2004 г.

Информационная безопасность: экономические аспекты

Технология оценки затрат на ИБ

Как идентифицировать затраты на безопасность?

Первая задача - определить перечень затрат, которые относятся к деятельности предприятия и распределить их по категориям.

Вторая - составить перечень таким образом, чтобы смысл каждой позиции (каждого элемента) был ясен персоналу предприятия, и ввести ясную систему обозначения для каждой позиции перечня. Общий смысл сбора данных по затратам на безопасность - обеспечить руководство предприятия инструментом управления.

Особенно важно, чтобы позиции перечня затрат были определимы в том виде, как они названы и распределены для различных категорий, в том числе:

• Для подразделения или какого-либо участка.
• Для защищаемого ресурса (по всем типам ресурсов).
• Для какого-либо рабочего места пользователя информационной среды предприятия.
• Для рисков по каждой категории информации.

Требования должны быть установлены самим предприятием для собственного (внутреннего) пользования. Однако при этом не следует забывать, что собранной информации должно быть достаточно для проведения последующего анализа.

Система защиты информации, а следовательно и система учета и анализа затрат на безопасность, которая не учитывает особенности предприятия, имеет слишком мало шансов на успех. Такая система должна быть встроена в организацию, как бы "сшита по мерке", ее нельзя взять уже готовую.

Как определить затраты на ИБ?

После того, как уже установлена система классификации и кодирования различных элементов затрат на безопасность, необходимо выявить источники данных о затратах. Такая информация уже может существовать, часть ее достаточно легко получить, в то время как другие данные определить будет значительно труднее, а некоторые могут быть недоступны.

Затраты на контроль

Элементы затрат на контроль приводятся в приложении 1. Основной объем затрат составляет оплата труда персонала службы безопасности и прочего персонала предприятия, занятого проверками и испытаниями. Эти затраты могут быть определены весьма точно. Оставшиеся затраты в основном связаны со стоимостью конкретных специальных работ и услуг внешних организаций и материально-техническим обеспечением системы безопасности. Они могут быть определены напрямую.

Итак, мы видим, что можно достаточно просто получить точную картину по затратам на контроль.

Внутренние затраты на компенсацию нарушений политики безопасности

Определение элементов затрат этой группы намного сложнее, но большую часть установить достаточно легко:

• Установка патчей или приобретение последних версий программных средств защиты информации.
• Приобретение технических средств взамен пришедших в негодность.
• Затраты на восстановление баз данных и прочих информационных массивов.
• Затраты на обновление планов обеспечения непрерывности деятельности службы безопасности.
• Затраты на внедрение дополнительных средств защиты, требующих существенной перестройки системы безопасности.

Труднее выявить объемы заработной платы и накладных расходов:

• По проведению дополнительных испытаний и проверок технологических информационных систем.
• По утилизации скомпрометированных ресурсов.
• По проведению повторных проверок и испытаний системы защиты информации.
• По проведению мероприятий по контролю достоверности данных, подвергшихся атаке на целостность.
• По проведению расследований нарушений политики безопасности.

Выяснение затрат на эти виды деятельности связаны с различными отделами:

• Отделом информационных технологий.
• Контрольно-ревизионным и финансовым отделами.
• Службой безопасности.

Поскольку каждый вовлеченный сотрудник вряд ли в течении всего рабочего дня решает проблемы, связанные только лишь с внутренними потерями от нарушений политики безопасности, оценка потерь должна быть произведена с учетом реально затраченного на эту деятельность времени. Таким образом, мы опять видим, что основные виды затрат в этой категории могут быть определены с достаточной степенью точности.

Внешние затраты на компенсацию нарушений политики безопасности

Часть внешних затрат на компенсацию нарушений политики безопасности связана с тем, что были скомпрометированы коммерческие данные партнеров и персональные данные пользователей услуг предприятия. Затраты, связанные с восстановлением доверия, определяются таким же образом, как и в случае внутренних потерь.

