Традиционно обоснования расходов на безопасность были в большинстве своем качественными или «стратегическими», доказывающими, что без инвестирования в корпоративную систему защиты информации компания упускает более «осязаемые» выгоды. Обоснование расходов на информационную безопасность включало в себя следующие утверждения:
• расходы на безопасность являются составляющей стоимости ведения бизнеса;
• расходы на безопасность родственны расходам на страхование;
• компания не может заниматься электронной коммерцией без обеспечения определенного уровня защиты электронных денежных потоков;
• безопасность является одним из аспектов управления рисками;
• заказчик имеет право подать на компанию в суд, если она отказывается соблюдать минимальные стандарты безопасности (например, защищать конфиденциальную информацию о клиенте);
• нежелание вкладывать денежные средства в безопасность означает нежелание следовать общим тенденциям развития информационных технологий.
После приведения подобных доводов ни у кого не вызывает сомнений необходимость расходов на требуемый уровень информационной безопасности компании, но вместе с этим появляется потребность количественного расчета для финансового обоснования инвестиций в корпоративную систему защиты информации. Давайте посмотрим, какие способы обоснования инвестиций в корпоративные системы защиты информации существуют и подтверждены практикой.
Метод ожидаемых потерь
Этот подход базируется на том, что вычисляются потери от нарушений политики безопасности, с которыми может столкнуться компания, и эти потери сравниваются с инвестициями в безопасность, направленными на предотвращение нарушений. Метод ожидаемых потерь основан на эмпирическом опыте организаций и сведениях о вторжениях, о потерях от вирусов, об отражении сервисных нападений и т. д. Например, нарушения безопасности коммерческих организаций приводят к следующим финансовым потерям:
• при ведении электронной коммерции – потери, связанные с простоем и выходом из строя сетевого оборудования;
• нанесение ущерба имиджу и репутации компании;
• оплата сверхурочной работы ИТ-персонала и/или оплата работ подрядчиков, которые занимались восстановлением корпоративной информационной системы;
• оплата консультаций внешних специалистов, которые осуществляли восстановление данных, выполняли ремонт и оказывали юридическую помощь;
• оплата ремонта физических повреждений от виртуальных атак;
• судебные издержки при подаче искового заявления о виртуальных преступлениях и нарушениях политики безопасности.
Чтобы «смягчить» ожидаемые потери, компания должна инвестировать средства в безопасность (сетевые экраны, системы обнаружения вторжений, чтобы предотвратить атаку, антивирусы для обнаружения различных форм вирусов). Если компания решает установить систему информационной безопасности, то ее стоимость обобщенно будет складываться из:
единовременных затрат:
– покупка лицензий антивирусного программного обеспечения, средств Firewall, средств AAA;
– приобретение аппаратных средств;
– возможно, оплата консультаций внешнего эксперта в области информационной безопасности;
периодических затрат:
– затраты на техническую поддержку и сопровождение;
– заработная плата ИТ-персонала;
– затраты на наем необходимых специалистов;
– затраты на исследование угроз нарушений политики безопасности.
Следует отметить, что нет совершенной системы информационной безопасности. Чтобы определить эффект от внедрения системы информационной безопасности, мы должны вычислить показатель ожидаемых потерь (Annualized Loss Expectancy, ALE). По оценкам экспертов, правильно установленная и настроенная система защиты дает 85 % эффективности в предупреждении или уменьшении потерь от нарушений политики безопасности. Следовательно, финансовая выгода обеспечивается ежегодной экономией средств компании, достигаемой при внедрении системы информационной безопасности:
AS = ALE × E – AC, где:
AS – ежегодные сбережения (Annual Saving),
ALE – показатель ожидаемых потерь (Annualized Loss Expectancy),
Е – эффективность системы защиты (около 85 %),
АС – ежегодные затраты на безопасность (Annual Cost).
Метод оценки свойств системы безопасности
Метод оценки свойств системы безопасности (Security Attribute Evaluation Method, SAEM) был разработан в Carnegie Melon University, он основан на сравнении различных архитектур систем информационной безопасности для получения стоимостных результатов оценки выгод от внедрения системы информационной безопасности. Методология SAEM заключается в том, чтобы, объединив вероятность события и ранжировав воздействие окружающей среды, предложить различные проекты по информационной безопасности с многовариантным влиянием окружающей среды на относительные затраты.
Недостатком метода является то, что чаще всего безопасность находится вне понимания менеджеров, занимающихся оценкой эффективности, а специалисты по информационной безопасности редко имеют точные данные относительно выгод, приносимых технологией, поэтому приходится полагаться на опыт и интуицию и на их основе принимать решения. Однако этот метод может быть использован для предоставления комплекса разнообразных мер по информационной безопасности и для поддержки принятия решения при выборе тех или иных мероприятий.
Анализ «дерева ошибок»
Нетрадиционным инструментом оценки выгод является метод анализа «дерева ошибок» (Fault Tree Analysis). Цель применения данного метода – показать, в чем заключаются причины нарушений политики безопасности, и какие сглаживающие контрмеры могут быть применены. «Дерево ошибок» – это графическое средство, которое позволяет свести всю систему возможных нарушений к логическим отношениям «и – или» компонентов этой системы. Если доступны данные по нормам отказа критических компонентов системы, то «дерево ошибок» позволяет определить ожидаемую вероятность отказа всей системы.
Применяя этот метод к системам информационной безопасности, мы можем построить «дерево» с причинно-следственными отношениями между атаками на систему и нарушениями системы. Использование контрмер по предотвращению нарушений позволяет уменьшить ответвления «дерева» и, таким образом, может быть определен эффект от внедрения системы информационной безопасности на сравнении «двух деревьев» с использованием контрмер и без.
Важно заметить, что этот метод базируется на двух связанных предположениях: во-первых, что компоненты системы разрушаются случайным образом согласно хорошо известной статистике, во-вторых, на самом нижнем уровне «дерева» составляющие отказа независимы друг от друга. Все-таки отказы программного обеспечения системы информационной безопасности неслучайны и, скорее всего, возникают из-за системных ошибок, что в большинстве случаев влияет на работу других частей системы. Об этом не следует забывать при применении данного метода к системе информационной безопасности.
В настоящее время метод еще недостаточно адаптирован к области информационной безопасности и требует дальнейшего изучения.
Выбор подходящего метода
Принципиальный недостаток приведенных выше методов в том, что они не дают количественной оценки стоимости и выгод от контрмер безопасности, кроме метода ожидаемых потерь, объединяющего выгоду от каждой контрмеры в единый количественный показатель «эффективности». А с точки зрения системы безопасности этот показатель интерпретируется как показатель пригодности всей системы защиты, который обычно указан в договоре с поставщиком системы защиты.
Поэтому на практике можно воспользоваться методом оценки целесообразности затрат на систему информационной безопасности. Такой выбор был обусловлен несколькими соображениями – это финансовая ориентированность метода и достаточно полная оценка стоимости различных мер по безопасности и выгод от внедрения. Для того чтобы привести пример оценки мер по обеспечению безопасности, воспользуемся упрощенным вариантом «дерева ошибок», так называемой таблицей оценки угроз и рисков (Threat and Risk Assessment – TRA). Использование TRA позволит показать, как на практике получить количественную оценку вероятности событий и возникновения последствий и в дальнейшем использовать эти данные для определения ожидаемых потерь без применения контрмер безопасности.
Методика Return on Investment for Security
Ранее мы определились с методами оценки экономической целесообразности затрат на систему информационной безопасности: расходную часть мы рассчитали с помощью программного продукта ТСО Manager и получили текущий и целевой показатели совокупной стоимости владения. Сейчас мы оценим доходную часть, объединяя метод ожидаемых потерь с таблицей оценки угроз и риска.
