ББК 05.25.05
И. М. Ажмухамедов, Т. Б. Ханжина
ОЦЕНКА ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ МЕР ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Введение
Быстрое развитие информационных технологий требует постоянного совершенствования систем защиты информации и анализа экономической эффективности их внедрения. Оценка экономической целесообразности применения мер по обеспечению информационной безопасности (ИБ) является важной задачей, решение которой должно осуществляться на основе комплексного подхода, учитывающего специфику конкретной организации [1].
Формальная постановка задачи выбора оптимального с точки зрения затрат набора мероприятий, обеспечивающих необходимую эффективность защиты активов информационной системы, была приведена в [2]. Однако методика решения данной задачи отсутствует.
Оценка эффективности внедрения инвестиционных проектов в такой сфере деятельности, как ИБ вызывает особые сложности. Это обусловлено рядом факторов. В частности:
1. Информационная безопасность является относительно новой сферой деятельности, и в связи с этим недостаточно проработаны методы оценки информационных рисков и методики оценки информационных ресурсов.
2. Большинство методов оценки экономической эффективности внедрения мер по обеспечению ИБ опираются на использование статистики успешной реализации угроз. Однако доступ к такой статистике ограничен - организации не желают разглашать информацию, которая может повлечь за собой неблагоприятные последствия (ухудшение репутации компании, потерю постоянных и потенциальных клиентов и т. п.).
3. Убытки (прямые и косвенные), наносимые организации вследствие реализации угрозы, достаточно трудно оценить, что связано со сложностью прогнозирования всех возможных последствий реализации угрозы и оценки их значимости для организации.
4. При рассмотрении редких событий, которые происходят один раз в 10, 20 или более лет, также возникают затруднения. Сбор статистических данных в этом случае практически невозможен, поскольку каждое такое событие является по-своему уникальным, а размер ущерба, наносимого организации в результате реализации такого события, как правило, превышает размер ущерба, нанесенного в результате идентичного предыдущего события.
Кроме того, многие аспекты, касающиеся безопасности, могут вообще не подлежать количественному измерению. Они являются сугубо качественными, и предлагать измерять их количественно в большинстве случаев бесперспективно. Кроме того, часто получение от лица, принимающего решение (ЛПР), надежной количественной информации бывает затруднительным. В таких случаях стремятся получить от него в основном только качественную информацию. Например, информацию о том, какой из критериев наиболее или наименее значим, какой из критериев может быть ухудшен, а для каких ухудшение крайне нежелательно и т. д.
В данном случае целесообразно сразу применять лингвистическое описание. Тогда от эксперта не требуется количественной точности, а требуется лишь субъективная оценка на естественном языке. Затем лингвистическое описание может быть сопоставлено с количественной (например, балльной) шкалой носителя с помощью методов теории нечеткого гранулирования [3].
Постановка и решение задачи
Необходимо разработать основанную на экспертных оценках методику выбора оптимального комплекса мер по обеспечению ИБ при заданных ограничениях.
Пусть S - число значимых для предприятия сервисов безопасности; N - число мер обеспечения безопасности, которые потенциально могут быть реализованы для обеспечения ИБ; аь ^2, к а5 - степени значимости каждого сервиса безопасности, определяемые, например, с помощью модифицированного метода нестрогого ранжирования, изложенного в [4]. Данный метод позволяет определить обобщенные на случай предпочтения/безразличия факторов по отношению друг к другу веса Фишберна и обеспечивает выполнение условий:
5
для "у е {1, 2, к а у е [0, 1] и ^ а у = 1.
у =1
Обозначим еп, е12, к ву, к еш - эффектность /-го набора мер обеспечения ИБ (НМОИБ)
по отношению к у-му сервису безопасности.
Оценки е/у могут быть получены в процессе ранжирования НМОИБ по каждому сервису безопасности либо могут быть непосредственно определены экспертами в терминах лингвистических переменных. Во втором случае необходимо ввести терм-множество качественных оценок уровней эффективности каждого набора, например:
Ь = {Низкий (Н), Ниже среднего (НС), Средний (С), Выше среднего (ВС), Высокий (В)}.
В качестве семейства функций принадлежности может выступать стандартный пятиуровневый 01-классификатор, где функции принадлежности - трапециевидные нечеткие числа:
Н (0; 0; 0,15; 0,25); НС (0,15; 0,25; 0,35; 0,45); С (0,35; 0,45; 0,55; 0,65);
ВС (0,55; 0,65; 0,75; 0,85); В (0,75; 0,85; 1; 1)
Стандартный классификатор осуществляет проекцию нечеткого лингвистического описания на 01-носитель, при этом делает это непротиворечивым способом, симметрично располагая узлы классификации (0.1, 0.3, 0.5, 0.7, 0.9) [5].
В этих узлах значение соответствующей функции принадлежности равно единице, а всех остальных функций - нулю. Неуверенность эксперта в классификации убывает (возрастает) линейно с удалением от узла (с приближением к узлу соответственно). При этом сумма функций принадлежности во всех точках носителя равна единице.
Построенный классификатор есть разновидность так называемой «серой» шкалы Поспелова [6], представляющей собой полярную (оппозиционную) шкалу, в которой переход от свойства А+ к свойству А" происходит плавно, постепенно.
Подобные шкалы удовлетворяют условиям: а) взаимной компенсации между свойствами А+ и А- (чем в большей степени проявляется А+, тем в меньшей степени проявляется А-, и наоборот); б) наличия нейтральной точки А0, интерпретируемой как точка наибольшего противоречия, в которой оба свойства присутствуют в равной степени. В случае нашего нечеткого классификатора это абсциссы нейтральных точек (0.2, 0.4, 0.6, 0.8).
Таким образом, мы переходим от качественного описания уровня эффективности к стандартному количественному виду соответствующей функции принадлежности (нечеткое трапециевидное число).
В рассматриваемой задаче критерий выбора в ситуации принятия решения представляет собой совокупность отдельных критериев Ку (у = 1, ..., 5), и соответствующая задача становится многокритериальной.
При решении таких задач часто используются различные методы свертки критериев в один обобщенный (комплексный) критерий.
Наиболее простой метод построения интегрального критерия заключается в выделении одного из критериев в качестве основного, а все остальные критерии добавляются к ограничениям, в которых задается область допустимых значений вектора независимых переменных. Таким образом, задача с векторным критерием сводится к задаче принятия решения со скалярным аргументом.
Основной недостаток такого подхода заключается в том, что фактически поиск ведется лишь по одному критерию. Значения остальных критериев, если они удовлетворяют ограничениям, по существу не влияют на результаты поиска.
Другие методы построения комплексного критерия - это аддитивная и мультипликативная свертка.
Аддитивный критерий, являясь наиболее простым, в то же время из-за возможности неограниченной компенсации значений одних критериев за счет других нечувствителен к крайним значениям отдельных критериев. Значение же мультипликативного критерия, в отличие от аддитивного, резко уменьшается при малых значениях отдельных критериев, что позволяет исключить нежелательные варианты.
При решении задачи выбора оптимального НМОИБ представляется целесообразным воспользоваться аддитивной сверткой, которая для /-го набора мер может быть записана в виде
Такой выбор интегрального критерия технической эффективности будет корректным при условии, что соблюдены требования по обеспечению минимального уровня каждого из значимых сервисов безопасности. Совокупность ограничений, отражающих эти требования, фактически определяет подмножество приемлемых вариантов НМОИБ, среди которых необходимо найти лучшее (в каком-то заданном смысле, например, с точки зрения экономической эффективности).
При построении свертки с целью унификации разнородных критериев целесообразно перейти от абсолютных значений к относительным величинам. Для этого фиксируем шкалу возможных значений для критериев и возможные границы изменения для каждого из них. Например, если в качестве шкалы принять [0; 1], а границы изменения критерия ^ лежат между K/mln и K/max, то в качестве относительного значения критерия будет выступать величина
Рассчитав показатели технической эффективности Ki для всех возможных наборов мер обеспечения ИБ, необходимо определить критерии выбора наиболее оптимального комплекса с точки зрения экономической эффективности.
Экономическая эффективность характеризуется соотношением экономического эффекта, полученного в течение одного года, к затратам общественного труда. Сравнительная экономическая эффективность характеризует экономические преимущества одного варианта по сравнению с другими в наиболее рациональном использовании затрат и ресурсов [7].