Однако существуют и другие затраты, которые определить достаточно сложно. В их числе:

• Затраты на проведение дополнительных исследований и разработку новой рыночной стратегии.
• Потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно-технические достижения.
• Затраты, связанные с ликвидацией "узких мест" в снабжении, производстве и сбыте продукции.
• Потери от компрометации производимой предприятием продукции и снижения цен на нее.
• Возникновение трудностей в приобретении оборудования или технологий, в том числе повышение цен на них, ограничение объема поставок.

Перечисленные затраты могут быть вызваны действиями персонала различных отделов, например, проектного, технологического, планово-экономического, юридического, хозяйственного, отдела маркетинга, тарифной политики и ценообразования.

Поскольку сотрудники всех этих отделов вряд ли будут заняты полный рабочий день вопросами внешних потерь, то установление объема затрат необходимо вести с учетом реально затраченного времени. Один из элементов внешних потерь невозможно точно вычислить - это потери, связанные с подрывом имиджа предприятия, снижением доверия потребителя к продукции и услугам предприятия. Именно по этой причине многие корпорации скрывают, что их сервис небезопасен. Корпорации боятся обнародования такой информации даже больше, чем атаки в той или иной форме. Однако многие предприятия игнорируют эти затраты на основании того, что их нельзя установить с какой-либо степенью точности - они только предположительны.

Затраты на предупредительные мероприятия

Эти затраты, вероятно, наиболее сложно оценить, поскольку предупредительные мероприятия проводятся в разных отделах и затрагивают многие службы. Эти затраты могут появляться на всех этапах жизненного цикла ресурсов информационной среды предприятия:

• Планирования и организации.
• Приобретения и ввода в действие.
• Доставки и поддержки.
• Мониторинга процессов, составляющих информационную технологию.

В дополнение к этому, большинство затрат данной категории связано с работой персонала службы безопасности. Затраты на предупредительные мероприятия в основном включают заработную плату и накладные расходы. Однако точность их определения в большей степени зависит от точности установления времени, затраченного каждым сотрудником в отдельности.

Некоторые предупредительные затраты легко выявить напрямую. Они, в частности, могут включать оплату различных работ сторонних организаций, например:

• Обслуживание и настройку программно-технических средств защиты, операционных систем и используемого сетевого оборудования.
• Проведение инженерно-технических работ по установлению сигнализации, оборудованию хранилищ конфиденциальных документов, защите телефонных линий связи, средств вычислительной техники и т. п.
• Доставку конфиденциальной информации.
• Консультации.
• Курсы обучения.

Источники сведений о затратах

При определении затрат на обеспечение ИБ необходимо помнить, что:

• Затраты на приобретение и ввод в действие программно-технических средств могут быть получены из анализа накладных, записей в складской документации и т. п..
• Выплаты персоналу могут быть взяты из ведомостей.
• Объемы выплат заработной платы должны быть взяты с учетом реально затраченного времени на проведение работ по обеспечению информационной безопасности. Если только часть времени сотрудника затрачивается на деятельность по обеспечению информационной безопасности, то целесообразность оценки каждой из составляющих затрат его времени не должна подвергаться сомнению.
• Классификация затрат на безопасность и распределение их по элементам должны стать частью повседневной работы внутри предприятия. С этой целью персоналу должны быть хорошо известны различные элементы затрат и соответствующие им коды.

Ответственность за сбор и анализ информации

Кто должен заниматься сбором и анализом данных, составлением отчета по затратам на безопасность? Это не может происходить от случая к случаю, необходима система. При этом надо быть уверенным в том, что все данные согласуются с финансовыми материалами, счетами и т. д. Кажется логичным привлечение экономистов к этой работе. Однако они будут нуждаться в помощи по классификации и анализу элементов затрат, а это уже работа Начальника службы безопасности.

Распределение деятельности и ответственности за нее может быть следующее (Таб. 7).

Таблица 7. Пример распределения деятельности и ответственности по затратам на ИБ

Деятельность	Исполнитель
Определение категорий затрат	Экономический отдел и служба безопасности
Сбор данных о затратах	Экономический отдел
Распределение данных по категориям	Экономический отдел
Предоставление данных о затратах в службу безопасности	Экономический отдел
Анализ затрат	Служба безопасности
Исследование причин	Служба безопасности
Разработка рекомендаций по снижению затрат	Служба безопасности
Составление отчета по затратам на безопасность и его рассылка	Служба безопасности
Координация деятельности по управлению затратами внутри всего предприятия	Служба безопасности
Наблюдение за выполнением рекомендаций и корректирующих мероприятий	Cлужба безопасности

Данный список может быть изменен - каждая организация устанавливает свою собственную систему контроля и анализа затрат на безопасность.

