:::::: № 1 январь-февраль 2005 г. :::::: - Журнал «Защита информации. Инсайд»

		№1 январь-февраль 2005 г. Тема номера: ЭКОНОМИЧЕСКИ ОПРАВДАННАЯ БЕЗОПАСНОСТЬ
		ОЦЕНКА ЗАТРАТ НА ЗАЩИТУ ИНФОРМАЦИИ С. А. Петренко, д. т. н., Е. М. Терехова

Сегодня в отечественных компаниях и предприятиях с повышенными требованиями в области информационной безопасности (банковских и билинговых системах, ответственных производствах и т. д.) затраты на обеспечение режима информационной безопасности (ИБ) составляют до 30% всех затрат на информационную систему (ИС), и владельцы информационных ресурсов серьезно рассматривают экономические аспекты обеспечения ИБ. Даже в тех ИС, уровень ИБ которых явно недостаточен, у технических специалистов зачастую возникают проблемы обоснования перед руководством затрат на повышение этого уровня. Как определить экономически оправданные затраты на защиту информации? Какие методы существуют и жизнеспособны на практике? Далее мы постараемся ответить на эти вопросы.

Обзор существующих методов

Первоначально определимся с целями, которые мы преследуем при выборе метода оценки целесообразности затрат на систему информационной безопасности. Во-первых, метод должен обеспечивать количественную оценку затрат на безопасность, используя качественные показатели оценки вероятностей событий и их последствий. Во-вторых, метод должен быть прозрачен с точки зрения пользователя, и давать возможность вводить собственные эмпирические данные. В-третьих, метод должен быть универсален, то есть одинаково применим к оценке затрат на приобретение аппаратных средств, специализированного и универсального программного обеспечения, затрат на услуги, затрат на перемещение персонала и обучение конечных пользователей и т. д. В-четвертых, выбранный метод должен позволять моделировать ситуацию, при которой существует несколько контрмер, направленных на предотвращение определенной угрозы, в разной степени влияющих на сокращение вероятности происшествия.

Давайте посмотрим, какие методы оценки затрат и ценности инвестиций существуют и могут быть использованы на практике.

Прикладной информационный анализ Applied Information Economics (AIE)

Методика Applied Information Economics (AIE) была разработана Дугласом Хаббардом, руководителем компании Hubbard Ross. Компания Hubbard Ross, основанная в марте 1999 года, стала первой организацией, которая использовала методику AIE для анализа ценности инвестиций в технологии безопасности с финансовой и экономической точки зрения.

Методика AIE позволяет повысить точность показателя «действительная экономическая стоимость вложений в технологии безопасности за счет определения доходности инвестиций» (Return on Investment, ROI) до и после инвестирования. Применение AIE позволяет сократить неопределенность затрат, рисков и выгод, в том числе и неочевидных. Опираясь на знания экономики, статистики, теории информации и системного анализа, консультанты Hubbard Ross определяют важные финансовые показатели, используя дополнительные сведения для уменьшения их неопределенности, также оценивают влияние рисков и помогают выбрать такую стратегию, которая уменьшала бы риск и оптимизировала инвестиционные вложения.

Отчет о проделанной работе включает в себя полученные сведения, рекомендации и комментарии консультантов, также в состав отчета входит сводная таблица, сделанная с помощью Microsoft Excel, отражающая взаимное влияние затрат, прибыли и рисков.

Потребительский индекс Customer Index (CI)

Метод предлагает оценивать степень влияния инвестиций в технологии безопасности на численность и состав потребителей. В процессе оценки предприятие или организация определяет экономические показатели своих потребителей за счет отслеживания доходов, затрат и прибылей по каждому заказчику в отдельности. Недостаток метода состоит в трудности формализации процесса установления прямой связи между инвестициями в технологии безопасности и сохранением или увеличением числа потребителей. Этот метод применяется в основном для оценки эффективности корпоративных систем защиты информации в компаниях, у которых число заказчиков непосредственно влияет на все аспекты бизнеса.

Добавленная экономическая стоимость Economic Value Added (EVA)

Консалтинговая компания Stern Stewart и Co., основанная в 1982 году, специализируется на оценке акционерного капитала новым инструментарием финансового анализа. Эта компания, одна из первых, разработала собственную методику вычисления добавленной стоимости (Economic Value Added), которая предлагает непротиворечивый подход к определению целей и измерению показателей, к оценке стратегий, к размещению капитала и пр.

