и ее защита
- •Структура интеллектуальной собственности предприятия
- •Структура интеллектуальной собственности предприятия
- •Структура интеллектуальной собственности предприятия
- •Структура интеллектуальной собственности предприятия
- •Структура интеллектуальной собственности предприятия
- •Экономическая оценка объектов интеллектуальной собственности
- •Экономическая оценка объектов интеллектуальной собственности
- •Экспертные методы в задачах оценки рисков информационной безопасности
- •Экспертные методы в задачах оценки рисков информационной безопасности
- •Экспертные методы в задачах оценки рисков информационной безопасности
- •Экспертные методы в задачах оценки рисков информационной безопасности
- •Экспертные методы в задачах оценки рисков информационной безопасности
- •Оценка рисков иб с помощью метода анализа иерархий
- •Оценка рисков иб с помощью метода анализа иерархий
- •Оценка рисков иб с помощью метода анализа иерархий
- •Оценка рисков иб с помощью метода анализа иерархий
- •Определение согласованности мнений эксперта при формировании матрицы парных сравнений
- •Определение согласованности мнений эксперта при формировании матрицы парных сравнений
- •Определение согласованности мнений эксперта при формировании матрицы парных сравнений
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Часть 1
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Выбор контрмер наиболее эффективных контрмер по критерию «стоимость-эффективность» с помощью маи
- •Выбор контрмер наиболее эффективных контрмер по критерию «стоимость-эффективность» с помощью маи
- •Выбор контрмер наиболее эффективных контрмер по критерию «стоимость-эффективность» с помощью маи оценка инвенстиций в информационную безопасность
- •Методы оценки инвестиционной привлекательности проектов
- •Показатель чистой текущей стоимости (npv)
- •Показатель чистой текущей стоимости (npv)
- •Индекс рентабельности (pi)
- •Внутренняя норма прибыли инвестиции (irr)
- •Внутренняя норма прибыли инвестиции (irr)
- •Внутренняя норма прибыли инвестиции (irr)
- •Внутренняя норма прибыли инвестиции (irr)
- •Метод определения срока окупаемости инвестиций (pp, dpp)
- •Метод определения срока окупаемости инвестиций (pp, dpp)
- •Метод определения срока окупаемости инвестиций (pp, dpp)
- •Метод определения срока окупаемости инвестиций (pp, dpp)
- •Rosi – коэффициент возврата инвестиций
- •Пример оценки эффективности инвестиций
- •Международные стандарты в области управления ит-инфраструктурой и иб
- •Международные стандарты в области управления ит-инфраструктурой и иб
- •Международные стандарты в области управления ит-инфраструктурой и иб
- •Itsm (управление ит-сервисами)
- •Служба service desk
- •Служба service desk
- •Управление инцидентами
- •Управление инцидентами
- •Степень воздействия, срочность и приоритет
- •Степень воздействия, срочность и приоритет
- •Часть 1
- •Эскалация
- •Первая, вторая и n-линия поддержки
- •Преимущества использования процесса
- •Преимущества использования процесса
- •Виды деятельности
- •Виды деятельности
- •Классификация
- •Категория
- •Приоритет
- •Услуги (сервисы)
- •Группа поддержки
- •Решение и восстановление
- •Закрытие
- •Мониторинг хода решения и отслеживание
- •Контроль процесса
- •Управление проблемами
- •Виды деятельности
- •Идентификация и регистрация проблемы
- •Идентификация и регистрация проблемы
- •Расследование и диагностика
- •Проактивное управление проблемами
- •Управление конфигурациями
- •Управление конфигурациями
- •Управление конфигурациями
- •Управление конфигурациями
- •Атрибуты
- •Базисная конфигурация
- •Мониторинг статуса
- •Мониторинг статуса
- •Верификация и аудит
- •Верификация и аудит
- •Управление изменениями
- •Виды деятельности
- •Регистрация запросов на изменения
- •Прием в обработку
- •Классификация
- •Определение приоритета
- •Определение приоритета
- •Планирование
- •Политика проведения изменений
- •Совещания консультативного комитета (cab)
- •Координация
- •Подготовка изменения
- •Тестирование
- •Внедрение
- •Проведение срочных изменений
- •Проведение срочных изменений
- •Управление релизами
- •Управление релизами
- •Релизные единицы
- •Идентификация релизов
- •Типы релизов
- •Типы релизов
- •Библиотека эталонного программного обеспечения (dsl)
- •Склад эталонного аппаратного обеспечения (dhs)
- •Использования процесса
- •Преимущества использования процесса
- •Процесс
- •Виды деятельности
- •Виды деятельности
- •Проектирование, компоновка и конфигурирование
- •План возврата к исходному состоянию
- •План возврата к исходному состоянию
- •Тестирование и приемка релиза
- •Тестирование и приемка релиза
- •Планирование внедрения
- •Оповещение, подготовка и обучение
- •Распространение релизов и инсталляция
- •Управление уровнем сервиса
- •Требования к уровню услуг (service level requirements — slr)
- •Каталог услуг (service catalog)
- •Соглашение об уровне услуг (service level agreement — sla)
- •Программа улучшения сервиса (service improvement program — sip)
- •План обеспечения качества услуг (service quality plan — sqp)
- •Операционное соглашение об уровне услуг (operational level agreement — ola)
- •Внешний договор (underpinning contract — uc)
- •Преимущества использования процесса
- •Процесс
- •Процесс
- •Процесс
- •Преимущества использования процесса
- •Процесс
- •Процесс
- •Виды деятельности
- •Идентификация
- •Определение
- •Определение внешних стандартов
- •Определение внешних стандартов
- •Определение внешних стандартов
- •План обеспечения качества услуг (service quality plan — sqp)
