Окупаемость ИБ-систем. Какую прибыль может принести система ИБ

В «СА» №10/2011 я рассказал, как с помощью стандарта ISO 27002 оценивается степень защищенности корпоративных ресурсов. Теперь нужно аргументированно доказать руководству необходимость приобретения новых средств защиты данных, а затем рассчитать бюджет. Вот тут могут возникнуть новые сложности

АНДРЕЙ БИРЮКОВ, специалист по информационной безопасности. Работает в крупном системном интеграторе. Занимается внедрением решений по защите корпоративных ресурсов

Во многих компаниях, особенно небольших, закупками оборудования занимаются непосредственно системные администраторы и технические специалисты. А для того, чтобы получить необходимые для закупки средства, ответственному сотруднику нужно сначала обосновать необходимость данных расходов руководству компании.

Вот тут у «технарей» могут появиться определенные трудности с обоснованием расходов на приобретение нового оборудования и других задач поддержки, требующих определенных финансовых затрат.

Дополнительные сложности возникают при закупке систем ИБ. Для различных бизнес-приложений обосновать необходимость расходов можно, например, с помощью подсчета времени, затрачиваемого на решение разных задач до модернизации соответствующих систем и после них. С системами ИБ все несколько сложнее. Они не приносят непосредственной прибыли, но при этом требуют определенных затрат, как и другие ИТ-системы. Соответственно специалистам по безопасности необходимо каким-то образом обосновать данные затраты.

И для этого нужно научиться оперировать рыночными категориями, экономически обосновывать расходы на ИТ-безопасность.

На рынке систем ИБ для каждого направления есть несколько различных решений, стоимость которых может отличаться в разы. Что лучше – программное средство предотвращения вторжений стоимостью в $10 000 или аппаратное за $30 000? Очевидно, что у аппаратного будет выше производительность, но насколько это востребовано в вашей компании? На все эти вопросы ответить техническому специалисту непросто, а между тем при обосновании затрат руководству ответы на них необходимы.

Показатель ROI

В бизнесе при инвестировании существует понятие ROI (Return On Investment), которое определяет, сколько времени потребуется для возврата вложенных в то или предприятие инвестиций. Для подсчета значения ROI используется формула:

где:

• Доходы – доходы компании за отчетный период (год),
• Расходы – расходы компании за отчетный период (год),
• Инвестиции – инвестиции, сделанные в компанию.

Это отношение заработанных денег к тем, которые вкладываются в то или иное направление, выраженное в процентах. Если строго, то ROI – это процентное отношение прибыли (или экономического эффекта) от проекта к инвестициям, необходимым для реализации этого проекта. Для лучшего понимания приведу несколько примеров.

Известно, что прибыль компании составила $500 000 при общем объеме продаж $3 125 000. При этом стоимость оборудования и прочих вложений составила $25 000 000. Тогда ситуация описывается так: вложено 25 000 000, получено 500 000, т.е. вернулось 2%. Формула очевидна:

ROI = прибыль/инвестиции = 500.000/25.000.000 = 0,02

Такое значение для коэффициента ROI является слишком низким, и в данном случае инвестиции можно смело признать неудачными.

Рассмотрим другой вариант, более близкий к информационным технологиям. В некой компании была внедрена электронная система документооборота. Общая сумма доходов, полученных в результате ее внедрения, составила $1 000 000, при этом расходы, связанные с закупкой необходимого оборудования и лицензий, а также стоимость самих работ и обучения персонала составили $4 400 000.

Применим формулу для подсчета коэффициента ROI для приведенных значений

ROI= прибыль/инвестиции = 1000.000/4.400.000 = 0,23

Возврат инвестиций – 23% – это очень неплохое значение, получается, что внедрение системы окупится чуть более чем за четыре года. Однако эта формула хорошо подходит при подсчете возврата инвестиций в обычные ИТ-системы, будь то СХД, база данных или корпоративный веб-портал. При подсчете возврата инвестиций в системы ИБ используется другой показатель.