Методика EVA предлагает рассматривать службу информационной безопасности как «государство в государстве», то есть специалисты службы безопасности продают свои услуги внутри компании по расценкам, примерно эквивалентным расценкам на внешнем рынке, что позволяет компании отследить доходы и расходы, связанные с технологиями безопасности. Таким образом, служба безопасности превращается в центр прибыли и появляется возможность четко определить, как расходуются активы, связанные с технологиями безопасности, и увеличиваются доходы акционеров.

Исходная экономическая стоимость Economic Value Sourced (EVS)

Методика EVS была разработана компанией META Group Consulting, которая оказывает услуги средним и крупным компаниям, количественно измеряя возврат от инвестиций в технологии безопасности. Методика предполагает точный расчет всех возможных рисков и выгод для бизнеса, связанных с внедрением и функционированием корпоративной системы защиты информации. При этом расширяется использование таких инструментальных средств оценки ИТ, как добавленная экономическая стоимость (EVA), внутренняя норма рентабельности (IRR) и возврат от инвестиций (ROI) за счет определения и вовлечения в оценочный процесс параметров времени и риска.

Управление портфелем активов Portfolio Management (PM)

Методика управления портфелем активов предполагает, что компании управляют технологиями безопасности так же, как управляли бы акционерным инвестиционным фондом с учетом объема, размера, срока, прибыльности и риска каждой инвестиции. Портфель активов технологий безопасности состоит из «статических» и «динамичных» активов. К «статическим» активам относят: апаратно-программные средства защиты информации, операционные системы и пакеты прикладных программ-ных продуктов, сетевое оборудование и программное обеспечение, данные и информацию, оказываемые услуги, человеческие ресурсы и пр. В состав «динамичных» активов входят следующие компоненты: различные проекты по расширению и обновлению всего портфеля активов, знания и опыт, интеллектуальный капитал и т. д.

Таким образом, управление портфелем активов технологий безопасности представляет собой непрерывный анализ взаимодействия возникающих возможностей и имеющихся в наличии ресурсов. Непрерывность процесса управления связана с внешними изменениями (например, изменение ситуации на рынке, изменение позиций конкурента) и с внутренними изменениями (например, изменение в стратегии компании, в каналах сбыта, номенклатуре товаров и услуг и т. д.). А директор службы безопасности становится «фондовым менеджером», который управляет инвестициями в технологии безопасности, стремясь к максимизации прибыли.

Оценка действительных возможностей Real Option Valuation (ROV)

Основу методики составляет ключевая концепция построения модели «гибких возможностей компании» в будущем. Методика рассматривает технологии безопасности в качестве набора возможностей с большой степенью их детализации. Правильное решение принимается после тщательного анализа широкого спектра показателей и рассмотрения множества результатов или вариантов будущих сценариев, которые в терминах методики именуются «динамическим планом выпуска» управляющих решений или гибкости, который поможет организациям лучше адаптировать или изменять свой курс в области информационной безопасности.

Метод жизненного цикла искусственных систем System Life Cycle Analysis (SLCA)

В основе российского метода жизненного цикла искусственных систем System Life Cycle Analysis (SLCA) лежит измерение «идеальности» корпоративной системы защиты информации – соотношение ее полезных факторов к сумме вредных факторов и факторов расплаты за выполнение полезных функций. Оценку предваряет совместная работа аналитика и ведущих специалистов обследуемой компании по выработке реестра полезных, негативных и затратных факторов бизнес-системы без использования системы безопасности и присвоению им определенных весовых коэффициентов. Результатом работы является расчетная модель, описывающая состояние без системы безопасности. После этого в модель вводятся описанные факторы ожидаемых изменений и производится расчет уровня развития компании с корпоративной системой защиты информации. Таким образом, строятся традиционные модели «Как есть» и «Как будет» с учетом реестра полезных, негативных и затратных факторов бизнес-системы.

Метод SLCA применяется:

на этапе предпроектной подготовки, для предварительной оценки эффекта от внедрения новой системы безопасности или от модернизации существующей;
на этапе разработки технического задания на АС в защищенном исполнении;
на этапе проведения аудита информационной безопасности АС предприятия, для проектной оценки ожидаемого эффекта;
на этапе приемки АС в защищенном исполнении в эксплуатацию или по окончанию периода опытной эксплуатации для подтверж-дения расчетного эффекта, его уточнения и получения новой «точки отсчета» (нового уровня организационно-технологического развития компании) для последующих оценок эффекта от внедрения технологий безопасности.

Система сбалансированных показателей Balanced Scorecard (BSC)

Balanced Scorecard (Система сбалансированных показателей – ССП) – это методика, в рамках которой традиционные показатели финансовых отчетов объединяются с операционными параметрами, что создает достаточно общую схему, позволяющую оценить нематериальные активы: уровень корпоративных инноваций, степень удовлетворенности сотрудников, эффективность приложений и т. д.

Концепция системы сбалансированных показателей впервые была представлена в 1990 году Дэвидом Нортоном, на сегодняшний день руководителем Balanced Scorecard Collaborative, и Робертом Капланом, профессором Harvard Business School. Традиционная концепция ССП предполагает формирование так называемых стратегических карт, группирующих цели и показатели по четырем категориям (перспективам):

финансы (финансовые цели развития и результаты работы компании – прибыль, рентабельность и т. д.);
клиенты и рынки (цели присутствия на рынке и показатели качества обслуживания клиентов – освоение рынков и территорий продаж, время выполнения заказа и т. д.);
процессы (требования к эффективности процессов – стоимость, время, количество ошибок, риски и т. д.);
развитие (цели поиска новых технологий и повышения квалификации персонала и т. д.).

Между всеми показателями существуют причинно-следственные влияния. Например, чем выше квалификация персонала и лучше технология ведения бизнеса, тем проще поддерживать бизнес-процессы, что, в свою очередь, способствует более качественному обслуживанию клиентов и реализации конкурентных преимуществ, а следовательно, помогает достичь запланированных финансовых показателей. Таким образом, для компании в целом финансовые показатели – это конечная цель функционирования, тогда как прочие перспективы определяют будущий потенциал компании.

Подобным образом можно определить ключевые показатели функционирования службы информационной безопасности компании и задать перспективы развития корпоративных систем защиты информации. При этом следует помнить, поскольку технологии безопасности оказывают косвенное воздействие на финансовые показатели компании, их надо рассматривать с точки зрения вклада в развитие бизнеса. На уровне клиентской перспективы оценка технологий безопасности отражает эффективность взаимодействия соответствующего подразделения с основным бизнесом компании. Стратегия развития технологий безопасности на базе методов ССП формулируется в виде взаимосвязанного набора целей и показателей, сгруппированных по следующим перспективам:

миссия (основное предназначение и пути развития ИТ в компании);
клиенты (цели поддержки основной деятельности компании);
процессы (показатели эффективности процедур разработки и внедрения);
технологии (оценка обоснованности и эффективности используемых технологий);
организация (показатели эффективности внутренних процедур ИТ-подразделения).

Эти перспективы могут быть отправной точкой в разработке стратегических карт, но в соответствии с ситуацией и видением руководства состав перспектив может меняться. Обязательным условием вносимых изменений является сохранение логики взаимного влияния перспектив друг на друга. Как показывает практика, при освоении идеи ССП формирование стратегических карт не представляет особых затруднений. Но, несмотря на кажущуюся простоту, менеджеры часто допускают ошибки при использовании методологии. Первая типичная ошибка заключается в создании большого набора метрик, отражающих отдельные аспекты деятельности службы безопасности, но никак не связанных друг с другом или со стратегией развития компании в целом. Вторая ошибка – формирование стратегических карт, содержащих большое число причинно-следственных взаимосвязей между целями и показателями. Оба эти варианта приводят к невозможности расстановки приоритетов в развитии корпоративной системы защиты информации, хотя именно методология системы сбалансированных показателей позволяет обеспечить четкое соответствие стратегии развития ИТ целям компании на формальном уровне.