- •Договор
- •Соглашение об уровне сервиса
- •Внешние договоры и операционные соглашения об уровне услуг
- •Каталог услуг
- •Управление уровнем сервиса
- •Мониторинг
- •Создание отчетов
- •Анализ (ревью)
- •Управление финансами ит
- •Управление финансами ит
- •Управление мощностями
- •Преимущества использования процесса
- •Преимущества использования процесса
- •Преимущества использования процесса
- •Управление непрерывностью ит-сервисов
- •Управление непрерывностью ит-сервисов
- •Управление непрерывностью ит-сервисов
- •Превентивные меры
- •Выбор способов восстановления
- •Выбор способов восстановления
- •Выбор способов восстановления
- •Выбор способов восстановления
- •Организация процесса и планирование внедрения
- •Применение превентивных мер и способов восстановления
- •Разработка планов и процедур восстановления
- •План восстановления
- •План восстановления
- •Процедуры
- •Начальное тестирование
- •Обучение и осведомление
- •Анализ и аудит
- •Тестирование
- •Управление доступностью
- •Управление доступностью
- •Управление доступностью
- •Управление доступностью
- •Определение требований к доступности сервиса
- •Определение требований к доступности сервиса
- •Проектирование систем для достижения требуемого уровня доступности
- •Проектирование систем для достижения требуемого уровня обслуживания
- •Ключевые вопросы безопасности
- •Управление обслуживанием
- •Проведение измерений и составление отчетов
- •Проведение измерений и составление отчетов
- •Проведение измерений и составление отчетов
- •Разработка плана обеспечения доступности
- •Инструментальные средства
- •Методы и методики
- •Анализ влияния отказа компонентов (cfia)
- •Анализ влияния отказа компонентов (cfia)
- •Расчеты доступности сервиса
- •Расчеты доступности сервиса
- •Программное обеспечение автоматизации процессов itil
- •Управление иб
- •Cobit - «цели контроля для информации и связанных с ней технологий»
- •Cobit - «цели контроля для информации и связанных с ней технологий»
- •Cobit - «цели контроля для информации и связанных с ней технологий»
- •Cobit - «цели контроля для информации и связанных с ней технологий»
- •Cobit - «цели контроля для информации и связанных с ней технологий»
- •Модель команды mof
- •Модель управления рисками mof
- •Модель управления рисками mof
- •О сайте
- •Учебники
Страхование информационных рисков
Однако предстраховая экспертиза не является гарантией заключения договора. Дело в том, что по результатам проведенного анализа может потребоваться реализация дополнительных технических и организационных защитных мер, снижающих риски нанесения ущерба корпоративным ресурсам. Не все компании могут пойти на дополнительные затраты, а без них договор страхования заключаться не будет, т.к. вероятность наступления страхового случая становится слишком высокой. Как говорит начальник управления информатизации "Промышленно-страховой компании" И.В. Парафейников: "Мы готовы страховать такие риски, но в этом случае страхователю предъявляются требования провести ряд организационно-технических мероприятий для сокращения нашего риска, а это, естественно, резко повышает цену вопроса, поэтому многие компании считают, что страховать информационные риски себе дороже".
Как только наступает страховой случай, страховая компания выезжает на место и проводит оценку нанесенного ущерба, после чего наступает момент выплаты страхового возмещения. Однако выплаты производятся не единовременно, а в течение срока действия страхового полиса (как правило, 1 год).
Стоимость страхования
Какова цена вопроса? Это, пожалуй, самый трудный вопрос, на который нет точного ответа. Стоимость этой услуги рассчитывается индивидуально для каждого клиента, но обычно не превышает 5% от установленного в полисе страхования лимита ответственности страховой компании. В качестве параметров, влияющих на ставку страхования, используются:
- Стоимость застрахованных ресурсов. Чем она выше, тем ниже ставка страхования. Например, компания Lloyd определяет страховой взнос в 20000 долларов (т.е. 5%) при стоимости информации в 1 миллион долларов и 75000 долларов (т.е. 0,75%) при возрастании стоимости информации до 10 миллионов долларов.
- Используемые средства защиты. Чем известнее система защиты, тем ниже ставка страхования.
- Статистика атак для аналогичных компаний отрасли.
Самое сложное - это определить лимит ответственности, т.е. ту сумму, которую будет обязана выплатить страховая компания в результате наступления страхового случая. В свою очередь, эта сумма делится на 2 составляющих:
- стоимость информационных ресурсов
- размер убытков от прекращения деятельности в результате наступления страхового случая.
Необходимо добавить, что многие страховые компании устанавливают нижнюю границу страховой суммы, ниже которой она опускаться не может. Например, у Ингосстраха эта сумма равна 50000 долларов США, у западных компаний эта планка значительно выше, что связано с увеличением накладных расходов на проведение различных страховых мероприятий. Верхняя граница возмещаемого ущерба никем не ограничивается, хотя существует негласная граница (например, на Западе она равна 100 миллионам долларов), превышение которой требует более тесного контакта со страховой компанией и четкой проработки всех юридических и технических моментов. В среднем же, лимит ответственности на западном рынке страхования информационных рисков составляет от ста тысяч до 5 миллионов долларов. Для России эта цифра пока не определена ввиду отсутствия необходимой статистики.