- •Тема 2. Виды обеспеченья системы информационной безопасности Лекция № 4
- •Содержание
- •Литература:
- •Введение
- •Первый учебный вопрос: Назначение структура и основные направления финансово-экономического обеспечения информационной безопасности хс
- •Второй учебный вопрос: Анализ и оценка эффективности затрат на информационную безопасность хс
- •Третий учебный вопрос: Оптимизация затрат на информационную безопасность хс
- •Уровень остаточного риска
- •Оптимальная величина затрат Sопт s
Второй учебный вопрос: Анализ и оценка эффективности затрат на информационную безопасность хс
Главным вопросом при внедрении СОИБ является оценка эффективности тех финансовых затрат, которые имеют место при решении этой задачи [2]. При этом целесообразно рассматривать внедрение СОИБ как конкретный инвестиционный проект, решение о реализации которого принимается руководством ХС, и для реализации которого выделяется некоторый инвестиционный бюджет.
Естественно, что финансовые работники, например финансовые директора, стремятся выразить ценность технологий защиты информации цифрами. Однако, при этом не учитывается природа технологии, которая затрудняет получение количественной оценки.
Сл. 6. Для оценки экономической эффективности инвестиций в СОИБ можно применить следующие модели:
- оценка совокупной стоимости владения информационными системами ТСО (Total Cost of Ownership,);
- оценка возврата инвестиций ROI (Return on Investment,);
- стандартные методы оценки экономической эффективности инвестиций, например, возврата инвестиций;
- отдача активов;
- цена акционера;
- оценка единовременных затрат на внедрение и закупку программных, программно-аппаратных и др. средств защиты информации.
Дадим краткую характеристику перечисленным моделям.
Сл. 7. Оценка совокупной стоимости владения СОИБ.
Концепция общей стоимости владения была выдвинута Gartner Group в конце 80-х годов. ТСО является ключевым показателем информационных технологий и информационных систем (ИС) в компании, так как позволяет оценивать совокупные затраты на ИТ, анализировать их и, соответственно, управлять ИТ-затратами для достижения наилучшей отдачи. Эти подходы могут быть применены и для анализа затрат на обеспечение информационной безопасности.
Общая стоимость владения как ИТ, так и СОИБ является одним из важнейших критериев при рассмотрении будущих проектов, так как определяет их экономическую обоснованность.
Основная цель подсчета этого показателя, кроме выявления избыточных статей расхода, заключается в том, чтобы оценить возможность возврата вложенных в информационные технологии и обеспечение информационной безопасности средств [2].
При этом самым доступным способом использования этой модели является сравнение ТСО своего предприятия (например, в пересчете на одного пользователя ИС) с ТСО других компаний аналогичного профиля. Часто оказывается достаточно трудно оценить прямой экономический эффект, то есть прибыль от внедрения средств защиты информации. Сравнение показателя ТСО позволяет менеджеру ИТ-безопасности доказать руководству ХС, что экономические показатели данного проекта не уступают средним показателям по аналогичным проектам в ХС родственной отрасли.
Такое сравнение делается, как правило, со средними по отрасли аналогичными компаниями и с так называемыми «лучшими в группе». Даже если прямой экономический эффект от внедрения технологий определен, его всегда надо сравнить с затратной частью, то есть с ТСО.
В основу модели ТСО положены две категории затрат:
- прямые (бюджетные);
- косвенные.
Прямые расходы на СОИБ могут включать в себя:
- капитальные затраты – технические, программно-аппаратные, программные и другие средства защиты;
- расходы на управление СОИБ;
- расходы на техническую поддержку инженерно-технических, программно-аппаратных, программных и других средств защиты;
- расходы на разработку средств защиты информации внутренними силами;
- расходы на аутсорсинговые мероприятия;
- командировочные расходы;
- расходы на услуги связи;
- также возможны и другие группы расходов.
По перечисленным группам прямых расходов определяют отдельные составляющие ТСО. Например, при определении капитальных затрат на различные типы средств защиты информации, затраты могут состоять из:
- расходов на приобретение нового оборудования и его замену;
- средства, вырученные от продажи или передачи оборудования;
- амортизацию оборудования;
- затраты на оборудование, которое не амортизируется (сетевое и коммуникационное);
- расходы на приобретение дополнительных устройств;
- расходы на замену оборудования;
- прочие расходы по оборудованию.
Необходимо отметить, что расходы по оборудованию являются наиболее простой группой для расчетов ТСО.
Аналогично рассматриваются и другие группы прямых расходов (программное обеспечение, техническая поддержка, управление и т. д.). Как правило, модель ТСО предполагает наличие до десяти таких групп, причем каждая из них имеет свою специфику расчетов.
Наиболее трудоемкую для расчетов группу составляют расходы на управление. Сюда входят, в том числе, расходы на проектирование, управление проектами, администрирование сетей, преодоление чрезвычайных ситуаций, настройки систем и подсистем, управление контрактами на закупку и управление поставками.
Косвенные расходы. Выделяют две группы источников возникновения косвенных расходов, связанных с внедрением и функционированием СОИБ ХС.
Природа первой кроется в том, что если СОИБ недостаточно качественно спроектирована (например, имеют место продолжительные остановки сервера, каналы связи не имеют заданной пропускной способности и др.), то это вызывает непроизводительное расходование времени у пользователей (перерывы в работе, простои) и даже потери в бизнесе компании. Как правило, косвенные расходы трудно определить напрямую. Однако их следует учитывать при проектировании систем и организации технической поддержки. При этом следует различать плановое и сверхнормативное время неработоспособности.
Вторая группа косвенных расходов заключается в организационной стороне функционирования СОИБ и состоит в том, что вследствие ненадлежащей поддержки со стороны сотрудников службы безопасности, ИТ-технологий конечные пользователи компании сами вынуждены заниматься вопросами восстановления работоспособности, самообучением и т. д., что также уменьшает производительное время работы.
Косвенные расходы находятся за рамками бюджетов на СОИБ, однако они могут играть существенную роль в оценке решения по проектам. При этом первая их группа, которую условно назовем «неработоспособность системы», может быть рассмотрена с использованием метода определения производственных потерь. Вторая группа – с условным названием «непроизводительные усилия конечного пользователя», определяется с помощью полевых и статистических исследований.
Показатель совокупной стоимости владения СОИБ рассчитывается по формуле [1]:
ТСО = Пр + Кр1 + Кр2, (4)
Где: Пр - прямые расходы;
Кр1 - косвенные расходы первой группы;
Кр2 - косвенные расходы второй группы.
Пр= Пр1+Пр2 +Пр3+Пр4+Пр5+Пр6+Пр7+Пр8, (5)
Где: Пр1 - капитальные затраты;
Пр2 - расходы на управление ИТ;
Пр3 - расходы на техническую поддержку АО и ПО;
Пр4 - расходы на разработку прикладного ПО внутренними силами;
Пр5 - расходы на аутсорсинг;
Пр6 - командировочные расходы;
Пр7 - расходы на услуги связи;
Пр8 - другие группы расходов.
ТСО необходимо не только рассчитывать при рассмотрении нового проекта, но и постоянно отслеживать в дальнейшем.
Общая стоимость владения СОИБ - это качественная ключевая характеристика, отображающая экономические аспекты состояния ИТ в компании вообще и показывающая эффективность их работы.
Сл. 8. Модель оценки возврата инвестиций.
Модель ROI принадлежит Gartner Group и рассчитывает коэффициент возврата инвестиций в инфраструктуру предприятия. Анализ этого показателя рассматривается как способ продемонстрировать необходимость вложения средств в создание и функционирование СОИБ.
Для оценки доходной части, как правило, сначала анализируют те направления бизнеса, те цели, которые нужно достичь путем внедрения проекта СОИБ, либо с появлением каких-либо новых технологий, изменяющих порядок функционирования системы. Для этого необходимо брать измеримые показатели бизнеса (сокращение операционных расходов, поддержка конкурентоспособного состояния, улучшение внутреннего контроля) и по ним делают оценки эффекта. При этом необходимо быть уверенным в том, что изменение этих показателей связано именно с функционированием СОИБ. Далее согласно методике рассчитывается коэффициент возврата инвестиций в инфраструктуру предприятия по следующей формуле:
ROI = Эф/И, (6)
Где: Эф – величина эффекта от внедрения СОИБ;
И - инвестиции в СОИБ.
По опыту зарубежных компаний можно сказать, что они используют показатель ТСО для обоснования расходной части бюджета, а показатель ROI – в качестве расчетной части.
Сл. 9. Стандартные методы оценки экономической эффективности инвестиций.
В этом случае вложения в СОИБ необходимо рассматривать не как затраты, а как инвестиции в основной бизнес. Соответственно, для оценки экономической эффективности используются те же инструменты и процедуры, что и в любом инвестиционном проекте.
Все стандартные методы оценки экономической эффективности инвестиций можно подразделить на:
- простые методы (метод расчета срока окупаемости инвестиций; метод расчета коэффициента эффективности инвестиций);
- методы дисконтирования (метод расчета чистой текущей стоимости; метод расчета индекса рентабельности инвестиций; метод расчета нормы доходности (рентабельности) инвестиций).
В настоящем учебном пособии данные методы, хорошо описанные в литературе, не рассматриваются.
Сл. 10. Метод оценки отдачи активов.
По прогнозам Gartner Group, актуальность такой модели будет в ближайшее время расти. При этом СОИБ должна рассматриваться в качестве активов предприятия, которые должны приносить определенную отдачу. Эффективность использования капитала оценивается исходя из ставки альтернативной доходности (например, функционирование СОИБ способствует повышению надежности предприятия, что дает большую отдачу, чем вложения в высокодоходные акции). Для этого рассчитывают коэффициент превышения ставки доходности СОИБ над ставкой альтернативной доходности по формуле:
К = Сдсоиб / Сдальт, (7)
Где: Сдсоиб - ставка доходности СОИБ;
Сдальт - ставка альтернативной доходности.
Сл. 11. Метод оценки «цены» акционера
Данный метод является перспективным для применения, что обусловлено тем, что в будущем стоимость акций ХС, а, следовательно, и привлечение новых акционеров будет определяться развитостью информационной инфраструктуры компании и степенью ее защищенности. Собственники будут оценивать инвестиции в информационную инфраструктуру как вложения в повышение капитализации своих компаний. Тогда актуальной станет оценка эффективности затрат в расчете на привлечение одного акционера и рост стоимости акций. В этих целях можно провести оценку эффективности инвестиций в СОИБ в расчете на привлечение одного акционера по формуле (8), [6]:
Эфакц = Эф / (Q1акц — Q0акц), (8)
Где: Эфакц - эффективность инвестиций в информационную инфраструктуру ХС в расчете на привлечение одного акционера;
Эф - эффект от внедрения СОИБ;
Q0акц - количество акционеров ХС до внедрения СОИБ;
Q1акц - количество акционеров после внедрения СОИБ.
А коэффициент роста стоимости акции по формуле [6]:
Какц = С1акц / С0акц, (9)
Где: Какц - коэффициент роста стоимости акции;
С0акц - стоимость акции до внедрения СОИБ;
С1акц - стоимость акции после внедрения СОИБ.
Сл. 12. Оценка единовременных затрат на закупку и внедрение инженерно-технических, программных, программно-аппаратных и др.средств защиты информации.
Необходимо сказать, что несмотря на развитие теоретических основ, часть которых показана в данном разделе учебного пособия, на усилия аналитиков, консультантов, большинство руководителей бизнеса и управленцев, особенно в России, до сих пор интересуются только явными или видимыми затратами, структура которых была раскрыта в настоящем разделе.
При этом, анализ данного вида затрат, а именно - стоимость предложения поставщика товаров или услуг, является основным мотивом для принятия решения о приобретении тех или иных средств защиты. С этой целью рассчитывают единовременные затраты на приобретение и внедрение средств защиты по формуле (10) с последующим решением задачи выбора, соответствующим минимуму затрат:
Зед=Звimin, (7)
Где: Зед - единовременные затраты на приобретение и внедрение средств защиты информации;
Звi - единовременные затраты на приобретение и внедрение средств защиты информации i-й группы.
При оценке экономической эффективности СОИБ необходимо, прежде всего задаться вопросом: Каким методом следует оценивать экономическую эффективность инвестиций в ИТ?
Сл. 13. Выбор методов такой оценки производится через определение уровня организационной зрелости ХС.
Для оценки организационной зрелости ХС используют модели, предложенные американской консалтинговой компанией Gartner Group и университетом Карнеги – Меллона [3]. Степень организационной зрелости ХС призвана определить уровень его развития в зависимости от степени использования целевого управления. Оба подхода близки между собой и отличаются только количеством градаций уровня организационной зрелости. Первая модель предполагает наличие четырех уровней (от 0 до 3), вторая – пяти (от 1 до 5).
Согласно данным Gartner Group в 2005 году процентное соотношение между компаниями различного уровня организационной зрелость составляет: 20% компаний – 0 уровня зрелости; 35% - 1 уровня; 30% - 2 уровня и 15% - 3 уровня зрелости.
Рассмотрим в качестве примера модель университета Карнеги – Меллона применительно к проблеме обеспечения информационной безопасности, а также к выбору методов оценки эффективности затрат на обеспечение ИБ.
Сл. 14. Уровень 1 - начальный (анархия). Его общие признаки:
- сотрудники сами определяют, что хорошо, а что плохо. Главную роль в успехе предприятия играют деловые качества лидера или группы единомышленников;
- затраты и качество не прогнозируются;
- отсутствуют формализованные планы;
- отсутствует контроль изменений;
- руководство плохо представляет реальное положение дел;
- нестабильность, нехватка времени, денег и сил.
На этом уровне получается искаженная картина рентабельности бизнеса. Приоритет отдается дешевизне технических и др. средств и простоте их использования.
Признаки в области обеспечения информационной безопасности:
- политика в области ИБ не формализована;
- руководство не занимается вопросами обеспечения ИБ;
- обеспечением ИБ могут заниматься сотрудники ХС по собственной инициативе и в соответствии со своим уровнем и пониманием задач.
- производится оценка единовременных затрат на закупку и внедрение инженерно-технических, программно-аппаратных и других средств защиты информации и, как правило, выбирается вариант, где они наименьшие.
Необходимо отметить, что проблемы начального этапа, описанные выше, характерны не только для малого бизнеса, но и для многих отечественных предприятий (металлургических, машиностроительных и др.), чья продукция после экономических преобразований 90-х годов ХХ в. оказалась невостребованной.
Сл. 15. Уровень 2 - повторяемый (фольклор). Отличается следующими характеристиками:
- выявлена определенная повторяемость организационных процессов;
- опыт организации представлен в виде так называемых «преданий корпоративной мифологии»;
- знания накапливаются в виде личного опыта сотрудников и пропадают при их увольнении.
- более устойчивый характер бизнеса, повторяемость основных бизнес-процессов и возможность реального управления ими;
- повышение актуальности задач контроля за движением материальных и денежных средств, поиска путей снижения издержек.
Признаки в области обеспечения ИБ:
- существует понимание задач по обеспечению ИБ;
- существуют (стихийно или эволюционно) сложившиеся процедуры защиты информации, полнота и эффективность которых не анализируется;
- руководством не ставится задача формализации процедур защиты информации;
- основная движущая сила – инициатива и личностные качества сотрудников, вовлеченных в процессы обеспечения ИБ;
- проводится оценка единовременных затрат на приобретение средств защиты и их внедрение с учетом прошлого опыта.
Сл. 16. Уровень 3 - определенный (стандартный). Его признаки:
- положения так называемой «корпоративной мифологии» оформлены в виде документов;
- основные производственные процессы повторяемы и перестают быть зависимыми от личных качеств исполнителей;
- информация о процессах для оценки эффективности не собирается;
- наличие формализованного описания процессов не гарантирует их действенность.
- акценты постепенно смещаются из области учетной политики в область аналитики;
- начинает развиваться управление корпоративными знаниями;
- стратегическое планирование отсутствует;
- анализ базируется в основном на показателях предшествующего периода.
Признаки в области обеспечения ИБ:
- руководство осознает задачи обеспечения ИБ;
- существует документация, относящаяся к политике ИБ;
- появляется интерес к использованию стандартов при решении задач обеспечения ИБ;
- различные средства защиты информации используются системно в виде функционирующей СОИБ;
- осознается задача управления режимом ИБ на всех стадиях функционирования ИС ХС.
- при выборе средств защиты информации уже не просто оценивают, а производят глубокий анализ единовременных затрат на закупку и внедрение инженерно-технических, программных, программно-аппаратных и др. средств.
Сл. 17. Уровень 4 — управляемый (измеряемый). Для него характерны такие общие признаки:
- все процессы измеряемы и стандартизированы;
- затраты и качество прогнозируются;
- есть постоянные и надежные клиенты;
- стратегические планы количественно измеримы;
- начинается формирование внутрифирменных стандартов контроля и количественного измерения качества не столько самой продукции, сколько всех процессов - от производства до сбыта;
- управленческие решения принимаются не интуитивно, а на основе явных знаний, которыми обладает компания;
- стратегические и оперативные планы взаимосвязаны, обратная связь обеспечивает эффективное согласование между уровнями управления.
Признаки в области обеспечения ИБ:
- функционирование СОИБ ХС и контроль на всех этапах жизненного цикла;
- имеется полный комплект документов по обеспечению режима ИБ, оформленных на основе требований стандартов;
- осуществляется контроль за выполнением требований инструкций по обеспечению режима ИБ;
- регулярно проводится внутренний (возможно, и внешний) аудит в области ИБ;
- руководство имеет реальное представление относительно существующих угроз и уязвимостей, а также последствий возможных инцидентов;
- экономическую эффективность затрат на этом уровне оценивают с помощью методов оценки совокупной стоимости владения СОИБ (ТСО) и оценка возврата инвестиций (ROI).
Сл. 18. Уровень 5 - оптимизируемый. Его общие признаки:
- повторяемость и измеримость всех процессов;
- сохранение информация о функционировании всех процессов;
- направленность стратегии на достижение и сохранение технологического, организационного и финансового преимущества;
- формализация бизнес-процессов и рыночных перспектив позволяет не только оценить эффективность планирования, но и оптимизировать пути достижения целей;
- функции контроля, который ранее был нацелен на фиксирование и оценку уже свершившихся факторов в деятельности предприятия, претерпевают изменения и проводится по следующим направлениям: контроль целей (правильность постановки целей, их непротиворечивость, адекватное отражение количественными критериями качественных целей предприятия); контроль прогнозов, их реальность, обоснованность, информативность; контроль ограничений, выражающийся в оценке влияния внешних и внутренних условий на достижение ХС поставленных целей; контроль планов с оценкой их оптимальности с точки зрения достижения целей; бюджетный контроль.
Признаки в области обеспечения ИБ:
- заинтересованность руководства в количественной оценке рисков информационной безопасности;
- определение остаточных уровней рисков ИБ;
- ставится задача оптимизации СОИБ ХС на основе критериев – эффективность – стоимость, минимальной достаточности и др.;
- для оценки экономической эффективности затрат на функционирование, модернизацию СОИБ используют методы: отдачи активов, цены акционера, анализа совокупной стоимости владения и анализ возврата инвестиций.