Как и любой инструмент стратегического планирования, система сбалансированных показателей имеет возможности и ограничения в практическом применении. Использование ССП позволяет:

устранить разрыв между разработкой стратегии безопасности и ее реализацией;
оперативно реагировать на изменения окружающей среды;
оценить существующую стратегию безопасности.

Однако применение методики ССП не предполагает создания стратегии развития предприятия и не требует отказа от традиционных инструментов планирования и контроля.

Совокупная стоимость владения Total Cost of Ownership (TCO)

Совокупная стоимость владения (Total Cost of Ownership) первоначально разрабатывалась как средство расчета стоимости владения компьютером. Но в последнее время благодаря усилиям компании Gartner Group эта методика стала основным инструментом подсчета совокупной стоимости владения корпоративных систем защиты информации. Основной целью расчета ССВ является выявление избыточных статей расхода и оценка возможности возврата инвестиций, вложенных в технологии безопасности. Таким образом, полученные данные по совокупной стоимости владения используются для выявления расходной части использования корпоративной системы защиты информации.

Главной проблемой при определении ССВ является проблема выявления составляющих совокупной стоимости владения и их количественная оценка. Все составляющие ССВ условное разделяются на «видимые» пользователю (первоначальные затраты) и «невидимые» (затраты на эксплуатацию и использование). При этом «видимая» часть ССВ составляет 32%, а по некоторым оценкам и 21%, а «невидимая» – 68 % или соответственно 79 %.

К группе «видимых» затрат относятся следующие:

стоимость лицензии;
стоимость внедрения;
стоимость обновления;
стоимость сопровождения.

Все эти затраты, за исключением внедрения, имеют фиксированную стоимость и могут быть определены еще до принятия решения о внедрении корпоративной системы защиты информации. Следует отметить, что и в «видимом» секторе поставщиками систем безопасности иногда могут использоваться скрытые механизмы увеличения стоимости для привлечения клиента.

Дополнительные затраты («невидимые») появляются у каждого предприятия, завершившего у себя внедрение корпоративной системы защиты информации. «Невидимые» затраты также разделяются на группы:

затраты на оборудование (включают в себя затраты на приобретение или обновление средств защиты информации, на организацию бесперебойного питания и резервного копирования информации, на установку новых устройств безопасности и пр.);
дополнительное программное обеспечение (системы управления безопасностью, VPN, межсетевые экраны, антивирусы и пр.);
персонал (например, ошибки и трудности в работе со средствами защиты, неприятие или даже саботаж новых средств защиты и т. д.);
стоимость возможностей – стоимость возможных альтернатив (приобретение или обновление корпоративной системы защиты информации/сделать это собственными силами или заказать сторонней организации);
другие (в этом случае оценивается степень и стоимость риска «выхода из строя» системы).

Показатель ССВ корпоративной системы информационной безопасности рассчитывается как сумма всех затрат, «видимых» и «невидимых». Затем этот показатель сравнивается с рекомендуемыми величинами для данного типа предприятия. Существует 17 типов предприятий, которые, в свою очередь, делятся на малые, средние и крупные.

Если полученная совокупная стоимость владения системы безопасности значительно превышает рекомендованное значение и приближается к предельному, то необходимо принять меры по снижению ССВ. Сокращения совокупной стоимости владения можно достичь следующими способами: максимальной централизацией управления безопасностью, уменьшением числа специализированных элементов, настройкой прикладного программного обеспечения безопасности и пр.

Функционально-стоимостной анализ Activity Based Costing (ABC)

Функционально-стоимостной анализ (ФСА) – это процесс распределения затрат с использованием первичных носителей стоимости, ориентированных на производственную и/или логистическую структуру предприятия с конечным распределением затрат по основным носителям (продуктам и услугам). Данный подход позволяет весьма точно и понятно установить связь между элементами себестоимости продукции и производственными процессами.

Применимо к оценке эффективности корпоративных систем защиты информации метод ФСА используется для построения моделей бизнес-процессов предприятия, «Как есть» и «Как будет». Модель «Как будет» отражает изменение технологии реализации основных бизнес-процессов при использовании выбранной корпоративной системы информационной безопасности. На основе показателей стоимости, трудоемкости и производительности определяется наилучшая модель бизнес-процессов «Как будет».