Примем в качестве интегрального показателя эффективности отношение технической эффективности определённого набора мер к экономической составляющей, соответствующей данному набору. Необходимо решить, какую величину принять в качестве экономической составляющей.
Для оценки экономической составляющей эффективности ИТ-проектов в мировой практике наиболее часто используются следующие основные показатели: коэффициент рентабельности инвестиций (ROI), чистая приведенная стоимость (NPV), внутренняя норма рентабельности (IRR), период окупаемости (Payback Period), экономическая привлекательность (EVA), сбалансированная система показателей (BSC), совокупная стоимость владения (TCO) и первичное публичное предложение (IPO) [8].
Выделим основные преимущества и недостатки этих показателей с точки зрения ИБ. Коэффициент рентабельности инвестиций ROI представляет собой отношение чистой прибыли к общим затратам. Формула, на первый взгляд, довольно простая. Однако при попытке оценить чистую прибыль от реализации проекта по ИБ возникают существенные затруднения.
Дело в том, что целью внедрения таких проектов не является прямое увеличение прибыли организации. Напротив, введение дополнительных мер по обеспечению ИБ приводит к снижению производительности информационных систем и сотрудников организации.
Однако полностью исключить затраты на ИБ невозможно, поскольку несанкционированный доступ или модификация, а также временная недоступность критичной для организации информации может привести к самым неблагоприятным для неё последствиям (вплоть до прекращения существования вследствие банкротства).
Отдельные статьи расходов на ИБ вообще невозможно исключить, т. к., например, Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных», полностью вступивший в силу 1 января 2011 г., обязывает организации защищать персональные данные своих сотрудников и клиентов [9]. По закону каждой информационной системе, в которой хранятся и обрабатываются персональные данные, необходимо присвоить класс, в соответствии с которым должна обеспечиваться защита этих данных. Очевидно, что расходы, которые несет организация вследствие вступления в силу этого и аналогичных законов, неизбежны, и ни о какой прибыли не может идти и речи.
j=1
K max
_ k min
Что касается других мер по обеспечению ИБ, внедрение которых не является обязательным, подсчитать доход от их реализации довольно сложно. Информационная безопасность имеет целый ряд особенностей, делающих распространенные способы расчета ROI неэффективными [10].
Аналогичные трудности возникают и при попытке оценить другие показатели: чистую приведенную стоимость (NPV), внутреннюю норму рентабельности (IRR), период окупаемости (Payback Period), экономическую привлекательность (EVA) и т. п.
Учитывая специфические особенности сферы применения этих показателей, их использование для оценки эффективности проектов по ИБ нецелесообразно в связи с потенциальной убыточностью таких проектов.
Другая методика оценки затрат компании на ИБ связана с принципами BCP (Business Continuity Management - планирование непрерывности бизнеса) [11].
BCP представляет собой целый комплекс различных мероприятий, направленных на снижение рисков прерывания бизнеса и их негативных последствий.
Это более широкий вопрос, чем обеспечение ИБ. Система защиты коммерческой информации является частью BCP. Использование этой методики в такой сфере деятельности, как ИБ вызывает большие сложности по двум основным причинам:
1. Оценка эффективности затрат, предполагаемая принципами BCP, основывается на статистических данных. При этом учитываются вероятность возникновения опасной ситуации и потери, которые понесет компания в этом случае. К сожалению, в большинстве случаев подобной точной статистики не существует или она недоступна.
2. Введение в действие принципов BCP требует значительных затрат, которые могут себе позволить только крупные компании.
Сбалансированная система показателей (BSC) - это управленческая и стратегическо-измерительная система, которая переводит миссию и стратегию организации в сбалансированный комплекс интегрированных рабочих показателей. Данная система позволяет выявить существующие взаимосвязи между важнейшими параметрами развития предприятия.
В своем исходном варианте BSC плохо подходит для применения в сфере ИБ, хотя в работе А. В. Лукацкого [12] была предпринята весьма успешная попытка адаптации данной системы к целям оценки деятельности служб безопасности. Однако для решения задачи определения НМОИБ методика BSC не годится, поскольку она более ориентирована на управление активами и ресурсами, а не на оценку их финансирования [13].
