Книги, научные публикации

ИНФОРМАЦИОННЫЙ БЮЛЛЕ Т Е НЬ № 10 (125)/2003 Информационная Информационная Информационная безопасность:

безопасность:

безопасность:

экономические экономические экономические аспекты аспекты аспекты ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ Информационная безопасность: экономические аспекты 1. Введение расходов на подсистему ИБ. В этом случае ста новится необходимым заручиться поддержкой Отечественный ИТ рынок в последние несколь руководства компании в осознании проблем ИБ ко лет динамично развивается, по оценкам экс и построении корпоративной системы защиты пертов его рост превышает 10% в год. При этом информации.

сектор информационной безопасности (ИБ) Второй подход, назовем его практичес развивается еще более быстрыми темпами - ким, состоит в следующем: можно попытаться более чем на 25% в год. Такой рост определяется найти инвариант разумной стоимости корпора в основном двумя факторами: возросшим вни тивной системы защиты информации. Ведь су манием руководства к обеспечению ИБ и недо ществуют аналогичные инварианты в других об статочным уровнем ИБ в существующих инфор ластях, где значимые для бизнеса события носят мационных системах (ИС). вероятностный характер. Например, на рынке Понятно, что долго такие темпы роста сек автострахования оценка стоимости этой услуги тора ИБ сохраняться не смогут, они замедлятся, составляет - 5 15% от рыночной стоимости ав и вопросы оценки эффективности затрат в обла томобиля в зависимости от локальных условий сти ИБ встанут весьма остро. Уже сейчас в оте его эксплуатации, стажа водителя, интенсивнос чественных ИС с повышенными требованиями ти движения, состояния дорог и т.д.

в области ИБ (банковские системы, ответствен По аналогии, ИБ в компании можно вооб ные производства, и т.д.) затраты на обеспече ще не заниматься, и не исключен такой вариант, ние режима ИБ составляют до 30% всех затрат что принятый риск себя вполне оправдает. А на ИС, и владельцы информационных ресурсов можно потратить на создание корпоративной серьезно рассматривают экономические аспек системы защиты информации немало денег, и ты обеспечения ИБ. Даже в тех ИС, уровень ИБ при этом останется некоторая уязвимость, кото которых явно не достаточен, у технических спе рая рано или поздно приведет к утечке или хи циалистов зачастую возникают проблемы обос щению конфиденциальной информации.

нования перед руководством (владельцами ин Эксперты практики в области защиты ин формационных ресурсов) затрат на повышение формации нашли некое оптимальное решение, этого уровня. при котором можно чувствовать себя относи Начальники служб автоматизации, испол тельно уверенно - стоимость системы ИБ нительные директора, начальники служб ин должна составлять примерно 10 20% от стоимос формационной безопасности должны иметь по ти КИС, в зависимости от конкретных требова нятные для бизнеса аргументы для обоснования ний к режиму информационной безопасности.

инвестиций в ИБ, т.е., по сути, представлять Это и есть та самая оценка на основе практичес обоснование стоимости системы ИБ для бизне кого опыта (best practice), которой можно уве са. ренно оперировать, если не производить деталь В обосновании затрат на ИБ существует ные расчеты.

два основных подхода. Этот подход, очевидно, не лишен недо Первый подход, назовем его наукообраз статков. В данном случае, скорее всего, не удаст ным, заключается в том, чтобы освоить, а затем ся вовлечь руководство в глубокое осознание и применить на практике необходимый инстру проблем ИБ. Но зато можно обосновать объем ментарий измерения уровня ИБ. Для этого необ бюджета на ИБ путем ссылки на понятные боль ходимо привлечь руководство компании (как ее шинству владельцев информационных ресурсов собственника) к оценке стоимости информаци общепринятые требования к обеспечению ре онных ресурсов, определению оценки потенци жима информационной безопасности best ального ущерба от нарушений в области ИБ. От practice, формализованные в ряде стандартов, результатов этих оценок будет во многом зави например ISO 17799.

сеть дальнейшая деятельность руководителей в Реализация этих подходов (конкретные области ИБ. Если информация ничего не стоит, методы оценки эффективности системы ИБ) на существенных угроз для информационных ак практике зависит от ряда факторов, среди кото тивов компании нет, а потенциальный ущерб рых основными являются степень зрелости ор минимален (руководство это подтверждает (!)), ганизации и специфика ее деятельности.

проблемой обеспечения ИБ можно не занимать В статье рассматривается одна из наибо ся. Если информация обладает определенной лее известных методик оценки совокупной сто стоимостью, угрозы и потенциальный ущерб яс имости владения (ССВ) компании Gartner Group ны, тогда встает вопрос о внесении в бюджет применительно к системе ИБ [1], [2], особеннос Сергей Петренко, Сергей Симонов, Роман Кислов ти использования этой методики в отечествен ти владения корпоративной системы защи ных условиях. Эта методика применима в ты информации.

случаях, когда используется первый подход к Х Сравнить подразделения службы ИБ компа обоснованию затрат на ИБ. нии, как между собой, так и с аналогичными подразделениями других предприятий в данной отрасли.

2. Методика оценки Х Оптимизировать инвестиции на ИБ компа нии с учетом реального значения показате совокупной стоимости ля ССВ.

владения для Показатель ССВ может использоваться практически на всех основных этапах жизнен подсистемы ИБ ного цикла корпоративной системы защиты ин формации и позволяет навести порядок в су ществующих и планируемых затратах на ИБ. С 2.1 Возможности методики этой точки зрения показатель ССВ дает Методика совокупной стоимости владения возможность объективно и независимо обосно (ССВ) была изначально предложена аналитичес вать экономическую целесообразность внедре кой компанией Gartner Group в конце 80 х годов ния и использования конкретных организаци (1986 1987) для оценки затрат на информацион онных и технических мер и средств защиты ин ные технологии. Методика Gartner Group позво формации. Для объективности решения также ляет рассчитать всю расходную часть информа необходимо дополнительно учитывать состоя ционных активов компании, включая прямые и ние внешней и внутренней среды предприятия, косвенные затраты на аппаратно программные например, показатели технологического, кадро средства, организационные мероприятия, обу вого и финансового развития предприятия, так чение и повышение квалификации сотрудников как не всегда наименьший показатель ССВ кор компании, реорганизацию, реструктуризацию поративной системы защиты информации мо бизнеса и т. д. жет быть оптимален для компании.

Данная методика может быть использова Сравнение определенного показателя на для доказательства экономической эффек ССВ с аналогичными показателями ССВ по от тивности существующих корпоративных сис расли (с аналогичными компаниями) и с луч тем защиты информации. Она позволяет руко шими в группе позволяет объективно и незави водителям служб информационной безопаснос симо обосновать затраты компании на ИБ. Ведь ти обосновывать бюджет на ИБ, а также доказы часто оказывается довольно трудно или даже вать эффективность работы сотрудников практически невозможно оценить прямой эко службы ИБ. Поскольку оценка экономической номический эффект от затрат на ИБ. Сравнение эффективности корпоративной системы защи же родственных показателей ССВ позволяет ты информации становится лизмеримой, появ убедиться в том, что проект создания или реор ляется возможность оперативно решать задачи ганизации корпоративной системы защиты ин контроля и коррекции показателей экономичес формации компании является оптимальным по кой эффективности и, в частности, показателя сравнению с некоторым среднестатистическим ССВ. Таким образом, показатель ССВ можно ис проектом в области защиты информации по от пользовать как инструмент для оптимизации расли. Указанные сравнения можно проводить, расходов на обеспечение требуемого уровня за используя усредненные показатели ССВ по от щищенности КИС и обоснование бюджета на расли, рассчитанные экспертами Gartner Group ИБ. При этом в компании эти работы могут вы или собственными экспертами компании с по полняться самостоятельно, с привлечением сис мощью методов математической статистики и темных интеграторов в области защиты инфор обработки наблюдений.

мации или совместно предприятием и интегра Методика ССВ Gartner Group позволяет тором. ответить на следующие вопросы:

В целом методика ССВ компании Gartner Х Какие ресурсы и денежные средства расхо Group позволяет: дуются на ИБ?

Х Получить адекватную информацию об Х Оптимальны ли затраты на ИБ для бизнеса уровне защищенности распределенной вы компании?

числительной среды и совокупной стоимос Информационная безопасность: экономические аспекты Х Насколько эффективна работа службы ИБ В свою очередь косвенные затраты отра компании по сравнению с другими? жают влияние КИС и подсистемы защиты ин Х Как эффективно управлять инвестировани формации на сотрудников компании посредст ем в защиту информации? вом таких измеримых показателей как простои Х Какие выбрать направления развития кор и зависания корпоративной системы защиты поративной системы защиты информации? информации и КИС в целом, затраты на опера Х Как обосновать бюджет компании на ИБ? ции и поддержку (не относящиеся к прямым за Х Как доказать эффективность существую тратам). Очень часто косвенные затраты играют щей корпоративной системы защиты ин значительную роль, так как они обычно изна формации и службы ИБ компании в целом? чально не отражаются в бюджете на ИБ, а выяв Х Какова оптимальная структура службы ИБ ляются явно при анализе затрат в последствии, компании? что в конечном счете приводит к росту скры Х Как оценить эффективность нового проекта тых затрат компании на ИБ.