Таким образом, метод ФСА является альтернативой традиционным финансовым подходам и позволяет:

предоставить информацию в форме, понятной для персонала предприятия, непосредственно участвующего в бизнес-процессе;
распределить накладные расходы в соответствии с детальным просчетом использования ресурсов, подробным представлением о процессах и функциях их составляющих, а также их влиянием на себестоимость.

Следует отметить, что развитием метода ФСА стал метод функционально-стоимостного управления (ФСУ, Activity Based Management, ABM). Совместно методы ФСА и ФСУ используются для реорганизации бизнес-процессов с целью повышения производительности, снижения стоимости и улучшения качества.

Основные положения методики Total Cost of Ownership

Анализ методов оценки эффективности инвестиций в корпоративные системы информационной безопасности показывает, что только метод совокупной стоимости владения (TCO) в явном виде позволяет рассчитать расходную часть на систему безопасности. Поэтому давайте рассмотрим методику ССВ более подробно.

Информационная безопасность обеспечивается комплексом мер на всех этапах жизненного цикла информационной системы, совокупная стоимость владения (показатель TCO) для системы информационной безопасности в общем случае складывается из стоимости:

проектных работ;
закупки и настройки программ-но-технических средств защиты, включающих следующие основные группы: межсетевые экраны, средства криптографии, антивирусы и средства аутентификации, авторизации и администрирования (ААА);
затрат на обеспечение физической безопасности;
обучения персонала;
управления и поддержки системы (администрирование безопасности);
аудита информационной безопасности;
периодической модернизации системы информационной безопасности.

Таким образом, методика совокупной стоимости владения компании Gartner Group позволяет:

получить адекватную информацию об уровне защищенности распределенной вычислительной среды и совокупной стоимости владения корпоративной системы защиты информации;
сравнить подразделения службы информационной безопасности компании, как между собой, так и с аналогичными подразделениями других предприятий в данной отрасли;
оптимизировать инвестиции на ИБ компании с учетом реального значения показателя ТСО.

Здесь под показателем ТСО понимается сумма прямых и косвенных затрат на организацию (реорганизацию), эксплуатацию и сопровождение корпоративной системы защиты информации в течение года. ТСО может рассматриваться как ключевой количественный показатель эффективности организации ИБ в компании, так как позволяет не только оценить совокупные затраты на ИБ, но управлять этими затратами для достижения требуемого уровня защищенности КИС.

При этом прямые затраты включают как капитальные компоненты затрат (ассоциируемые с фиксированными активами или «собственностью»), так и трудозатраты, которые учитываются в категориях операций и административного управления. Сюда же относят затраты на услуги удаленных пользователей, аутсорсинг и др., связанные с поддержкой деятельности организации.

В свою очередь, косвенные затраты отражают влияние КИС и подсистемы защиты информации на сотрудников компании посредством таких измеримых показателей, как простои и «зависания» корпоративной системы защиты информации и КИС в целом, затраты на операции и поддержку (не относящиеся к прямым затратам). Очень часто косвенные затраты играют значительную роль, так как они обычно изначально не отражаются в бюджете на ИБ, а выявляются явно при анализе затрат впоследствии, что в конечном счете приводит к росту «скрытых» затрат компании на систему информационной безопасности.

Существенно, что TCO не только отражает «стоимость владения» отдельных элементов и связей корпоративной системы защиты информации в течение их жизненного цикла. «Овладение методикой» ТСО помогает службе ИБ лучше измерять, управлять и снижать затраты и/или улучшать уровни сервиса защиты информации с целью адекватности мер защиты бизнесу компании.

Подход к оценке ТСО базируется на результатах аудита структуры и поведения корпоративной системы защиты информации и КИС в целом, включая действия сотрудников служб автоматизации, информационной безопасности и просто пользователей КИС. Сбор и анализ статистики по структуре прямых (HW/SW, операции, административное управление) и косвенных затрат (на конечных пользователей и простои) проводится, как правило, в течение 12 месяцев. Полученные данные оцениваются по ряду критериев с учетом сравнения с аналогичными компаниями по отрасли.

