Сегодня возврат от инвестиaций в информационные технологии стал темой повышенного интереса для топ-менеджмента многих российских компаний, причем особое внимание уделяется методам расчета возврата от инвестиций в безопасность.
Впервые термин Return on Investment for Security был введен в употребление специалистами в области информационной безопасности в начале 2002 года после публикации в CIO Magazine статьи «Finally, a Real Return on Security Spending».
Традиционно обоснование расходов на безопасность было в большинстве своем качественным или «стратегическим» и доказывало, что без инвестирования в корпоративную систему защиты информации компания упускает более «осязаемые» выгоды.
Сегодня предлагается целый ряд способов обоснования инвестиций, оправданных на практике.
Метод ожидаемых потерь
Вычисляются потери от нарушений политики безопасности, с которыми может столкнуться компания, и сравниваются с инвестициями в безопасность, направленными на предотвращение нарушений. Метод основан на эмпирическом опыте организаций и сведениях о вторжениях, потерях от вирусов, отражении сервисных нападений и т. д. Нарушения безопасности коммерческих организаций приводят к финансовым потерям, связанным с выходом из строя сетевого оборудования при ведении электронной коммерции. Кроме того, с оплатой сверхурочной работы ИТ-персонала и/или оплатой работ подрядчиков, занимавшихся восстановлением корпоративной информационной системы. В эту же статью расходов следует включить затраты на консультации внешних специалистов, восстановление данных, ремонт и юридическую помощь, судебные издержки при подаче искового заявления о виртуальных преступлениях и нарушениях политики безопасности. Вместе с тем необходимо помнить и о нанесении ущерба имиджу и репутации компании.
С целью «смягчить» ожидаемые потери, компании необходимо инвестировать средства в инструменты обеспечения безопасности: сетевые экраны, системы обнаружения вторжений, антивирусы и т. д. Стоимость системы информационной безопасности складывается из единовременных и периодических затрат. К единовременным относят затраты на покупку лицензий антивирусного программного обеспечения, инструментария Firewall, средств ААА, приобретение аппаратных средств, а также на оплату консультаций внешнего эксперта в области информационной безопасности. Периодические затраты включают стоимость технической поддержки и сопровождения, расходы на заработную плату ИТ-персонала, затраты на найм необходимых специалистов, а также на исследование угроз нарушений политики безопасности.
Следует отметить, что нет совершенной системы информационной безопасности. Для определения эффекта от ее внедрения необходимо вычислить среднегодовой показатель ожидаемых потерь (ALE — Annualized Loss Expectancy). По оценкам экспертов, результативность Е правильно установленной и настроенной системы защиты составляет около 85%. Следовательно, финансовая выгода обеспечивается ежегодными сбережениями (AS — Annual Saving), которые получает компания при внедрении системы информационной безопасности и рассчитывается по формуле
где AC (Annual Cost) — ежегодные затраты на безопасность.
Метод оценки свойств системы безопасности
Метод оценки свойств системы безопасности (Security Attribute Evaluation Method, SAEM) был разработан в Carnegie Melon University и основан на сравнении различных архитектур систем информационной безопасности для финансовой оценки выгод от их внедрения. Методология SAEM заключается в том, чтобы, оценив существующие риски, предложить различные проекты по информационной безопасности, различающиеся по стоимости и эффективности. Недостаток метода состоит в том, что чаще всего безопасность находится вне понимания менеджеров, занимающихся оценкой эффективности, а специалисты по информационной безопасности редко имеют точные данные относительно выгод, приносимых технологией, поэтому приходится полагаться на опыт и интуицию и на их основе принимать решения. Однако этот метод может быть использован для представления комплекса разнообразных мер по информационной безопасности и для поддержки принятия решения при выборе тех или иных мероприятий.
Анализ дерева ошибок
Нетрадиционным инструментом оценки выгод является метод анализа дерева ошибок (Fault Tree Analysis). Цель применения данного метода — показать, в чем заключаются причины нарушений политики безопасности, и какие сглаживающие контрмеры могут быть применены.
Контрмеры по обеспечению безопасности направлены на достижение следующих эффектов: уменьшение вероятности происхождения инцидента и/или уменьшение последствий, если инцидент все равно случается. Меры, снижающие вероятность, называются профилактическими, а меры, снижающие последствия, называются лечебными, например, наличие резервных режимов работы. К профилактическим мерам относят, в частности, аудит системы безопасности, установку сетевых экранов, систем обнаружения вторжений, антивирусов, средств шифрования, а также внедрение стандартов, процедур, должностных инструкций и формирование архивов. Планирование непрерывности бизнеса, а также восстановления бизнеса, обучение персонала являются как профилактическими мерами, так и лечебными.
Дерево ошибок — это графическое средство, которое позволяет свести всю систему возможных нарушений к логическим отношениям И-ИЛИ компонентов этой системы. Если доступны данные по нормам отказа критических компонентов системы, то дерево ошибок позволяет определить ожидаемую вероятность отказа всей системы.
Применяя этот метод к системам информационной безопасности, можно построить дерево с причинно-следственными отношениями между атаками на систему и нарушениями системы. Использование контрмер по предотвращению нарушений позволяет нейтрализовать атаки.
При этом может быть определен эффект от внедрения контрмер безопасности на основании сравнения структуры «двух деревьев» с использованием контрмер и без.