в области защиты информации? Существенно, что ССВ не только отража ет стоимость владения отдельных элементов и связей корпоративной системы защиты инфор 2.2 Основные положения методики мации в течение их жизненного цикла. Овладе ИБ обеспечивается комплексом мер на всех эта ние методикой ССВ помогает службе ИБ лучше пах жизненного цикла ИС, совокупная стои измерять, управлять и снижать затраты и/или мость владения для системы ИБ в общем случае улучшать уровни сервиса защиты информации складывается из стоимости: с целью адекватности мер защиты бизнесу ком Х Проектных работ. пании.

Х Закупки и настройки программно техниче Подход к оценке ССВ базируется на ре ских средств защиты, включающих следую зультатах аудита структуры и поведения корпо щие основные группы: межсетевые экраны, ративной системы защиты информации и КИС средства криптографии, антивирусы и AAA в целом, включая действия сотрудников служб (средства аутентификации, авторизации и автоматизации, информационной безопасности администрирования). и просто пользователей КИС. Сбор и анализ ста Х Затрат на обеспечение физической безо тистики по структуре прямых (HW/SW, опера пасности. ции, административное управление) и косвен Х Обучения персонала. ных затрат (на конечных пользователей и про Х Управления и поддержки системы (админи стои) проводится, как правило, в течение 12 ме стрирование безопасности). сяцев. Полученные данные оцениваются по Х Аудита ИБ. ряду критериев с учетом сравнения с аналогич Х Периодической модернизации системы ИБ. ными компаниями по отрасли.

Методика ССВ позволяет оценить и срав Под показателем ССВ понимается сумма нить состояние защищенности КИС компании с прямых и косвенных затрат на организацию (ре типовым профилем защиты, в том числе пока организацию), эксплуатацию и сопровождение зать узкие места в организации защиты, на ко корпоративной системы защиты информации в торые следует обратить внимание. Иными сло течении года. ССВ может рассматриваться как вами, на основе полученных данных можно ключевой количественный показатель эффектив сформировать понятную с экономической точ ности организации ИБ в компании, так как позво ки зрения стратегию и тактику развития корпо ляет не только оценить совокупные затраты на ративной системы защиты информации, а имен ИБ, но управлять этими затратами для достиже но: сейчас мы тратим на ИБ столько то, если ния требуемого уровня защищенности КИС. будем тратить столько то по конкретным на При этом прямые затраты включают как правлениям ИБ, то получим такой то эффект.

капитальные компоненты затрат (ассоциируе В методике ССВ в качестве базы для срав мые с фиксированными активами или собствен нения используются данные и показатели ССВ ностью), так и трудозатраты, которые учитыва для западных компаний. Однако данная методи ются в категориях операций и административно ка способна учитывать специфику российских го управления. Сюда же относят затраты на услу компаний с помощью, так называемых, попра ги удаленных пользователей и др., связанные с вочных коэффициентов, например:

поддержкой деятельности организации. Х По стоимости основных компонентов кор поративной системы защиты информации и Сергей Петренко, Сергей Симонов, Роман Кислов КИС, информационных активов компании риферийных устройств, серверов, сетевых с учетом данных по количеству и типам устройств, планирование и управление про средств вычислительной техники, перифе цессами защиты информации, разработку рии и сетевого оборудования. концепции и политики безопасности и пр.).

Х По заработанной плате сотрудников c уче Х Существующие расходы на организацион том дохода компании, географического по ные меры защиты информации.

ложения, типа производства и размещения Х Существующие косвенные расходы на ор организации (крупный город или нет). ганизацию ИБ в компании и, в частности, Х По конечным пользователям ИТ c учетом обеспечение непрерывности или устойчи типов пользователей и их размещения (для вости бизнеса компании.

каждого типа пользователей требуется раз личная организация службы поддержки и вычислительной инфраструктуры).

Аудит ИБ компании Х По использованию методов, так называемой, Улучшей практикиФ (best practice) в области По результатам собеседования с TOP менедже управления ИБ с учетом реального состоя рами компании и проведения инструменталь ния дел по управлению изменениями, опера ных проверок уровня защищенности организа циями, активами, сервисному обслужива ции проводится анализ следующих основных нию, обучению, планированию и управле аспектов:

нию процессами. Х Политики безопасности.

Х По уровню сложности используемой ин Х Организационных вопросов управления формационной технологии и ее интеграции подсистемой безопасности.

в производственный процесс организации Х Классификации и управления информаци (процент влияния - до 40%). онными ресурсами.

Х Управления персоналом.

В целом определение затрат компании на ИБ Х Физической безопасности.

подразумевает решение следующих трех задач: Х Администрирования компьютерных систем Х Оценка текущего уровня ССВ корпоратив и сетей.

ной системы защиты информации и КИС в Х Управления доступом к системам.

целом. Х Разработки и сопровождения систем.

Х Аудит ИБ компании на основе сравнения Х Планирования бесперебойной работы орга уровня защищенности компании и реко низации.

мендуемого (лучшая мировая практика) Х Проверки системы на соответствие требо уровня ССВ. ваниям ИБ.

Х Формирование целевой модели ССВ.

Рассмотрим каждую из перечисленных На основе проведенного анализа выбира задач. ется модель ССВ, сравнимая со средними и оп тимальными значениями для репрезентативной группы аналогичных организаций, имеющих схожие с рассматриваемой организацией пока Оценка текущего уровня ССВ затели по объему бизнеса. Такая группа выбира В ходе работ по оценке ССВ проводится сбор ется из банка данных по эффективности затрат информации и расчет показателей ССВ органи на ИБ и эффективности соответствующих про зации по следующим направлениям: филей защиты аналогичных компаний.

Х Существующие компоненты КИС (включая Сравнение текущего показателя ССВ про систему защиты информации) и информа веряемой компании с модельным значением по ционные активы компании (серверы, кли казателя ССВ позволяет провести анализ эффек ентские компьютеры, периферийные уст тивности организации ИБ компании, результа ройства, сетевые устройства). том которого является определение лузких мест Х Существующие расходы на аппаратные и в организации, причин их появления и выработ программные средства защиты информа ка дальнейших шагов по реорганизации корпора ции (расходные материалы, амортизация). тивной системы защиты информации и обеспе Х Существующие расходы на организацию чения требуемого уровня защищенности КИС.

ИБ в компании (обслуживание СЗИ и СКЗИ, а также штатных средств защиты пе Информационная безопасность: экономические аспекты Формирование целевой модели ССВ Х Случившиеся инциденты в области ИБ с тя По результатам проведенного аудита моделиру желыми последствиями.

ется целевая (желаемая) модель, учитывающая перспективы развития бизнеса и корпоратив Эти и возможно другие факторы следует ной системы защиты информации (активы, учитывать наряду с экономическими при со сложность, методы Улучшей практикиФ, типы ставлении аналитических материалов.

СЗИ и СКЗИ, квалификация сотрудников ком пании и т. п.).

2.4 Пример оценки затрат на ИБ Кроме того, рассматриваются капиталь ные расходы и трудозатраты, необходимые для В качестве примера использования методики проведения преобразований текущей среды в ССВ для обоснования инвестиций в ИБ рассмо целевую среду. В трудозатраты на внедрение трим проект модернизации корпоративной сис включаются затраты на планирование, развер темы антивирусной защиты и системы управле тывание, обучение и разработку. Сюда же вхо ния доступом на объекте информатизации (фи дят возможные временные увеличения затрат зическая защита).

на управление и поддержку. Для этого сначала условно определим три Для обоснования эффекта от внедрения возможных состояния системы защиты КИС от новой корпоративной системы защиты инфор вирусов и вредоносного ПО, а именно: базовое, мации могут быть использованы модельные ха среднее и высокое.

рактеристики снижения совокупных затрат, от Базовое: Стационарные и мобильные ра ражающие возможные изменения в корпора бочие станции обладают локальной защитой от тивной системе защиты информации. вирусов. Антивирусное программное обеспече ние и базы сигнатур регулярно обновляются для успешного распознавания и парирования новых 2.3 Границы применимости методики вирусов. Установлена программа автоматичес Постановка задачи анализа эффективности ин кого уничтожения наиболее опасных вирусов.

вестиций в обеспечение ИБ зависит от уровня Основная цель уровня - организация мини зрелости организации. В [3] рассмотрена воз мальной защиты от вирусов и вредоносного ПО можная классификация организаций по уров при небольших затратах.

ням зрелости: Среднее: Установлена сетевая программа Х Анархия. обнаружения вирусов. Управление программ Х Фольклор. ными обновлениями на сервере автоматизиро Х Стандарты. вано. Системный контроль над событиями опо Х Измеримый. вещает о случаях появления вирусов и предо Х Оптимизируемый. ставляет информацию по предотвращению и их характеристика в области ИБ. Понятно, что дальнейшего распространения вирусов. Пре подобная методика может эффективно приме вентивная защита от вирусов предполагает вы няться в организациях последних двух уровней работку и следование определенной политики зрелости (Измеримый, Оптимизируемый), ча защиты информации, передаваемой по откры стично быть полезной при уровне зрелости Стан тым каналам связи Интернет. Дополнительно к дарты и бесполезна на первых двух уровнях. техническим мерам используются организаци При применении экономических методов онные меры защиты информации.

