CC BY
159
УДК 004.056
ПОСТРОЕНИЕ МОДЕЛИ ОЦЕНКИ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ СИСТЕМЫ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
М.М. Репин, А.В. Сакулина, Е.А. Пшехотская
Рассмотрены проблемы оценки экономической эффективности системы информационной безопасности. Предложена и описана методика расчета экономической эффективности системы информационной безопасности, учитывающая снижение ущерба от реализации угроз информационной безопасности при применении мер защиты информации.
Ключевые слова: оценка экономической эффективности, ущерб, меры защиты, оценка затрат, матрица ущерба, система информационной безопасности.
Одной из актуальных тем для организаций, уделяющих внимание вопросам обеспечения информационной безопасности является обоснование затрат на построение и эксплуатацию системы информационной безопасности.
В тоже время, данный вопрос часто вырождается в процесс «защиты» бюджета подразделения информационной безопасности, связанного со средствами и системами защиты информации перед лицом топ-менеджмента.
Таким образом, возникает необходимость в наличии методики, позволяющей проводить как поверхностную оценку затрат на обеспечение информационной безопасности, так и глубокий анализ оценки совокупной стоимости владения системой информационной безопасности и ее экономическую обоснованность.
Выбор базовой методики оценки затрат
Данная методика может быть построена на основе метода совокупной стоимости владения (Total Cost of Ownership), применение которого c точки зрения информационной безопасности рассматривается в настоящей работе.
Методика оценки совокупной стоимости владения (TCO) была предложена компа-
нией Gartner Group для расчета стоимости информационных технологий. Методика позволяет учитывать расходы на информационные активы организации с учетом прямых и косвенных затрат на программно-аппаратные средства, организационные мероприятия, повышение осведомленности пользователей, обучение персонала и др. Данную методику часто используют в качестве основного инструмента для расчета совокупной стоимости владения информационными системами (ИС). Основной задачей расчета по методике TCO является определение избыточных расходов и оценка возможности возврата инвестиций, вложенных в ИС. Методика TCO может применяться на всех стадиях жизненного цикла ИС, что позволяет применять ее как на внедренных, так и на разрабатываемых системах.
В целом, определение затрат на ИС подразумевает решение трех следующих вопросов [2,3]:
- оценку текущего уровня TCO СЗИ организации и информационной системы в целом;
- аудит ИС организации на основе сравнения уровня затрат организации и рекомендуемого уровня TCO, который устанавливается лучшими мировыми практиками;
- формирование целевой модели TCO.
При осуществлении работ для оценки
уровня TCO системы защиты информации целесообразно провести сбор информации и рассчитать показатели TCO по следующим основным направлениям:
- внедренные компоненты системы информационной безопасности;
- расходы на аппаратные и программные компоненты системы информационной безопасности;
- расходы на обеспечение информационной безопасности организации в рамках системы информационной безопасности;
- расходы на организационные меры за-
щиты в рамках системы информационной безопасности.
Учитывая возможность применения данной методики на всех стадиях жизненного цикла информационной системы и ее независимость от временных диапазонов целесообразно рассмотреть возможность ее использования для оценки экономической эффективности системы информационной безопасности.
Для достижения цели необходимо оценить не только затраты на построение и сопровождение системы информационной безопасности, но и возможный риск реализации актуальных угроз, а также потенциальное снижение ущерба с помощью внедряемой системы защиты информации.
Подход к построению модели оценки экономической эффективности системы информационной безопасности описывается в следующем разделе.
Теоретические основы построения модели оценки экономической эффективно-стисистемы информационной безопасности
Определим объем информации, необходимый для проведения оценки экономической эффективности системы информационной безопасности. В крупных организациях с развитыми процессными подходами, зрелой моделью бизнеса, для утверждения затрат потребуется предоставить в соответствующие аналитические подразделения соответствующие материалы, обосновывающие затраты на систему информационной безопасности и подтвержденные статистическими данными и расчетами, основанными на лучших практиках.
В тоже время, для организаций среднего и малого бизнеса процесс обоснования затрат может проходить по упрощенной схеме и без использования больших объемов статистических и аналитических данных [4,5].
С точки зрения определения вектора оценки существенное значения может иметь такой документ как Политика информационной безопасности организации (далее - Политика ИБ). Политика ИБ должна быть направлена на удовлетворение потребностей бизнеса, в том числе путем предложения безопасных способов его ведения как части
корпоративной этики, проведения процедур минимизации рисков нарушения информационной безопасности с целью поддержания приемлемого уровня защищенности интересов бизнеса, которая характеризуется отсутствием недопустимых для бизнеса рисков, связанных с информацией и информационной инфраструктурой Дорожной картой по реализации положений Политики ИБ может служить Концепция развития системы информационной безопасности (далее - Концепция развития).
В Концепции развития целесообразно определить направления развития деятельности, связанной с обеспечением информационной безопасности, установив основные подходы и обозначив применяемые меры и средства защиты информации для обеспечения приемлемого уровня защищенности интересов организации в условиях постоянного воздействия угроз информационной безопасности. То есть, необходимо представить целевое развитие системы обеспечения информационной безопасности, указав существующие риски, которые необходимо минимизировать и меры по их минимизации, в том числе, связанные с внедрением соответствующих технических систем и средств защиты.
Таким образом, с помощью Концепции развития можно заранее спрогнозировать затраты на развитие системы информационной безопасности.
Кроме того, учитывая, что в большинстве случаев минимизация тех или иных критических рисков нарушения информационной безопасности связана с утечками определенной информации или получением несанкционированного доступа к ресурсам с целью получения конкретной выгоды мошенником (например, хищение денежных средств путем перевода на мошеннические счета, или нарушение авторских прав, в том числе в области ноу-хау, получение секретов производства и пр.), можно и на основании экспертных оценок спрогнозировать вероятный ущерб от реализации угроз информационной безопасности, причем как в стоимостном эквиваленте (в том числе риски потери репутации организации перед лицом клиентов и контрагентов и соответствующий отток ка-
питала, штрафные санкции регулирующих и надзорных органов, судебные издержки, выплаты, связанные с мировыми заключениями и пр.), так и подходя к вопросу с точки зрения ответственности, определённой законодательством (в том числе риски, связанные с применением регулирующими и надзорными органами отдельных правовых норм).
Получив предварительную оценку ущерба от реализации идентифицированных рисков нарушения информационной безопасности, связанных наличием каких-либо уязвимостей системы информационной безопасности и/или отсутствием конкретных механизмов/систем защиты, полученные результаты дополняются соответствующей статистикой фактов успешной реализации подобных рисков в отрасли [ 1].
Для расчета затрат на построение системы информационной безопасности целесообразно сформировать математический аппарат, учитывающий особенности конкретной области.
Данный математический аппарат представлен в следующем разделе.
Методика расчета стоимости системы защиты информации
Создание системы защиты информации с заданными параметрами рентабельности и снижения риска предполагает затраты C. Учитывая возможность появления различных случайных факторов, затраты на создание системы информационной безопасности можно представить как C=F(CA';S;y) - общая стоимость (совокупная стоимость владения -TCO), где:
S - состав применяемых средств защиты информации;
№+пгсГ)+У! _ ^т О+у С - ^¿=1 -^¿ = 1 ; (1)
с_ - стоимость реализации i -ой меры защиты, которая складывается из:
С; — С; + С; — К; +
1 1 стоимость средства защиты ^прочие расходы 1
щ ■ ст; (2)
у - суммарный остаточный ущерб после применения мер защиты;
Матрица прогнозируемого ущерба: Угрозы Мщ ... Miin
х Cl
О
—
g
X =
es
Al
а
il
а
m 1
а
... а
1л
где: а' прогнозируемый ущерб после применения меры защиты;
Мип- угроза информационной безопасности;
- мера защиты информации. Матрица остаточного ущерба:
Угрозы Мил ... Мип
Л fcx „п a n . . a"
.0 H j;
Cl U = n и
5 es m a ml . a
1п
Ух = о!'ц ^ rnin, где j = 1, п. (3)
а
¿,у - остаточный ущерб после применения меры защиты;
Ь - разница между прогнозируемым ущербом до применения мер защиты и остаточным ущербом;
Ь — Е1=1(а'0- - а"у), где у — (4)
у —я^С^мв)
К - капитальные (единовременные) затраты на /-ю меру защиты;
Ст
£ - эксплуатационные затраты на /-ю меру защиты;
- количество планируемых лет эксплуатации меры защиты (прогнозируется по результатам анализа развития технических возможностей нарушителя);
к1 — К + ^т + ^ + К + (6)
- затраты на проектирование меры защиты;
Кт - затраты на технические средства; - затраты на внедрение меры защиты
Ке - затраты на обучение персонала; К - затраты на тестирование меры защиты;
г-т _ рт , г-т , г-т , г-т. С1 = С1с + С1а + С1е + С1о ;
Ст
с - зарплата сотрудников, эксплуатирующих меру защиты (служба безопасности);
Ст
а - амортизационные отчисления; Ст - затраты на техническое обслуживание;
Ст
то - прочие затраты;
Существенное преимущество данной методики заключается в том, что она дает возможность объективно оценить угрозы информационной безопасности и экономическую эффективность создаваемой системы информационной безопасности не только на основе затрат, но исходя из данных о потенциальном снижении ущерба при применении конкретных мер защиты информации.
