Основы информационной безопасности
20.8. Соотношение эффективности и рентабельности систем информационной безопасности
Часто оказывается довольно трудно или практически невозможно оценить прямой экономический эффект от затрат на ИБ, однако современные требования бизнеса, предъявляемые к организации ИБ, диктуют настоятельную необходимость использовать обоснованные технико-экономические методы и средства, позволяющие количественно измерять уровень защищенности компании, а также оценивать экономическую эффективность затрат на ИБ. Можно использовать, например, следующие показатели: экономическую эффективность и непрерывность бизнеса (BCP - Business Continuity and Productivity), общую величину затрат на внедрение системы ИБ (NPV - Net Present Value), совокупную стоимость владения системой ИБ (Тotal Сost of Оwnership), коэффициент возврата инвестиций в ИБ (ROI - Return on Investment) и др. В целом эти показатели позволяют:
- получить адекватную информацию об уровне защищенности распределенной вычислительной среды и о совокупной стоимости владения корпоративной системой защиты информации;
- сравнить подразделения службы ИБ компании как между собой, так и с аналогичными подразделениями других предприятий в данной отрасли;
- оптимизировать инвестиции на ИБ компании с учетом реального значения показателя ТСО.
Количественно показатель ТСО выражается суммой ежегодных прямых и косвенных затрат на функционирование корпоративной системы защиты информации. ТСО может рассматриваться как ключевой количественный показатель эффективности ИБ в компании, так как позволяет не только оценить совокупные затраты на ИБ, но управлять этими затратами для достижения требуемого уровня защищенности КИС.
Прямые затраты включают как капитальные компоненты затрат (Software/Hardware, телекоммуникации, разработка, внедрение, эксплуатация, сопровождение, совершенствование непосредственно системы ИБ, административное управление), так и трудозатраты, которые учитываются в категориях производственных операций и административного управления. Сюда же относят затраты на обучение и повышение квалификации персонала, консалтинг по ИБ, услуги удаленных пользователей, аутсорсинг и др., связанные с поддержкой деятельности системы ИБ и организации в целом.
Косвенные затраты отражаются в составе затрат посредством таких измеримых показателей, как простои, сбои в работе и отказы корпоративной системы защиты информации и КИС в целом, как затраты на операции и поддержку (не относящиеся к прямым затратам). Часто косвенные затраты играют значительную роль, так как они обычно изначально не видны и не отражаются в бюджете на ИБ, а выявляются при анализе затрат впоследствии - это в конечном счете приводит к росту "скрытых" затрат компании на ИБ, не учитываемых в совокупной стоимости продукта компании.
В ходе работ по организации ИБ проводится сбор информации и расчет показателей ТСО, BCP и ROI организации по следующим параметрам:
- расходы на существующие компоненты КИС и информационные активы компании (базы данных, хранилища знаний, сетевые устройства, серверы и клиентские места, периферийные устройства);
- расходы на организацию ИБ в компании (разработку концепции и политики безопасности, планирование и управление процессами защиты информации, обслуживание средств защиты информации и данных, а также штатных средств защиты периферийных устройств, серверов, сетевых устройств, и пр.);
- расходы на аппаратные и программные средства защиты информации, персонал (приобретение, внедрение, эксплуатация, расходные материалы, амортизация, зарплата);
- расходы на организационные меры защиты информации, включая подготовку персонала;
- существующие косвенные расходы на организацию ИБ в компании, и в частности обеспечение непрерывности или устойчивости бизнеса компании;
- экономию средств и ресурсов, внутренние и внешние доходы от оказания услуг в области обеспечения ИБ.
Анализ собранных показателей позволяет оценить и сравнить состояние защищенности КИС компании с типовым профилем защиты, в том числе показать узкие места в организации защиты, на которые следует обратить внимание. Иными словами, на основе полученных данных можно сформировать понятную с экономической точки зрения стратегию и тактику развития корпоративной системы защиты информации, а именно: "сейчас мы тратим на ИБ столько-то, если будем тратить столько-то по конкретным направлениям ИБ, то получим такой-то реальный эффект".
