Технология оценки затрат на ИБ
Введение
Отечественный ИТ-рынок в последние несколько лет динамично развивается, по оценкам экспертов его рост превышает 10% в год. При этом сектор информационной безопасности (ИБ) развивается еще более быстрыми темпами - более чем на 25% в год. Такой рост определяется в основном двумя факторами: возросшим вниманием руководства к обеспечению ИБ и недостаточным уровнем ИБ в существующих информационных системах (ИС).
Понятно, что долго такие темпы роста сектора ИБ сохраняться не смогут, они замедлятся, и вопросы оценки эффективности затрат в области ИБ встанут весьма остро. Уже сейчас в отечественных ИС с повышенными требованиями в области ИБ (банковские системы, ответственные производства, и т.д.) затраты на обеспечение режима ИБ составляют до 30% всех затрат на ИС, и владельцы информационных ресурсов серьезно рассматривают экономические аспекты обеспечения ИБ. Даже в тех ИС, уровень ИБ которых явно не достаточен, у технических специалистов зачастую возникают проблемы обоснования перед руководством (владельцами информационных ресурсов) затрат на повышение этого уровня.
Начальники служб автоматизации, исполнительные директора, начальники служб информационной безопасности должны иметь понятные для бизнеса аргументы для обоснования инвестиций в ИБ, т.е., по сути, представлять обоснование стоимости системы ИБ для бизнеса.
Технология оценки затрат на ИБ
Как идентифицировать затраты на безопасность?
Первая задача - определить перечень затрат, которые относятся к деятельности предприятия и распределить их по категориям.
Вторая - составить перечень таким образом, чтобы смысл каждой позиции (каждого элемента) был ясен персоналу предприятия, и ввести ясную систему обозначения для каждой позиции перечня. Общий смысл сбора данных по затратам на безопасность - обеспечить руководство предприятия инструментом управления.
Особенно важно, чтобы позиции перечня затрат были определимы в том виде, как они названы и распределены для различных категорий, в том числе:
· Для подразделения или какого-либо участка.
· Для защищаемого ресурса (по всем типам ресурсов).
· Для какого-либо рабочего места пользователя информационной среды предприятия.
· Для рисков по каждой категории информации.
Требования должны быть установлены самим предприятием для собственного (внутреннего) пользования. Однако при этом не следует забывать, что собранной информации должно быть достаточно для проведения последующего анализа.
Система защиты информации, а следовательно и система учета и анализа затрат на безопасность, которая не учитывает особенности предприятия, имеет слишком мало шансов на успех. Такая система должна быть встроена в организацию, как бы "сшита по мерке", ее нельзя взять уже готовую.
После того, как уже установлена система классификации и кодирования различных элементов затрат на безопасность, необходимо выявить источники данных о затратах. Такая информация уже может существовать, часть ее достаточно легко получить, в то время как другие данные определить будет значительно труднее, а некоторые могут быть недоступны.
Виды затрат:
Затраты на контроль
Основной объем затрат составляет оплата труда персонала службы безопасности и прочего персонала предприятия, занятого проверками и испытаниями. Эти затраты могут быть определены весьма точно. Оставшиеся затраты в основном связаны со стоимостью конкретных специальных работ и услуг внешних организаций и материально-техническим обеспечением системы безопасности. Они могут быть определены напрямую.
Итак, мы видим, что можно достаточно просто получить точную картину по затратам на контроль.
Внутренние затраты на компенсацию нарушений политики безопасности
Определение элементов затрат этой группы намного сложнее, но большую часть установить достаточно легко:
· Установка патчей или приобретение последних версий программных средств защиты информации.
· Приобретение технических средств взамен пришедших в негодность.
· Затраты на восстановление баз данных и прочих информационных массивов.
· Затраты на обновление планов обеспечения непрерывности деятельности службы безопасности.
· Затраты на внедрение дополнительных средств защиты, требующих существенной перестройки системы безопасности.
Труднее выявить объемы заработной платы и накладных расходов:
· По проведению дополнительных испытаний и проверок технологических информационных систем.
· По утилизации скомпрометированных ресурсов.
· По проведению повторных проверок и испытаний системы защиты информации.
· По проведению мероприятий по контролю достоверности данных, подвергшихся атаке на целостность.
· По проведению расследований нарушений политики безопасности.
Выяснение затрат на эти виды деятельности связаны с различными отделами:
· Отделом информационных технологий.
· Контрольно-ревизионным и финансовым отделами.
· Службой безопасности.
