Обострение конкуренции и снижение лояльности сотрудников зачастую приводит к увеличению рисков, связанных с информационной безопасностью (ИБ). Нестабильные экономические условия заставляют компании внимательнее относится к вопросам защиты информации, при этом инциденты в сфере информационной безопасности имеют прямое влияние на прибыль компаний.
В этих условиях необходимо по-новому взглянуть на эффективность систем инфор-мационной безопасности, связанные с нею риски, определить обязательные действия по защите информации, и необходимые приоритеты дальнейшего развития. Перед руководи-телями подразделений по ИБ стоят задачи оптимального построения службы информаци-онной безопасности, ее взаимосвязи с другими подразделениями и распределения полно-мочий, для обеспечения соответствия современным требованиям бизнеса.
Об экономических аспектах информационной безопасности вспоминают обычно раз в год, при формировании сметы расходов на ее обеспечение, и в случаях, когда оче-редной инцидент в системе ИБ приведет к заметному ущербу для предприятия. Между тем, эти аспекты необходимо учитывать при планировании всех инициатив в области ИБ. Современные методы и решения дают возможность обеспечить очень высокий уровень безопасности, однако и затраты на эти мероприятия могут оказаться весьма значительными - в крупных организациях затраты на защиту информационных систем иногда достигают 20- 30 % ИТ-бюджета. В связи с этим, задача создания эффективной методики определения и оптимизации общей стоимости владения системой ИБ представляется весьма актуальной.
Экономику информационной безопасности следует рассматривать как относительно самостоятельную дисциплину, которая базируется на некоторых общих экономических законах и методах анализа, и нуждается в индивидуальном понимании, развитии специфических подходов к анализу, накоплении специфических статистических данных, формировании устойчивых представлений о факторах, под влиянием которых функционируют информационные системы и средства защиты информации.
Сложность задач экономического анализа практически во всех областях деятельно-сти, обуславливается тем, что многие ключевые параметры экономических моделей не-возможно достоверно оценить, т.к. они носят вероятностный характер. Необходимо также учитывать то обстоятельство, что сам по себе такой анализ может оказаться достаточно ресурсоемкой процедурой и потребовать привлечения дополнительных специалистов и сторонних консультантов, а также усилий со стороны различных специалистов, работаю-щих на самом предприятии, – все эти затраты, в конечном счете, должны быть оправданы.
Особая сложность экономического анализа в сфере ИБ обуславливается:
быстрым развитием ИТ, методов и методик, используемых как для защиты, так и для атак;
невозможностью достоверно предугадать все возможные сценарии атак на инфор-мационные системы (ИС) и модели поведения атакующих;
невозможностью дать достоверную, достаточно точную оценку стоимости инфор-мационных ресурсов, а также оценить последствия различных нарушений в денеж-ном выражении.
В процессе текущей деятельности предприятиям постоянно приходится сталкивать-ся с теми или иными изменениями: уточняются бизнес-процессы, меняется конъюнктура рынков сбыта и рынков потребляемых материальных ресурсов и услуг, появляются новые технологии и т.д. В этих условиях управленцам приходится постоянно анализировать происходящие изменения и адаптировать свою работу к постоянно меняющейся ситуации. Однако при всем разнообразии возможных моделей поведения в меняющейся среде, почти все их объединяет один важный общий методологический элемент: в большинстве случаев реакция бизнеса на новые угрозы и новые возможности предполагает осуществление новых инвестиций в определенные организационные и/или технические мероприятия.
Таким образом, в ситуации, когда необходимо осуществить некоторые новые орга-низационные или технические мероприятия, основной задачей лиц, отвечающих за эффективную организацию ИБ, является четкое соотнесение затрат, которые придется понести в связи с реализацией этого мероприятия, и дополнительных денежных потоков, которые будут получены. В данном случае под денежным потоком может пониматься экономия затрат, предотвращение убытков, а также дополнительный доход предприятия.
В качестве основного показателя, отражающего это соотношение, в экономической практике принято использовать функцию возврата инвестиций – ROI (Return on Investment):
ROI = N PV(R,d) + N PV(C,d)
где:
R – дополнительный денежный поток, создаваемый в результате реализации проекта;
C – затраты, связанные с реализацией проекта;
d – ставка дисконтирования;
N PV – функция дисконтирования.
Функция дисконтирования используется при анализе инвестиционных вложений для учета влияния фактора времени и приведения разновременных затрат к единому моменту. Ставка дисконтирования в этом случае позволяет учесть изменение стоимости денег с течением времени. Модель отдачи от инвестиций наглядно демонстрирует, какие две основные задачи необходимо решить при анализе любого инвестиционного проекта и, в частности, проекта по реализации мероприятий в сфере ИБ: расчет затрат, связанных с проектом, и расчет дополнительного денежного потока. Если методология расчета совокупных затрат (C) за последние 10-15 лет в целом достаточно полно сформировалась и активно используется на практике, применительно к различным видам ИС, то расчет дополнительного денежного потока (R), получаемого в результате инвестиций в средства защиты информации, вызывает серьезные затруднения. Одним из наиболее перспективных подходов к расчету этого показателя является методика, которая опирается на количественную оценку рисков ущерба для информационных ресурсов и оценку уменьшения этих рисков, связанного с реализацией дополнительных мероприятий по защите информации.
Анализ затрат на реализацию проектов в сфере ИБ целесообразно осуществлять, опираясь на известную базовую методологию "Total Cost of Ownership" (ТСО). Эта мето-дика ориентирована на обеспечение полноты анализа издержек, связанных с ИТ и ИС, в ситуациях, когда необходимо оценить экономические последствия внедрения и использо-вания таких систем.
В общем случае суммарная величина ТСО включает в себя затраты на:
проектирование информационной системы;
приобретение аппаратных и программных средств;
разработку программного обеспечения и его документирование, а также на исправление ошибок и доработку в течение периода эксплуатации;
текущее администрирование информационных систем;
техническую поддержку и сервисное обслуживание;
расходные материалы;
телекоммуникационные услуги;
затраты на обучение;
издержки, связанные с потерей времени пользователями в случае сбоев в работе информационных систем.
Также в расчет затрат на повышение уровня ИБ необходимо включить расходы на реорганизацию бизнес-процессов и информационную работу с персоналом. Кроме того, при анализе расходов необходимо также учесть, что в большинстве случаев внедрение средств защиты информации предполагает появление дополнительных обязанностей у персонала предприятия и необходимость осуществления дополнительных операций при работе с информационными системами. Значение ТСО в каждом конкретном случае необходимо определять индивидуально с учетом особенностей проекта, который предстоит реализовать: основной востребованной функциональности, существующей инфраструктуры, количества пользователей и других факторов. В общем виде ТСО для анализа эффективности и целесообразности вложений в реализацию проектов по повышению уровня защищенности информации определяется как сумма всех элементов затрат, скорректированная с учетом фактора времени:
где:
T – предполагаемый жизненный цикл проекта, лет;
N – количество видов затрат, принимаемых в расчет;
Cnt – затраты n-ого вида, понесенные в t-ом периоде, грн.
Таким образом, в целом могут быть определены затраты, связанные с реализацией мероприятий по обеспечению информационной безопасности. Однако наибольшую сложность представляет определение положительного эффекта от внедрения средств защиты информации. Как правило, эффект от внедрения ИС определяется тем, что они обеспечивают автоматизацию и ускорение различных бизнес-операций, что позволяет сократить затраты труда, приобрести конкурентные преимущества и, таким образом, повысить общую эффективность хозяйственной деятельности. Однако внедрение средств защиты информации само по себе, не обеспечивает сокращения затрат – достижение положительного эффекта от их использования зависит от множества труднокон-тролируемых факторов как внутри предприятия, так и вне его. Более того, реализация мероприятий, связанных с обеспечением ИБ, может привести к дополнительным нагруз-кам на персонал предприятия и, соответственно, к снижению производительности труда.
Одним из немногих способов, который может помочь предприятию определить эф-фект от осуществления мероприятий в сфере защиты информации, является денежная оценка того ущерба, который может быть нанесен информационным ресурсам предпри-ятия, и который может быть предотвращен в результате реализации предлагаемых меро-приятий. Таким образом, предполагаемый предотвращенный ущерб и будет составлять полученный экономический эффект или дополнительный денежный поток.
При таком подходе большинство расчетов могут быть только оценочными и носить приблизительный характер. Это связано с тем, что активность злоумышленников, являю-щихся источниками угроз для ИБ, практически непредсказуема: невозможно достоверно предсказать стратегии нападения, квалификацию нападающих, их конкретные намерения и ресурсы, которые будут задействованы для совершения тех или иных действий, а также намерения в отношении украденной информации. Соответственно, для осуществления всех необходимых расчетов необходимо сделать множество допущений и экспертных оценок в контексте деятельности данного конкретного предприятия, а также по возмож-ности изучить статистическую информацию, касающуюся атак на информационные ре-сурсы, аналогичные защищаемым.
Таким образом, экономическая оценка эффективности мер по защите информации предполагает:
оценку существующих угроз для информационных активов, которых коснется реа-лизация защитных мер;
оценку вероятности реализации каждой из выявленных угроз;
экономическую оценку последствий реализации угроз.