анализа эффективности инвестиций в ИБ для Высокое: Антивирусная защита воспри аргументации принятия тех или иных решений, нимается как один из основных компонентов необходимо помнить, что существуют и другие корпоративной системы защиты. Система анти неэкономические факторы, в частности: вирусной защиты тесно интегрирована в ком Х Структура организации и особенности сис плексную систему централизованного управле темы управления. ния ИБ компании и обладает максимальной сте Х Осведомленность и вовлеченность руковод пенью автоматизации. При этом организацион ства в вопросы развития ИТ. ные меры по защите информации преобладают Х Особенности стратегии организации. над техническими мерами. Стратегия защиты Х Позиции руководства отделов ИТ и ИБ в информации определяется исключительно стра компании. тегией развития бизнеса компании.

Х Роль ИТ в производственном процессе. Также условно выделим три состояния развития системы контроля и управления досту Сергей Петренко, Сергей Симонов, Роман Кислов пом в КИС (обеспечение физической безопас Проект по модернизации корпоративной ности): базовое, среднее, высокое. системы в части ИБ предполагает модерниза цию двух элементов: антивирусной защиты и Базовое: Ведется учет как минимум рабо системы управления ИБ. Необходимо обосно чих станций и серверов, инвентаризационные вать переход от базового уровня к повышенно таблички крепятся на соответствующее аппа му (среднему или высокому). В табл. 1 приводят ратное обеспечение. Введена процедура контро ся требования к элементам защиты, сформули ля перемещения аппаратных средств КИС. Про рованные в задании на модернизацию КИС.

водятся постоянные и периодические инструк Возможно несколько вариантов реализа тажи персонала компании. Особое внимание ции этих требований, характеризующихся раз уделяется мобильным компонентам КИС. ными экономическими показателями. Рассмот рим типичную структуру расходов по выбран Среднее: Используются механические и ным элементам системы ИБ среднего западно электронные замки, шлюзовые кабины и турни го предприятия на модернизацию ИС (табл.2) кеты. Организованы контрольно пропускные для обеспечении среднего уровня защиты.

пункты и проходные. Осуществляется видео В табл. 3 и на рис. 1 показаны расчеты со наблюдение на объекте информатизации. Тре вокупной стоимости владения при различных бования к персоналу определены и доведены вариантах проведения модернизации КИС. Дан под роспись. Разработаны инструкции по дейст ные приводятся для среднего западного пред вию в штатных и внештатных ситуациях. Задей приятия. Расчетная стоимость снижения ССВ ствованы частные и государственные охранные для третьего варианта около 230 тыс. долл. в год предприятия и структуры. позволяют обосновать инвестиции в размере около 600 тыс. долл. на рассматриваемые компо Высокое: Обеспечение физической безо ненты защиты. При этом расчетный период оку пасности аппаратных средств является частью паемости составляет не более 3 лет.

единой политики безопасности, утвержденной Расходы на аппаратные средства и про руководством компании. Активно используются граммное обеспечение. Эта категория модели весь комплекс мер защиты информации, начи ССВ включает серверы, компьютеры клиентов ная с организационного и заканчивая техничес (настольные и мобильные компьютеры), пери ким уровнями. ферийные устройства и сетевые компоненты.

Элемент Задача Исходный (базовый) Повышенный уровень системы ИБ уровень Антивирусная Каким образом распространяются Ничего не делается или Используется автоматическое защита обновления механизма антивирусной нет информации обновление антивирусного защиты? обеспечения Антивирусная Какая степень защиты от вирусов Нет механизма защиты Защита от вирусов устанавлива защита является допустимой? от вирусов ется ИС службой и не доступна пользователям для изменений Антивирусная Какой процент клиентских мест Нет данных 100 % защита поддерживается серверной антивирусной защитой?

Антивирусная Как устраняются последствия вирусных Пользователь самостоя ИС персонал уведомляется об защита атак (в процентном отношении к числу тельно восстанавливает инциденте, проводятся иссле вирусных событий)? поврежденные файлы и дования и предпринимаются систему, протокол собы нейтрализующие меры, на мес тий не ведется тах поддерживается БД вирус ных событий Управление ИБ Что делается для гарантии Не регламентирован Средства шифрования и ре безопасности критичных данных зервного копирования на сер (информация, которая является верах критичной по отношению к миссии каждого отдельного предприятия) Управление ИБ Что делается для гарантии физической Применяются сигналы Дополнительное использова безопасности помещений с целью тревоги о нарушении ние таких средств безопаснос предотвращения случаев воровства и безопасности ти, как смарт карты или биомет преступного использования рические устройства оборудования?

Табл. 1. Характеристики исходного и повышенного уровня защиты Информационная безопасность: экономические аспекты Статья затрат Антивирусная защита Управление ИБ Подготовительные процедуры и операции по инсталляции Услуги по инсталляции ПО:

С учетом поддержки уровня 2 2,600 % 0,000 % С учетом поддержки уровня 3 1,300 % 0,000 % Администрирование пользователей 0,000 % 6,500 % Установка аппаратного обеспечения 0,000 % 2,600 % Резервное копирование, архивирование и восстановление 2,600 % 0,000 % Планирование и управление процессами восстановления Общие процедуры управления, планирование и изучение рынка продуктов 1,300 % 1,300 % Закупка программно технических средств 18,200 % 2,600 % Процедуры по восстановлению 19,500 % 0,000 % Сервисное обслуживание Ежедневные процедуры поддержки пользователей 5,200 % 2,600 % Административные расходы Финансовые службы и администрация 1,268 % 0,618 % Административная поддержка ИС 0,429 % 0,169 % Закупка, снабжение 0,000 % 5,200 % Аудит 0,000 % 1,300 % Управление контрактами, работа с поставщиками 0,000 % 2,600 % Затраты рабочего времени конечных пользователей на решение задач ИБ Затраты времени на управление файлами, данными и резервным копированием 6,500 % 0,000 % Затрата на взаимодействие со службами поддержки 6,500 % 0,000 % Затрата на взаимопомощь пользователей 6,500 % 0,000 % Затраты на самоподдержку (решение проблем своими силами) 6,500 % 2,600 % Незапланированные простои по причинам, относящимся к данным средствам защиты 10,400 % 10,400 % Табл. 2. Статьи расходов среднего уровня защиты.

Также в эту категорию входят расходы на аппа (вендоров) на поддержку ИС операций, включа ратно программные средства ИБ. ющих управление, финансирование, приобре Расходы на операции ИС. Прямые затраты тение и обучение ИС.

на содержание персонала, стоимость работ и Расходы на операции конечных пользова аутсорсинг, произведенные компанией в целом, телей. Это затраты на самоподдержку конеч бизнес подразделениями или ИС службой для ных пользователей, а также на поддержку поль осуществления технической поддержки и опе зователями друг друга в противовес официаль раций по поддержанию инфраструктуры для ной поддержке ИТ. Затраты включают: самосто пользователей распределенных вычислений. ятельную поддержку, официальное обучение Административные расходы. Прямые за конечных пользователей, нерегулярное (неофи траты на персонал, обеспечение деятельности и циальное) обучение, самостоятельные приклад расходы внутренних/внешних поставщиков Расходы на ИТ Базовый вариант защиты: Вариант 1: Вариант 2: Вариант 3:

Антивирусная Антивирусная Антивирусная Антивирусная защита - защита - защита - защита - низкий уровень средний уровень низкий уровень средний уровень Управление ИБ - Управление ИБ - Управление ИБ - Управление ИБ - низкий уровень низкий уровень средний уровень средний уровень Совокупная стоимость владения (ССВ) $14,905,090 $14,659,236 $14,796,746 $14,563, Расходы на СВТ и ПО $9,183,334 $9,212,787 $9,211,699 $9,241, Расходы на операции ИС $1,402,287 $1,376,061 $1,394,232 $1,368, Административные расходы $426,758 $425,554 $423,952 $422, Расходы на операции конечных пользователей $2,772,377 $2,636,870 $2,758,898 $2,624, Расходы, связанные с простоями $1,120,334 $1,007,965 $1,007,965 $907, Табл. 3. Совокупная стоимость владения при проведении модернизации Сергей Петренко, Сергей Симонов, Роман Кислов ные разработки, поддержку локальной файло реально достигался и соответствовал ожидани вой системы. ям руководства предприятия, необходимо отве Расходы на простои. Данная категория тить на следующие основные вопросы, связан учитывает ежегодные потери производительно ные с затратами на информационную безопас сти конечных пользователей от запланирован ность:

ных и незапланированных отключений сетевых Х Что такое затраты на информационную бе ресурсов, включая клиентские компьютеры, зопасность?

совместно используемые серверы, принтеры, Х Неизбежны ли затраты на информацион прикладные программы, коммуникационные ную безопасность?

