Экономическое обоснование эффективности предложенных методов

4Экономическое обоснование эффективности предложенных методов

Возможности методики CCB

Методика совокупной стоимости владения (ССВ) была изначально предложена аналитической компанией Gartner Group в конце 80-х годов (1986-1987) для  оценки затрат на информационные технологии. Методика Gartner Group позволяет рассчитать всю расходную часть информационных активов компании, включая прямые и косвенные затраты на аппаратно-программные средства, организационные мероприятия, обучение и повышение квалификации сотрудников компании, реорганизацию, реструктуризацию бизнеса и т. д.

Данная методика может  быть использована для доказательства экономической эффективности существующих корпоративных систем защиты информации. Она позволяет руководителям  служб информационной безопасности обосновывать бюджет на ИБ, а также доказывать эффективность работы сотрудников службы ИБ. Поскольку оценка экономической эффективности корпоративной системы защиты информации становится "измеримой", появляется возможность оперативно решать задачи контроля и коррекции показателей экономической эффективности и, в частности, показателя ССВ. Таким образом, показатель ССВ можно использовать как инструмент для оптимизации расходов на обеспечение требуемого уровня защищенности КИС и обоснование бюджета на ИБ. При этом в компании эти работы могут выполняться самостоятельно, с привлечением системных интеграторов в области защиты информации или совместно предприятием и интегратором.

В целом методика ССВ  компании Gartner Group позволяет:

• Получить адекватную информацию об уровне защищенности распределенной вычислительной среды и совокупной стоимости владения корпоративной системы защиты информации.
• Сравнить подразделения службы ИБ компании, как между собой, так и с аналогичными подразделениями других предприятий в данной отрасли.
• Оптимизировать инвестиции на ИБ компании с учетом реального значения показателя ССВ.

Показатель ССВ может  использоваться практически на всех основных этапах жизненного цикла корпоративной  системы защиты информации и позволяет "навести порядок" в существующих и планируемых затратах на ИБ. С этой точки зрения показатель ССВ дает возможность объективно и независимо обосновать экономическую целесообразность внедрения и использования конкретных организационных и технических мер и средств защиты информации. Для объективности решения также необходимо дополнительно учитывать состояние внешней и внутренней среды предприятия, например, показатели технологического, кадрового и финансового развития предприятия, так как не всегда наименьший показатель ССВ корпоративной системы защиты информации может быть оптимален для компании.

Сравнение определенного  показателя ССВ с аналогичными показателями ССВ по отрасли (с аналогичными компаниями) и с "лучшими в группе" позволяет  объективно и независимо обосновать затраты компании на ИБ. Ведь часто оказывается довольно трудно или даже практически невозможно оценить прямой экономический эффект от затрат на ИБ. Сравнение же "родственных" показателей ССВ позволяет убедиться в том, что проект создания или реорганизации корпоративной системы защиты информации компании является оптимальным по сравнению с некоторым среднестатистическим проектом в области защиты информации по отрасли. Указанные сравнения можно проводить, используя усредненные показатели ССВ по отрасли, рассчитанные экспертами Gartner Group или собственными экспертами компании с помощью методов математической статистики и обработки наблюдений.

Методика ССВ Gartner Group позволяет ответить на следующие  вопросы:

• Какие ресурсы и денежные средства расходуются на ИБ?
• Оптимальны ли затраты на ИБ для бизнеса компании?
• Насколько эффективна работа службы ИБ компании по сравнению с другими?
• Как эффективно управлять инвестированием в защиту информации?
• Какие выбрать направления развития корпоративной системы защиты информации?
• Как обосновать бюджет компании на ИБ?
• Как доказать эффективность существующей корпоративной системы защиты информации и службы ИБ компании в целом?
• Какова оптимальная структура службы ИБ компании?
• Как оценить эффективность нового проекта в области защиты информации?

Основные  положения методики

Гарантированная защищённость информации в АС от НСД обеспечивается комплексом мер на всех этапах жизненного цикла ИС, совокупная стоимость владения для системы ИБ в общем случае складывается из стоимости:

• Проектных работ;
• Закупки и настройки программно-технических средств защиты, включающих следующие основные группы: межсетевые экраны, средства криптографии, антивирусы и AAA (средства аутентификации, авторизации и администрирования);
• Затрат на обеспечение физической безопасности;
• Обучения персонала;
• Управления и поддержки системы (администрирование безопасности);
• Аудита ИБ;
• Периодической модернизации системы гарантированной защищённостью информации в АС от НСД.

Под показателем ССВ  понимается сумма прямых и косвенных затрат на организацию (реорганизацию), эксплуатацию и сопровождение корпоративной системы защиты информации в течении года. ССВ может рассматриваться как ключевой количественный показатель эффективности организации ИБ в компании, так как позволяет не только оценить совокупные затраты, но управлять этими затратами для достижения требуемого уровня защищенности АС от НСД. При этом прямые затраты включают как капитальные компоненты затрат (ассоциируемые с фиксированными активами или "собственностью"), так и трудозатраты, которые учитываются в категориях операций и административного управления. Сюда же относят затраты на услуги удаленных пользователей и др., связанные с поддержкой деятельности организации.

В свою очередь косвенные  затраты отражают влияние КИС и подсистемы защиты информации на сотрудников компании посредством таких измеримых показателей как простои и "зависания" корпоративной системы защиты информации и КИС в целом, затраты на операции и поддержку (не относящиеся к прямым затратам). Очень часто косвенные затраты играют значительную роль, так как они обычно изначально не отражаются в бюджете на ИБ, а выявляются явно при анализе затрат в последствии, что в конечном счете приводит к росту "скрытых" затрат компании на ИБ.

