Затраты на обеспечение безопасности информационных систем. Сколько стоит информационная безопасность компании. Сколько стоит кибербезопансоть для небольших компаний

2018-08-21T12:03:34+00:00

Крупные коммерческие компании тратят на обеспечение физической безопасности своего бизнеса порядка 1% годовой выручки. Безопасность предприятия – такой же ресурс, как технологии и средства производства. Но, когда речь заходит о цифровой защите данных и сервисов, просчитать финансовые риски и необходимые издержки становится непросто. Рассказываем, сколько денег ИТ-бюджета разумно выделить на кибербезопасность, существует ли минимальный набор инструментов, которыми можно обойтись.

Затраты на информационную безопасность растут

Коммерческие организации по всему миру, согласно отчету Gartner, потратили порядка 87 миллиардов долларов на нужды кибербезопасности в 2017 году, включая софт, специализированные сервисы и «железо». Это на 7% больше, чем в 2016 году. В текущем году цифра, как ожидается, достигнет 93 миллиардов, а уже в следующем перевалит отметку в 100.

По оценкам экспертов, в России объем рынка услуг информационной безопасности составляет порядка 55-60 миллиардов рублей (около 900 тыс. долларов). На 2/3 его закрывают государственные заказы. В корпоративном секторе доля таких затрат сильно зависит от формы предприятия, географии и сферы деятельности.

Отечественные банки и финансовые структуры в среднем вкладывают в свою кибербезопасность 300 млн. рублей в год, промышленники – до 50 млн., сетевые компании (ритейл) – от 10 до 50 млн.

Зато цифры прироста российского рынка кибербезопасности вот уже несколько лет в 1,5-2 раза выше, чем в общемировом масштабе. В 2017 году рост составил 15% (в деньгах заказчиков) по отношению к 2016 году. По итогам 2018 года он может оказаться еще солидней.

Высокие темпы роста объясняются общим оживлением рынка и резко выросшим вниманием организаций к реальной безопасности своей ИТ-инфраструктуры и сохранности данных. Издержки на построение системы информационной защиты теперь рассматриваются как инвестиции, они заранее планируются, а не просто берутся по остаточному принципу.

Positive Technologies выделяет три драйвера роста:

1. Громкие инциденты последних 1,5–2 лет привели к тому, что сегодня только ленивый не понимает роль информационной безопасности для финансовой стабильности предприятия. Каждый пятый топ-менеджер проявляет интерес к практической безопасности в контексте своего бизнеса.

Прошедший год стал поучительным для бизнеса, игнорирующего элементарную . Отсутствие актуальных обновлений и привычка работать, не обращая внимания на уязвимости, привели к остановке заводов Renault во Франции, Honda и Nissan в Японии; пострадали банки, энергетические, телекоммуникационные компании. Компании Maersk, к примеру, это обошлось в 300 млн. долларов единовременно.

1. Эпидемии вирусов-вымогателей WannaCry, NotPetya, Bad Rabbit научили отечественные компании тому, что установки антивирусов и файерволов недостаточно, чтобы чувствовать себя в безопасности. Нужна комплексная стратегия, инвентаризация своих активов в ИТ, выделенные ресурсы, стратегия реагирования на угрозы.
2. В определенном смысле тон задает государство, объявившее курс на цифровую экономику, охватывающую все сферы (от здравоохранения и образования до транспорта и финансов). Эта политика напрямую сказывается на росте сектора ИТ в целом и на информационной безопасности в частности.

Цена уязвимостей в информационной защите

Все это поучительно, но каждый бизнес – уникальная история. Вопрос, сколько тратить на информационную безопасность от общего ИТ-бюджета компании, хоть и не корректный, но, с точки зрения заказчика, самый насущный.

Международная исследовательская компания IDC на примере канадского рынка называет оптимальными 9,8-13,7% вложений в кибербезопасность от общего бюджета ИТ в организации. То есть сейчас канадский бизнес тратит в среднем около 10% на эти нужды (считается, что это показатель здоровой компании), а хотел бы, судя по опросам, ближе к 14%.

Компаниям нет смысла гадать, сколько нужно затратить на свою информационную безопасность, чтобы чувствовать себя спокойно. Сегодня оценить риски от инцидентов с кибербезопасностью не сложнее, чем просчитать потери от физических угроз. Есть общемировая статистика , согласно которой:

• Хакерские атаки стоят глобальной экономике более 110 млрд. долларов ежегодно.
• Для малого бизнеса каждый инцидент обходится в среднем в 188 тысяч долларов.
• 51% взломов в 2016 году были целевыми, то есть организованными криминальными группами против конкретной компании.
• 75% атак происходят с целью нанесения материального ущерба, финансово мотивированны.

«Лаборатория Касперского» весной 2018 года провела свое масштабное исследование . Согласно опросу 6 тысяч специалистов компаний по всему миру, ущерб от взломов корпоративных сетей и утечки данных за последние пару лет вырос на 20-30%.

Средняя цена ущерба на февраль 2018 года для коммерческих организаций, вне зависимости от размера, сферы деятельности, составила 1,23 млн. долларов. Для предприятий МСБ ошибка персонала или удачные действия хакеров обходятся в 120 тысяч долларов.

Технико-экономическое обоснование для ИБ

Для того чтобы правильно оценить финансовые ресурсы, необходимые для организации информационной безопасности на предприятии, нужно составить технико-экономическое обоснование.

1. Проводим инвентаризацию ИТ-инфраструктуры и оцениваем риски, составляем список уязвимостей в порядке убывания их значимости. Сюда же закладываются репутационные потери (рост страховых тарифов, снижение кредитного рейтинга, цена простоя сервисов), стоимость восстановления системы (обновления оборудования и ПО).
2. Прописываем задачи, которые должна решать система информационной безопасности.
3. Подбираем оборудование, инструменты для решения задач, определяем его стоимость.

Если в компании нет компетенций для оценки угроз и рисков кибербезопасности, всегда можно заказать аудит информационной безопасности на стороне. Сегодня эта процедура недолгая, недорогая и безболезненная.

Промышленным компаниям с высоким уровнем автоматизации процессов эксперты рекомендуют использовать модель адаптивной архитектуры безопасности (Adaptive Security Architecture ), предложенную в 2014 году Gartner. Она позволяет правильно перераспределить расходы на ИБ, уделяя больше внимания инструментам обнаружения и реагирования на угрозы, и подразумевает внедрение системы мониторинга и аналитики ИТ-инфраструктуры.

Сколько стоит кибербезопансоть для небольших компаний

Авторы блога Capterra решили подсчитать , во сколько в среднем обходится система информационной защиты для компаний малого и среднего бизнеса в первый год использования. Для этого был выбран список из 50 популярных «коробочных» предложений на рынке.

Оказалось, что разброс цен довольно большой: от 50 долларов за год (есть даже 2-3 бесплатных решения для небольших компаний) до 6 тысяч долларов (есть единичные пакеты и по 24 тысячи, но их не стали включать в расчет). В среднем малый бизнес может рассчитывать на 1 400 долларов на построение элементарной системы защиты от киберугроз.

Дешевле всего обойдутся технические решения типа бизнес-VPN или защиты электронной почты, которые помогут защититься от конкретных типов угроз (например, фишинга)

На другом конце спектра представлены полноценные системы мониторинга с «продвинутыми» инструментами реагирования на события и комплексной защиты. Они помогают уберечь корпоративную сеть от масштабных атак и иногда даже позволяют предсказывать их появление, купировать на ранних стадиях.

Компания может выбрать несколько моделей оплаты системы информационной безопасности:

• Цена за каждую лицензию, Средняя цена – 1000-2000 долларов, или от 26 до 6000 долларов за лицензию.
• Цена за пользователя. Средняя стоимость системы ИБ за одного пользователя в компании – 37 долларов, разброс идет от 4 до 130 долларов за человека в месяц.
• Цена за подключаемое устройство. Средняя стоимость по этой модели составляет 2,25 долларов за один девайс. Цена варьируется от 0,96 до 4,5 долларов в месяц.