Коэффициент ROSI

Средства защиты не являются инструментом непосредственного извлечения доходов. Поэтому при оценке систем безопасности говорят не о заработанных деньгах, а о предотвращении возможных потерь (снижаются потери – это фактически и есть заработок). Впервые термин Return on Investment for Security (ROSI) был введен в употребление специалистами в области IT Security в начале 2002 года.

Традиционно обоснования расходов на безопасность доказывали, что без инвестирования в корпоративную систему защиты информации компания упускает более «осязаемые» выгоды. Обоснование расходов на ИБ включало в себя следующие утверждения:

• расходы на безопасность являются составляющей стоимости ведения бизнеса;
• расходы на безопасность родственны расходам на страхование;
• компания не может заниматься электронной коммерцией без обеспечения определенного уровня защиты электронных денежных потоков;
• безопасность является одним из аспектов управления рисками;
• заказчик имеет право подать на компанию в суд, если она отказывается соблюдать минимальные стандарты безопасности (например, защищать конфиденциальную информацию о клиенте);
• нежелание вкладывать денежные средства в безопасность означает нежелание следовать общим тенденциям развития ИТ.

После приведения подобных доводов ни у кого не вызывает сомнений необходимость расходов на ИБ компании, но появляется нужда в количественном расчете для финансового обоснования инвестиций в корпоративную систему защиты информации.

Существует несколько методов подсчета необходимых инвестиций в ИБ.

Метод ожидаемых потерь

Этот подход базируется на том, что вычисляются потери от нарушений политики безопасности, с которыми может столкнуться компания, и эти потери сравниваются с инвестициями в безопасность, направленными на предотвращение нарушений. Метод ожидаемых потерь основан на эмпирическом опыте организаций и сведений о вторжениях, о потерях от вирусов, об отражении сервисных нападений и т.д.

Например, нарушения безопасности коммерческих организаций приводят к следующим финансовым потерям:

• при ведении электронной коммерции потери, связанные с простоем и выходом из строя сетевого оборудования;
• нанесение ущерба имиджу и репутации компании;
• оплата сверхурочной работы ИТ-персонала и/или оплата работ подрядчикам, которые занимались восстановлением корпоративной информационной системы;
• оплата консультаций внешних специалистов, которые осуществляли восстановление данных, выполняли ремонт и оказывали юридическую помощь;
• оплата ремонта физических повреждений от виртуальных атак;
• судебные издержки при подаче искового заявления о виртуальных преступлениях и нарушениях политики безопасности.

Чтобы «смягчить» ожидаемые потери, компания должна инвестировать средства в безопасность: сетевые экраны, системы обнаружения вторжений, чтобы предотвратить атаку, антивирусы для обнаружения различных форм вирусов.

Если компания решает установить систему ИБ, то ее стоимость обобщенно будет складываться из следующего:

• Единовременные затраты. Это, как правило, стоимость оборудования, а также внедрения систем защиты информации;
• Периодические затраты. Здесь присутствуют такие параметры, как техническая поддержка и сопровождение, заработная плата ИТ-персонала, продление лицензий на антивирусы и другое ПО.

Чтобы определить эффект от внедрения системы ИБ, нужно вычислить показатель ожидаемых потерь (Annualised Loss Expectancy – ALE). По оценкам экспертов, правильно установленная и настроенная система защиты дает 85% эффективности в предупреждении или уменьшении потерь от нарушений политики безопасности. Следовательно, финансовая выгода обеспечивается ежегодными сбережениями, которые получает компания при внедрении системы ИБ.

AS = ALE*E -AC

где:

• AS – ежегодные сбережения (Annual Saving),
• ALE – показатель ожидаемых потерь (Annualised Loss Expectancy),
• E – эффективность системы защиты (около 85%),
• AC – ежегодные затраты на безопасность (Annual Cost).

Метод оценки свойств системы безопасности

Метод оценки свойств системы безопасности (Security Attribute Evaluation Method – SAEM) был разработан в Carnegie Melon University и основан на сравнении различных архитектур систем ИБ для получения стоимостных результатов оценки выгод от внедрения системы ИБ. Методология SAEM заключается в том, чтобы, объединив вероятность события и ранжировав воздействие окружающей среды, предложить различные проекты по ИБ с многовариантным влиянием окружающей среды на относительные затраты.