ресурсы и ПО для связи. Для анализа фактичес Х Какова зависимость между затратами на кой стоимости простоев, которые связаны с пе информационную безопасность и достигае ребоями в работе сети и которые оказывают мым уровнем информационной безопасно влияние на производительность, исходные дан сти?

ные получают из обзора по конечным пользова Х Представляют ли затраты на информацион телям. Рассматриваются только те простои, ко ную безопасность существенную часть от торые ведут к потерям в основной деятельности оборота компании?

организации. Х Какую пользу можно извлечь из анализа за трат на информационную безопасность?

Рассмотрим возможные ответы на постав ленные вопросы.

$15,000, Что такое затраты на информационную бе $14,900, зопасность?

$14,800, Как правило, затраты на информационную бе $14,700, зопасность подразделяются на следующие кате $14,600, гории:

$14,500, Х Затраты на формирование и поддержание $14,400, звена управления системой защиты инфор $14,300, Annual Total Cost of Ownership (TCO) мации (организационные затраты).

Х Затраты на контроль, то есть на определе ние и подтверждение достигнутого уровня Рис. 1. Изменение ССВ при различных вариантах защищенности ресурсов предприятия.

проведения модернизации системы ИБ Х Внутренние затраты на ликвидацию послед ствий нарушения политики информацион Отметим, что для применения методики ной безопасности (НПБ) - затраты, поне ССВ требуются данные о потерях, связанных с сенные организацией в результате того, что простоями и другими негативными последстви требуемый уровень защищенности не был ях реализации угроз ИБ. Получить достигнут.

экономические оценки потерь можно на этапе Х Внешние затраты на ликвидацию последст анализа информационных рисков. Более вий нарушения политики информационной подробно эти вопросы рассмотрены в [3], [4]. безопасности - компенсация потерь при нарушениях политики безопасности в слу 2.5 Разработка методик оценки чаях, связанных с утечкой информации, по затрат на ИБ терей имиджа компании, утратой доверия Рассмотрим, как можно определить прямые партнеров и потребителей и т. п.

(бюджетные) и косвенные затраты на ИБ с уче Х Затраты на техническое обслуживание сис том специфики российских компаний. темы защиты информации и мероприятия Предположим, что руководство компании по предотвращению нарушений политики проводит работы по внедрению на предприятии безопасности предприятия (затраты на пре системы защиты информации (СЗИ). Уже опре дупредительные мероприятия).

делены объекты и цели защиты, угрозы инфор мационной безопасности и меры по противо При этом обычно выделяют единовремен действию им, приобретены и установлены необ ные и систематические затраты. К единовре ходимые средства защиты информации. Для то менным относятся затраты на формирование го, чтобы требуемый уровень защиты ресурсов политики безопасности предприятия: организа Информационная безопасность: экономические аспекты ционные затраты и затраты на приобретение и Х Минимальный уровень проверок и контро установку средств защиты. ля с привлечением специализированных ор Классификация затрат условна, так как ганизаций.

сбор, классификация и анализ затрат на инфор Х Обучение персонала методам информаци мационную безопасность - внутренняя дея онной безопасности.

тельность предприятий, и детальная разработка перечня зависят от особенностей конкретной организации. Самое главное при определении Какова зависимость между затратами на ИБ затрат на систему безопасности - взаимопони и уровнем защищенности КИС?

мание и согласие по статьям расходов внутри предприятия. Кроме того, категории затрат Сумма всех затрат на повышение уровня защи должны быть постоянными и не должны дубли щенности предприятия от угроз информацион ровать друг друга. Пример классификации за ной безопасности составляет Общие затраты на трат приводится в приложении 1. безопасность.

Взаимосвязь между всеми затратами на безопасность, общими затратами на безопас ность и уровнем защищенности информацион Неизбежны ли затраты на информационную ной среды предприятия обычно имеет вид функ безопасность?

ции (рис. 2).

Невозможно полностью исключить затраты на Общие затраты на безопасность склады безопасность, однако они могут быть приведены ваются из затрат на предупредительные меро к приемлемому уровню. Некоторые виды затрат приятия, затрат на контроль и восполнение по на безопасность являются абсолютно необходи терь (внешних и внутренних). С изменением мыми, а некоторые могут быть существенно уровня защищенности информационной среды уменьшены или исключены. Последние - это изменяются величины составляющих общих за те, которые могут исчезнуть при отсутствии на трат и, соответственно, их сумма - общие за рушений политики безопасности или сократят траты на безопасность. Мы не включаем в дан ся, если количество и разрушающее воздейст ном случае единовременные затраты на форми вие нарушений уменьшатся. рование политики информационной безопасно При соблюдении политики безопасности сти предприятия, так как предполагаем, что та и проведении профилактики нарушений можно кая политика уже выработана.

исключить или существенно уменьшить следу ющие затраты:

Х На восстановление системы безопасности Снижение общих затрат до соответствия требованиям политики бе зопасности. В примере (рис. 2) показано, что достигаемый Х На восстановление ресурсов информацион уровень защищенности измеряется в категори ной среды предприятия. ях большой риск и риск отсутствует (лсо Х На переделки внутри системы безопаснос вершенная защита). Рассматривая левую сто ти. рону графика (лбольшой риск), мы видим, что Х На юридические споры и выплаты компен общие затраты на безопасность высоки в основ саций. ном потому, что высоки потери на компенсацию Х На выявление причин нарушения политики при нарушениях политики безопасности. Затра безопасности. ты на обслуживание системы безопасности Необходимые затраты - это те, которые очень малы.

необходимы даже если уровень угроз безопас Если мы будем двигаться вправо по графи ности достаточно низкий. Это затраты на под ку, то достигаемый уровень защищенности бу держание достигнутого уровня защищенности дет увеличиваться (снижение информационно информационной среды предприятия. го риска). Это происходит за счет увеличения Неизбежные затраты могут включать: объема предупредительных мероприятий, свя Х Обслуживание технических средств защи занных с обслуживанием системы защиты. За ты. траты на компенсацию НПБ уменьшаются в ре Х Конфиденциальное делопроизводство. зультате предупредительных действий. Как по Х Функционирование и аудит системы безо казано на графике, на этой стадии затраты на пасности. потери падают быстрее, нежели возрастают за Сергей Петренко, Сергей Симонов, Роман Кислов Рис.2. Взаимосвязь между затратами на безопасность и достигаемым уровнем защищенности траты на предупредительные мероприятия. Как кому обслуживанию комплекса программно результат - общие затраты на безопасность технических средств защиты информации и уменьшаются. Изменения объема затрат на кон предупреждению нарушений политики безо троль незначительны. пасности предприятия соответствует следующе му правилу: в первую очередь рассматриваются те проблемы, решение которых дает наиболь ший эффект по снижению информационного Увеличение общих затрат риска. Если не следовать этой модели, то вид Если двигаться по графику вправо за точку эко графика станет совсем иным.

номического равновесия (т.е. достигаемый уро вень защищенности увеличивается) ситуация Второе допущение заключается в том, что начинает меняться. Добиваясь устойчивого сни точка экономического равновесия не изменяет жения затрат на компенсацию нарушений поли ся во времени. На практике это допущение тики безопасности, мы видим, что затраты на часто не выполняется. Основные факторы:

предупредительные мероприятия возрастают Х Эффективность предупредительной дея все быстрее и быстрее. Получается, что значи тельности не велика. В рассматриваемоей тельное количество средств должно быть затра модели предполагается, что такая чено на достижение достаточно малого сниже деятельность позволяет не повторять ния уровня риска. допущенные ранее ошибки. На практике График (рис. 2) отражает только общий это не так, и для достижения должного эф случай, так как построен с учетом некоторых до фекта требуются гораздо большие затраты.

пущений, которые не всегда соответствуют ре В результате точка экономического альным ситуациям. равновесия сдвигается вправо.

Х Устаревание системы ИБ.

Первое допущение заключается в том, что Х Разработчики средств защиты не успевают предупредительная деятельность по техничес за активностью злоумышленников, которые Информационная безопасность: экономические аспекты находят все новые и новые бреши в систе на таком объекте общие затраты на безопас мах защиты. Кроме того, информатизация ность незначительны.

предприятия может породить новые про Оба эти факта могут привести некоторых блемы, решение которых потребует допол к заключению, что данная концепция не работа нительных предупредительных затрат. ет.

Все это может сместить экономическое равновесие по направлению к левому краю диа Как оценить долю затрат на ИБ в обороте граммы.

компании ?

Там, где затраты на обеспечение ИБ должным образом учтены, они могут составлять от 2 % до Опасность ошибочной интерпретации 20 % и более от объема продаж (оборота). Приве Многие руководители служб безопаснос денная оценка получена из опыта работы рос ти (СБ) предприятий уверены в том, что они ра сийских компаний, специализирующихся в об ботают на том уровне защищенности, который ласти защиты информации на основе анализа соответствует экономическому равновесию. состояния защищенности информационной Однако, как показывает практика, очень часто среды предприятий металлургической отрасли они не имеют веских доказательств для под и отрасли связи.

тверждения этого предположения.