Поскольку каждый вовлеченный сотрудник вряд ли в течении всего рабочего дня решает проблемы, связанные только лишь с внутренними потерями от нарушений политики безопасности, оценка потерь должна быть произведена с учетом реально затраченного на эту деятельность времени. Таким образом, мы опять видим, что основные виды затрат в этой категории могут быть определены с достаточной степенью точности.
Внешние затраты на компенсацию нарушений политики безопасности
Часть внешних затрат на компенсацию нарушений политики безопасности связана с тем, что были скомпрометированы коммерческие данные партнеров и персональные данные пользователей услуг предприятия. Затраты, связанные с восстановлением доверия, определяются таким же образом, как и в случае внутренних потерь.
Однако существуют и другие затраты, которые определить достаточно сложно. В их числе:
· Затраты на проведение дополнительных исследований и разработку новой рыночной стратегии.
· Потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно-технические достижения.
· Затраты, связанные с ликвидацией "узких мест" в снабжении, производстве и сбыте продукции.
· Потери от компрометации производимой предприятием продукции и снижения цен на нее.
· Возникновение трудностей в приобретении оборудования или технологий, в том числе повышение цен на них, ограничение объема поставок.
Перечисленные затраты могут быть вызваны действиями персонала различных отделов, например, проектного, технологического, планово-экономического, юридического, хозяйственного, отдела маркетинга, тарифной политики и ценообразования.
Поскольку сотрудники всех этих отделов вряд ли будут заняты полный рабочий день вопросами внешних потерь, то установление объема затрат необходимо вести с учетом реально затраченного времени. Один из элементов внешних потерь невозможно точно вычислить - это потери, связанные с подрывом имиджа предприятия, снижением доверия потребителя к продукции и услугам предприятия. Именно по этой причине многие корпорации скрывают, что их сервис небезопасен. Корпорации боятся обнародования такой информации даже больше, чем атаки в той или иной форме. Однако многие предприятия игнорируют эти затраты на основании того, что их нельзя установить с какой-либо степенью точности - они только предположительны.
Затраты на предупредительные мероприятия
Эти затраты, вероятно, наиболее сложно оценить, поскольку предупредительные мероприятия проводятся в разных отделах и затрагивают многие службы. Эти затраты могут появляться на всех этапах жизненного цикла ресурсов информационной среды предприятия:
· Планирования и организации.
· Приобретения и ввода в действие.
· Доставки и поддержки.
· Мониторинга процессов, составляющих информационную технологию.
В дополнение к этому, большинство затрат данной категории связано с работой персонала службы безопасности. Затраты на предупредительные мероприятия в основном включают заработную плату и накладные расходы.
Ответственность за сбор и анализ информации
Кто должен заниматься сбором и анализом данных, составлением отчета по затратам на безопасность? Это не может происходить от случая к случаю, необходима система. При этом надо быть уверенным в том, что все данные согласуются с финансовыми материалами, счетами и т. д. Кажется логичным привлечение экономистов к этой работе. Однако они будут нуждаться в помощи по классификации и анализу элементов затрат, а это уже работа Начальника службы безопасности.
Табл. 1. Распределение деятельности и ответственности за нее может быть следующее.
Данный список может быть изменен - каждая организация устанавливает свою собственную систему контроля и анализа затрат на безопасность.
Экономическая оценка ущерба от реализации информационных угроз (анализ риска)
Под риском реализации угрозы информационной безопасности предприятия понимается вероятность свершения события, ведущего к нарушению режима его функционирования и экономическому ущербу (потерям). С оценкой степени риска связывается получение вероятностной оценки экономического ущерба, который может понести защищаемое предприятие в случае реализации информационной угрозы его безопасности:
R = PL,
где R – величина риска; P – вероятность реализации конкретной угрозы; L – ущерб от реализации этой угрозы.
Предлагаемый ниже подход к анализу риска позволит обосновать выбор эффективного варианта комплекса планируемых мероприятий, обеспечивающих защиту предприятия с допустимыми для его экономики значениями экономических потерь, т.е. с незначительными (допустимыми) изменениями параметров деятельности.
Первый этап – необходимо выбрать точку отсчета, от которой будут отмечаться достигнутые и прогнозные параметры деятельности (см. выше), как фиксированное состояние данной производственной системы, и все дальнейшие оценки динамики риска угроз ведутся от этого состояния.
