Информационная безопасность
Пример оценки затрат на ИБ
В качестве примера использования методики ССВ для обоснования инвестиций в ИБ рассмотрим проект модернизации корпоративной системы антивирусной защиты и системы управления доступом на объекте информатизации (физическая защита).
Для этого сначала условно определим три возможных состояния системы защиты КИС от вирусов и вредоносного ПО, а именно: базовое, среднее и высокое.
Базовое: Стационарные и мобильные рабочие станции обладают локальной защитой от вирусов. Антивирусное программное обеспечение и базы сигнатур регулярно обновляются для успешного распознавания и парирования новых вирусов. Установлена программа автоматического уничтожения наиболее опасных вирусов. Основная цель уровня - организация минимальной защиты от вирусов и вредоносного ПО при небольших затратах.
Среднее: Установлена сетевая программа обнаружения вирусов. Управление программными обновлениями на сервере автоматизировано. Системный контроль над событиями оповещает о случаях появления вирусов и предоставляет информацию по предотвращению дальнейшего распространения вирусов. Превентивная защита от вирусов предполагает выработку и следование определенной политики защиты информации, передаваемой по открытым каналам связи Интернет. Дополнительно к техническим мерам используются организационные меры защиты информации.
Высокое: Антивирусная защита воспринимается как один из основных компонентов корпоративной системы защиты. Система антивирусной защиты тесно интегрирована в комплексную систему централизованного управления ИБ компании и обладает максимальной степенью автоматизации. При этом организационные меры по защите информации преобладают над техническими мерами. Стратегия защиты информации определяется исключительно стратегией развития бизнеса компании.
Также условно выделим три состояния развития системы контроля и управления доступом в КИС (обеспечение физической безопасности): базовое, среднее, высокое.
Базовое: Ведется учет как минимум рабочих станций и серверов, инвентаризационные таблички крепятся на соответствующее аппаратное обеспечение.
Введена процедура контроля перемещения аппаратных средств КИС. Проводятся постоянные и периодические инструктажи персонала компании. Особое внимание уделяется мобильным компонентам КИС.
Среднее: Используются механические и электронные замки, шлюзовые кабины и турникеты. Организованы контрольно-пропускные пункты и проходные. Осуществляется видеонаблюдение на объекте информатизации. Требования к персоналу определены и доведены под роспись. Разработаны инструкции по действию в штатных и внештатных ситуациях. Задействованы частные и государственные охранные предприятия и структуры. Высокое: Обеспечение физической безопасности аппаратных средств является частью единой политики безопасности, утвержденной руководством компании. Активно используются весь комплекс мер защиты информации, начиная с организационного и заканчивая техническим уровнями.
Проект по модернизации корпоративной системы в части ИБ предполагает модернизацию двух элементов: антивирусной защиты и системы управления ИБ. Необходимо обосновать переход от базового уровня к повышенному (среднему или высокому). В Таб. 1 приводятся требования к элементам защиты, сформулированные в задании на модернизацию КИС.
Таблица 1. Характеристики исходного и повышенного уровня защиты
| Элемент системы ИБ | Задача | Исходный (базовый) уровень | Повышенный уровень |
| Антивирусная защита | Каким образом распространяются обновления механизма антивирусной защиты? | Ничего не делается или нет информации | Используется автоматическое обновление антивирусного обеспечения |
| Антивирусная защита | Какая степень защиты от вирусов является допустимой? | Нет механизма защиты от вирусов | Защита от вирусов устанавливается ИС службой и не доступна пользователям для изменений |
| Антивирусная защита | Какой процент клиентских мест поддерживается серверной антивирусной защитой? | Нет данных | 100 % |
| Антивирусная защита | Как устраняются последствия вирусных атак (в процентном отношении к числу вирусных событий)? | Пользователь самостоятельно восстанавливает поврежденные файлы и систему, протокол событий не ведется | ИС персонал уведомляется об инциденте, проводятся исследования и предпринимаются нейтрализующие меры, на местах поддерживается БД вирусных событий |
| Управление ИБ | Что делается для гарантии безопасности критичных данных (информация, которая является критичной по отношению к миссии каждого отдельного предприятия) | Не регламентирован | Средства шифрования и резервного копирования на серверах |
| Управление ИБ | Что делается для гарантии физической безопасности помещений с целью предотвращения случаев воровства и преступного использования оборудования? | Применяются сигналы тревоги о нарушении безопасности | Дополнительное использование таких средств безопасности, как смарт-карты или биометрические устройства |
Возможно несколько вариантов реализации этих требований, характеризующихся разными экономическими показателями. Рассмотрим типичную структуру расходов по выбранным элементам системы ИБ "среднего западного" предприятия на модернизацию ИС (Таб. 2) для обеспечении "среднего" уровня защиты.