Затраты на потери 70 % от общих затрат Рассмотренный график является идеа = (внешние и внутренние) на безопасность лизированным, на нем показан уровень защи Затраты на контроль 25 % от общих затрат щенности информационной среды предприятия = на безопасность от угроз безопасности в терминах высокий и Затраты на предупре 5 % от общих затрат = низкий и может не соотноситься с возмож дительные мероприятия на безопасность ным ущербом.

Табл. 4. Типичное разделение затрат, связанных с ИБ Руководитель службы безопасности, кото рый уверен, что он работает на базовом уровне защищенности, склонен верить, что это и есть Предположим, что указанные затраты на экономическое равновесие, тогда как руководи безопасность составляют 10 % оборота. Далее тель СБ, который думает, что он работает на предположим, что за счет увеличения объема максимальном уровне защищенности, верит, предупредительных мероприятий и, следова что экономическое равновесие находится имен тельно, увеличения предупредительных затрат, но на этом уровне. удалось снизить общие затраты на безопасность Приведенный график может внушить та до 6 % от оборота. Теперь распределение общих ким руководителям СБ уверенность в том, что затрат на безопасность может быть следующее:

повышение защищенности информационной Затраты на потери 50 % от новой величины среды на их предприятиях будет сопровождать = (внешние и внутренние) общих затрат ся лишь увеличением затрат. В результате ника на безопасность кой дополнительной деятельности в области ИБ Затраты на контроль 25 % от новой величины = вестись не будет.

общих затрат на безопасность Если предупредительные мероприятия Затраты на предупре 25 % от новой величины проводятся должным образом и являются эф = дительные мероприятия общих затрат фективными, то достаточно трудно найти дока на безопасность зательство того, что на каком либо предприятии Табл. 5. Пример распределения общих затрат на бе произошло повышение общих затрат на безо зопасность пасность вследствие увеличения затрат на пре дупредительные мероприятия.

С другой стороны, если мы имеем дело с Однако общие затраты на обеспечение ИБ режимным объектом, который имеет очень низ составили только 60% от их первоначальной ве кий уровень риска, то есть теоретически воз личины.

можны ситуации, при которых событие насту По отношению к первоначальным общим пает, но на практике это случается редко, а по затратам на ИБ, новое их распределение выгля тенциальный ущерб сравнительно невелик, то дит следующим образом:

Сергей Петренко, Сергей Симонов, Роман Кислов Затраты на потери 50х60 30 % от начальной = быть достаточно для проведения последующего (внешние и внутренние) 100 величины общих за анализа.

трат на безопасность Система защиты информации, а следова Затраты на контроль 25х60 25 % от начальной = 100 величины общих за тельно и система учета и анализа затрат на безо трат на безопасность пасность, которая не учитывает особенности Затраты на предупре 25х60 = 25 % от начальной предприятия, имеет слишком мало шансов на дительные мероприятия 100 величины общих за успех. Такая система должна быть встроена в трат на безопасность организацию, как бы сшита по мерке, ее нель Экономия = 40 % от начальной зя взять уже готовую.

величины общих за трат на безопасность 3.2 Как определить затраты на ИБ?

Табл. 6. Пример соотношения распределения общих затрат на ИБ После того, как уже установлена система клас При оценке затрат на систему безопасно сификации и кодирования различных элемен сти на любом предприятии необходимо учиты тов затрат на безопасность, необходимо вы вать процентное соотношение общих затрат на явить источники данных о затратах. Такая ин безопасность и общего объема продаж. формация уже может существовать, часть ее до статочно легко получить, в то время как другие данные определить будет значительно труднее, 3. Технология оценки а некоторые могут быть недоступны.

затрат на ИБ Затраты на контроль 3.1 Как идентифицировать затраты на Элементы затрат на контроль приводятся в при безопасность?

ложении 1. Основной объем затрат составляет Первая задача - определить перечень затрат, оплата труда персонала службы безопасности и которые относятся к деятельности предприятия прочего персонала предприятия, занятого про и распределить их по категориям. верками и испытаниями. Эти затраты могут быть определены весьма точно. Оставшиеся за Вторая - составить перечень таким образом, траты в основном связаны со стоимостью кон чтобы смысл каждой позиции (каждого элемен кретных специальных работ и услуг внешних та) был ясен персоналу предприятия, и ввести организаций и материально техническим обес ясную систему обозначения для каждой пози печением системы безопасности. Они могут ции перечня. быть определены напрямую.

Общий смысл сбора данных по затратам Итак, мы видим, что можно достаточно на безопасность - обеспечить руководство просто получить точную картину по затратам на предприятия инструментом управления. контроль.

Особенно важно, чтобы позиции перечня затрат были определимы в том виде, как они на званы и распределены для различных катего Внутренние затраты на компенсацию нару рий, в том числе:

шений политики безопасности Х Для подразделения или какого либо участ ка. Определение элементов затрат этой группы на Х Для защищаемого ресурса (по всем типам много сложнее, но большую часть установить ресурсов). достаточно легко:

Х Для какого либо рабочего места пользовате Х Установка патчей или приобретение по ля информационной среды предприятия. следних версий программных средств защи Х Для рисков по каждой категории информа ты информации.

ции. Х Приобретение технических средств взамен пришедших в негодность.

Требования должны быть установлены са Х Затраты на восстановление баз данных и мим предприятием для собственного (внутрен прочих информационных массивов.

него) пользования. Однако при этом не следует забывать, что собранной информации должно Информационная безопасность: экономические аспекты Х Затраты на обновление планов обеспечения Х Затраты на проведение дополнительных ис непрерывности деятельности службы безо следований и разработку новой рыночной пасности. стратегии.

Х Затраты на внедрение дополнительных Х Потери от снижения приоритета в научных средств защиты, требующих существенной исследованиях и невозможности патентова перестройки системы безопасности. ния и продажи лицензий на научно техни ческие достижения.

Труднее выявить объемы заработной пла Х Затраты, связанные с ликвидацией лузких ты и накладных расходов: мест в снабжении, производстве и сбыте Х По проведению дополнительных испытаний продукции.

и проверок технологических информацион Х Потери от компрометации производимой ных систем. предприятием продукции и снижения цен Х По утилизации скомпрометированных ре на нее.

сурсов. Х Возникновение трудностей в приобретении Х По проведению повторных проверок и ис оборудования или технологий, в том числе пытаний системы защиты информации. повышение цен на них, ограничение объема Х По проведению мероприятий по контролю поставок.

достоверности данных, подвергшихся атаке на целостность. Перечисленные затраты могут быть вы Х По проведению расследований нарушений званы действиями персонала различных отде политики безопасности. лов, например, проектного, технологического, планово экономического, юридического, хозяй Выяснение затрат на эти виды деятельнос ственного, отдела маркетинга, тарифной поли ти связаны с различными отделами: тики и ценообразования.

Х Отделом информационных технологий. Поскольку сотрудники всех этих отделов Х Контрольно ревизионным и финансовым вряд ли будут заняты полный рабочий день во отделами. просами внешних потерь, то установление объе Х Службой безопасности. ма затрат необходимо вести с учетом реально затраченного времени.

Поскольку каждый вовлеченный сотруд Один из элементов внешних потерь невоз ник вряд ли в течении всего рабочего дня реша можно точно вычислить - это потери, связан ет проблемы, связанные только лишь с внутрен ные с подрывом имиджа предприятия, сниже ними потерями от нарушений политики безо нием доверия потребителя к продукции и услу пасности, оценка потерь должна быть произве гам предприятия. Именно по этой причине мно дена с учетом реально затраченного на эту дея гие корпорации скрывают, что их сервис небе тельность времени. Таким образом, мы опять зопасен. Корпорации боятся обнародования видим, что основные виды затрат в этой катего такой информации даже больше, чем атаки в рии могут быть определены с достаточной сте той или иной форме. Однако многие предприя пенью точности. тия игнорируют эти затраты на основании того, что их нельзя установить с какой либо степенью точности - они только предположительны.

Внешние затраты на компенсацию наруше ний политики безопасности Затраты на предупредительные мероприятия Часть внешних затрат на компенсацию наруше ний политики безопасности связана с тем, что Эти затраты, вероятно, наиболее сложно оце были скомпрометированы коммерческие данные нить, поскольку предупредительные мероприя партнеров и персональные данные пользовате тия проводятся в разных отделах и затрагивают лей услуг предприятия. Затраты, связанные с многие службы. Эти затраты могут появляться восстановлением доверия, определяются таким на всех этапах жизненного цикла ресурсов ин же образом, как и в случае внутренних потерь. формационной среды предприятия:

Однако существуют и другие затраты, ко Х Планирования и организации.

торые определить достаточно сложно. В их чис Х Приобретения и ввода в действие.

ле: Х Доставки и поддержки.

Сергей Петренко, Сергей Симонов, Роман Кислов Х Мониторинга процессов, составляющих ин элементы затрат и соответствующие им ко формационную технологию. ды.

В дополнение к этому, большинство затрат Если все элементы собраны и распределе данной категории связано с работой персонала ны с достаточной точностью, то последующий службы безопасности. Затраты на предупреди анализ затрат на безопасность может вылиться тельные мероприятия в основном включают за лишь в интерпретацию данных.