Недостатком метода является то, что чаще всего безопасность находится вне понимания менеджеров, занимающихся оценкой эффективности, а специалисты по информационной безопасности редко имеют точные данные относительно выгод, приносимых технологией, поэтому приходится полагаться на опыт и интуицию и на их основе принимать решения.

Анализ дерева ошибок

Еще одним не очень известным инструментом оценки выгод является метод анализа дерева ошибок (Fault Tree Analysis).

Цель применения данного метода – показать, в чем заключаются причины нарушений политики безопасности и какие сглаживающие контрмеры могут быть применены.

Дерево ошибок – это графическое средство, которое позволяет свести всю систему возможных нарушений к логическим отношениям «и»–«или» компонентов этой системы. Если доступны данные по нормам отказа критических компонентов системы, то дерево ошибок позволяет определить ожидаемую вероятность отказа всей системы.

В настоящее время этот метод еще недостаточно адаптирован к области информационной безопасности и требует дальнейшего изучения.

Как выбрать наиболее подходящий метод?

Принципиальный недостаток приведенных выше методов в том, что они не дают количественной оценки стоимости и выгод от контрмер безопасности, кроме метода ожидаемых потерь, который объединяет выгоду от каждой контрмеры в единый количественный показатель эффективности. А с точки зрения системы безопасности этот показатель интерпретируется как показатель пригодности всей системы защиты, который обычно указан в договоре с поставщиком системы защиты.

Поэтому на практике лучше использовать метод оценки целесообразности затрат на систему ИБ. Такой выбор обусловлен несколькими соображениями – это финансовая ориентированность метода и достаточно полная оценка стоимости различных мер по безопасности и выгод от внедрения.

Для того чтобы привести пример оценки мер по обеспечению безопасности, воспользуемся упрощенным вариантом дерева ошибок, так называемой таблицей оценки угроз и рисков (Threat and Risk Assessment – TRA). Использование TRA позволит показать, как на практике получить количественную оценку вероятности событий и возникновения последствий и в дальнейшем использовать эти данные для определения ожидаемых потерь без применения контрмер безопасности.

Методика Return on Investment for Security

Оценим доходную часть, объединяя метод ожидаемых потерь с таблицей оценки угроз и риска.

Первым шагом является построение таблицы TRA. Сделаем небольшое отступление и дадим краткое описание контрмер по обеспечению информационной безопасности.

Контрмеры по обеспечению безопасности направлены на достижение следующих эффектов: уменьшение вероятности происхождения инцидента и/или уменьшение последствий, если инцидент все равно случается.

Меры, снижающие вероятность, называются профилактическими, а меры, снижающие последствия, называются лечебными. Пусть вероятность происшествия описана семью уровнями от «незначительного» до «экстремального». Определим эти уровни в следующей таблице (см. таблицу 2).

Последствия от нарушения политики безопасности также описаны шестью уровнями от «несущественного» к «критическому», и каждому уровню соответствуют потери в случае ликвидации нарушений, которые определены экспертно специалистами Gartner Group (см. таблицу 1).

Таблица 1. Типы защиты

Пример расчетов ROSI

Теперь рассчитаем показатель ALE, используя форму таблицы TRA (см. таблицу 2), в которой сопоставляются вероятности угроз, степень тяжести нарушения и частота событий. Показатель ALE мы вычисляем согласно формуле:

ALE = f * L

где:

• f – частота возникновения потенциальной угрозы, уровень которой определяется на основании вероятности (см. таблицу 2);
• L – величина потерь в рублях, которая определяется на основании степени тяжести нарушения (см. таблицу 3).

Таблица 2. Вероятности угроз и частота событий

Таблица 3. Степень тяжести и потери

Следующим шагом обоснования инвестиций в систему информационной безопасности является проведение анализа возврата инвестиций. Первоначально определим затраты на внедрение системы ИБ.

Для того чтобы обеспечить должный уровень безопасности, необходимо внедрить следующие элементы системы информационной безопасности: систему защиты шлюзов Интернета, систему антивирусной защиты файловых серверов и рабочих станций и систему защиты корпоративной электронной почты.

В качестве используемого средства защиты было выбрано решение, в котором присутствуют как средства для защиты шлюзов и электронной почты, так и защита файловых серверов и рабочих станций.

Затраты на внедрение комплекса решений приведены в таблице 4.

Таблица 4. Расчет показателя ожидаемых потерь

Период окупаемости инвестиционных проектов, связанных с внедрением информационных технологий, не должен превышать трех лет, поэтому период оценки эффективности данного проекта внедрения равен трем годам. Обозначим показатели оценки.

• CВН – затраты на внедрение;
• CЛ – затраты на покупку лицензий;
• CВН – затраты на проектные работы;
• Ci – затраты на техническую поддержку;
• TCOТ – текущий показатель TCO.

Как подсчитать потери

В таблице 4 присутствуют столбцы «Частота» и «Потери». С частотой инцидентов все более-менее понятно. Потери по каждой из угроз складываются из среднего времени простоя сотрудников, работающих с данным сервисом. Так, например, в случае отказа каналов связи с Интернетом не смогут работать сотрудники отделов HR и PR. Но они не полностью будут простаивать, часть работы по подготовке документов можно делать оффлайн. Определим коэффициент простоя как 0,5.

Таким образом, потери можно посчитать следующим образом: необходимо взять стоимость часа работы сотрудника, помножить на время простоя и на коэффициент простоя (0,5).

Разумеется, приведенный подсчет потерь несколько упрощен. Например, в него не включены простои электронной почты, IP-телефонии и прочих сервисов, использующих каналы связи с Интернетом.

Таблица 5. Инвестиции в систему корпоративной защиты

Но вернемся к нашему примеру расчетов ROSI. Подсчитаем стоимость лицензий.

• TCOЦ – целевой показатель TCO;
• TCOФ – фактический показатель TCO;
• AS – ежегодные сбережения;
• B – выгоды при оптимизации показателя TCO;
• CF – денежный поток;
• r – ставка дисконтирования;
• NPVЗ – чистая приведенная стоимость затрат на проект внедрения;
• NPVД – чистая приведенная стоимость доходов от проекта внедрения.

Затраты на внедрение системы защиты информации рассчитываются по следующей формуле:

CВН = СЛ +CПР +?C_i

Выгоды от оптимизации текущего показателя TCO вычисляются по формуле:

B = TCOТ – TCOФ

Чистые приведенные стоимости затрат на проект и доходов от проекта внедрения рассчитываются по формулам:

NPV = ?_i=0..2 CF/(1+r)ⁱ

В первом случае роль денежного потока играют затраты на внедрение, а во втором – это выгоды от оптимизации показателя TCO и внедрения корпоративной системы защиты. Ставка дисконтирования равна ставке рефинансирования Центрального Банка РФ. Внутренняя норма рентабельности рассчитывается при NPV, равном нулю. Для большей наглядности расчет ROSI приведем в графическом виде (см. рис. 1), и точка безубыточности равна 1,6 года.

Рисунок 1. Расчет точки безубыточности проекта внедрения системы информационной безопасности

Таким образом, проект внедрения можно считать экономически выгодным, так как чистая приведенная стоимость доходов от проекта внедрения положительна и больше чистой приведенной стоимости затрат на проект внедрения в 2,9 раза.

Таблица 6. Подсчет характеристик внедрения системы защиты за первые три года

***

Конечно, описанную в статье методику нельзя назвать простой для понимания, однако именно таким способом подсчитывается эффективность инвестиций в системы безопасности. Более подробно ознакомиться с предлагаемой методикой можно в книгах, приведенных в источниках.

1. Петренко С. А., Петренко А. А. Аудит безопасности Intranet. – М.: ДМК Пресс, 2002. – 416 с.
2. Петренко С. А., Симонов С. В. Управление информационными рисками. Экономически оправданная безопасность. – М.: ДМК Пресс, 2004. – 400 с.
3. Петренко С. А., Курбатов В. А. Политики информационной безопасности. – М.: ДМК Пресс, 2006. – 400 с.

Комментарии могут оставлять только зарегистрированные пользователи