Методика ТСО позволяет оценить и сравнить состояние защищенности КИС компании с типовым профилем защиты, в том числе показать узкие места в организации защиты, на которые следует обратить внимание. Иными словами, на основе полученных данных можно сформировать понятную с экономической точки зрения стратегию и тактику развития корпоративной системы защиты информации, а именно: «сейчас мы тратим на ИБ столько-то, если будем тратить столько-то по конкретным направлениям ИБ, то получим такой-то эффект».

Известно, что в методике ТСО в качестве базы для сравнения используются данные и показатели ТСО для западных компаний. Однако данная методика способна учитывать специфику российских компаний с помощью так называемых поправочных коэффициентов, например:

по стоимости основных компонентов корпоративной системы защиты информации и КИС, информационных активов компании (Cost Profiles) с учетом данных по количеству и типам серверов, персональных компьютеров, периферии и сетевого оборудования;
по заработанной плате сотрудников (Salary and Asset Scalars) c учетом дохода компании, географического положения, типа производства и размещения организации в крупном городе или нет;
по конечным пользователям ИТ (End User Scalars) c учетом типов пользователей и их размещения (для каждого типа пользователей требуется различная организация службы поддержки и вычислительной инфраструктуры);
по использованию методов так называемой лучшей практики в области управления ИБ (Best Practices) с учетом реального состояния дел по управлению изменениями, операциями, активами, сервисному обслуживанию, обучению, планированию и управлению процессами;
по уровню сложности организации (Complexity Level) с учетом состояния организации конечных пользователей (процент влияния – 40 %), технологии SW (40 %), технологии HW (20 %).

В целом, определение затрат компании на ИБ подразумевает решение следующих трех задач:

оценку текущего уровня ТСО корпоративной системы защиты информации и КИС в целом;
аудит ИБ компании на основе сравнения уровня защищенности компании и рекомендуемого (лучшая мировая практика) уровня ТСО;
формирование целевой модели ТСО.

Рассмотрим каждую из перечисленных задач.

1. Оценка текущего уровня ТСО

В ходе работ по оценке ТСО проводится сбор информации и расчет показателей ТСО организации по следующим направлениям:

существующие компоненты ИС (включая систему защиты информации) и информационные активы компании (серверы, клиентские компьютеры, периферийные устройства, сетевые устройства);
существующие расходы на аппаратные и программные средства защиты информации (расходные материалы, амортизация);
существующие расходы на организацию ИБ в компании (обслуживание СЗИ и СКЗИ, а также штатных средств защиты периферийных устройств, серверов, сетевых устройств, планирование и управление процессами защиты информации, разработка концепции и политики безопасности и пр.);
существующие расходы на организационные меры защиты информации;
существующие косвенные расходы на организацию ИБ в компании и, в частности, обеспечение непрерывности или устойчивости бизнеса компании.

2. Аудит информационной безопасности компании

По результатам собеседования с TOP-менеджерами компании и проведения инструментальных проверок уровня защищенности организации проводится анализ следующих основных аспектов:

политики безопасности;
организации защиты;
классификации и управления информационными ресурсами;
управления персоналом;
физической безопасности;
администрирования компьютерных систем и сетей;
управления доступом к системам;
разработки и сопровождения систем;
планирования бесперебойной работы организации;
проверки системы на соответствие требованиям ИБ.

На основе проведенного анализа выбирается модель ТСО, сравнимая со средними и оптимальными значениями для репрезентативной группы аналогичных организаций, имеющих схожие с рассматриваемой организацией показатели по объему бизнеса. Такая группа выбирается из банка данных по эффективности затрат на ИБ и эффективности соответствующих профилей защиты аналогичных компаний.

Сравнение текущего показателя ТСО проверяемой компании с модельным значением показателя ТСО позволяет провести анализ эффективности организации ИБ компании, результатом которого является определение «узких» мест в организации, причин их появления и выработка дальнейших шагов по реорганизации корпоративной системы защиты информации и обеспечения требуемого уровня защищенности КИС.

3. Формирование целевой модели ТСО

По результатам проведенного аудита моделируется целевая (желаемая) модель, учитывающая перспективы развития бизнеса и корпоративной системы защиты информации (активы, сложность,

< ... >

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail: magazine@inside-zi.ru
тел.: +7 (921) 958-25-50, +7 (911) 921-68-24

Предыдущая статья СОДЕРЖАНИЕ НОМЕРА Следующая статья