Для правильного расчета затрат на информационную безопасность даже небольшой компании придется внедрить у себя основы риск-менеджмента. Первый же инцидент (упал сайт, сервис, платежная система), который невозможно будет исправить в течение суток, может привести к закрытию бизнеса.

Вобосновании затрат на информационную безопас­ность существует два основных подхода.

Научный подход . Для этого необходимо привлечь руководство компании (или ее собст­венника) к оценке стоимости информационных ресурсов, оп­ределению оценки потенциального ущерба от нарушений в области защиты информации.

1. Если стоимость информации невелика, существен­ных угроз для информационных активов компании нет, а по­тенциальный ущерб минимален, обеспечение информацион­ной безопасности требует меньшего финансирования.

2. Если информация обладает определенной стоимо­стью, угрозы и потенциальный ущерб значительны и опреде­лены, тогда возникает вопрос о внесении в бюджет расходов на подсистему информационной безопасности. В этом случае необходимо построение корпоративной системы защиты ин­формации.

Практический подход состоит в определении варианта реальной стоимости корпоративной системы защиты информации на основе аналогичных систем в других областях. Эксперты-практики в области защиты информации пола­гают, что стоимость системы защиты информации должна составлять примерно 10-20 % от стоимости корпоративной информационной системы, в зависимости от конкретных тре­бований к режиму информационной безопасности.

Общепри­нятые требования к обеспечению режима информационной безопасности "best practice" (на основе практического опыта), формализованные в ряде стандартов, например ISO 17799, реализуются на практике при разработке конкретных методов оценки эффективности системы информационной безопасно­сти.

Применение современных методов оценки затрат на информационную безопасность позволяет рассчитать всю расходную часть информационных активов организации, включая прямые и косвенные затраты на аппаратно-программные средства, организационные мероприятия, обу­чение и повышение квалификации сотрудников, реорганиза­цию, реструктуризацию бизнеса и т. д.

Они необходимы для доказательства экономической эффективности существующих корпоративных систем защи­ты и позволяют руководителям служб информационной безопасности обосновывать бюджет на информационную безопасность, а, также доказывать эффективность работы со­трудников соответствующей службы. Применяемые зарубеж­ными компаниями методики оценки затрат позволяют:

Получить адекватную информацию об уровне защи­щенности распределенной вычислительной среды и совокуп­ной стоимости владения корпоративной системы защиты ин­формации.

Сравнить подразделения службы информационной безопасности организации как между собой, так и с аналогичными подразделениями других организаций в данной отрасли.

Оптимизировать инвестиции на информационную безопасность организации.

Одна из наиболее известных методик оценки затрат применительно к системе информационной безопасности - методика совокупной стоимости владения (ССВ) компании Gartner Group Под показателем ССВ понимается сумма прямых и косвенных затрат на организацию (реорганизацию), эксплуатацию и сопровождение корпоративной системы за­щиты информации в течение года. Он используется практи­чески на всех основных этапах жизненного цикла корпора­тивной системы защиты информации и дает возможность объективно и независимо обосновать экономическую целесо­образность внедрения и использования конкретных организа­ционных и технических мер и средств защиты информации. Для объективности решения также необходимо дополнитель­но учитывать состояние внешней и внутренней среды пред­приятия, например, показатели технологического, кадрового и финансового развития предприятия.

Сравнение определенного показателя ССВ с аналогич­ными показателями ССВ по отрасли (с аналогичными компа­ниями) позволяет объективно и независимо обосновать затра­ты организации на информационную безопасность. Ведь час­то оказывается довольно трудно или даже практически невоз­можно оценить прямой экономический эффект от этих затрат.

Совокупная стоимость владения для системы инфор­мационной безопасности в общем случае складывается из стоимости:

Проектных работ,

Закупки и настройки программно-технических средств защиты, включающих следующие основные группы: межсетевые экраны, средства криптографии, антивирусы и ААА (средства аутентификации, авторизации и администри­рования),

Затрат на обеспечение физической безопасности,

Обучения персонала,

Управления и поддержки системы (администрирова­ние безопасности),

Аудита информационной безопасности, - периодической модернизации системы информацион­ной безопасности.

