В презентації відображені фактори, що впливають на бюджет інформаційної безпеки (ІБ) у 2020 році, наданий приклад кількісної оцінки окупності інвестицій в ІБ та висвітлений підхід до впровадження кількісної оцінки ІБ в організації.
Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019 Anastasiia Konoplova
Handouts of ISACA Kyiv event, 05.11.2019, "How works cloud services, which we use". Presentation incudes:
- basics of cloud services in current context,
- risks of cloud services orchestration from cloud auditor,
- references to sources, were best practices of cloud use can be found.
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...Alexey Yankovski
Київське відділення ISACA завершило переклад першого методологічного
документа із серії документів ISACA з впровадження Європейскої моделі кібербезпеки. В даній презентації наведено стислий огляд першого документу. Охоплюються такі питання:
-- Визначення Кібербезпеки
-- Огляд стратегії кібербезпеки ЄС
-- Обґрунтування впровадженні кібербезпеки
-- Інтеграція управління кіберебзпекою в структури корпоративного управління
-- Ризик менеджмент
-- Надання впевненості та аудит
-- Висновки для України
Cloud taxonomy and best practices - ISACA Kyiv event, 05.11.2019 Anastasiia Konoplova
Handouts of ISACA Kyiv event, 05.11.2019, "How works cloud services, which we use". Presentation incudes:
- basics of cloud services in current context,
- risks of cloud services orchestration from cloud auditor,
- references to sources, were best practices of cloud use can be found.
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...Alexey Yankovski
Київське відділення ISACA завершило переклад першого методологічного
документа із серії документів ISACA з впровадження Європейскої моделі кібербезпеки. В даній презентації наведено стислий огляд першого документу. Охоплюються такі питання:
-- Визначення Кібербезпеки
-- Огляд стратегії кібербезпеки ЄС
-- Обґрунтування впровадженні кібербезпеки
-- Інтеграція управління кіберебзпекою в структури корпоративного управління
-- Ризик менеджмент
-- Надання впевненості та аудит
-- Висновки для України
There are frameworks, that help to be prepared for whatever, being complex interconnected system in unpredictable environment. We tested some of them, being 22 years old Ukrainian entity meeting war, and share current outcome from frameworks implementation.
We are now in September 2020, and we are entering long-term consequences of global lock-down for our operation environment. Even if production itself is not affected directly, there are changes in supply chain; HR; markets accessibility, back-office processes, stakeholder relations, government relations. At the same time we are in 4th industrial revolution. And need not only to respond to growing number of requests, but also look in future.
Infographic, created from WEF publications on resilience - the ability to withstand, recover from, and reorganize in response to crises. Approach itself is an application of science of complexity to enterprise. Components, inherent to complex systems are highlited. Applying this, it`s necessary to take in account, that resilince is contradictory to efficiency, espesially on short time horison, but ensures survival and development in changing environment.
Presentation of reseach of GDPR enforcement practice, based on information of 86 cases, vailaible publicly. The event, where the research was presented, has taken place in Kyiv, Ukraine on October, 10, 2019.
NIST Cloud computing taxonomy - UA translation by ISACA KYIVAnastasiia Konoplova
Волонтери Київського відділення ISACA (www.isaca.org.ua) за підтримки агенції перекладів Task Force (www.taskforce.ua) переклали цей документ в якості консультативного ресурсу з основ хмарних обчислень для фахівців із надання впевненості, корпоративного управління, управління ризиками та безпеки.
«Всесвітня історія» підручник для 7 класу закладів загальної середньої освіти...ssuser5dd4af
Рекомендовано Міністерством освіти і науки України (Наказ Міністерства освіти і науки України від 05.02.2024 р. №124)
Видано за рахунок державних коштів. Продаж заборонено
«Зарубіжна література» підручник для 7 класу закладів загальної середньої осв...ssuser0d4e35
Рекомендовано Міністерством освіти і науки України (Наказ Міністерства освіти і науки України від 05.02.2024 р. №124)
Видано за рахунок державних коштів. Продаж заборонено
Artem Bykovets: Чому люди не стають раптово кросс-функціональними, хоча в нас...Lviv Startup Club
Artem Bykovets: Чому люди не стають раптово кросс-функціональними, хоча в нас Agile? (UA)
Kyiv PMDay 2024 Summer
Website – www.pmday.org
Youtube – https://www.youtube.com/startuplviv
FB – https://www.facebook.com/pmdayconference
«Біологія» підручник для 7 класу закладів загальної середньої освіти (авт. Ба...ssuser5dd4af
Рекомендовано Міністерством освіти і науки України (Наказ Міністерства освіти і науки України від 05.02.2024 р. №124)
Видано за рахунок державних коштів. Продаж заборонено
«Українська мова» підручник для 6 класу закладів загальної середньої освіти (...ssuser5dd4af
Рекомендовано Міністерством освіти і науки України (Наказ Міністерства освіти і науки України від 08.03.2023 р. №254)
Видано державним коштом. Продаж заборонено
«Українська література» підручник для 9 класу загальноосвітніх навчальних зак...ssuser0d4e35
Рекомендовано Міністерством освіти і науки України (Наказ Міністерства освіти і науки України від 20.03.2017 р. №417)
Видано за рахунок державних коштів. Продаж заборонено
«Українська література» підручник для 5 класу закладів загальної середньої ос...ssuser5dd4af
Рекомендовано Міністерством освіти і науки України (Наказ Міністерства освіти і науки України від 08.02.2022 р. №140) Цей Підручник видано за підтримки Уряду Японії. Тлумачення та висновки в цьому Підручнику є позицією авторів і не обов’язково відображають політику чи погляди Уряду Японії.