В статье рассмотрены проблемы оценки экономической эффективности системы информационной безопасности.
Предложена и описана методика расчета экономической эффективности системы информационной безопасности,
учитывающая снижение ущерба от реализации угроз информационной безопасности при применении мер защиты информации.
Использование описанных схем и моделей позволяет построить систему информационной безопасности с учетом влияния различных факторов и угроз информационной безопасности на всех уровнях функционирования
информационных систем.
Список литературы
1. Михеев, В. А. Способ определения степени уязвимости автоматизированной информационной системы в отношении конкретных методов реализации угроз безопасности информации / В. А. Михеев, А.
B. Кузнецов, М. М. Репин // Вопросы защиты информации. - 2013. - №1. - С. 20-25.
2. Петренко, С. А. Управление информационными рисками. Экономически оправданная безопасность / С. А. Петренко,
C. В. Симонов. - М.: Изд-во ДМК Пресс. -
2005. - 392 с.
3. Петренко, С. А. Оценка затрат на экономическую эффективность / С. А. Петренко, Е. М. Терехова // Защита информации. INSIDE. - 2005. №1. - С. 36-48.
4. Репин, М. М. Приоритеты финансирования задач IT, телекома и информационной безопасности / М. М. Репин // IT-SECURITY. Системы и средства защиты информации. -2009. - №1. - С. 23.
5. Троицкий, И. И. Организация работы по защите информации на этапе испытаний опытного образца радиоэлектронной техники / И. И. Троицкий, М. М. Репин // Безопасные информационные технологии: сборник трудов Второй всероссийской научно-технической конференции (НИИ радиоэлектроники и лазерной техники). - М., 2011. -С. 136-138.
References
1. Miheev, V. A. Sposob opredelenija stepeni ujazvimosti avtomatizirovannoj informacionnoj sistemy v otnoshenii konkretnyh metodov realizacii ugroz bezopasnosti informacii / V. A. Miheev, A. V. Kuznecov, M. M. Repin // Voprosy zashhity informacii. - 2013. - №1. - S. 20-25.
2. Petrenko, S. A. Upravlenie infor-macionnymi riskami. Jekonomicheski oprav-dannaja bezopasnost' / S. A. Petrenko, S. V. Si-monov. - M.: Izd-vo DMK Press. - 2005. - 392 s.
3. Petrenko, S. A. Ocenka zatrat na jekonomicheskuju jeffektivnost' / S. A. Petrenko, E. M. Terehova // Zashhita informacii. INSIDE. - 2005. №1. - S. 36-48.
4. Repin, M. M. Prioritety finansirovanija zadach IT, telekoma i informacionnoj bezopas-nosti / M. M. Repin // IT-SECURITY. Sistemy i sredstva zashhity informacii. - 2009. - №1. -S. 23.
5. Troickij, I. I. Organizacija raboty po zash-hite informacii na jetape ispytanij opytnogo obrazca radiojelektronnoj tehniki / I. I. Troickij, M. M. Repin // Bezopasnye informacionnye tehnologii: sbornik trudov Vtoroj vserossijskoj nauchno-tehnicheskoj konferencii (NII radiojel-ektroniki i lazernoj tehniki). - M., 2011. - S.
136-138.
Сведения об авторах
Репин Максим Михайлович - ассистент кафедры ИУ-8 МГТУ им. Н.Э. Баумана, г. Москва
Сакулина Анастасия Владимировна -
специалист по защите информации, г. Москва
Пшехотская Екатерина
Александровна - к.ф.н., доцент факультета информатики и систем управления, руководитель образовательной программы «Безопасность перспективных информа-
ционных систем», Московский
Политехнический Университет, г. Москва
Information about authors
Repin M.M. - Assistant at the Department IU-8, BMSTU, Moscow
Sakulina A.V. - Information Security Specialist, Moscow
Pshehotskaya E.A. - PhD. in Linguistics, Associate Professor Faculty of Informatics and Control systems, chair of educational program «Information systems security», Moscow Polytechnic University, Moscow