Проиллюстрируем сказанное на примере определения оптимальной величины соотношения "эффективность - рентабельность". Эффективные системы защиты стоят дорого, и поэтому при формировании контрмер, комплектовании отделов ИБ и выборе соответствующих программно-аппаратных средств необходимо учитывать рентабельность средств защиты. На рис. 20.8-1 показано уменьшение относительного ущерба вследствие применения средств защиты информации. Здесь величина Q0 - мера общей эффективности защиты, R0 - величина максимального ущерба. Чем больше Q0, тем меньший ущерб создадут угрозы. Таким образом, мерой риска является величина (1 - Q0). Стремление обеспечить высокоэффективную защиту, когда Q0 близко к 1 (или 100%), приводит к значительным расходам на ресурсы. Чем выше совокупные ассигнования B0 на ресурсы, тем на большую эффективность защиты можно рассчитывать (рис. 20.8-1, сплошная кривая). Однако чрезмерные расходы на собственную безопасность не всегда оправданы экономически.
Можно столкнуться с ситуацией, когда стоимость защиты В0 превысит уровень максимального ущерба от реализации угроз. В этом случае возникает опасность угрозы "разорения" от защиты. Ее уровень также можно оценить, к примеру, величиной r0 - разности относительного "защищенности" Q0 и относительных затрат В0/R0 на ресурсы.
Назовем эту величину рентабельностью защиты. Если она положительная (т. е. В0 ≤ R0 x Q0), то защита рентабельна. В отличие от эффективности, чем больше затраты B0, тем меньше рентабельность. Эта противоположность создает неоднозначную ситуацию в выборе стратегии защиты, которую необходимо заранее планировать, чтобы защита не привела к значительным убыткам.
На рис. 20.8-2 представлена типовая зависимость эффективности защиты Q0 и ее рентабельности r0 от максимального ущерба R0. По сути, это является мерой масштабности бизнеса. Легко видеть, что сделать защиту одновременно и высокоэффективной, и высокорентабельной под силу лишь крупным коммерческим структурам (область G), для которых характерны большие величины максимального ущерба. Достаточно, например, чтобы B0 соотносилось с R0(1 - Q0). Тогда при Q0 ® 1 получим r0 ® 1. В худшем положении оказываются интересы среднего (область М) и малого (область S) бизнеса, поскольку из-за ограниченности ресурсов выбор стратегии защиты более сложен.
Рекомендации просты: надо обеспечить максимально возможную эффективность при положительном показателе рентабельности защиты. А это означает, что в первую очередь следует противодействовать наиболее вероятным и опасным угрозам. Малые и средние компании должны разумно сочетать необходимую защиту и экономию ресурсов.
Рис. 20.8-3 показывает, какую выгоду могут обеспечить кооперативные формы обеспечения ИБ. Здесь представлены характерные зависимости величины риска R = R0 x (1 - Q0) и общих затрат на ресурсы B0 от эффективности автономной (I) и кооперативной (II) защиты. Точка пересечения А0 зависимостей R(Q) и B(Q) для автономной защиты соответствует примерно области минимальных общих потерь R0(1 - Q0) + B0. Экономия ресурсов выразится в том, что исходная зависимость (I) окажется "выше" новой зависимости (II), которая отображает кооперацию в использовании ресурсов. Соответственно новая точка пересечения кривых А1 окажется правее прежней А0. Практически это означает, что при сохранении рентабельности защиты увеличивается ее эффективность. Причем выигрыш тем существенней, чем больше экономия. На практике в основном кооперируются по двум формам - материально-техническим и кадровым ресурсам, которые и являются составными частями общего механизма обеспечения ИБ.
Рис. 20.8-3. Зависимости риска R и расходов на ресурсы В0 от эффективности защиты Q0