База для сравнений

Затраты на безопасность, взятые сами по себе в абсолютном (стоимостном) выражении, могут привести к неверным выводам. Для иллюстрации сказанного рассмотрим пример. Предположим, что какая-либо организация получила общие затраты на безопасность за четыре периода подряд (в относительных единицах):

11     12     13      14 

Эти данные, рассмотренные изолированно, приводят к выводу о том, что увеличение затрат на безопасность выходит из под контроля.

Тем не менее, если мы посмотрим объем производства за те же самые периоды времени, то обнаружим следующие величины:

100      120      140      160

Если теперь сравнить общие затраты на безопасность, отнесенные к объему производства за тот же период, то можно получить следующие данные:

12,5%      11%       10%      9,3%

Очевидно, что управление затратами на безопасность не ухудшалось по периодам, как это предполагалось первоначально, а скорее улучшалось. Хотя общие затраты на безопасность и увеличивались, объем производства увеличивался. Таким образом, необходимо соотносить затраты на безопасность с какой-либо другой характеристикой деятельности, которая чувствительна к изменению производства.

В рассмотренном выше примере, объем производства отражает, так называемую, базу измерений. При определении отношения затрат на безопасность к какой-либо подходящей базе измерений важно быть уверенным, что период, для которого все эти характеристики определялись, был один и тот же.

Типовые базы измерений

Для многих организаций приемлемо будет соотносить затраты на безопасность с объемом проданной продукции, причем имеется в виду продукция, которая уже оплачена.

Однако, если объем продаж зависит от сезонных факторов или каких-либо других циклических изменений, объем проданной продукции не может быть достоверной базой, поскольку он будет слишком изменчив, в то время как объем производства и затраты на безопасность могут оставаться относительно постоянными. Необходимо отметить, что объем проданной продукции отличается от объема поставленной продукции, поскольку поставленная потребителю продукция может быть еще не оплачена. Точно также и объем произведенной продукции может не совпадать с объемом реально проданной или поставленной. Конечно же решение о том, с какой базой измерений соотносить затраты на безопасность - стоимостью произведенной продукции; числом произведенных единиц продукта; объемом проданной продукции; стоимостью поставленной продукции - должно быть принято самим предприятием. Руководство при этом должно быть уверено, что полученные результаты действительно отражают реальную и объективную картину затрат на безопасность.

Другие базы измерений

Ниже рассмотрены некоторые базы измерений и даны пояснения почему их рекомендуется использовать.

Трудоемкость

Трудоемкость может быть представлена как величина оплаты труда, непосредственно затраченного на производство продукции. Это часто используемая на практике финансовая категория, и поэтому данные для использования в этой базе измерений должны быть, безусловно, доступны. Однако трудоемкость должна использоваться с осторожностью, поскольку она может изменяться по различным причинам, например:

• Улучшение технологии.
• Автоматизация технологических процессов.
• Смена обслуживающего персонала.

Таким образом, трудоемкость как база измерений может быть использована только для коротких промежутков времени.

Важно помнить следующее:

• Трудоемкость не может быть использована в качестве измерительной базы в том случае, если не учитывается эффект инфляции.
• Необходимо всегда сравнивать величины в их стоимостном выражении.

Характерный пример использования данной базы: отношение внутренних затрат на компенсацию последствий нарушений политики безопасности к трудоемкости.

Определение ценности информационных ресурсов предприятия

Ценность информационных ресурсов предприятия с экономической точки зрения - это совокупная стоимость собственных ресурсов, выделяемых в информационной среде предприятия. Ресурсы обычно подразделяются на несколько классов, например, физические, программные и информационные (данные). Для каждого класса должна существовать своя методика оценки ценности.

Оценка ценности ресурсов проводится специализированными организациями во время выполнения работы по анализу рисков безопасности предприятия. Как правило, оценка физических ресурсов производится с учетом стоимости их замены или восстановления работоспособности. Программные ресурсы оцениваются тем же способом, что и физические - на основе определения затрат на их приобретение или восстановление. Если для информационного ресурса существуют особенные требования к конфиденциальности или целостности (например, если исходный текст имеет высокую коммерческую ценность), то оценка этого ресурса производится по той же схеме, то есть в стоимостном выражении.

При разработке конкретных методик оценки ССВ всегда надо помнить о "тонких" моментах, связанных с оценкой ценности информационных ресурсов, учетом последст-вий нарушения режима ИБ. Как правило имеются экономические и неэкономические аспекты (например, аспекты, связанные с разглашением персональной информации или потерей репутации организации). Последние надо приводить (отображать) в денежные шкалы, что обычно делается на этапе анализа рисков.

Таким образом, анализ информационных рисков является неотъемлимой частью подобных методик, комплекс этих вопросов подробно рассматривается в .

Оценка эффективности деятельности службы ИБ

Необходимо иметь достаточно простую систему оценки, позволяющую оценить деятельности службы ИБ в качественных шкалах в разные периоды времени. Например, может использоваться субъективная оценка ве-роятности серьезного происшествия в области ИБ, которую дают ведущие специалисты отдела ИБ.

Таблица 8. Пример оценки вероятности серьезного происшествия в течение года

Данные измерений	Вывод
0,0 - 0,1	Надежность защиты высокая
0,1 - 0,25	Появились проблемы в системе защиты
0,25 - 0,5	Необходимо усилить систему защиты информации
0,5 - 0,75	Необходимо менять политику безопасности

Данная таблица приведена в качестве примера, как можно использовать любые соотношения, которые помогут "рассортировать" интересующую нас информацию.

Целью использования всех рассмотренных соотношений является сравнение эффективности деятельности предприятия в различные периоды времени.

Анализ затрат на обеспечение ИБ

Отчет по затратам на безопасность

Результаты анализа затрат на безопасность и итоговый отчет должны показать объективную картину в отношении безопасности.

Анализ затрат на безопасность - инструмент управления, он используется руководством предприятия для определения достигнутого уровня защищенности информационной среды и обнаружения проблем при постановке задач по достижению требуемого уровня защищенности.

Представленный в финансовых терминах и составленный простым языком отчет по затратам на безопасность имеет значительные преимущества перед другими видами отчетов по исследованию безопасности информационной среды предприятия и анализу рисков.

Содержание отчета по затратам на безопасность в большей степени зависит от того, кому он предназначается и от того, какую роль играет в рамках предприятия тот, кому данный конкретный отчет предназначен.

Руководство должно получить краткий отчет, который предоставляет общую картину о состоянии системы безопасности предприятия. Отчет содержит финансовые термины, должен быть доступно написан и содержать только объективную информацию.

Руководители подразделений информатизации и защиты информации должны получить более детальную информацию о достигнутом уровне защищенности тех ресурсов информационной среды предприятия, за которые оно отвечает. Отчет должен быть очень подробным и представлять данные по типам ресурсов, видам угроз и т. д. Принципом проведения анализа затрат на безопасность является получение результатов в форме, наиболее полезной и удобной для тех, кому предназначен отчет.

Руководитель, читающий отчет, должен получить информацию, которая позволит:

• Сравнить текущий уровень защищенности с уровнем прошлого периода, то есть выявить тенденции.
• Сравнить текущий уровень с поставленными целями.
• Выявить наиболее значительные области затрат.
• Выбрать области для улучшения.
• Оценить эффективность программ по улучшению.

Руководитель ожидает получить отчет по затратам на безопасность, который:

• Расскажет ему о тех вещах, которые относятся лишь к его сфере компетенции и ничего более.
• Написан легким для понимания языком и не напичкан специальными терминами. Написан четко и кратко и содержит всю необходимую информацию.
• Позволяет определить первоочередные задачи и направления деятельности.

Отчет для руководителей подразделений информатизации и защиты информации может быть представлен в виде таблицы. Предположим, что составляется отчет за три информационных ресурса, например, "А", "В" и "С", которые различаются между собой только лишь видом содержащейся информации. Оценки стоимости ресурсов близкие, а технологии защиты схожи друг с другом. Например, отчет по затратам на безопасность может выглядеть следующим образом (Таб. 9).

Таблица 9. Отчет по затратам на безопасность (пример)

Затраты	=	Периоды	=	=
	I	II	III	IV
РЕСУРС "А"	=	=	=	=
Предупредительные	227	198	209	251
На контроль	593	616	606	614
На внутренние потери	985	1016	758	744
На внешние потери	503	528	482	427
Общие затраты на безопасность	2308	2358	2065	2036
Общие затраты на безопасность, отнесенные к объему продаж	1.0 %	1,05 %	0,9 %	0,85 %
Общие затраты на безопасность, отнесенные к трудоемкости	1,9 %	2 %	1,5 %	1,4 %
РЕСУРС "В "	=	=	=	=
Предупредительные	206	229	340	397
На контроль	894	949	916	925
На внутренние потери	1903	1935	1034	948
На внешние потери	620	598	613	632
Общие затраты на безопасность	3623	3711	2903	2902
Общие затраты на безопасность, отнесенные к объему продаж	1,1 %	1,15 %	0,9 %	0,9 %
Общие затраты на безопасность, отнесенные к трудоемкости	2,5 %	2,55 %	1,4 %	1,3 %
РЕСУРС "С"	=	=	=	=
Предупредительные	184	242	299	347
На контроль	815	859	831	802
На внутренние потери	1187	1191	910	893
На внешние потери	1101	1066	72	568
Общие затраты на безопасность	3287	3358	2762	261
Общие затраты на безопасность, отнесенные к объему продаж	1,2 %	1,2 %	1,0 %	0,9 %
Общие затраты на безопасность, отнесенные к трудоемкости	1,9 %	1,9 %	1,5 %	1,4 %

Анализ затрат

Если проанализировать данные по I-му и II-му периодам, приведенные в табл. 9, то можно обнаружить, что чрезвычайно велики внутренние потери на компенсацию нарушений политики безопасности для ресурса "В", а также внешние потери на НПБ для ресурса "С".

Руководитель отдела защиты информации предпринял шаги в данном направлении. Он увеличил после II-го периода объем предупредительных мероприятий для ресурса "В", и это дало значительный эффект по снижению внутренних потерь на НПБ к концу III-го периода.

Он также увеличил после II-го периода предупредительную деятельность для ресурса "С", и после III-го периода так же произошло снижение внешних затрат на НПБ. Хотя предупредительные действия для этого ресурса не дали столь же быстрого результата, как для ресурса "В", тем не менее затраты были снижены, а к концу IV-го периода - даже в еще большей степени.

Однако, прежде чем проводить какие-либо мероприятия по усилению защищенности информационной среды предприятия, необходимо ответить на следующие вопросы: С чего надо начинать? В чем причина происходящего?

Начальнику отдела защиты информации необходима значительно большая информация, чем представленная в суммирующей таблице. Он знает, что у него возникли проблемы, но не знает какими причинами они вызваны. Он нуждается в более детальном дроблении элементов затрат на безопасность. Итак, к концу II-го периода начальник отдела защиты информации получил следующую информацию, конкретизирующую внутренние затраты на НПБ по ресурсу "В" в зависимости от угроз безопасности ресурса (Таб. 10).

Таблица 10. Составляющие затрат на внутренние потери

Код	Источник затрат	Угроза случайного или умышленного изменения информации		Угроза временной недоступности информации		Сумма (усл.ед.)	Доля (%)
=	=	Сумма	Доля (%)	Сумма	Доля (%)	=	=
W1	Восстановление системы защиты ресурса до соответствия требованиям ПБ	1001	89,3	120	10,7	1121	57,9
W2	Восстановление ресурса	133	100	-	-	133	6,9
W3	Выявление причин нарушения ПБ	97	87,4	14	12,6	111	5,7
W4	Изменения	440	77,2	130	32,8	570	29,5
=	Итого:	1671	=	264	=	1935	100

Приведенные данные показывают, что наибольшие потери связаны с воздействием угрозы случайного или умышленного изменения информации и возникающей необходимостью восстановления системы защиты ресурса до соответствия требованиям политики безопасности. Более детальная информация показывает механизмы защиты, которые были использованы для усиления системы защиты ресурса (Таб. 11).