Чаще всего в области ИБ для определения затрат на создание системы защиты и оценки ее эффективности используется показатель TCO (Total Cost Of Ownership - совокупная стоимость владения).
Наиболее общим определением ТСО является следующее: полный комплекс затрат, связанных с приобретением, внедрением и использованием системы и воспринимаемых как единые затраты на информационную систему в процессе её создания и эксплуатации [11].
Данная методика была разработана известной аналитической компанией Gartner Group в конце 80-х гг. (1986-1987). Первоначально она рассматривалась как способ оценки затрат на внедрение в управление компанией компьютерных технологий. Однако в настоящее время данная методика получила наибольшее распространение именно в области ИБ [14].
Под показателем TCO понимается сумма прямых и косвенных затрат на организацию (реорганизацию), эксплуатацию и сопровождение корпоративной системы защиты информации в течение года.
При этом прямые затраты включают как капитальные компоненты затрат (ассоциируемые с фиксированными активами или «собственностью»), так и трудозатраты, которые учитываются в категориях операций и административного управления. Сюда же относят затраты на услуги удаленных пользователей и другие затраты, связанные с информационной поддержкой деятельности организации.
В свою очередь, косвенные затраты отражают влияние корпоративной информационной системы (КИС) и подсистемы защиты информации на сотрудников компании посредством таких измеримых показателей, как простои и «зависания» корпоративной системы защиты информации и КИС в целом, затраты на операции и поддержку (не относящиеся к прямым затратам). Очень часто косвенные затраты играют значительную роль, т. к. они обычно изначально не отражаются в бюджете на ИБ, а выявляются явно при анализе затрат впоследствии, что в конечном счете приводит к росту «скрытых» затрат компании на ИБ.
Совокупная стоимость владения для системы ИБ в общем случае складывается из стоимости: проектных работ; закупки и настройки программно-технических средств защиты, включающих следующие основные группы: межсетевые экраны, средства криптографии, антивирусы и АЛЛ (средства аутентификации, авторизации и администрирования); затрат на обеспечение физической безопасности; обучения персонала; управления и поддержки системы (администрирование безопасности); аудита ИБ; периодической модернизации системы ИБ [15].
При этом затраты на приобретение и ввод в действие программно-технических средств могут быть получены из анализа накладных, записей в складской документации и т. п.
Выплаты персоналу могут быть взяты из ведомостей. Объемы выплат заработной платы должны быть взяты с учетом реально затраченного времени на проведение работ по обеспечению ИБ.
При применении методики ТСО для каждого варианта системы безопасности вычисляется совокупная стоимость владения. Затем выбирается система с минимальным параметром ТСО. Это означает, что при выборе этого варианта компания понесет минимальные затраты (в которые входят и убытки вследствие возникновения проблем с ИБ).
Основной недостаток показателя совокупной стоимости владения состоит в том, что он характеризует только расходную часть внедрения информационной системы. Круг применения этого метода обычно ограничивается выбором одного из альтернативных проектов с предполагаемым одинаковым эффектом использования.
При решении задачи нахождения оптимального НМОИБ представляется целесообразным объединить методику расчета показателей технической эффективности и методику ТСО для определения комплексной эффективности внедряемых наборов мер.
После расчёта ТСО и показателей технической эффективности К каждому набору мер
по обеспечению ИБ можно поставить в соответствие величину Qi = К /ТСО, , которая фактически отражает соотношение «цена/качество» для каждого НМОИБ.
Далее можно составить таблицу, по которой будет осуществляться выбор комплекса мер с учетом заданных ограничений.
Характеристики НМОИБ
Номер набора і Номера мер, входящих в набор Показатель технического эффекта набора, Кі Показатель экономического эффекта набора, ТСОі Комплексный критерий, а = Кі ІТСОі
1 2 3 N
1 1 0 0 0 0 0 К ТСО1 Ql
2 0 1 0 0 0 0 К ТСО 2 Q2
3 0 0 1 0 0 0 К ТСОз Qз
2М - 1 1 1 1 1 1 0
2М 1 1 1 1 1 1 К2М ТСО2м Q2N
В таблице символ «1» в 7-й строке означает присутствие соответствующей меры в і-м наборе, символ «0» - мера в наборе отсутствует. Максимальное число строк в таблице равно 2м. Однако не всегда все наборы могут быть реализованы. Например, не может быть реализован набор, в котором одновременно присутствует несколько антивирусных программ в связи с тем, что обычно они конфликтуют за ресурсы системы и приводят к ее «зависанию». Какие-то наборы могут быть исключены исходя из других соображений.
Если размер финансовых средств, выделяемых на обеспечение ИБ, не ограничен, то целесообразно выбрать комплекс мер, которому соответствует наибольшее значение К7 .
Если выделяемый на обеспечение ИБ бюджет ограничен, то целесообразно рассмотреть только такие совокупности средств, ТСО которых не превышает максимально допустимую величину, а из этого множества, в свою очередь, выбрать такой НМОИБ, которому соответствует наибольшее значение комплексного критерия Q.
Выводы
Таким образом, разработанная методика позволяет определить оптимальный с точки зрения экономической целесообразности комплекс мер по обеспечению ИБ с учетом заданных ограничений.
СПИСОК ЛИТЕРАТУРЫ
1. Карпенко С. В. Экономика информационной безопасности // http://www.pcweek.ua/ themes/detail.php?ID=127249.
2. Ажмухамедов И. М. Принципы обеспечения комплексной безопасности информационных систем // Вестн. Астрахан. гос. техн. ун-та. Сер.: Управление, вычислительная техника и информатика. - 2011. -№ 1. - С. 7-11.
3. Трухаев Р. И. Модели принятия решений в условиях неопределенности. - М.: Наука, 1981. - 258 с.
4. Ажмухамедов И. М. Моделирование на основе экспертных суждений процесса оценки информационной безопасности // Вестн. Астрахан. гос. техн. ун-та. Сер.: Управление, вычислительная техника и информатика. - 2009. - № 2. - С. 101-109.
5. Kaufmann A., Gupta M. Introduction to Fuzzy Arithmetic: Theory and Applications. - Van Nostrand Reinhold, 1991. - 161 p.
6. Поспелов Д. С. «Серые» и/или «черно-белые» [шкалы] // Прикладная эргономика. Спец. вып. «Рефлексивные процессы». - 1994. - № 1. - С. 15-21.
7. Вотинов А. С. Система сбалансированных показателей (BALANCED SCORECARD) // http://www.finbooks.net/index.php?option=com_content&task=view&id=167&Itemid=79.
8. Дворчук О. И. Показатели экономической эффективности ИТ-проектов // http://security.ase.md/ publ/ru/pubru 107/Dvorciuk_0.pdf.
9. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» // http://www.rg.ru/2006/07/29/personaljnye-dannye-dok.html.
10. Галкин Г. А. R0I - до мелочей. Цена времени // http://www.iemag.ru/master-class/detail.php?ID=15691.
11. Ларина И. Е. Экономика защиты информации. - М.: МГИУ, 2007. - 92 с.
12. Лукацкий А. В. BSC и информационная безопасность // http://www.osp.ru/cio/2009/01/5766348/.
13. ДавлетхановМ. А. Оценка затрат компании на ИБ // http://www.getinfo.ru/article682.html.
14. Петренко С. А., Симонов С. В., Кислов Р. И. Информационная безопасность: экономические аспекты // http://citforum.ru/security/articles/sec/index.shtml.
15. Буйдов А. Ю. Совокупная стоимость владения. Игра у сетки // http://www.iemag.ru/master-class/detail.php?ID=15689.
Статья поступила в редакцию 11.03.2011
ASSESSMENT OF ECONOMIC EFFICIENCY OF MEASURES TO ENSURE THE INFORMATION SECURITY
I. M. Azhmukhamedov, T. B. Khanzhina
The methods of choosing the optimal set of measures for information security under the given restrictions, based on expert assessments are presented. The development of the methods is conditioned by practical needs. The methods can be widely used in practice when solving problems of assessment of the economic feasibility of measures to ensure information security in conditions of limited funding.
Key words: economic feasibility, information security, the optimal set of measures, security services, integrated test, the total cost of ownership, complex criterion.