Существенно, что ССВ не только отражает "стоимость владения" отдельных элементов и связей корпоративной системы защиты информации в течение их жизненного цикла.

Подход к оценке ССВ  базируется на результатах аудита структуры  и поведения корпоративной системы  защиты информации и КИС в целом, включая действия сотрудников служб автоматизации, информационной безопасности и просто пользователей КИС. Сбор и анализ статистики по структуре прямых (HW/SW, операции, административное управление) и косвенных затрат (на конечных пользователей и простои) проводится, как правило, в течение 12 месяцев. Полученные данные оцениваются по ряду критериев с учетом сравнения с аналогичными компаниями по отрасли.

Методика ССВ позволяет  оценить и сравнить состояние  защищенности КИС компании с типовым профилем защиты, в том числе показать узкие места в организации защиты, на которые следует обратить внимание. Иными словами, на основе полученных данных можно сформировать понятную с экономической точки зрения стратегию и тактику развития корпоративной системы защиты информации, а именно: "сейчас мы тратим на гарантированная защищённость информации в АС от НСД столько-то, если будем тратить столько-то по конкретным направлениям ИБ, то получим такой-то эффект".

Итак, в методике ССВ  в качестве базы для сравнения используются следующие данные и показатели:

• стоимость основных компонентов системы защиты информации, информационных активов с учетом данных по количеству и типам средств вычислительной техники, периферии и сетевого оборудования;
• конечные пользователи АС c учетом типов пользователей и их размещения (для каждого типа пользователей требуется различная организация службы поддержки и вычислительной инфраструктуры);
• использование методов "лучшей практики" в области управления гарантированной защищённостью информации в АС от НСД с учетом реального состояния дел по управлению изменениями, операциями, активами, сервисному обслуживанию, обучению, планированию и управлению процессами;
• уровень сложности используемой методики контроля целостности каналов и ее интеграции в производственный процесс организации (процент влияния — до 40%).
• В целом определение затрат компании на гарантированную защищенность АС от НСД подразумевает решение следующих трех задач:
• оценка текущего уровня ССВ корпоративной системы защиты информации и КИС в целом;
• аудит ИБ на основе сравнения уровня защищенности компании и рекомендуемого (лучшая мировая практика) уровня ССВ;
• формирование целевой модели ССВ.

Оценка текущего уровня ССВ

В ходе работ по оценке ССВ проводится сбор информации и расчет показателей ССВ организации по следующим направлениям:

• существующие компоненты КИС (включая систему защиты информации) и информационные активы компании (серверы, клиентские компьютеры, периферийные устройства, сетевые устройства);
• существующие расходы на аппаратные и программные средства защиты информации (расходные материалы, амортизация);
• существующие расходы на организацию ИБ (обслуживание СЗИ и СКЗИ, а также штатных средств защиты периферийных устройств, серверов, сетевых устройств, планирование и управление процессами защиты информации, разработку концепции и политики безопасности и пр.);
• существующие расходы на организационные меры защиты информации;
• существующие косвенные расходы на организацию ИБ в компании и, в частности, обеспечение непрерывности или устойчивости бизнеса компании.

Аудит ИБ

По результатам проведения инструментальных проверок уровня защищенности организации проводится анализ следующих  основных аспектов:

• политики безопасности;
• организационных вопросов управления подсистемой безопасности;
• классификации и управления информационными ресурсами;
• физической безопасности;
• администрирования компьютерных систем и сетей;
• управления доступом к системам;
• разработки и сопровождения систем;
• планирования бесперебойной работы АС;
• проверки системы на соответствие требованиям ИБ.

На основе проведенного анализа выбирается модель ССВ, сравнимая  со средними и оптимальными значениями.

Сравнение текущего показателя ССВ с модельным значением  показателя ССВ позволяет провести анализ эффективности защищенности АС от НСД, результатом которого является определение "узких" мест в ИС, причин их появления и выработка дальнейших шагов по реорганизации системы защиты информации и обеспечения требуемого уровня защищенности АС.

Формирование целевой модели ССВ

По результатам проведенного аудита моделируется целевая (желаемая) модель, учитывающая перспективы  развития системы защиты информации (активы, сложность, методы "лучшей практики", типы СЗИ и СКЗИ, квалификация сотрудников  компании и т. п.).

Кроме того, рассматриваются  капитальные расходы и трудозатраты, необходимые для проведения преобразований текущей среды в целевую среду. В трудозатраты на внедрение включаются затраты на планирование, развертывание, обучение и разработку. Сюда же входят возможные временные увеличения затрат на управление и поддержку.

Для обоснования эффекта  от внедрения новой защиты информации могут быть использованы модельные  характеристики снижения совокупных затрат, отражающие возможные изменения  в системе защиты информации.

Разработка методик  оценки затрат на ИБ

Рассмотрим, как можно  определить прямые (бюджетные) и косвенные  затраты на ИБ.

Предположим, что руководство  компании проводит работы по внедрению  на предприятии системы защиты информации (СЗИ). Уже определены объекты и цели защиты, угрозы информационной безопасности и меры по противодействию им, приобретены и установлены необходимые средства защиты информации. Для того, чтобы требуемый уровень защиты ресурсов реально достигался и соответствовал ожиданиям руководства предприятия, необходимо ответить на следующие основные вопросы, связанные с затратами на информационную безопасность: