Большинство руководителей служб автоматизации (CIO) и служб информационной безопасности (CISO) отечественных компаний наверняка задавалось вопросами: “Как оценить эффективность планируемой или существующей корпоративной системы защиты информации? Как оценить эффективность инвестиционного бюджета на информационную безопасность (ИБ) компании? В какие сроки окупятся затраты компании на ИБ? Как экономически эффективно планировать и управлять бюджетом компании на ИБ?”. Давайте попробуем найти возможные ответы на эти вопросы.

История вопроса

Оценка эффективности организации режима ИБ в компании предполагает некоторую оценку затрат на ИБ, а также оценку достигаемого при этом эффекта. Действительно сопоставление этих оценок позволяет оценить возврат инвестиций на ИБ, а также экономически корректно планировать и управлять бюджетом компании на ИБ.

На практике многие решения в области защиты информации часто принимаются на интуитивно-понятийном уровне, без каких-либо экономических расчетов и обоснований. В результате только те начальники служб ИБ (CISO), которые за счет своей “энергетики” смогли заявить и отстоять потребность в защите информации могли как-то повлиять на планирование бюджета компании на ИБ. Однако современные требования бизнеса, предъявляемые к организации режима ИБ компании, диктуют настоятельную необходимость использовать в своей работе более обоснованные технико-экономические методы и средства, позволяющие количественно измерять уровень защищенности компании, а также оценивать экономическую эффективность затрат на ИБ.

Сегодня для оценки эффективности корпоративной системы защиты информации рекомендуется использовать некоторые показатели эффективности, например показатели: совокупной стоимости владения (ТСО), экономической эффективности бизнеса и непрерывности бизнеса(BCP), коэффициенты возврата инвестиций на ИБ (ROI) и другие.

В частности, известная методика совокупной стоимости владения (TCO) была изначально предложена аналитической компанией Gartner Group в конце 80-х годов (1986-1987) для оценки затрат на информационные технологии. Методика Gartner Group позволяет рассчитать всю расходную часть информационных активов компании, включая прямые и косвенные затраты на аппаратно-программные средства, организационные мероприятия, обучение и повышение квалификации сотрудников компании, реорганизацию, реструктуризацию бизнеса и т. д.

Существенно, что сегодня методика ТСО может быть использована для доказательства экономической эффективности существующих корпоративных систем защиты информации. Она позволяет руководителям служб информационной безопасности (CISO) обосновывать бюджет на ИБ, а также доказывать эффективность работы сотрудников службы ИБ. Кроме того, поскольку оценка экономической эффективности корпоративной системы защиты информации становится "измеримой", становится возможным оперативно решать задачи контроля и коррекции показателей экономической эффективности и в частности показателя ТСО. Таким образом, показатель ТСО можно использовать как инструмент для оптимизации расходов на обеспечение требуемого уровня защищенности КИС и обоснование бюджета на ИБ. При этом в компании эти работы могут выполняться самостоятельно, с привлечением системных интеграторов в области защиты информации, или совместно предприятием и интегратором.

Отметим, что показатель ТСО может применяться практически на всех основных этапах жизненного цикла корпоративной системы защиты информации и позволяет “навести порядок” в существующих и планируемых затратах на ИБ. С этой точки зрения показатель ТСО позволяет объективно и независимо обосновать экономическую целесообразность внедрения и использования конкретных организационных и технических мер и средств защиты информации. При этом для объективности решения необходимо дополнительно учитывать и состояния внешней и внутренней среды предприятия, например показатели технологического, кадрового и финансового развития предприятия. Так как не всегда наименьший показатель ТСО корпоративной системы защиты информации может быть оптимален для компании.

Понятно, что умелое управление ТСО позволяет рационально и экономно реализовывать средства бюджета на ИБ, достигая при этом приемлемого уровня защищенности компании, адекватного текущим целям и задачам бизнеса. Существенно, что сравнение определенного показателя ТСО с аналогичными показателями ТСО по отрасли (аналогичными компаниями) и с “лучшими в группе” позволяет объективно и независимо обосновать затраты компании на ИБ. Ведь часто оказывается довольно трудно или даже практически невозможно оценить прямой экономический эффект от затрат на ИБ. Сравнение же “родственных” показателей ТСО позволяет убедиться в том, что проект создания или реорганизации корпоративной системы защиты информации компании является оптимальным по сравнению с некоторым среднестатистическим проектом в области защиты информации по отрасли. Указанные сравнения можно проводить, используя усредненные показатели ТСО по отрасли, рассчитанные экспертами Gartner Group или собственные экспертами компании с помощью методов математической статистики и обработки наблюдений.

Таким образом, методика ТСО Gartner Group позволяет ответить на следующие актуальные вопросы:

• Какие ресурсы и денежные средства тратятся на ИБ?
• Оптимальны ли затраты на ИБ для бизнеса компании?
• Насколько эффективна работа службы ИБ компании по сравнению с другими?
• Как эффективно управлять инвестированием в защиту информации?
• Какие выбрать направления развития корпоративной системы защиты информации?
• Как обосновать бюджет компании на ИБ?
• Как доказать эффективность существующей корпоративной системы защиты информации и службы ИБ компании в целом?
• Какова оптимальная структура службы ИБ компании?
• Как правильно оценить аутсортинговые услуги по сопровождению корпоративной системы защиты информации?
• Как оценить эффективность нового проекта в области защиты информации?

Западный опыт на вооружение

В целом методика ТСО компании Gartner Group позволяет:

• получить адекватную информацию об уровне защищенности распределенной вычислительной среды и совокупной стоимости владения корпоративной системы защиты информации;
• сравнить подразделения службы ИБ компании, как между собой, так и с аналогичными подразделениями других предприятий в данной отрасли;
• оптимизировать инвестиции на ИБ компании с учетом реального значения показателя ТСО.

Здесь под показателем ТСО понимается сумма прямых и косвенных затрат на организацию (реорганизацию), эксплуатацию и сопровождение корпоративной системы защиты информации в течении года. ТСО может рассматриваться как ключевой количественный показатель эффективности организации ИБ в компании, так как позволяет не только оценить совокупные затраты на ИБ, но управлять этими затратами для достижения требуемого уровня защищенности КИС.

При этом прямые затраты включают как капитальные компоненты затрат (ассоциируемые с фиксированными активами или “собственностью”), так и трудозатраты, которые учитываются в категориях операций и административного управления. Сюда же относят затраты на услуги удаленных пользователей, аутсорсинг и др., связанные с поддержкой деятельности организации.

В свою очередь косвенные затраты отражают влияние КИС и подсистемы защиты информации на сотрудников компании посредством таких измеримых показателей как простои и “зависания” корпоративной системы защиты информации и КИС в целом, затраты на операции и поддержку (не относящиеся к прямым затратам). Очень часто косвенные затраты играют значительную роль, так как они обычно изначально не отражаются в бюджете на ИБ, а выявляются явно при анализе затрат в последствии, что в конечном счете приводит к росту “скрытых” затрат компании на ИБ.

Существенно, что TCO не только отражает “стоимость владения” отдельных элементов и связей корпоративной системы защиты информации в течение их жизненного цикла. “Овладение методикой” ТСО помогает службе ИБ лучше измерять, управлять и снижать затраты и/или улучшать уровни сервиса защиты информации с целью адекватности мер защиты бизнесу компании.

Подход к оценке ТСО базируется на результатах аудита структуры и поведения корпоративной системы защиты информации и КИС в целом, включая действия сотрудников служб автоматизации, информационной безопасности и просто пользователей КИС. Сбор и анализ статистики по структуре прямых (HW/SW, операции, административное управление) и косвенных затрат (на конечных пользователей и простои) проводится, как правило, в течение 12 месяцев. Полученные данные оцениваются по ряду критериев с учетом сравнения с аналогичными компаниями по отрасли.

Методика ТСО позволяет оценить и сравнить состояние защищенности КИС компании с типовым профилем защиты, в том числе показать узкие места в организации защиты, на которые следует обратить внимание. Иными словами, на основе полученных данных можно сформировать понятную с экономической точки зрения стратегию и тактику развития корпоративной системы защиты информации, а именно: “сейчас мы тратим на ИБ столько-то, если будем тратить столько-то по конкретным направлениям ИБ, то получим такой-то эффект”.

Известно, что в методике ТСО в качестве базы для сравнения используются данные и показатели ТСО для западных компаний. Однако данная методика способна учитывать специфику российских компаний с помощью так называемых поправочных коэффициентов, например:

• по стоимости основных компонентов корпоративной системы защиты информации и КИС, информационных активов компании (Cost Profiles) с учетом данных по количеству и типам серверов, персональных компьютеров, периферии и сетевого оборудования;
• по заработанной плате сотрудников (Salary and Asset Scalars) c учетом дохода компании, географического положения, типа производства и размещения организации в крупном городе или нет;
• по конечным пользователям ИТ (End User Scalars) c учетом типов пользователей и их размещения (для каждого типа пользователей требуется различная организация службы поддержки и вычислительной инфраструктуры);
• по использованию методов так называемой лучшей практики в области управления ИБ (Best Practices) с учетом реального состояния дел по управлению изменениями, операциями, активами, сервисному обслуживанию, обучению, планированию и управлению процессами;
• по уровню сложности организации (Complexity Level) с учетом состояния организации конечных пользователей (процент влияния – 40%), технологии SW (40%), технологии HW (20%).

В целом, определение затрат компании на ИБ подразумевает решение следующих трех задач:

• оценку текущего уровня ТСО корпоративной системы защиты информации и КИС в целом;
• аудит ИБ компании на основе сравнения уровня защищенности компании и рекомендуемого (лучшая мировая практика) уровня ТСО;
• формирование целевой модели ТСО.

Рассмотрим каждую из перечисленных задач.

Оценка текущего уровня ТСО. В ходе работ по оценке ТСО проводится сбор информации и расчет показателей ТСО организации по следующим направлениям:

• существующие компоненты КИС (включая систему защиты информации) и информационные активы компании (серверы, клиентские компьютеры, периферийные устройства, сетевые устройства);
• существующие расходы на аппаратные и программные средства защиты информации (расходные материалы, амортизация);
• существующие расходы на организацию ИБ в компании (обслуживание СЗИ и СКЗИ, а также штатных средств защиты периферийных устройств, серверов, сетевых устройств, планирование и управление процессами защиты информации, разработку концепции и политики безопасности и пр.);
• существующие расходы на организационные меры защиты информации;
• существующие косвенные расходы на организацию ИБ в компании и в частности обеспечение непрерывности или устойчивости бизнеса компании.

Аудит ИБ компании.По результатам собеседования с TOP-менеджерами компании и проведения инструментальных проверок уровня защищенности организации проводится анализ следующих основных аспектов:

• политики безопасности;
• организации защиты;
• классификации и управления информационными ресурсами;
• управления персоналом;
• физической безопасности;
• администрирования компьютерных систем и сетей;
• управления доступом к системам;
• разработки и сопровождения систем;
• планирования бесперебойной работы организации;
• проверки системы на соответствие требованиям ИБ.

На основе проведенного анализа выбирается модель ТСО, сравнимая со средними и оптимальными значениями для репрезентативной группы аналогичных организаций, имеющих схожие с рассматриваемой организацией показатели по объему бизнеса. Такая группа выбирается из банка данных по эффективности затрат на ИБ и эффективности соответствующих профилей защиты аналогичных компаний.

Сравнение текущего показателя ТСО проверяемой компании с модельным значением показателя ТСО позволяет провести анализ эффективности организации ИБ компании, результатом которого является определение “узких” мест в организации, причин их появления и выработка дальнейших шагов по реорганизации корпоративной системы защиты информации и обеспечения требуемого уровня защищенности КИС.

Формирование целевой модели ТСО. По результатам проведенного аудита моделируется целевая (желаемая) модель, учитывающая перспективы развития бизнеса и корпоративной системы защиты информации (активы, сложность, методы лучшей практики, типы СЗИ и СКЗИ, квалификация сотрудников компании и т. п.).

Кроме того, рассматриваются капитальные расходы и трудозатраты, необходимые для проведения преобразований текущей среды в целевую среду. В трудозатраты на внедрение включаются затраты на планирование, развертывание, обучение и разработку. Сюда же входят возможные временные увеличения затрат на управление и поддержку.

Для обоснования эффекта от внедрения новой корпоративной системы защиты информации (ROI) могут быть использованы модельные характеристики снижения совокупных затрат (ТСО), отражающие возможные изменения в корпоративной системе защиты информации.

Пример оценки затрат на ИБ

В качестве примера использования методики ТСО для обоснования инвестиций на ИБ давайте рассмотрим проект создания корпоративной системы защиты информации от вирусов и враждебных апплетов, интегрированной с системой контроля и управления доступом на объекте информатизации.

Для этого сначала условно определим три возможных степени готовности корпоративной системы защиты от вирусов и враждебных апплетов, а именно: базовую, среднюю и высокую.

Базовая: Стационарные и мобильные рабочие станции обладают локальной защитой от вирусов. Антивирусное программное обеспечение и базы сигнатур регулярно обновляются для успешного распознавания и парирования новых вирусов. Установлена программа автоматического уничтожения наиболее опасных вирусов. Основная цель уровня – организация минимальной защиты от вирусов и враждебных апплетов при небольших затратах.

Средняя: Установлена сетевая программа обнаружения вирусов. Управление программными обновлениями на сервере автоматизировано. Системный контроль над событиями оповещает о случаях появления вирусов и предоставляет информацию по предотвращению дальнейшего распространения вирусов. Превентивная защита от вирусов предполагает выработку и следование определенной политики защиты информации передаваемой по открытым каналам связи Интернет. Дополнительно к техническим мерам активно предлагаются и используются организационные меры защиты информации.

Высокая: Антивирусная защита воспринимается как один из основных компонентов корпоративной системы защиты. Система антивирусной защиты тесно интегрирована в комплексную систему централизованного управления ИБ компании и обладает максимальной степенью автоматизации. При этом организационные меры по защите информации преобладают над техническими мерами. Стратегия защиты информации определяется исключительно стратегией развития бизнеса компании.

Также условно выделим три степени готовности системы контроля и управления доступом: базовая, средняя, высокая.

Базовая: Ведется учет серийных номеров как минимум рабочих станций и серверов, инвентаризационные таблички крепятся на соответствующее аппаратное обеспечение. Введена процедура контроля перемещения аппаратных средств КИС. Проводятся постоянные и периодические инструктажи персонала компании. Особое внимание уделяется мобильным компонентам КИС.

Средняя: Используются механические и электронные замки, шлюзовые кабины и турникеты. Организованы контрольно-пропускные пункты и проходные. Осуществляется видеонаблюдение на объекте информатизации. Требования к персоналу определены и доведены под роспись. Разработаны инструкции по действию в штатных и внештатных ситуациях. Задействованы частные и государственные охранные предприятия и структуры.

Высокая: Обеспечение физической безопасности аппаратных средств является частью единой политики безопасности, утвержденной руководством компании. Активно используются весь комплекс мер защиты информации, начиная с организационныго и заканчивая техническим уровнями.

Проект по созданию корпоративной системы защиты информации от вирусов предполагает определенное развитие и переход от некоторого базового уровня (0 уровень) к более высокому (10 уровню согласно лучшей практики). В табл. 1 приведены характеристики процесса развития корпоративной системы защиты информации на выделенных уровнях защиты.

Табл. 1. Характеристики базового и повышенного уровня защиты.

Процесс	Задача	Базовый уровень (0)	Высокий уровень (10)
Защита от вирусов	Каким образом распространяются обновления механизма антивирусной защиты?	Ничего не делается или нет информации	Используется автоматическое обновление антивирусного обеспечения
Защита от вирусов	Какая степень защиты от вирусов является допустимой?	Нет механизма защиты от вирусов	Защита от вирусов устанавливается ИС службой и не доступна пользователям для изменений
Защита от вирусов	Какой процент клиентских мест поддерживается серверной антивирусной защитой?	0 %	100 %
Защита от вирусов	Как устраняются последствия вирусных атак (в процентном отношении к числу вирусных событий)?	Пользователь самостоятельно восстанавливает поврежденные файлы и систему, протокол событий не ведется	ИС персонал уведомляется об инциденте, проводятся исследования, и предпринимаются нейтрализующие меры, на местах поддерживается БД вирусных событий
Управление безопасностью	Что делается для гарантии безопасности критичных данных (информация, которая является критичной по отношению к миссии каждого отдельного предприятия)	Ничего не делается	Инструментальные средства шифрования и обеспечения безопасности закупаются у третьей стороны
Управление безопасностью	Что делается для гарантии физической безопасности помещений с целью предотвращения случаев воровства и преступного использования оборудования?	Применяются сигналы тревоги о нарушении безопасности	Используются такие средства безопасности, как смарт-карты или биометрические устройства

В табл. 2 представлен список статей и возможный уровень снижения расходов при развитии процессов управления информационной безопасности и защиты от вирусов (начиная от 0-го уровня и заканчивая 10-м).

Табл. 2. Статьи расходов базового и повышенного уровня защиты.

Статья затрат	Защита от вирусов	Управление безопасностью
Операции (Operations)
Технические услуги (Technical services)
Решение проблем 2 уровня (Tier II problem resolution)	2,600 %	0,000 %
Решение проблем 3 уровня (Tier III problem resolution)	1,300 %	0,000 %
Администрирование конечных пользователей (User administration, adds and changes)	0,000 %	6,500 %
Установка аппаратного обеспечения (Hardware deployment)	0,000 %	2,600 %
Резервное копирование, архивирование и восстановление (Backup, archiving and recovery)	2,600 %	0,000 %
Планирование и управление процессами (Planning and process management)
Управление системными исследованиями, планированием и продуктами (Systems research, planning and product management)	1,300 %	1,300 %
Безопасность и защита от вирусов (Security and virus protection)	18,200 %	2,600 %
Восстановление деятельности (Business recovery)	19,500 %	0,000 %
Решение проблем 0/1 уровня (Service desk, tier 0/I)
Среднее количество звонков пользователей в месяц (Average number of calls per month)	5,200 %	2,600 %
Административные расходы (Administration)
Финансовые службы и администрация (Finance and administration)
Супервизорское управление (Supervisory management)	1,268 %	0,618 %
Административная поддержка ИС (IS administrative assistance)	0,429 %	0,169 %
Управление активами (Asset management)	0,000 %	5,200 %
Аудит (Audit)	0,000 %	1,300 %
Закупка, снабжение и управление контрактами (Purchasing, procurement and contract management)	0,000 %	2,600 %
Затраты конечных пользователей на поддержку ИС (End User IS Costs)
Количество часов в месяц, затраченных на управление файлами, данными и резервным копированием (Average hours per month spent managing files, data and performing backups)	6,500 %	0,000 %
Количество часов в месяц, затраченных на поиск источника поддержки (Average hours per month spent seeking peer support)	6,500 %	0,000 %
Количество часов в месяц, затраченных на поддержку пользователей друг друга (Average hours per month spent helping others)	6,500 %	0,000 %
Количество часов в месяц, затраченных на самоподдержку пользователей (Average hours per month spent on self support)	6,500 %	2,600 %
Количество незапланированных простоев в месяц (Monthly unplanned downtime hours)	10,400 %	10,400 %

В табл. 3 и на рис. 1 показан уровень снижения расходов при переходе на более высокий уровень защищенности КИС (переход с 0-го уровня на 10-й). Поученные данные о снижении ТСО в среднем на 230 тыс. долл. в год позволяют обосновать инвестиции в размере около 600 тыс. долл. на защиту от вирусов. При этом период окупаемости составляет не более 3 лет.

Табл. 3. Уровень снижения расходов при внедрении методов лучшей практики.

Расходы на ИТ	Защита от вирусов -0, Безопасность –0	Защита от вирусов -10, Безопасность -0	Защита от вирусов -0, Безопасность -10	Защита от вирусов -10, Безопасность -10
Совокупная стоимость владения (TCO)	$14,905,090	$14,659,236	$14,796,746	$14,563,990
Расходы на HW/SW	$9,183,334	$9,212,787	$9,211,699	$9,241,232
Расходы на операции ИС	$1,402,287	$1,376,061	$1,394,232	$1,368,450
Административные расходы	$426,758	$425,554	$423,952	$422,748
Расходы на операции конечных пользователей	$2,772,377	$2,636,870	$2,758,898	$2,624,287
Расходы на простои	$1,120,334	$1,007,965	$1,007,965	$907,273

Дадим комментарий к указанным расходам.

Расходы на аппаратные средства и программное обеспечение. Эта категория модели ТСО включает серверы, компьютеры клиентов (настольные и мобильные компьютеры), периферийные устройства и сетевые компоненты. Расходы на аппаратно-программные средства ИС также входят в эту категорию.

Расходы на операции ИС. Прямые затраты на содержание персонала, стоимость работ и аутсорсинг, произведенные компанией в целом, бизнес-подразделениями или ИС службой для осуществления технической поддержки и операций по поддержанию инфраструктуры для пользователей распределенных вычислений.

Административные расходы. Прямые затраты на персонал, обеспечение деятельности и расходы внутренних/внешних поставщиков (вендоров) на поддержку ИС операций, включающих управление, финансирование, приобретение и обучение ИС.

Расходы на операции конечных пользователей. Это затраты на самоподдержку конечных пользователей, а также на поддержку пользователей друг друга в противовес официальной ИС поддержке. Затраты включают: самостоятельную поддержку, официальное обучение конечных пользователей, нерегулярное (неофициальное) обучение, самостоятельные прикладные разработки, поддержку локальной файловой системы.

Расходы на простои. Данная категория учитывает ежегодные потери производительности конечных пользователей от запланированных и незапланированных отключений сетевых ресурсов, включая клиентские компьютеры, совместно используемые серверы, принтеры, прикладные программы, коммуникационные ресурсы и ПО для связи. Для анализа фактической стоимости простоев, которые связаны с перебоями в работе сети и которые оказывают влияние на производительность, исходные данные получают из обзора по конечным пользователям. Рассматриваются только те простои, которые ведут к потере производительности.

Рис. 1. Уровень снижения расходов при внедрении методов лучшей практики.

В табл. 4 и на рис. 2 показан пример расчета ТСО для организаций, обладающих средним уровнем защищенности КИС (5-й уровень).

Табл. 4. Пример расчета ТСО.

Расходы на ИТ	Защита от вирусов -0, безопасность -0	Защита от вирусов -10, безопасность -0	Защита от вирусов -0, безопасность -10	Защита от вирусов -10, безопасность -10
Совокупная стоимость владения (TCO)	$12,326,994	$12,234,237	$12,302,964	$12,215,093
Расходы на HW/SW	$8,884,604	$8,912,435	$8,915,619	$8,943,557
Расходы на операции ИС	$1,016,789	$999,693	$1,011,027	$994,231
Административные расходы	$397,553	$396,525	$395,408	$394,398
Расходы на операции конечных пользователей	$1,611,683	$1,549,384	$1,604,710	$1,542,839
Расходы на простои	$416,365	$376,201	$376,201	$340,068

Рис. 2. Пример расчета ТСО.

Таким образом, применение методики ТСО для обоснования инвестиций в проекты обеспечения информационной безопасности на предприятии вполне обосновано и имеет право на существование. При этом выбор конкретной методики оценки затрат на ИБ находится в сфере ответственности руководителей соответствующих служб и отделов защиты информации.

 

Заключение

Вместе с методикой ТСО можно использовать разнообразные методы для расчета возврата инвестиций (ROI). Как правило, для оценки доходной части сначала анализируют те цели, задачи и направления бизнеса, которые нужно достигнуть с помощью внедрения или реорганизации существующих проектов в области системной интеграции, автоматизации и информационной безопасности. Далее используют некоторые измеримые показатели эффективности бизнеса для оценки эффекта отдельно по каждому решению. Допустим, с целью сокращения операционных расходов, обеспечения приемлемой конкурентной способности, улучшения внутреннего контроля и т. д. Указанные показатели не надо выдумывать, они существуют в избыточном виде. Далее можно использовать методики рассчета коэффициентов возврата инвестиций в инфраструктуру предприятия (ROI), например, также Gartner Group.

По нашему мнению, достаточно результативно использовать следующую комбинацию: ТСО как расходную часть и ROI как расчетную. Кроме того, сегодня существуют и другие разнообразные методы и технологии расчета и измерения различных показателей экономической эффективности.