№1 январь-февраль 2005 г. Тема номера: ЭКОНОМИЧЕСКИ ОПРАВДАННАЯ БЕЗОПАСНОСТЬ
		ОБОСНОВАНИЕ ИНВЕСТИЦИЙ В БЕЗОПАСНОСТЬ С. А. Петренко, д. т. н., Е. М. Терехова

Впервые термин Return on Investment for Security (ROSI) был введен в употребление специалистами в области IT-security после публикации в начале 2002 года статьи в журнале CIO Magazine «Finally, a Real Return on Security Spending». Примерно в это же время вышло несколько публицистических статей, посвященных количественным методам оценки затрат на безопасность. Сегодня тема возврата инвестиций (Return on Investment – ROI) в информационные технологии стала темой повышенного интереса для топ-менеджмента многих российских компаний. При этом особое внимание уделяется методам расчета возврата инвестиций в безопасность (Return on Investment for Security – ROSI).

Традиционно обоснования расходов на безопасность были в большинстве своем качественными или «стратегическими», которые доказывали, что без инвестирования в корпоративную систему защиты информации компания упускает более «осязаемые» выгоды. Обоснование расходов на информационную безопасность включало в себя следующие утверждения:

• расходы на безопасность являются составляющей стоимости ведения бизнеса;
• расходы на безопасность родственны расходам на страхование;
• компания не может заниматься электронной коммерцией без обеспечения определенного уровня защиты электронных денежных потоков;
• безопасность является одним из аспектов управления рисками;
• заказчик имеет право подать на компанию в суд, если она отказывается соблюдать минимальные стандарты безопасности (например, защищать конфиденциальную информацию о клиенте);
• нежелание вкладывать денежные средства в безопасность – означает нежелание следовать общим тенденциям развития информационных технологий.

После приведения подобных доводов мало у кого возникнут сомнения относительно необходимости понести некоторые расходы на обеспечение информационной безопасности компании, но вместе с этим появляется необходимость количественного расчета для финансового обоснования инвестиций в корпоративную систему защиты информации. Давайте посмотрим, какие способы обоснования инвестиций в корпоративные системы защиты информации существуют и оправданны на практике.

Метод ожидаемых потерь

Этот подход базируется на вычислении потерь от нарушений политики безопасности, с которыми может столкнуться компания, и их сравнении с инвестициями в безопасность, направленными на предотвращение нарушений. Метод ожидаемых потерь основан на эмпирическом опыте организаций и сведений о вторжениях, о потерях от вирусов, об отражении сервисных нападений и т. д. Например, нарушения безопасности коммерческих организаций приводят к следующим финансовым потерям:

• при ведении электронной коммерции потери, связанные с простоем и выходом из строя сетевого оборудования;
• нанесение ущерба имиджу и репутации компании;
• оплата сверхурочной работы ИТ-персонала и/или оплата работ подрядчикам, которые занимались восстановлением корпоративной информационной системы;
• оплата консультаций внешних специалистов, которые осуществляли восстановление данных, выполняли ремонт и оказывали юридическую помощь;
• оплата ремонта физических повреждений от виртуальных атак;
• судебные издержки при подаче искового заявления о виртуальных преступлениях и нарушениях политики безопасности.

Чтобы «смягчить» ожидаемые потери, компания должна инвестировать средства в безопасность: сетевые экраны, системы обнаружения вторжений, антивирусы. Если компания решает установить систему информационной безопасности, то ее стоимость обобщенно будет складываться из единовременных и периодических затрат.

• Единовременные затраты:
• покупка лицензий антивирусного программного обеспечения, средств firewall, средств ААА;
• приобретение аппаратных средств;
• возможно, оплата консультаций внешнего эксперта в области информационной безопасности.
• Периодические затраты:
• техническая поддержка и сопровождение;
• заработная плата ИТ-персонала;
• затраты на найм необходимых специалистов;
• затраты на исследование угроз нарушений политики безопасности.

Следует отметить, что не существует совершенной системы информационной безопасности. Чтобы определить эффект от внедрения системы ИБ, мы должны вычислить показатель ожидаемых потерь (Annualised Loss Expectancy – ALE). По оценкам экспертов, эффективность правильно установленной и настроенной системы защиты в предупреждении или уменьшении потерь от нарушений политики безопасности может достигать 85%. Следовательно, финансовая выгода обеспечивается ежегодными сбережениями, которые получает компания при внедрении системы ИБ.