There are frameworks, that help to be prepared for whatever, being complex interconnected system in unpredictable environment. We tested some of them, being 22 years old Ukrainian entity meeting war, and share current outcome from frameworks implementation.
We are now in September 2020, and we are entering long-term consequences of global lock-down for our operation environment. Even if production itself is not affected directly, there are changes in supply chain; HR; markets accessibility, back-office processes, stakeholder relations, government relations. At the same time we are in 4th industrial revolution. And need not only to respond to growing number of requests, but also look in future.
Infographic, created from WEF publications on resilience - the ability to withstand, recover from, and reorganize in response to crises. Approach itself is an application of science of complexity to enterprise. Components, inherent to complex systems are highlited. Applying this, it`s necessary to take in account, that resilince is contradictory to efficiency, espesially on short time horison, but ensures survival and development in changing environment.
Presentation of reseach of GDPR enforcement practice, based on information of 86 cases, vailaible publicly. The event, where the research was presented, has taken place in Kyiv, Ukraine on October, 10, 2019.
NIST Cloud computing taxonomy - UA translation by ISACA KYIVAnastasiia Konoplova
Волонтери Київського відділення ISACA (www.isaca.org.ua) за підтримки агенції перекладів Task Force (www.taskforce.ua) переклали цей документ в якості консультативного ресурсу з основ хмарних обчислень для фахівців із надання впевненості, корпоративного управління, управління ризиками та безпеки.
«Всесвітня історія» підручник для 7 класу закладів загальної середньої освіти...ssuser5dd4af
Рекомендовано Міністерством освіти і науки України (Наказ Міністерства освіти і науки України від 05.02.2024 р. №124)
Видано за рахунок державних коштів. Продаж заборонено
«Зарубіжна література» підручник для 7 класу закладів загальної середньої осв...ssuser0d4e35
Рекомендовано Міністерством освіти і науки України (Наказ Міністерства освіти і науки України від 05.02.2024 р. №124)
Видано за рахунок державних коштів. Продаж заборонено
Artem Bykovets: Чому люди не стають раптово кросс-функціональними, хоча в нас...Lviv Startup Club
Artem Bykovets: Чому люди не стають раптово кросс-функціональними, хоча в нас Agile? (UA)
Kyiv PMDay 2024 Summer
Website – www.pmday.org
Youtube – https://www.youtube.com/startuplviv
FB – https://www.facebook.com/pmdayconference
«Біологія» підручник для 7 класу закладів загальної середньої освіти (авт. Ба...ssuser5dd4af
Рекомендовано Міністерством освіти і науки України (Наказ Міністерства освіти і науки України від 05.02.2024 р. №124)
Видано за рахунок державних коштів. Продаж заборонено
«Українська мова» підручник для 6 класу закладів загальної середньої освіти (...ssuser5dd4af
Рекомендовано Міністерством освіти і науки України (Наказ Міністерства освіти і науки України від 08.03.2023 р. №254)
Видано державним коштом. Продаж заборонено
«Українська література» підручник для 9 класу загальноосвітніх навчальних зак...ssuser0d4e35
Рекомендовано Міністерством освіти і науки України (Наказ Міністерства освіти і науки України від 20.03.2017 р. №417)
Видано за рахунок державних коштів. Продаж заборонено
«Українська література» підручник для 5 класу закладів загальної середньої ос...ssuser5dd4af
Рекомендовано Міністерством освіти і науки України (Наказ Міністерства освіти і науки України від 08.02.2022 р. №140) Цей Підручник видано за підтримки Уряду Японії. Тлумачення та висновки в цьому Підручнику є позицією авторів і не обов’язково відображають політику чи погляди Уряду Японії.
«Українська література» підручник для 5 класу закладів загальної середньої ос...
An argument for budget acceptance:ROSI and how to calculate it
1. Аргумент до власника щодо
бюджету безпеки: ROSI
ЯК РОЗРАХОВУВАТИ ОКУПНІСТЬ ІНВЕСТИЦІЙ В ІБ
1
2. Що впливає на бюджет ІБ у 2020
Регуляторні
вимоги*
Банки: системи
за 95-ю, ризики
за 64ю
ОКІ: КМУ 518
клієнти/власники
з ЄС:
сертифікація та
захист даних
Агресивне
середовище*
86 інцидентів
глобального
рівня за півроку
2019 у світі
Кібервійна та
цифрова
холодна війна
Брак
компетенцій
Вперше увійшов
в топ-10
глобальних
ризиків*
Ринок пошукачів,
важко знайти та
втримати
Технологічні
зміни
Сервісні моделі в
постачальників
Короткий
життєвий цикл
Гарантовані
інциденти через
ускладнення
систем
*див. джерела в кінці слайдів 2
3. Що обмежує інвестиції в ІБ?