Второй этап – определение аспектов деятельности, уязвимых в защищаемом объекте. В качестве примера этого этапа можно использовать следующую таблицу:
Табл. 2. Основные особенности реализации угроз информационной безопасности (применительно к АСОИ).
| Виды угроз | Объекты воздействия | |||
| Оборудование | Программы | Данные | Персонал | |
| Утечка информации | Хищение носителей, подключение, несанкционирован- ное использование | Несанк- ционированное копирование, перехват | Хищение, копия, перехват | Разглашение халатность, передача сведений |
| Нарушение целостности информации | Подключение, модификация, изменение режимов, несанкционирован- ное использование ресурсов | Внедрение специальных программ | Искажение, модификация | Вербовка, подкуп |
| Нарушение работоспособности системы | Изменение режимов, вывод из строя, нарушение | Искажение, подмена, удаление | Удаление, искажение | Уход, физическое устранение |
Третий этап – оценка вероятности проявления (частоты реализации) информационных угроз с использованием одного из методов (или их совокупности):
- эмпирической оценки числа проявлений угрозы за определенный период.
- непосредственной регистрации проявлений угроз;
- оценки частоты проявления угроз по специальной таблице коэффициентов
Табл. 3. Анализ рисков угроз с использованием коэффициентов
| Частота проявления | Коэффициент |
| Более одного раза в день | |
| Один раз в день | |
| в три дня | |
| в неделю | |
| в две недели | |
| в месяц | |
| в четыре месяца | |
| в год | |
| в три года | |
| Менее одного раза в три года |
Четвертый этап – оценка величины потерь, ожидаемых в результате реализации информационной угрозы. Ожидаемые величины потерь следует рассматривать как некую функцию от уровня надежности применяемых в системе безопасности методов защиты.
Пятый этап – анализ возможных методов защиты с оценкой их стоимости и эффективности.
Стоимость метода защиты – величина совокупных затрат на его разработку, реализацию и эксплуатационные расходы.
Эффективность системы защиты – общая характеристика ее способности противостоять информационным угрозам предприятия и частный показатель эффективности системы защиты в целом.
Выбор одного из вариантов защиты информации должен соответствовать коэффициенту, отражающему соотношение «эффект/стоимость». За величину эффекта можно принять ущерб от реализации информационной угрозы, а стоимость, таким образом, выражает затраты на ее организацию и эксплуатацию.
Защита информации предполагает достижение определенного сочетания трех свойств: конфиденциальности, целостности и готовности.
Невыполнение хотя бы одного элемента будет означать уязвимость системы защиты, т.е. влиять на выживаемость организации.
Выживаемость организации с экономической точки зрения можно определить как финансовую устойчивость, т.е. состояние счетов организации, гарантирующее ее постоянную платежеспособность. Кризисное финансовое состояние означает вероятность банкротства организации.
Необходимо как можно лучше обеспечить защиту конфиденциальной информации при предельно допустимых затратах. Задачи защиты ставят с учетом оценки угроз от внешних (конкуренты, злоумышленники) и внутренних (отдельные работники с социально-психологическими или моральными проблемами) источников опасности.
«Количественную оценку угроз, исходящих из различных источников, производят применительно к потенциальным каналам несанкционированного распространения конфиденциальной информации, каждый из которых интерпретируется как вариант несанкционированного доступа к ней. Поэтому целесообразность организации защиты конфиденциальной информации будет определятся размерами потенциального ущерба, причиняемому предприятию утечкой (разглашением, утратой) конфиденциальной информации по каналам несанкционированного доступа.
Чаще всего затраты И на организацию защиты конфиденциальной информации принимают пропорционально размеру потенциального ущерба или упущенной выгоды предприятия от ее использования L:
И = kL,
где k – коэффициент, учитывающий допустимую величину затрат на организацию защиты конфиденциальной информации в долях от величины потенциального ущерба или упущенной выгоды (от 0,05 до 0,2).
При затруднении с оценкой размера упущенной выгоды L затраты на организацию защиты могут быть приняты пропорционально величине прибыли П, получаемой предприятием за счет использования конфиденциальной информации:
И = kП.
По мнению экспертов, если затраты на организацию защиты от информационных угроз L на предприятии составили менее 5% величины упущенной выгоды или прибыли за счет использования своей конфиденциальной информации, то оно рискует собственной экономической безопасностью. Если же они превышают 20% от этих величин, то целесообразно пересмотреть организацию (структуру средств) защиты конфиденциальной информации, чтобы сократить затраты на нее.
По имеющимся оценкам, затраты на безопасность могут оказаться весьма значительными. Так, при эффективности защиты, близкой к единице (т.е. при расчетном сроке окупаемости инвестиций в комплекс защитных мер один год), и вероятности проявления угроз от 15 до 20% (примерно соответствует вероятности проявления на протяжении 5 лет имущественных угроз крупным коммерческим структурам) допустимые издержки на безопасность должны находиться в пределах от 15 до 19% активов предприятия».
Цель анализа риска состоит в выборе такой политики предприятия, которая позволит ему построить и реализовать оптимальный вариант собственной службы безопасности.