работную плату и накладные расходы. Однако точность их определения в большей степени за висит от точности установления времени, затра Ответственность за сбор и анализ ченного каждым сотрудником в отдельности.

информации Некоторые предупредительные затраты легко выявить напрямую. Они, в частности, мо Кто должен заниматься сбором и анализом дан гут включать оплату различных работ сторон ных, составлением отчета по затратам на безо них организаций, например: пасность? Это не может происходить от случая к Х Обслуживание и настройку программно случаю, необходима система. При этом надо технических средств защиты, операцион быть уверенным в том, что все данные согласу ных систем и используемого сетевого обо ются с финансовыми материалами, счетами и т.

рудования. д. Кажется логичным привлечение экономистов Х Проведение инженерно технических работ к этой работе. Однако они будут нуждаться в по по установлению сигнализации, оборудова мощи по классификации и анализу элементов нию хранилищ конфиденциальных доку затрат, а это уже работа Начальника службы бе ментов, защите телефонных линий связи, зопасности.

средств вычислительной техники и т. п. Распределение деятельности и ответст Х Доставку конфиденциальной информации. венности за нее может быть следующее (Таб.7).

Х Консультации.

Деятельность Исполнитель Х Курсы обучения.

Определение категорий затрат Экономический отдел и служба безопасности Сбор данных о затратах Экономический отдел Распределение данных Экономический отдел Источники сведений о затратах по категориям При определении затрат на обеспечение ИБ не Предоставление данных Экономический отдел о затратах в службу обходимо помнить, что:

безопасности Х Затраты на приобретение и ввод в действие Анализ затрат Служба безопасности программно технических средств могут Исследование причин Служба безопасности быть получены из анализа накладных, запи Разработка рекомендаций Служба безопасности сей в складской документации и т. п..

по снижению затрат Х Выплаты персоналу могут быть взяты из ве Составление отчета по Служба безопасности домостей.

затратам на безопасность Х Объемы выплат заработной платы должны и его рассылка быть взяты с учетом реально затраченного Координация деятельности Служба безопасности по управлению затратами времени на проведение работ по обеспече внутри всего предприятия нию информационной безопасности. Если Наблюдение за выполнением Служба безопасности только часть времени сотрудника затрачи рекомендаций и корректи вается на деятельность по обеспечению ин рующих мероприятий формационной безопасности, то целесооб Табл. 7. Пример распределения деятельности и от разность оценки каждой из составляющих ветственности по затратам на ИБ затрат его времени не должна подвергаться сомнению.

Х Классификация затрат на безопасность и Данный список может быть изменен - распределение их по элементам должны каждая организация устанавливает свою собст стать частью повседневной работы внутри венную систему контроля и анализа затрат на предприятия. С этой целью персоналу безопасность.

должны быть хорошо известны различные Информационная безопасность: экономические аспекты База для сравнений объем произведенной продукции может не сов Затраты на безопасность, взятые сами по себе в падать с объемом реально проданной или по абсолютном (стоимостном) выражении, могут ставленной. Конечно же решение о том, с какой привести к неверным выводам. Для иллюстра базой измерений соотносить затраты на безо ции сказанного рассмотрим пример. Предполо пасность - стоимостью произведенной продук жим, что какая либо организация получила об ции;

числом произведенных единиц продукта;

щие затраты на безопасность за четыре периода объемом проданной продукции;

стоимостью по подряд (в относительных единицах): ставленной продукции - должно быть принято 11 12 13 14 самим предприятием. Руководство при этом Эти данные, рассмотренные изолирован должно быть уверено, что полученные результа но, приводят к выводу о том, что увеличение за ты действительно отражают реальную и объек трат на безопасность выходит из под контроля. тивную картину затрат на безопасность.

Тем не менее, если мы посмотрим объем производства за те же самые периоды времени, то обнаружим следующие величины:

Другие базы измерений 100 120 140 Если теперь сравнить общие затраты на Ниже рассмотрены некоторые базы измерений безопасность, отнесенные к объему производ и даны пояснения почему их рекомендуется ис ства за тот же период, то можно получить сле пользовать.

дующие данные:

12,5% 11% 10% 9,3% Очевидно, что управление затратами на Трудоемкость безопасность не ухудшалось по периодам, как это предполагалось первоначально, а скорее Трудоемкость может быть представлена как ве улучшалось. Хотя общие затраты на безопас личина оплаты труда, непосредственно затра ность и увеличивались, объем производства уве ченного на производство продукции. Это часто личивался. Таким образом, необходимо соотно используемая на практике финансовая катего сить затраты на безопасность с какой либо рия, и поэтому данные для использования в этой другой характеристикой деятельности, кото базе измерений должны быть, безусловно, до рая чувствительна к изменению производства. ступны. Однако трудоемкость должна использо В рассмотренном выше примере, объем ваться с осторожностью, поскольку она может производства отражает, так называемую, базу изменяться по различным причинам, например:

измерений. Х Улучшение технологии.

При определении отношения затрат на бе Х Автоматизация технологических процес зопасность к какой либо подходящей базе изме сов.

рений важно быть уверенным, что период, для Х Смена обслуживающего персонала.

которого все эти характеристики определялись, был один и тот же. Таким образом, трудоемкость как база из мерений может быть использована только для Типовые базы измерений коротких промежутков времени.

Для многих организаций приемлемо будет соот Важно помнить следующее:

носить затраты на безопасность с объемом про Х Трудоемкость не может быть использована данной продукции, причем имеется в виду про в качестве измерительной базы в том слу дукция, которая уже оплачена. чае, если не учитывается эффект инфляции.

Однако, если объем продаж зависит от се Х Необходимо всегда сравнивать величины в зонных факторов или каких либо других цикли их стоимостном выражении.

ческих изменений, объем проданной продукции не может быть достоверной базой, поскольку он Характерный пример использования дан будет слишком изменчив, в то время как объем ной базы: отношение внутренних затрат на ком производства и затраты на безопасность могут пенсацию последствий нарушений политики бе оставаться относительно постоянными. Необхо зопасности к трудоемкости.

димо отметить, что объем проданной продукции отличается от объема поставленной продукции, поскольку поставленная потребителю продук ция может быть еще не оплачена. Точно также и Сергей Петренко, Сергей Симонов, Роман Кислов Определение ценности информационных ресурсов предприятия Данные Вывод измерений Ценность информационных ресурсов 0,0 - 0,1 Надежность защиты высокая предприятия с экономической точки зрения - 0,1 - 0,25 Появились проблемы в системе защиты это совокупная стоимость собственных ресур 0,25 - 0,5 Необходимо усилить систему защиты сов, выделяемых в информационной среде информации предприятия. Ресурсы обычно подразделяются 0,5 - 0,75 Необходимо менять политику безопасности на несколько классов, например, физические, программные и информационные (данные). Для Табл. 8. Пример оценки вероятности серьезного каждого класса должна существовать своя мето происшествия в течение года дика оценки ценности.

Оценка ценности ресурсов проводится Данная таблица приведена в качестве примера, специализированными организациями во время как можно использовать любые соотношения, выполнения работы по анализу рисков безопас которые помогут рассортировать интересую ности предприятия. Как правило, оценка физи щую нас информацию.

ческих ресурсов производится с учетом стоимо сти их замены или восстановления работоспо собности. Программные ресурсы оцениваются Целью использования всех рассмотрен тем же способом, что и физические - на основе ных соотношений является сравнение эффек определения затрат на их приобретение или тивности деятельности предприятия в различ восстановление. Если для информационного ре ные периоды времени.

сурса существуют особенные требования к кон фиденциальности или целостности (например, если исходный текст имеет высокую коммерче Анализ затрат на обеспечение ИБ скую ценность), то оценка этого ресурса произ водится по той же схеме, то есть в стоимостном Отчет по затратам на безопасность выражении. Результаты анализа затрат на безопасность и При разработке конкретных методик итоговый отчет должны показать объективную оценки ССВ всегда надо помнить о УтонкихФ картину в отношении безопасности.

моментах, связанных с оценкой ценности Анализ затрат на безопасность - инстру информационных ресурсов, учетом последст мент управления, он используется руководст вий нарушения режима ИБ. Как правило вом предприятия для определения достигнутого имеются экономические и неэкономические уровня защищенности информационной среды аспекты (например, аспекты, связанные с и обнаружения проблем при постановке задач разглашением персональной информации или по достижению требуемого уровня защищенно потерей репутации организации). Последние сти.

надо приводить (отображать) в денежные Представленный в финансовых терминах шкалы, что обычно делается на этапе анализа и составленный простым языком отчет по затра рисков. там на безопасность имеет значительные пре Таким образом, анализ информационных имущества перед другими видами отчетов по ис рисков является неотъемлимой частью следованию безопасности информационной подобных методик, комплекс этих вопросов среды предприятия и анализу рисков.

подробно рассматривается в [4]. Содержание отчета по затратам на безо пасность в большей степени зависит от того, ко Оценка эффективности деятельности му он предназначается и от того, какую роль иг службы ИБ рает в рамках предприятия тот, кому данный конкретный отчет предназначен.