Бізнес-модель
• Грошовий потік
vs OPEX
Короткий горизонт
планування
• Security by
design – довго і
дорого
• САРЕХ – це
вивільнити
кошти з обороту
Ризики
• Непрогнозовані
• Нерозраховані
• Невідчутні
3
4. Аргументи до бюджету безпеки
Ризики
• Кількісна оцінка
Короткий горизонт
планування
• Рентабельність
інвестицій vs
стратегія
Бізнес-модель
• Підтверджений
рівень безпеки –
конкурентна
перевага для
зовнішніх ринків
4
5. Кількісна оцінка ризиків ІБ
Час
Доступність систем за критичними процесами
Час на ліквідацію наслідків подій ризику
Порушення дедлайнів через ІТ (операції, договори,
звітність, податки)
Гроші
Середня вартість години простою процеса
Оплата праці та інших ресурсів, витрачених на
ліквідацію наслідків
Недоотримані доходи, штрафи, пеня
Прямі втрати від інцидентів
Порушення дедлайнів при розробці (time-to-market),
вкл. аутсорсинг
Недоотримані доходи
5
6. Аргумент до бюджету: ROSI
Що це?
Return on security investments,
або окупність інвестицій в
безпеку
Визначає економічну
ефективність окремих заходів
безпеки
Розраховується як відношення
вартості заходу безпеки до
очікуваних втрат від
інцидентів
Навіщо?
Допомагає визначити
пріоритетні заходи безпеки в
середовищі організації
Дає обґрунтовані підстави для
прийняття рішення
Передумови
Потребує кількісної оцінки
ризиків безпеки
Потребує розрахунку сукупної
вартості заходу безпеки (ТСО)
6
7. Алгоритм розрахунку ROSI для заходу
безпеки
Вхідні дані: вартість праці, вартість простою, вплив на контрагентів
Вартість інцидентів за типами (відмова обладнання, DDoS,
зараження, спам тощо): single loss expectancy (SLE)
Очікувана частота інцидентів кожного типу, в рік: annual rate of
occurrence (ARO)
Очікувані річні втрати від інцидентів кожного типу: annualized loss
expectancy (ALE)
Вплив контролю безпеки на ARO та ALE за кожним типом
інцидентів
Відношення сукупної вартості заходу безпеки (ТСО) до очікуваних
втрат протягом строку використання заходу
1
2
3
4
5
6
7
11. Коли аргументи не спрацюють
Невпевненість в
існуванні
• ІБ потрібна тільки
якщо є стратегічне
рішення
продовжувати
діяльність
Об’єктивні
обмеження
• Фінансових
джерел не
вистачає
Невраховані
фактори
• Ризики менші, ніж
видно з позиції
безпеки
(неавтоматизовані
процеси, інші
напрями
діяльності тощо)
11
12. Коли і як впроваджувати кількісну оцінку
Рішення приймає колегіальний орган
Розпорядник бюджету не є кінцевим бенефіціаром
Власник вирішує на підставі об’єктивних даних
Є нормативні вимоги
CFO –
союзник
12
13. Джерела з детальною інформацією
Фактори впливу на бюджет
•про глобальні інциденти:
https://www.clearskysec.com/wp-
content/uploads/2019/08/ClearSky-2019-H1-Cyber-
Events-Summary-Report.pdf
•про ризики:
https://www.agcs.allianz.com/content/dam/onemarketin
g/agcs/agcs/reports/Allianz-Risk-Barometer-2019.pdf
•Нормативні акти
•https://zakon.rada.gov.ua/laws/show/v0064500-18
•https://zakon.rada.gov.ua/laws/show/v0095500-17
•https://zakon.rada.gov.ua/laws/show/518-2019-
%D0%BF
•https://eur-lex.europa.eu/eli/reg/2019/881/oj
•https://eur-lex.europa.eu/eli/reg/2016/679/oj
Кількісна оцінка вартості інцидентів
•Курс про обчислення вартості інцидентів від ENISA
(був використаний для прикладу):
•https://www.enisa.europa.eu/topics/trainings-for-
cybersecurity-specialists/online-training-
material/operational#cost-of-ict-incident
•https://www.enisa.europa.eu/topics/trainings-for-
cybersecurity-specialists/online-training-
material/documents/Costofincidenthandlingtoolset.pdf
•https://www.enisa.europa.eu/topics/trainings-for-
cybersecurity-specialists/online-training-
material/documents/Exercise15CalculatorCIC.xlsx
•Онлайн-калькулятор ROSI
•https://advisera.com/27001academy/free-tools/free-
return-security-investment-calculator/
13
14. Приєднуйтесь!
Анастасія Конопльова
Наші новини та події:
https://www.facebook.com/Kyiv.ISACA/
Більше інформації:
https://isaca.org/
CISA
Президент ISACA Kyiv
LLC UAG
a.konopleva@isaca.org.ua
+38(050)9570596
14