Экономическое обоснование эффективности предложенных методов

• Что такое затраты на информационную безопасность?
• Неизбежны ли затраты на информационную безопасность?
• Какова зависимость между затратами на информационную безопасность и достигаемым уровнем информационной безопасности?
• Представляют ли затраты на информационную безопасность существенную часть от оборота компании?
• Какую пользу можно извлечь из анализа затрат на информационную безопасность?
• Рассмотрим возможные ответы на поставленные вопросы.
• Что такое затраты на информационную безопасность?
• Как правило, затраты на информационную безопасность подразделяются на следующие категории:
• Затраты на формирование и поддержание звена управления системой защиты информации (организационные затраты).
• Затраты на контроль, то есть на определение и подтверждение достигнутого уровня защищенности ресурсов предприятия.
• Внутренние затраты на ликвидацию последствий нарушения политики информационной безопасности (НПБ) — затраты, понесенные организацией в результате того, что требуемый уровень защищенности не был достигнут.
• Внешние затраты на ликвидацию последствий нарушения политики информационной безопасности — компенсация потерь при нарушениях политики безопасности в случаях, связанных с утечкой информации, потерей имиджа компании, утратой доверия партнеров и потребителей и т. п.
• Затраты на техническое обслуживание системы защиты информации и мероприятия по предотвращению нарушений политики безопасности предприятия (затраты на предупредительные мероприятия).

При этом обычно выделяют единовременные и систематические  затраты. К единовременным относятся  затраты на формирование политики безопасности предприятия: организационные затраты  и затраты на приобретение и установку средств защиты.

Классификация затрат условна, так как сбор, классификация и  анализ затрат на информационную безопасность — внутренняя деятельность предприятий, и детальная разработка перечня  зависят от особенностей конкретной организации. Самое главное при определении затрат на систему безопасности — взаимопонимание и согласие по статьям расходов внутри предприятия. Кроме того, категории затрат должны быть постоянными и не должны дублировать друг друга.

 

Неизбежны ли затраты  на информационную безопасность?

 

Невозможно полностью  исключить затраты на безопасность, однако они могут быть приведены  к приемлемому уровню. Некоторые  виды затрат на безопасность являются абсолютно необходимыми, а некоторые  могут быть существенно уменьшены  или исключены. Последние — это те, которые могут исчезнуть при отсутствии нарушений политики безопасности или сократятся, если количество и разрушающее воздействие нарушений уменьшатся.

При соблюдении политики безопасности и проведении профилактики нарушений можно исключить или существенно уменьшить следующие затраты:

На восстановление системы  безопасности до соответствия требованиям  политики безопасности.

• На восстановление ресурсов информационной среды предприятия.
• На переделки внутри системы безопасности.
• На юридические споры и выплаты компенсаций.
• На выявление причин нарушения политики безопасности.

Необходимые затраты  — это те, которые необходимы даже если уровень угроз безопасности достаточно низкий. Это затраты на поддержание достигнутого уровня защищенности информационной среды предприятия.

Неизбежные затраты  могут включать:

• Обслуживание технических средств защиты.
• Конфиденциальное делопроизводство.
• Функционирование и аудит системы безопасности.
• Минимальный уровень проверок и контроля с привлечением специализированных организаций.
• Обучение персонала методам информационной безопасности.

Какова зависимость  между затратами на ИБ и уровнем  защищенности КИС?

Сумма всех затрат на повышение  уровня защищенности АС от угроз информационной безопасности составляет общие затраты на безопасность.

Взаимосвязь между всеми  затратами на безопасность, общими затратами на безопасность и уровнем  защищенности информационной среды  предприятия обычно имеет вид  функции (Рисунок 4.1).

Общие затраты на безопасность складываются из затрат на предупредительные мероприятия, затрат на контроль и восполнение потерь (внешних и внутренних). С изменением уровня защищенности информационной среды изменяются величины составляющих общих затрат и, соответственно, их сумма — общие затраты на безопасность. В данном случае не включаются единовременные затраты на формирование политики информационной безопасности предприятия, так как предполагаем, что такая политика уже выработана.

     Рисунок 4.1-Взаимосвязь между затратами на безопасность и достигаемым уровнем защищенности

 

Снижение общих затрат

 

В примере (рисунок 4.1) показано, что достигаемый уровень защищенности измеряется в категориях "большой риск" и "риск отсутствует" ("совершенная защита"). Рассматривая левую сторону графика ("большой риск"), видно, что общие затраты на безопасность высоки в основном потому, что высоки потери на компенсацию при нарушениях политики безопасности. Затраты на обслуживание системы безопасности очень малы.

Если двигаться вправо по графику, то достигаемый уровень  защищенности будет увеличиваться (снижение информационного риска). Это  происходит за счет увеличения объема предупредительных мероприятий, связанных с обслуживанием системы защиты. Затраты на компенсацию НПБ уменьшаются в результате предупредительных действий. Как показано на графике, на этой стадии затраты на потери падают быстрее, нежели возрастают затраты на предупредительные мероприятия. Как результат — общие затраты на безопасность уменьшаются. Изменения объема затрат на контроль незначительны.

 

Увеличение общих затрат

 

Если двигаться по графику вправо за точку экономического равновесия (т.е. достигаемый уровень  защищенности увеличивается) ситуация начинает меняться. Добиваясь устойчивого снижения затрат на компенсацию нарушений политики безопасности, мы видим, что затраты на предупредительные мероприятия возрастают все быстрее и быстрее. Получается, что значительное количество средств должно быть затрачено на достижение достаточно малого снижения уровня риска.