Этот метод базируется на двух связанных предположениях о том, что компоненты системы разрушаются случайным образом в соответствии с известными вероятностями разрушений, и на самом низком уровне дерева составляющие отказа независимы друг от друга. Однако отказы программного обеспечения системы информационной безопасности обычно неслучайны, возникают из-за системных ошибок, и это часто влияет на работу других ее частей. В настоящее время этот метод еще недостаточно адаптирован к области информационной безопасности и требует дальнейшего изучения.
Рекомендуемая методология
Принципиальный недостаток приведенных выше методов в том, что они не дают количественной оценки стоимости и выгод от контрмер безопасности, кроме метода ожидаемых потерь, который объединяет выгоду от каждой контрмеры в общий количественный показатель «результативности». С точки зрения системы безопасности, эта результативность интерпретируется, как показатель пригодности всей системы защиты, который обычно указан в договоре с ее поставщиком.
На практике можно воспользоваться методом, связанным с оценкой целесообразности затрат на систему информационной безопасности, что обусловлено его финансовой ориентированностью и достаточно полной оценкой стоимости различных мер по безопасности и выгод от внедрения. Метод основан на упрощенном варианте дерева ошибок, так называемой таблице оценки угроз и рисков (Threat and Risk Assessment, TRA). Ее использование позволяет на практике получить количественную оценку вероятностей неблагоприятных событий и их последствий, чтобы в дальнейшем использовать эти данные для определения ожидаемых потерь при отсутствии контрмер безопасности. Пример использования предлагаемой методики.
Прежде всего, следует построить таблицу TRA, определить категории частоты происшествий в год и на основе экспертных суждений сопоставить им числовые оценки в табл. 1.
Необходимо также ввести категории последствий от нарушения политики безопасности и каждой категории поставить в соответствие потери в случае ликвидации нарушений, которые определяются экспертным путем для каждой конкретной ситуации (табл. 2).
Показатель ALE рассчитывается на основании таблицы TRA (табл. 3), в которой сопоставляются уровень угроз, степень тяжести нарушения и частота событий, согласно формуле
где f — частота возникновения потенциальной угрозы, уровень которой определяется на основании вероятности (табл. 1); L — величина потерь в рублях, которая определяется на основании степени тяжести нарушения (табл. 2).
Потенциальные угрозы, указанные в таблице TRA, определены согласно рекомендациям эксперта в области информационной безопасности.
Следующим шагом обоснования инвестиций в систему информационной безопасности является проведение анализа возврата от инвестиций. Первоначально следует определить затраты на внедрение системы информационной безопасности.
Для того чтобы обеспечить должный уровень безопасности, требуется внедрить системы защиты шлюзов Internet, антивирусной защиты файловых серверов и рабочих станций, а также защиты корпоративной электронной почты. Все необходимые затраты включают в себя расходы на покупку лицензий, на проектные работы и техническую поддержку приложений. Период окупаемости инвестиционных ИТ-проектов принимается равным трем годам, поэтому период оценки эффективности данного проекта внедрения также составляет три года.
Обозначение показателей оценки:
Cвн - затраты на внедрение;
Cл - затраты на покупку лицензий;
C пр - затраты на проектные работы;
Ci - затраты на техническую поддержку;
TCOт - текущий показатель TCO из отчетов специализированного ПО;
TCOц - целевой показатель TCO из отчетов специализированного ПО;
TCOф - фактический показатель TCO;
B - выгоды при оптимизации показателя TCO;
CF - денежный поток;
r - ставка дисконтирования;
NPVз - чистая приведенная стоимость затрат на проект внедрения;
NPVд - чистая приведенная стоимость доходов от проекта внедрения.
Тогда затраты на внедрение системы защиты информации рассчитываются по формуле
выгоды от оптимизации текущего показателя TCO вычисляются по формуле
чистая приведенная стоимость затрат на проект внедрения и доходов от проекта внедрения рассчитываются по формуле
где в первом случае роль денежного потока играют затраты на внедрение, а во втором — выгоды от оптимизации показателя TCO и внедрения системы информационной безопасности.
Ставка дисконтирования равна ставке рефинансирования Центрального банка РФ.
Точка безубыточности проекта внедрения корпоративной системы информационной безопасности определяется как точка пересечения графиков накопленных затрат проекта внедрения и накопленного денежного потока (см. рис.), где по вертикальной оси отложены затраты на проект, и равна 1,6 лет.
Расчет точки безубыточности |
Таким образом, проект внедрения можно считать экономически выгодным, так как чистая приведенная стоимость доходов от проекта внедрения положительна и больше чистой приведенной стоимости затрат в 2,9 раза.
Выбор за вами
Представленные методы позволяют не только количественно обосновать расходы на создание системы управления информационной безопасностью, но и планировать, а также управлять бюджетами на защиту информации.
Сергей Петренко — эксперт по непрерывности бизнеса и защите информации группы компаний «АйТи», SPetrenko@it.ru
Елена Терехова — консультант группы компаний «АйТи», Eterehova@it.ru
Аргументы в пользу защиты информации
Обоснование расходов на информационную безопасность, как правило, включает в себя следующие утверждения:
- расходы на безопасность являются составляющей стоимости ведения бизнеса;
- расходы на безопасность родственны расходам на страхование;
- компания не может заниматься электронной коммерцией без обеспечения определенного уровня защиты электронных денежных потоков;
- безопасность - один из аспектов управления рисками;
- заказчик имеет право подать на компанию в суд, если она отказывается соблюдать минимальные стандарты безопасности (например, защищать конфиденциальную информацию о клиенте);
- нежелание вкладывать денежные средства в безопасность означает нежелание следовать общим тенденциям развития информационных технологий.