Таблица 2. Статьи расходов среднего уровня защиты
| Статья затрат | Антивирусная защита | Управление ИБ |
| Подготовительные процедуры и операции по инсталляции | = | = |
| Услуги по инсталляции ПО: | = | = |
| С учетом поддержки уровня 2 | 2,600 % | 0,000 % |
| С учетом поддержки уровня 3 | 1,300 % | 0,000 % |
| Администрирование пользователей | 0,000 % | 6,500 % |
| Установка аппаратного обеспечения | 0,000 % | 2,600 % |
| Резервное копирование, архивирование и восстановление | 2,600 % | 0,000 % |
| Планирование и управление процессами восстановления | = | = |
| Общие процедуры управления, планирование и изучение рынка продуктов | 1,300 % | 1,300 % |
| Закупка программно-технических средств | 18,200 % | 2,600 % |
| Процедуры по восстановлению | 19,500 % | 0,000 % |
| Сервисное обслуживание | = | = |
| Ежедневные процедуры поддержки пользователей | 5,200 % | 2,600 % |
| Административные расходы | = | = |
| Финансовые службы и администрация | 1,268 % | 0,618 % |
| Административная поддержка ИС | 0,429 % | 0,169 % |
| Закупка, снабжение | 0,000 % | 5,200 % |
| Аудит | 0,000 % | 1,300 % |
| Управление контрактами, работа с поставщиками | 0,000 % | 2,600 % |
| Затраты рабочего времени конечных пользователей на решение задач ИБ | = | = |
| Затраты времени на управление файлами, данными и резервным копированием | 6,500 % | 0,000 % |
| Затрата на взаимодействие со службами поддержки | 6,500 % | 0,000 % |
| Затрата на взаимопомощь пользователей | 6,500 % | 0,000 % |
| Затраты на самоподдержку (решение проблем своими силами) | 6,500 % | 2,600 % |
| Незапланированные простои по причинам, относящимся к данным средствам защиты | 10,400 % | 10,400 % |
В Таб. 3 и на Рис. 1 показаны расчеты совокупной стоимости владения при различных вариантах проведения модернизации КИС.
Данные приводятся для " среднего западного" предприятия. Расчетная стоимость снижения ССВ для третьего варианта около 230 тыс. долл. в год позволяют обосновать инвестиции в размере около 600 тыс. долл. на рассматриваемые компоненты защиты. При этом расчетный период окупаемости составляет не более 3 лет.
Таблица 3. Совокупная стоимость владения при проведении модернизации
| Расходы на ИТ | Базовый вариант защиты: Антивирусная защита - низкий уровень, Управление ИБ - низкий уровень | Вариант 1: Антивирусная защита - средний уровень, Управление ИБ - низкий уровень | Вариант 2: Антивирусная защита - низкий уровень, Управление ИБ - средний уровень | Вариант 3: Антивирусная защита - средний уровень, Управление ИБ - средний уровень |
| Совокупная стоимость владения (ССВ) | $14,905,090 | $14,659,236 | $14,796,746 | $14,563,990 |
| Расходы на СВТ и ПО | $9,183,334 | $9,212,787 | $9,211,699 | $9,241,232 |
| Расходы на операции ИС | $1,402,287 | $1,376,061 | $1,394,232 | $1,368,450 |
| Административные расходы | $426,758 | $425,554 | $423,952 | $422,748 |
| Расходы на операции конечных пользователей | $2,772,377 | $2,636,870 | $2,758,898 | $2,624,287 |
| Расходы, связанные с простоями | $1,120,334 | $1,007,965 | $1,007,965 | $907,273 |
Расходы на аппаратные средства и программное обеспечение. Эта категория модели ССВ включает серверы, компьютеры клиентов (настольные и мобильные компьютеры), периферийные устройства и сетевые компоненты. Также в эту категорию входят расходы на аппаратно-программные средства ИБ.
Расходы на операции ИС. Прямые затраты на содержание персонала, стоимость работ и аутсорсинг, произведенные компанией в целом, бизнес-подразделениями или ИС службой для осуществления технической поддержки и операций по поддержанию инфраструктуры для пользователей распределенных вычислений. Административные расходы. Прямые затраты на персонал, обеспечение деятельности и расходы внутренних/внешних поставщиков (вендоров) на поддержку ИС операций, включающих управление, финансирование, приобретение и обучение ИС.
Расходы на операции конечных пользователей. Это затраты на самоподдержку конечных пользователей, а также на поддержку пользователями друг друга в противовес официальной поддержке ИТ. Затраты включают: самостоятельную поддержку, официальное обучение конечных пользователей, нерегулярное (неофициальное) обучение, самостоятельные прикладные разработки, поддержку локальной файловой системы.
Расходы на простои. Данная категория учитывает ежегодные потери производительности конечных пользователей от запланированных и незапланированных отключений сетевых ресурсов, включая клиентские компьютеры, совместно используемые серверы, принтеры, прикладные программы, коммуникационные ресурсы и ПО для связи. Для анализа фактической стоимости простоев, которые связаны с перебоями в работе сети и которые оказывают влияние на производительность, исходные данные получают из обзора по конечным пользователям. Рассматриваются только те простои, которые ведут к потерям в основной деятельности организации.
Рисунок 1. Изменение ССВ при различных вариантах проведения модернизации системы ИБ
Отметим, что для применения методики ССВ требуются данные о потерях, связанных с простоями и другими негативными последствиях реализации угроз ИБ. Получить экономические оценки потерь можно на этапе анализа информационных рисков. Более подробно эти вопросы рассмотрены в [3], [4].