График (рисунок 4.1) отражает только общий случай, так как построен с учетом некоторых допущений, которые не всегда соответствуют реальным ситуациям.

Первое допущение заключается  в том, что предупредительная деятельность по техническому обслуживанию комплекса программно-технических средств защиты информации и предупреждению нарушений политики безопасности предприятия соответствует следующему правилу: в первую очередь рассматриваются те проблемы, решение которых дает наибольший эффект по снижению информационного риска. Если не следовать этой модели, то вид графика станет совсем иным.

Второе допущение заключается  в том, что точка экономического равновесия не изменяется во времени. На практике это допущение часто не выполняется. Основные факторы:

Эффективность предупредительной  деятельности не велика. В рассматриваемой  модели предполагается, что такая  деятельность позволяет не повторять  допущенные ранее ошибки. На практике это не так, и для достижения должного эффекта требуются гораздо большие затраты. В результате точка экономического равновесия сдвигается вправо.

Устаревание системы  ИБ

 

Разработчики средств  защиты не успевают за активностью  злоумышленников, которые находят  все новые и новые бреши в системах защиты. Кроме того, информатизация предприятия может породить новые проблемы, решение которых потребует дополнительных предупредительных затрат.

Все это может сместить экономическое равновесие по направлению  к левому краю диаграммы.

Опасность ошибочной интерпретации

Многие руководители служб безопасности (СБ) предприятий  уверены в том, что они работают на том уровне защищенности, который  соответствует экономическому равновесию. Однако, как показывает практика, очень  часто они не имеют веских доказательств для подтверждения этого предположения.

Рассмотренный график является идеализированным, на нем показан  уровень защищенности информационной среды предприятия от угроз безопасности в терминах "высокий" и "низкий" и может не соотноситься с возможным ущербом.

Руководитель службы безопасности, который уверен, что  он работает на базовом уровне защищенности, склонен верить, что это и есть экономическое равновесие, тогда  как руководитель СБ, который думает, что он работает на максимальном уровне защищенности, верит, что экономическое равновесие находится именно на этом уровне.

Приведенный график может  внушить таким руководителям  СБ уверенность в том, что повышение  защищенности информационной среды  на их предприятиях будет сопровождаться лишь увеличением затрат. В результате никакой дополнительной деятельности в области ИБ вестись не будет.

Если предупредительные  мероприятия проводятся должным  образом и являются эффективными, то достаточно трудно найти доказательство того, что на каком-либо предприятии  произошло повышение общих затрат на безопасность вследствие увеличения затрат на предупредительные мероприятия.

С другой стороны, если мы имеем дело с режимным объектом, который имеет очень низкий уровень  риска, то есть теоретически возможны ситуации, при которых событие наступает, но на практике это случается редко, а потенциальный ущерб сравнительно невелик, то на таком объекте общие затраты на безопасность незначительны.

Оба эти факта могут  привести некоторых к заключению, что данная концепция не работает.

Как оценить долю затрат на ИБ в обороте компании?

Там, где затраты на обеспечение ИБ должным образом  учтены, они могут составлять от 2 % до 20 % и более от объема продаж (оборота). Приведенная оценка получена из опыта работы российских компаний, специализирующихся в области защиты информации на основе анализа состояния защищенности информационной среды предприятий металлургической отрасли и отрасли связи.

 

Таблица 4.1 Пример распределения общих затрат на безопасность

Затраты на потери (внешние и внутренние)	=	50 % от новой величины общих  затрат на безопасность
Затраты на контроль	=	25 % от новой величины общих  затрат на безопасность
Затраты на предупредительные мероприятия	=	25 % от новой величины общих  затрат на безопасность

Однако общие затраты  на обеспечение ИБ составили только 60% от их первоначальной величины.

По отношению к первоначальным общим затратам на ИБ, новое их распределение  выглядит следующим образом:

 

Таблица 4.2 Пример соотношения распределения общих затрат на ИБ

Затраты на потери (внешние и внутренние)	(50х60)/100 =	30 % от начальной величины общих  затрат на безопасность
Затраты на контроль	(25х60)/100 =	25 % от начальной величины общих  затрат на безопасность
Затраты на предупредительные мероприятия	(25х60)/100 =	25 % от начальной величины общих затрат на безопасность
Экономия	=	40 % от начальной величины общих  затрат на безопасность

 

При оценке затрат на систему  безопасности на любом предприятии  необходимо учитывать процентное соотношение  общих затрат на безопасность и общего объема продаж.

Примерный перечень затрат организации на обеспечение  ИБ

Предположим, что основы политики безопасности на предприятии  сформированы. Систематические затраты  на ИБ можно разбить на следующие  группы.

Затраты на обслуживание системы безопасности (затраты на предупредительные мероприятия)

Управление  системой защиты информации:

• Затраты на планирование системы защиты информации предприятия;   
• Затраты на изучение возможностей информационной инфраструктуры предприятия по обеспечению безопасности информации ограниченного распространения;
• Затраты на осуществление технической поддержки производственного персонала при внедрении средств защиты и процедур, а также планов по защите информации;
• Проверка сотрудников на лояльность, выявление угроз безопасности;
• Организация системы допуска исполнителей и сотрудников конфиденциального делопроизводства с соответствующими штатами и оргтехникой.