Необходимо иметь достаточно простую Руководство должно получить краткий от систему оценки, позволяющую оценить чет, который предоставляет общую картину о деятельности службы ИБ в качественных состоянии системы безопасности предприятия.

шкалах в разные периоды времени. Например, Отчет содержит финансовые термины, должен может использоваться субъективная оценка ве быть доступно написан и содержать только объ роятности серьезного происшествия в области ективную информацию.

ИБ, которую дают ведущие специалисты отдела Руководители подразделений информати ИБ. зации и защиты информации должны получить Информационная безопасность: экономические аспекты Затраты Периоды I II III IV РЕСУРС "А" Предупредительные 227 198 209 На контроль 593 616 606 На внутренние потери 985 1016 758 На внешние потери 503 528 482 Общие затраты на безопасность 2308 2358 2065 Общие затраты на безопасность, отнесенные к объему продаж 1.0 % 1,05 % 0,9 % 0,85 % Общие затраты на безопасность, отнесенные к трудоемкости 1,9 % 2 % 1,5 % 1,4 % РЕСУРС "В " Предупредительные 206 229 340 На контроль 894 949 916 На внутренние потери 1903 1935 1034 На внешние потери 620 598 613 Общие затраты на безопасность 3623 3711 2903 Общие затраты на безопасность, отнесенные к объему продаж 1,1 % 1,15 % 0,9 % 0,9 % Общие затраты на безопасность, отнесенные к трудоемкости 2,5 % 2,55 % 1,4 % 1,3 % РЕСУРС "С" Предупредительные 184 242 299 На контроль 815 859 831 На внутренние потери 1187 1191 910 На внешние потери 1101 1066 72 Общие затраты на безопасность 3287 3358 2762 Общие затраты на безопасность, отнесенные к объему продаж 1,2 % 1,2 % 1,0 % 0,9 % Общие затраты на безопасность, отнесенные к трудоемкости 1,9 % 1,9 % 1,5 % 1,4 % Табл. 9. Отчет по затратам на безопасность (пример) более детальную информацию о достигнутом Х Расскажет ему о тех вещах, которые отно уровне защищенности тех ресурсов информа сятся лишь к его сфере компетенции и ниче ционной среды предприятия, за которые оно от го более.

вечает. Отчет должен быть очень подробным и Х Написан легким для понимания языком и не представлять данные по типам ресурсов, видам напичкан специальными терминами.

угроз и т. д. Принципом проведения анализа за Написан четко и кратко и содержит всю не трат на безопасность является получение ре обходимую информацию.

зультатов в форме, наиболее полезной и удоб Х Позволяет определить первоочередные за ной для тех, кому предназначен отчет. дачи и направления деятельности.

Руководитель, читающий отчет, должен получить информацию, которая позволит: Отчет для руководителей подразделений Х Сравнить текущий уровень защищенности информатизации и защиты информации может с уровнем прошлого периода, то есть вы быть представлен в виде таблицы. Предполо явить тенденции. жим, что составляется отчет за три информаци Х Сравнить текущий уровень с поставленны онных ресурса, например, А, В и С, ми целями. которые различаются между собой только лишь Х Выявить наиболее значительные области за видом содержащейся информации. Оценки сто трат. имости ресурсов близкие, а технологии защиты Х Выбрать области для улучшения. схожи друг с другом. Например, отчет по затра Х Оценить эффективность программ по улуч там на безопасность может выглядеть шению. следующим образом (табл. 9).

Руководитель ожидает получить отчет по затратам на безопасность, который:

Сергей Петренко, Сергей Симонов, Роман Кислов Код Источник затрат Угроза случайного Угроза временной Сумма Доля (%) или умышленного недоступности (усл.ед.) изменения информации информации Сумма Доля (%) Сумма Доля (%) W1 Восстановление системы защиты ресурса до соответствия требованиям ПБ 1001 89,3 120 10,7 1121 57, W2 Восстановление ресурса 133 100 133 6, W3 Выявление причин нарушения ПБ 97 87,4 14 12,6 111 5, W4 Изменения 440 77,2 130 32,8 570 29, Итого: 1671 264 1935 Табл. 10. Составляющие затрат на внутренние потери Механизмы защиты Сумма Доля (%) (усл.ед.) Затраты на введение дополнительных мер, связанных с учетом подключений пользователей к ресурсу 133 13, Затраты на введение дополнительных мер, связанных c контролем прав доступа сотрудников и учетом изменений их состояния (увольнение, перевод, отпуск, продолжительная болезнь) 88 8, Затраты на установку системы передачи файлов отчетов на сервер протоколирования 280 27, Приобретение дополнительных модулей удаленных запросов и выборок администратором системы безопасности 500 49, ИТОГО: 1001 Табл. 11. Составляющие затрат на внутренние потери в следствие реализации угрозы целостности информации димо ответить на следующие вопросы: С чего надо начинать? В чем причина происходящего?

Анализ затрат Начальнику отдела защиты информации Если проанализировать данные по I му и II му необходима значительно большая информация, периодам, приведенные в табл. 9, то можно об чем представленная в суммирующей таблице.

наружить, что чрезвычайно велики внутренние Он знает, что у него возникли проблемы, но не потери на компенсацию нарушений политики знает какими причинами они вызваны. Он нуж безопасности для ресурса В, а также внешние дается в более детальном дроблении элементов потери на НПБ для ресурса С. затрат на безопасность.

Руководитель отдела защиты информации Итак, к концу II го периода начальник от предпринял шаги в данном направлении. Он дела защиты информации получил следующую увеличил после II го периода объем предупреди информацию, конкретизирующую внутренние тельных мероприятий для ресурса В, и это да затраты на НПБ по ресурсу В в зависимости ло значительный эффект по снижению внутрен от угроз безопасности ресурса (табл. 10).

них потерь на НПБ к концу III го периода. Приведенные данные показывают, что на Он также увеличил после II го периода ибольшие потери связаны с воздействием угро предупредительную деятельность для ресурса зы случайного или умышленного изменения ин С, и после III го периода так же произошло формации и возникающей необходимостью снижение внешних затрат на НПБ. Хотя преду восстановления системы защиты ресурса до со предительные действия для этого ресурса не да ответствия требованиям политики безопаснос ли столь же быстрого результата, как для ресур ти. Более детальная информация показывает ме са В, тем не менее затраты были снижены, а к ханизмы защиты, которые были использованы концу IV го периода - даже в еще большей сте для усиления системы защиты ресурса (табл.11).

пени. Анализ этих сведений помогает опреде Однако, прежде чем проводить какие ли лить, что предупредительные мероприятия бо мероприятия по усилению защищенности должны быть направлены, в первую очередь, на информационной среды предприятия, необхо обеспечение соответствия требованиям качест Информационная безопасность: экономические аспекты ва информационных технологий, а во вторую - Без доступной детальной информации на решение проблемы аудита системы безопас борьба за повышение уровня защищенности ин ности и т. д. формационной среды предприятия будет равно Прежде чем тратить средства на преду сильна борьбе с логнем вместо предупрежде предительные мероприятия в области обеспече ния пожаров.

ния качества информационной технологии, Итак, необходимо отметить следующее:

Начальник отдела защиты информации подроб Х Затраты на безопасность могут быть но и досконально рассматривает возможные снижены в значительной степени за счет причины нанесения ущерба (уязвимости техно того, что будут выявлены специфические логии защиты ресурса), например такие: причины потерь и предложены программы Х Недостаточные возможности по архивиро снижения уровня риска.

ванию данных. Х Все рекомендации по улучшениям должны Х Бессистемность проведения мероприятий содержать данные о стоимости примене по архивированию данных. ния предложенных программ. Меры сниже Х Непригодность механизма учета и контроля ния уровня риска должны преследовать сле носителей резервных копий. дующую цель: с наименьшими затратами Х Слабость нормативной базы. получить наилучшие результаты.

Х Отсутствие практики проведения тестовых испытаний системы защиты ресурсов.

3.3 Внедрение системы учета Х Недостаточность технических систем ох затрат на ИБ лаждения и питания серверных комнат.

Х Отсутствие регламента программно техни Все вышеизложенное может показаться слож ческих средств типовой рабочей станции ным и трудоемким для реализации. Вероятно, в и т. д. связи с этим на практике редко встретишь орга низации, внедрившие систему сбора и анализа Как оказалось, в нашем примере ни одна затрат на безопасность.

из перечисленных причин не составляет более Руководители системы безопасности чем 8% от общей величины потерь в рассматри должны быть убеждены в полезности этого ме ваемый период. Однако затраты на минимиза роприятия.

цию перечисленных потерь будут существенно Ниже предложены некоторые секреты различны в зависимости от решаемой пробле успешного внедрения системы.

мы: наименьшие в случае совершенствования нормативной базы и, возможно, весьма значи Х Начинайте с малого и наращивайте. Возь тельные при оборудовании серверных комнат митесь за простое, не пытайтесь сразу же техническими системами охлаждения и пита охватить все ресурсы, требующие защиты.

ния. Выберите один вид ресурса - то, что вы хо тите, и стройте систему, которую сможете наполнить фактическими финансовыми данными.