AS=ALE x E–AC,      (1)

где:

AS – ежегодные сбережения (Annual Saving);

ALE – показатель ожидаемых потерь (Annualised Loss Expectancy);

E – эффективность системы защиты (около 85 %);

AC – ежегодные затраты на безопасность (Annual Cost).

Метод оценки свойств системы безопасности

Метод оценки свойств системы безопасности (Security Attribute Evaluation Method – SAEM) был разработан в Carnegie Melon University и основан на сравнении различных архитектур систем информационной безопасности для получения стоимостных результатов оценки выгод от внедрения системы ИБ. Методология SAEM заключается в том, чтобы, объединив вероятность события и ранжировав воздействие окружающей среды, предложить различные проекты по информационной безопасности с многовариантным влиянием окружающей среды на относительные затраты.

Недостатком метода является то, что чаще всего безопасность находится вне понимания менеджеров, занимающихся оценкой эффективности, а специалисты по информационной безопасности редко имеют точные данные относительно выгод, приносимых технологией, поэтому приходится полагаться на опыт, интуицию и на их основе принимать решения. Однако этот метод может быть использован для представления комплекса разнообразных мер по информационной безопасности и для поддержки принятия решения при выборе тех или иных мероприятий.

Анализ дерева ошибок

Нетрадиционным инструментом оценки выгод является метод анализа дерева ошибок (Fault Tree Analysis). Цель применения данного метода – показать, в чем заключаются причины нарушений политики безопасности и какие сглаживающие контрмеры могут быть применены. Дерево ошибок – это графическое средство, которое позволяет свести всю систему возможных нарушений к логическим отношениям «и»/«или» компонентов этой системы. Если доступны данные по нормам отказа критических компонентов системы, то дерево ошибок позволяет определить ожидаемую вероятность отказа всей системы.

Применяя этот метод к системам информационной безопасности, мы можем произвести дерево с причинно-следственными отношениями между атаками на систему и нарушениями системы. Использование контрмер по предотвращению нарушений позволяет уменьшить ответвления дерева и, таким образом, определить эффект от внедрения системы ИБ на сравнении «двух деревьев» с использованием контрмер и без.

Важно заметить, что этот метод базируется на двух связанных предположениях: во-первых, что компоненты системы разрушаются случайным образом согласно хорошо известной статистике, во-вторых, на самом низком уровне дерева составляющие отказа независимы друг от друга. Все-таки отказы программного обеспечения системы ИБ неслучайны и, скорее всего, возникают из-за системных ошибок, и это в большинстве своем влияет на работу других частей системы. Об этом не следует забывать при применении данного метода к системе информационной безопасности.

В настоящее время этот метод еще недостаточно адаптирован к области информационной безопасности и требует дальнейшего изучения.

Выбор подходящего метода

Принципиальный недостаток приведенных выше методов в том, что все они не дают количественной оценки стоимости и выгод от контрмер безопасности, кроме метода ожидаемых потерь, который объединяет выгоду от каждой контрмеры в единый количественный показатель «эффективности». А с точки зрения системы безопасности, этот показатель интерпретируется как показатель пригодности всей системы защиты, который обычно указан в договоре с поставщиком системы защиты.

Поэтому на практике можно воспользоваться методом оценки целесообразности затрат на систему ИБ. Такой выбор был обусловлен несколькими соображениями – финансовой ориентированностью метода и достаточно полной оценкой стоимости различных мер безопасности и выгод от их внедрения. Для того чтобы привести пример оценки мер по обеспечению безопасности, воспользуемся упрощенным вариантом дерева ошибок, так называемой таблицей оценки угроз и рисков (Threat and Risk Assessment – TRA). Использование TRA позволит показать, как на практике получить количественную оценку вероятности событий и возникновения последствий и в дальнейшем использовать эти данные для определения ожидаемых потерь без применения контрмер безопасности.

Методика Return on Investment for Security

В предыдущей статье («Оценка затрат на защиту информации») мы определились с методами оценки экономической целесообразности затрат на систему информационной безопасности: расходную часть мы определили с помощью программного продукта «TCO Manager» и получили текущий и целевой показатели совокупной стоимости владения. Сейчас мы оценим доходную часть, объединяя метод ожидаемых потерь с таблицей оценки угроз и риска.

< ... >

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24

Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru