Третий учебный вопрос: Оптимизация затрат на информационную безопасность хс

Сл. 19. Под оптимизацией понимается процесс определения такого состояния исследуемой системы, при котором обеспечивается достижение экстремального (минимального или максимального) значения одним или несколькими показателями ее функционирования (функции цели).

Не стоит забывать, что наиболее простым и доступным способом оптимизации затрат на обеспечение ИБ является сравнение затрат своего предприятия на эти нужды с предприятиями, близкими по профилю и масштабам и представляющимися наиболее успешными в отрасли.

Приведем сложившуюся в развитых странах мира практику по уровню затрат на обеспечение ИБ. Принято считать, что большинство ХС в США, Великобритании, Франции и Японии считают, что необходимые затраты на защиту информации могут составлять от 15 од 20% их прибыли [4]. Однако лишь немногим более половины зарубежных предпринимателей анализируют возможные риски и убытки от потерь информации. В России такой статистики с настоящее время выявить не удалось, но по оценкам специалистов наши показатель еще ниже.

Вместе с тем, по оценкам отечественных и зарубежных специалистов, наличие на предприятии СОИБ существенно снижает вероятность совершения компьютерных преступлений как минимум вдвое. Наоборот, в случае полного рассекречивания своей информационной системы из числа компаний средних размеров 20% просуществуют всего несколько часов, 48% - несколько дней, оставшиеся 32% - от нескольких часов до нескольких дней. Вывод из строя информационной системы в результате возникновения нештатной технической ситуации или преступления способен привести даже самый крупный банк к полному разорению за 4 суток, а более мелкие финансовые учреждения – за сутки.

Сл. 20. Очевидно, что кроме моральных и юридических потерь, которые несут коммерческие и в первую очередь финансовые организации от информационных преступлений, прослеживается прямая связь между уровнем оснащенности, профессиональной подготовкой и организацией функционирования СОИБ и персонала, участвующего в этой деятельности и возможными прямыми потерями прибыли предприятий. В табл.1 показан анализ затрат зарубежных коммерческих финансовых организаций на функционирование СОИБ. На рис.2 показана графическая интерпретация анализа затрат.

Таблица 1

Затраты коммерческих финансовых организаций на функционирование СОИБ [4]

Доля затрачиваемой прибыли		Количество организаций
X	Xсред	Все организации, %	Крупные банки, %	Средние банки, %	Мелкие банки, %	Страховые компании, %	Инвестиционные фонды, %
0,0	0,05	56,68	27,39	50,00	59,47	67,51	78,37
0,1	0,15	33,36	53,04	41,59	33,33	20,22	20,19
0,2	0,25	9,46	18,26	7,52	7,2	12,27	0,96
0,3	0,35	0,50	1,30	0,88	0,00	0,00	0,48
0,4 – 1,0	0,45 -0,95	0,00	0,00	0,00	0,00	0,00	0,00
Сумма		100%	100%	100%	100%	100%	100%
Матем. ожидание		10,38%	14,35%	10,93%	9,77%	9,48%	7,36%

Рис.2. Гистограмма затрат коммерческих финансовых организации на ИБ

Статистический анализ и результаты обработки данных, полученных при исследовании деятельности значительной части российских коммерческих финансовых организаций на предмет анализа обеспечения безопасности информации и эффективности функционирования соответствующих подразделений, свидетельствуют о следующем. Затраты на создание и содержание СОИБ, осуществляющих защиту информационных ресурсов от всех видов утечки информации и предотвращение несанкционированного доступа к ней варьируются в достаточно широких пределах. Однако по сравнению с зарубежными финансовыми организациями они по-прежнему остаются на весьма низком уровне.

Рис.3. Гистограмма затрат на ИБ для всех видов финансовых организаций

Сл. 21. В частности, обработка результатов анализа показала, что средние затраты на содержание СОИБ составляют для всех организаций 10,38%, причем до 24% (каждая четвертая) организаций не имеют собственных подразделений IT-безопасности (рис.3), в том числе:

- для крупных банков затраты составляют 14,35% прибыли, собственных подразделений IT-безопасности не имеют 8,3% банков (рис.4,а);

- для средних банков затраты составляют 10,93% прибыли, собственных подразделений IT-безопасности не имеют 15,5% банков (рис.4,б);

- для мелких банков затраты составляют 9,77% прибыли, собственных подразделений IT-безопасности не имеют 23,1% банков (рис.4,в);

- для страховых компаний затраты составляют 9,48% прибыли, собственных подразделений IT-безопасности не имеют 34,3% организаций (рис.4,г);

- для инвестиционных фондов затраты составляют 7,36% прибыли, собственных подразделений IT-безопасности не имеют 37,5% организаций (рис.4,д).

а) б)

в) г)

д)

Рис.4. Гистограмма затрат на ИБ для отдельных видов финансовых организаций

Из анализа гистограмм (рис.4,а-д) можно сделать весьма поучительный вывод о том, что большинство исследованных финансовых организаций следуют единственной логике – выделение некоторого минимума средств на обеспечение ИБ (рис.4,в-д). Средние банки занимают промежуточную позицию между минимальными и некоторыми средними затратами (рис.4,б). Исключение из этого общего правила составляют крупные банки, руководство которых склонно к некоторому среднему уровню затрат на обеспечение своей ИБ (рис.4,а).

Можно выделить три ситуации, при которых происходит определение целесообразности решения задач по оптимизации затрат на обеспечение информационной безопасности:

- неограниченные возможности ХС по затратам на ИБ;

- существующая ограниченность в возможностях ХС по затратам на ИБ;

- практическое отсутствие возможностей ХС по затратам на ИБ.

При этом очевидным является то, что ХС с возможностями, указанными в первой и третьей ситуациях, в настоящее время не характерны. Это определяется тем, что ХС в первой ситуации оказываются крайне редко, так как ни один руководитель не допустит бесконтрольного расходования средств. Можно отметить, что наиболее близкими к данной ситуации являются ХС, относящиеся к крупному банковскому бизнесу. ХС, находящийся в третьей ситуации или обречен на прекращение своей деятельности вследствие полной незащищенности своих информационных ресурсов, или имеющиеся в распоряжении ХС информационные ресурсы незначительны и не представляют интереса.

Затраты ХС на разработку проекта СОИБ, приобретение необходимых элементов защиты и эксплуатацию системы можно рассматривать в качестве частично материализованного экономического ущерба. Идя на эти расходы, руководство ХС надеется избежать большего ущерба, связанного с возможным нарушением режима ИБ.

При этом возникает проблема, как поступить?: или понести расходы, тем самым нанеся себе некоторый материальный ущерб за получаемую взамен возможность уклонения от большего ущерба, хотя и с определенной долей вероятности или допустить возможность ущерба в полной мере, не тратя ничего.

Обоснованное решение состоит в определении оптимального размера затрат на СОИБ, обеспечивающих минимальные финансовые потери ХС при несанкционированных действиях с его информационными ресурсами.

Перед руководством ХС стоит задача создания оптимальной, с экономической точки зрения, СОИБ. Эта задача не так характерна для государственных организаций, однако весьма актуальна для хозяйственно самостоятельных субъектов, ориентированных на деятельность в рыночных условиях.

Необходимо иметь в виду, что ущерб от утраты защищаемой информации или от разного рода несанкционированных действий с ней может быть гораздо меньше стоимости средств защиты информации (СЗИ). Поэтому уровень финансовых средств, выделяемых на создание и эксплуатацию СЗИ, должен быть сбалансированным и соответствовать характеру и масштабу угроз.

Если стоимость СЗИ по сравнению с предполагаемым ущербом мала, то основным фактором риска для ХС являются экономические потери от несанкционированных действий с принадлежащими ему информационными ресурсами. В противоположной ситуации основные потери связаны с чрезмерно высокой стоимостью СЗИ. Отметим, что затраты на СЗИ носят детерминированный характер, поскольку они уже материализованы в конкретные меры, способы и средства защиты, а ущерб, который может быть нанесен при несанкционированных действиях является величиной случайной.

Данный качественный анализ позволяет предполагать, что существует область экономически оптимальных затрат на СОИБ ХС, обеспечивающих некоторый наименьший остаточный риск информационной безопасности.

Сл. 22. Основные подходы к оптимизации затрат на обеспечение ИБ ХС покажем с использованием методов математического моделирования [5].

Параметрами модели оптимизации затрат являются следующие:

- риск информационной безопасности, R;

- стоимость средств защиты информационных ресурсов ХС (СОИБ), S;

- вероятность нанесения ХС ущерба вследствие наличия уязвимостей СОИБ, P;

- размер возникающего ущерба, U.

Представим качественно зависимость величины информационного риска от затрат на обеспечение ИБ. Эта зависимость показана на рис.5.

Отношение δR/δS, назовем градиентом информационной безопасности. Его величина показывает степень снижения риска информационной безопасности на единицу стоимости средств защиты информационных ресурсов ХС.

Из рис.5 видно, что кривая зависимости имеет три области:

- когда δR/δS < 0, имеем область снижения величины риска информационной безопасности при увеличении затрат на обеспечение информационной безопасности ХС. Причем данная часть кривой будет достаточно крутой, так как в начальные даже незначительные затраты (например на организационные мероприятия) приводят к значительному эффекту;

- когда δR/δS = 0, - точка оптимального соотношения между величиной риска информационной безопасности и затратами ХС на обеспечение информационной безопасности;

- когда δR/δS> 0, - область неоправданного расходования материальных средств ХС, при котором дальнейшее увеличение затрат на обеспечение информационной безопасности не приводит к снижению величины риска информационной безопасности. Данная часть кривой будет достаточно пологой, так как предполагается, что руководство ХС не теряет контроля за расходованием денежных средств.

R