Принятие решений Все выявленные причины нанесения ущерба за Х Создайте образец, чтобы показать, как это служивают корректирующих мероприятий, од может быть сделано. Начните с тех затрат нако руководитель осуществляет поиск тех на безопасность, для которых данные уже областей, которые дадут наибольшую отдачу в известны. Определите иные необходимые ответ на затраченные усилия. Именно поэтому затраты лэкспертным способом, если это он может рассмотреть, как первоочередную для необходимо.

улучшения область своих затрат, связанную с внедрением системы передачи файлов отчетов Х Не бойтесь препятствий и не откладывайте на сервер протоколирования. работу, решив проблему один раз, вы облег Тщательный анализ может привести на чите себе жизнь в будущем.

чальника отдела защиты информации к выводу Х Подтвердите документами ценность ана о том, что лучше начать предупредительные ме лиза затрат на ИБ. Упростите систему так, роприятия для механизмов защиты, имеющих чтобы она соответствовала потребностям не самую большую затратную часть. Вашей организации.

Сергей Петренко, Сергей Симонов, Роман Кислов Если затраты определены с точностью Х Затраты на осуществление технической +5%, то работа сделана с приемлемой точнос поддержки производственного персонала - тью. Руководство предприятия получит более при внедрении средств защиты и процедур, точную картину затрат на безопасность, а следо а также планов по защите информации.

вательно и оценку уровня риска. Х Проверка сотрудников на лояльность, выяв ление угроз безопасности.

Х Организация системы допуска исполните Заключение лей и сотрудников конфиденциального де лопроизводства с соответствующими шта Вместе с методикой ССВ можно использовать тами и оргтехникой.

разнообразные методы для расчета возврата ин вестиций (ROI). Как правило, для оценки доход ной части сначала анализируют те цели, задачи и направления бизнеса, которые нужно достиг Регламентное обслуживание средств защиты нуть с помощью внедрения или реорганизации информации:

существующих проектов в области системной Х Затраты, связанные с обслуживанием и на интеграции, автоматизации и информационной стройкой программно технических средств безопасности. Далее используют некоторые из защиты, операционных систем и используе меримые показатели эффективности бизнеса мого сетевого оборудования.

для оценки отдельно по каждому решению. Ука Х Затраты, связанные с организацией сетево занные показатели не надо выдумывать, они су го взаимодействия и безопасного использо ществуют в избыточном виде. Далее можно ис вания информационных систем.

пользовать методики расчета коэффициентов Х Затраты на поддержание системы резерв возврата инвестиций в инфраструктуру пред ного копирования и ведение архива данных.

приятия (ROI), например, Gartner Group. Х Проведение инженерно технических работ По нашему мнению, достаточно результа по установлению сигнализации, оборудова тивно использовать следующую комбинацию: нию хранилищ конфиденциальных доку ССВ как расходную часть и ROI как расчетную. ментов, защите телефонных линий связи, Кроме того, сегодня существуют и другие разно средств вычислительной техники и т. п.

образные методы и технологии расчета и изме рения различных показателей экономической эффективности.

Аудит системы безопасности:

Х Затраты на контроль изменений состояния Приложение 1 информационной среды предприятия.

Х Затраты на систему контроля за действиями исполнителей.

Примерный перечень затрат органи зации на обеспечение ИБ Предположим, что основы политики безопасно сти на предприятии сформированы. Системати Обеспечение должного качества информаци ческие затраты на ИБ можно разбить на следую онных технологий:

щие группы. Х Затраты на обеспечение соответствия тре бованиям качества информационных тех Затраты на обслуживание системы нологий, в том числе анализ возможных не безопасности (затраты на гативных аспектов информационных техно предупредительные мероприятия) логий, которые влияют на целостность и до Управление системой защиты информации: ступность информации.

Х Затраты на планирование системы защиты Х Затраты на доставку (обмен) конфиденци информации предприятия. альной информации.

Х Затраты на изучение возможностей инфор Х Удовлетворение субъективных требований мационной инфраструктуры предприятия пользователей: стиль, удобство интерфей по обеспечению безопасности информации сов и др.

ограниченного распространения.

Информационная безопасность: экономические аспекты Обеспечение требований стандартов: Х Материально техническое обеспечение си Х Затраты на обеспечение соответствия при стемы контроля доступа к объектам и ресур нятым стандартам и требованиям, достовер сам предприятия.

ности информации, действенности средств защиты.

Затраты на внешний аудит:

Х Затраты на контрольно проверочные меро Обучение персонала: приятия, связанные с лицензионно разре Х Повышение квалификации сотрудников шительной деятельностью в сфере защиты предприятия в вопросах использования информации.

имеющихся средств защиты, выявления и предотвращения угроз безопасности.

Х Развитие нормативной базы службы безо пасности. Пересмотр политики информационной безо пасности предприятия (проводится периоди чески):

Затраты на контроль: Х Затраты на идентификацию угроз безопас Х Плановые проверки и испытания. ности.

Х Затраты на проверки и испытания про Х Затраты на поиск уязвимостей системы за граммно технических средств защиты ин щиты информации.

формации. Х Оплата работы специалистов, выполняю Х Затраты на проверку навыков эксплуатации щих работы по определению возможного средств защиты персоналом предприятия. ущерба и переоценке степени риска.

Х Затраты на обеспечение работы лиц, ответ ственных за реализацию конкретных про цедур безопасности по подразделениям.

Х Оплата работ по контролю правильности Затраты на ликвидацию последствий наруше ввода данных в прикладные системы. ния режима ИБ:

Х Оплата инспекторов по контролю требова Х Восстановление системы безопасности до ний, предъявляемых к защитным средствам соответствия требованиям политики безо при разработке любых систем (контроль пасности.

выполняется на стадии проектирования и Х Установка патчей или приобретение по спецификации требований). следних версий программных средств защи ты информации.

Х Приобретение технических средств взамен Внеплановые проверки и испытания: пришедших в негодность.

Х Оплата работы испытательного персонала Х Проведение дополнительных испытаний и специализированных организаций. проверок технологических информацион Х Обеспечение испытательного персонала ных систем.

(внутреннего и внешнего) материально тех Х Затраты на утилизацию скомпрометирован ническими средствами. ных ресурсов.

Контроль за соблюдением политики ИБ:

Х Затраты на контроль реализации функций, Восстановление информационных ресурсов обеспечивающих управление защитой ком предприятия:

мерческой тайны. Х Затраты на восстановление баз данных и Х Затраты на организацию временного взаи прочих информационных массивов.

модействия и координации между подраз Х Затраты на проведение мероприятий по делениями для решения повседневных кон контролю достоверности данных, подверг кретных задач. шихся атаке на целостность.

Х Затраты на проведение аудита безопаснос ти по каждой автоматизированной инфор мационной системе, выделенной в инфор мационной среде предприятия.

Затраты на выявление причин нарушения по Прочие затраты:

литики безопасности: Х Заработная плата секретарей и служащих, Х Затраты на проведение расследований на организационные и прочие расходы, кото рушений политики безопасности (сбор дан рые непосредственно связаны с предупре ных о способах совершения, механизме и дительными мероприятиями.

способах сокрытия неправомерного деяния. Х Другие виды возможного ущерба предприя поиск следов, орудий и предметов посяга тию, в том числе связанные с невозможнос тельства;

выявление мотивов неправомер тью выполнения функциональных задач, ных действий и т. д.). определенных его Уставом.

Х Затраты на обновление планов обеспечения непрерывности деятельности службы безо пасности. Литература 1. R. Witty, J. Dubiel, J. Girard, J. Graff, A.

Hallawell, B. Hildreth, N. MacDonald, W.

Затраты на переделки: Malik, J. Pescatore, M. Reynolds, K. Russell, A.

Х Затраты на внедрение дополнительных Weintraub, V. Wheatman. The Price of средств защиты, требующих существенной Information Security. Gartner Research, перестройки системы безопасности. Strategic Analysis Report, К 11 6534, June Х Затраты на повторные проверки и испыта 2001.

ния системы защиты информации. 2. R. Witty. The Role of the Chief Information Security Officer. Research Note, Gartner Research, Strategic Planning, SPA 13 2933, April 2001.

Внешние затраты на ликвидацию последствий 3. Симонов С.В. Технологии и инструмента нарушения политики безопасности: рий для управления рисками М.: Jet Info Х Обязательства перед государством и парт № 2, 2003.

нерами. 4. Петренко C.А. Симонов С.В. Экономически Х Затраты на юридические споры и выплаты оправданная безопасность. Управление компенсаций. информационными рисками. Изд. ДМК, Х Потери в результате разрыва деловых отно Москва, 2003.

шений с партнерами.

Потеря новаторства:

Х Затраты на проведение дополнительных ис следований и разработки новой рыночной стратегии.

Х Отказ от организационных, научно техни ческих или коммерческих решений, став ших неэффективными в результате утечки сведений и затраты на разработку новых средств ведения конкурентной борьбы.

Х Потери от снижения приоритета в научных исследованиях и невозможности патентова ния и продажи лицензий на научно техни ческие достижения.

   Книги, научные публикации