Для осуществления такого анализа, как правило, используются следующие базовые понятия:
оценочная величина единовременных потерь (Single Loss Expectancy, SLEi) – предполагаемая средняя оценочная сумма ущерба в результате одного нарушения информационной безопасности i-го типа. Она может быть определена как произведение общей стоимости защищаемых информационного активов AV (Active Value) на коэффициент их разрушения вследствие нарушения информационной безопасности EFi (Exposure Factor);
количество нарушений информационной безопасности за год (Annualized Rate of Occurrence, AROi) – оценочная частота, с которой в течение года происходят на-рушения информационной безопасности i-го типа.
оценочная величина среднегодовых потерь (Annualized Loss Expectancy, ALEi) – суммарный размер потерь от нарушений информационной безопасности (реализа-ции рисков) i-го типа в течение года.
ALE'i = SLEi * AROi = (AV *EFi') * AROi'
Непосредственный эффект от реализации мероприятий по повышению уровня ин-формационной безопасности будет проявляться в том, что:
негативные последствия каждой реализованной угрозы после реализации меро-приятий (EFi) будут меньше, чем были до их реализации: EFi >EFi;
частота нарушений информационной безопасности уменьшится после реализации мероприятий AROi > AROi.
В результате уменьшенная величина ALEi' будет составлять:
ALE'i = SLEi * AROi = (AVi * EFi') *AROi'
Таким образом, суммарный годовой эффект от реализации мероприятия будет опре-деляться как:
R = ALEi - ALE'i
Исходя из этого, общий денежный поток от реализации мероприятия определяется по следующей формуле:
На основе этих данных может быть определен суммарный эффект от реализации ме-роприятий в сфере информационной безопасности и продемонстрировано, насколько оп-равданными и целесообразными являются вложения в те или иные средства защиты ин-формации в условиях конкретного предприятия с учетом всех особенностей его функцио-нирования.
И хотя с математической точки зрения все расчеты в описанной рамочной модели оценки ROI являются предельно простыми, определение отдельных параметров может вызвать значительные затруднения на практике. Проведение таких расчетов, так же как и проведение аудитов информационной безопасности, может потребовать привлечения сто-ронних консультантов, однако квалификация и профессиональная специализация таких консультантов может существенно отличаться от квалификации консультантов, специализирующихся, например, на проведении аудитов и внедрении технических средств защиты информации. Причем если оценку вероятностей атак, а также оценку того, насколько эти атаки могут быть успешными, предпочтительно доверить внешним консультантам по информационной безопасности, то оценку стоимости информации и экономических последствий утраты контроля над информационными активами, скорее всего, целесообразно осуществлять специалистам, работающим на предприятии.
Несмотря на все трудности процесса оценки целесообразности внедрения средств защиты, описанная методология позволяет получать обоснованные оценки и делать фор-мализованные выводы относительно того, насколько оправданными являются вложения в определенные средства защиты информации, а также определить основные приоритеты расходования средств, предусмотренных в бюджете на обеспечение информационной безопасности. При этом достаточно высокий уровень достоверности таких оценок дости-гается за счет того, что вся работа по проведению оценки и подготовке инвестиционных решений раскладывается на несколько относительно более простых и "прозрачных" задач, решение каждой из которых может быть закреплено за специалистами в определенной сфере. В результате общая оценка складывается на основе полученных решений нескольких отдельных задач, каждое из которых может быть проконтролировано и при необходимости дополнительно уточнено. В этих условиях общее качество получаемой аналитической оценки и, соответственно, формулируемого решения зависит от квалификации всех экспертов, аналитиков и специалистов, участвующих в работе.
Следовательно, одной из основных задач руководителей, отвечающих за принятие решений в сфере информационной безопасности является подбор наиболее квалифициро-ванных и опытных специалистов, поскольку от качества их работы будет зависеть не про-сто безопасность отдельных элементов информационных активов в определенные момен-ты времени, а эффективность всей системы защиты информации в среднесрочной, а ино-гда и в долгосрочной перспективе.
Сергей Карпенко
Руководитель Центра Бизнес-знаний, SI BIS
эксперт-консультант по вопросам управления информацион-ными технологиями,
кандидат технических наук, доцент кафедры Безопасности информационных технологий Национального авиационного университета (Киев),
руководитель программы MBI (MBA+IT), эксперт ICAO по авиационной безопасности,
член экспертной группы ECAC по кибер-терроризму,
специальный член Всеукраинского Общественного Объедине-ния «Союз ИТ-директоров Украины».
skarpenko@sibis.com.ua