Таблица 11. Составляющие затрат на внутренние потери в следствие реализации угрозы целостности информации

Механизмы защиты	Сумма (усл.ед.)
Затраты на введение дополнительных мер, связанных с учетом подключений пользователей к ресурсу	133	13,29
Затраты на введение дополнительных мер, связанных c контролем прав доступа сотрудников и учетом изменений их состояния (увольнение, перевод, отпуск, продолжительная болезнь)	88	8,79
Затраты на установку системы передачи файлов отчетов на сервер протоколирования	280	27,97
Приобретение дополнительных модулей удаленных запросов и выборок администратором системы безопасности	500	49,95
ИТОГО:	1001	100

Анализ этих сведений помогает определить, что предупредительные мероприятия должны быть направлены, в первую очередь, на обеспечение соответствия требованиям качества информационных технологий, а во вторую - на решение проблемы аудита системы безопасности и т. д.

Прежде чем тратить средства на предупредительные мероприятия в области обеспечения качества информационной технологии, Начальник отдела защиты информации подробно и досконально рассматривает возможные причины нанесения ущерба (уязвимости технологии защиты ресурса), например такие:

• Недостаточные возможности по архивированию данных.
• Бессистемность проведения мероприятий по архивированию данных.
• Непригодность механизма учета и контроля носителей резервных копий.
• "Слабость" нормативной базы.
• Отсутствие практики проведения тестовых испытаний системы защиты ресурсов.
• Недостаточность технических систем охлаждения и питания серверных комнат.
• Отсутствие регламента программно-технических средств "типовой рабочей станции" и т. д.

Как оказалось, в нашем примере ни одна из перечисленных причин не составляет более чем 8% от общей величины потерь в рассматриваемый период. Однако затраты на минимизацию перечисленных потерь будут существенно различны в зависимости от решаемой проблемы: наименьшие в случае совершенствования нормативной базы и, возможно, весьма значительные при оборудовании серверных комнат техническими системами охлаждения и питания.

Принятие решений

Все выявленные причины нанесения ущерба заслуживают корректирующих мероприятий, однако руководитель осуществляет поиск тех областей, которые дадут наибольшую отдачу в ответ на затраченные усилия. Именно поэтому он может рассмотреть, как первоочередную для улучшения область своих затрат, связанную с внедрением системы передачи файлов отчетов на сервер протоколирования.

Тщательный анализ может привести начальника отдела защиты информации к выводу о том, что лучше начать предупредительные мероприятия для механизмов защиты, имеющих не самую большую затратную часть.

Без доступной детальной информации борьба за повышение уровня защищенности информационной среды предприятия будет равносильна борьбе с "огнем" вместо "предупреждения пожаров".

Итак, необходимо отметить следующее:

• Затраты на безопасность могут быть снижены в значительной степени за счет того, что будут выявлены специфические причины потерь и предложены программы снижения уровня риска.
• Все рекомендации по улучшениям должны содержать данные о стоимости применения предложенных программ. Меры снижения уровня риска должны преследовать следующую цель: с наименьшими затратами получить наилучшие результаты.

Внедрение системы учета затрат на ИБ

Все вышеизложенное может показаться сложным и трудоемким для реализации. Вероятно, в связи с этим на практике редко встретишь организации, внедрившие систему сбора и анализа затрат на безопасность.

Руководители системы безопасности должны быть убеждены в полезности этого мероприятия.

Ниже предложены некоторые "секреты" успешного внедрения системы.

• Начинайте с малого и наращивайте. Возьмитесь за простое, не пытайтесь сразу же охватить все ресурсы, требующие защиты. Выберите один вид ресурса - то, что вы хотите, и стройте систему, которую сможете наполнить фактическими финансовыми данными.
• Создайте образец, чтобы показать, как это может быть сделано. Начните с тех затрат на безопасность, для которых данные уже известны. Определите иные необходимые затраты "экспертным" способом, если это необходимо.
• Не бойтесь препятствий и не откладывайте работу, решив проблему один раз, вы облегчите себе жизнь в будущем.
• Подтвердите документами ценность анализа затрат на ИБ. Упростите систему так, чтобы она соответствовала потребностям Вашей организации.

Если затраты определены с точностью +/-5%, то работа сделана с приемлемой точностью. Руководство предприятия получит более точную картину затрат на безопасность, а следовательно и оценку уровня риска

Заключение

Вместе с методикой ССВ можно использовать разнообразные методы для расчета возврата инвестиций (ROI). Как правило, для оценки доходной части сначала анализируют те цели, задачи и направления бизнеса, которые нужно достигнуть с помощью внедрения или реорганизации существующих проектов в области системной интеграции, автоматизации и информационной безопасности. Далее используют некоторые измеримые показатели эффективности бизнеса для оценки отдельно по каждому решению. Указанные показатели не надо выдумывать, они существуют в избыточном виде. Далее можно использовать методики расчета коэффициентов возврата инвестиций в инфраструктуру предприятия (ROI), например, Gartner Group.

По нашему мнению, достаточно результативно использовать следующую комбинацию: ССВ как расходную часть и ROI как расчетную. Кроме того, сегодня существуют и другие разнообразные методы и технологии расчета и измерения различных показателей экономической эффективности.

Литература

1. R. Witty , J. Dubiel , J. Girard , J. Graff , A. Hallawell , B. Hildreth , N. MacDonald , W. Malik , J. Pescatore , M. Reynolds , K. Russell , A. Weintraub , V. Wheatman. -- The Price of Information Security. Gartner Research, Strategic Analysis Report, К-11-6534 -- Gartner Research, Strategic Analysis Report, К-11-6534, June 2001
2. R. Witty -- The Role of the Chief Information Security Officer. Research Note, Gartner Research, Strategic Planning, SPA-13-2933 -- Gartner Research, Strategic Analysis Report, К-11-6534, April 2001
3. С.В. Симонов -- Технологии и инструментарий для управления рисками -- Jet Info, N2, 2003
4. С.A. Петренко , С.В. Симонов -- Экономически оправданная безопасность -- Изд. ДМК, Москва, 2003

I. Примерный перечень затрат организации на обеспечение ИБ

Предположим, что основы политики безопасности на предприятии сформированы. Систематические затраты на ИБ можно разбить на следующие группы.

Затраты на обслуживание системы безопасности (затраты на предупредительные мероприятия)

Управление системой защиты информации:

• Затраты на планирование системы защиты информации предприятия.
• Затраты на изучение возможностей информационной инфраструктуры предприятия по обеспечению безопасности информации ограниченного распространения.
• Затраты на осуществление технической поддержки производственного персонала при внедрении средств защиты и процедур, а также планов по защите информации.
• Проверка сотрудников на лояльность, выявление угроз безопасности.
• Организация системы допуска исполнителей и сотрудников конфиденциального делопроизводства с соответствующими штатами и оргтехникой.

Регламентное обслуживание средств защиты информации:

• Затраты, связанные с обслуживанием и настройкой программно-технических средств защиты, операционных систем и используемого сетевого оборудования.
• Затраты, связанные с организацией сетевого взаимодействия и безопасного использования информационных систем.
• Затраты на поддержание системы резервного копирования и ведение архива данных.
• Проведение инженерно-технических работ по установлению сигнализации, оборудованию хранилищ конфиденциальных документов, защите телефонных линий связи, средств вычислительной техники и т. п.

Аудит системы безопасности:

• Затраты на контроль изменений состояния информационной среды предприятия.
• Затраты на систему контроля за действиями исполнителей.

Обеспечение должного качества информационных технологий:

• Затраты на обеспечение соответствия требованиям качества информационных технологий, в том числе анализ возможных негативных аспектов информационных технологий, которые влияют на целостность и доступность информации.
• Затраты на доставку (обмен) конфиденциальной информации.
• Удовлетворение субъективных требований пользователей: стиль, удобство интерфейсов и др.

Обеспечение требований стандартов:

• Затраты на обеспечение соответствия принятым стандартам и требованиям, достоверности информации, действенности средств защиты.

Обучение персонала:

• Повышение квалификации сотрудников предприятия в вопросах использования имеющихся средств защиты, выявления и предотвращения угроз безопасности.
• Развитие нормативной базы службы безопасности.

Затраты на контроль:

• Плановые проверки и испытания.
• Затраты на проверки и испытания программно-технических средств защиты информации.
• Затраты на проверку навыков эксплуатации средств защиты персоналом предприятия.
• Затраты на обеспечение работы лиц, ответственных за реализацию конкретных процедур безопасности по подразделениям.
• Оплата работ по контролю правильности ввода данных в прикладные системы.
• Оплата инспекторов по контролю требований, предъявляемых к защитным средствам при разработке любых систем (контроль выполняется на стадии проектирования и спецификации требований).

Внеплановые проверки и испытания:

• Оплата работы испытательного персонала специализированных организаций.
• Обеспечение испытательного персонала (внутреннего и внешнего) материально-техническими средствами.

Контроль за соблюдением политики ИБ:

• Затраты на контроль реализации функций, обеспечивающих управление защитой коммерческой тайны.
• Затраты на организацию временного взаимодействия и координации между подразделениями для решения повседневных конкретных задач.
• Затраты на проведение аудита безопасности по каждой автоматизированной информационной системе, выделенной в информационной среде предприятия.
• Материально-техническое обеспечение системы контроля доступа к объектам и ресурсам предприятия.

Затраты на внешний аудит:

• Затраты на контрольно-проверочные мероприятия, связанные с лицензионно-разрешительной деятельностью в сфере защиты информации.

Пересмотр политики информационной безопасности предприятия (проводится периодически):

• Затраты на идентификацию угроз безопасности.
• Затраты на поиск уязвимостей системы защиты информации.
• Оплата работы специалистов, выполняющих работы по определению возможного ущерба и переоценке степени риска.

Затраты на ликвидацию последствий нарушения режима ИБ:

• Восстановление системы безопасности до соответствия требованиям политики безопасности.
• Установка патчей или приобретение последних версий программных средств защиты информации.
• Приобретение технических средств взамен пришедших в негодность.
• Проведение дополнительных испытаний и проверок технологических информационных систем.
• Затраты на утилизацию скомпрометированных ресурсов.

Восстановление информационных ресурсов предприятия:

• Затраты на восстановление баз данных и прочих информационных массивов.
• Затраты на проведение мероприятий по контролю достоверности данных, подвергшихся атаке на целостность.

Затраты на выявление причин нарушения политики безопасности:

• Затраты на проведение расследований нарушений политики безопасности (сбор данных о способах совершения, механизме и способах сокрытия неправомерного деяния. поиск следов, орудий и предметов посягательства; выявление мотивов неправомерных действий и т. д.).
• Затраты на обновление планов обеспечения непрерывности деятельности службы безопасности.

Затраты на переделки:

• Затраты на внедрение дополнительных средств защиты, требующих существенной перестройки системы безопасности.
• Затраты на повторные проверки и испытания системы защиты информации.

Внешние затраты на ликвидацию последствий нарушения политики безопасности:

• Обязательства перед государством и партнерами.
• Затраты на юридические споры и выплаты компенсаций.
• Потери в результате разрыва деловых отношений с партнерами.

Потеря новаторства:

• Затраты на проведение дополнительных исследований и разработки новой рыночной стратегии.
• Отказ от организационных, научно-технических или коммерческих решений, ставших неэффективными в результате утечки сведений и затраты на разработку новых средств ведения конкурентной борьбы.
• Потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно-технические достижения.

Прочие затраты:

• Заработная плата секретарей и служащих, организационные и прочие расходы, которые непосредственно связаны с предупредительными мероприятиями.
• Другие виды возможного ущерба предприятию, в том числе связанные с невозможностью выполнения функциональных задач, определенных его Уставом.

Начало