При этом прямые затраты включают как капитальные компоненты затрат (ассоциируемые с фиксированными акти­вами или "собственностью"), так и трудозатраты, которые учитываются в категориях операций и административного управления. Сюда же относят затраты на услуги удаленных пользователей и др., связанные с поддержкой деятельности организации.

В свою очередь, косвенные затраты отражают влияние корпоративной информационной системы и подсистемы за­щиты информации на сотрудников организации посредством таких измеримых показателей, как простои и "зависания" корпоративной системы защиты информации и информаци­онной системы в целом, затраты на операции и поддержку (не относящиеся к прямым затратам). Очень часто косвенные за­траты играют значительную роль, так как они обычно изна­чально не отражаются в бюджете на информационную безо­пасность, а выявляются при анализе затрат позже.

Расчет показателей ССВ организации проводится по следующим направлениям.

Компоненты корпоративной информационной системы (включая систему защиты информации) и информационные актины организации (серверы, клиентские компьютеры, пе­риферийные устройства, сетевые устройства).

Расходы на аппаратные и программные средства защиты информации : расходные материалы и амортизационные расходы ни серверы, компьютеры клиентов (настольные и мобильные компьютеры), периферийные устройства и сете­вые компоненты.

Расходы на организацию информационной безопасно­сти: обслуживание системы защиты информации, штатных средств защиты периферийных устройств, серверов, сетевых устройств, планирование и управление процессами защиты информации, разработка концепции и политики безопасности и прочие.

Расходы на операции информационной си стемы: пря­мые затраты на содержание персонала, стоимость работ и аутсорсинг, произведенные организацией в целом или службой для осуществления технической поддержки и операций по поддержанию инфраструктуры для пользователей.

Административные расходы : прямые затраты на пер­сонал, обеспечение деятельности и расходы внутрен­них/внешних поставщиков (вендоров) на поддержку опера­ций, включающих управление, финансирование, приобрете­ние и обучение информационных систем.

Расходы на операции конечных пользователей : затраты на самоподдержку конечных пользователей, официальное обучение конечных пользователей, нерегулярное (неофици­альное) обучение, самостоятельные прикладные разработки, поддержку локальной файловой системы.

Расходы на простои : ежегодные потери производи­тельности конечных пользователей от запланированных и не­запланированных отключений сетевых ресурсов, включая клиентские компьютеры, совместно используемые серверы, принтеры, прикладные программы, коммуникационные ре­сурсы и программное обеспечение для связи.

В зависимости от контекста термин «информационная безопасность» употребляется в разных значениях. В самом широком смысле понятие подразумевает защиту конфиденциальных сведений, производственного процесса, инфраструктуры компании от умышленных или случайных действий, которые приводят к финансовому ущербу или утрате репутации.

Принципы защиты информации

В любой отрасли базовый принцип информационной безопасности заключается в соблюдении баланса интересов гражданина, общества и государства. Трудность соблюдения баланса заключается в том, что интересы общества и гражданина нередко конфликтуют. Гражданин стремится сохранить в секрете подробности личной жизни, источники и уровень дохода, скверные поступки. Общество, напротив, заинтересовано в том, чтобы «рассекретить» информацию о нелегальных доходах, фактах коррупции, преступных деяниях. Государство создает и управляет сдерживающим механизмом, который охраняет права гражданина на неразглашение персональных данных и одновременно регулирует правоотношения, связанные с раскрытием преступлений и привлечением виновных к ответственности.

Важное значение в современных условиях принцип правового обеспечения информационной безопасности приобретает, когда нормативное сопровождение не успевает за развитием ИБ-отрасли. Пробелы в законодательстве позволяют не только уходить от ответственности за киберпреступления, но и препятствуют внедрению передовых технологий защиты данных.

Принцип глобализации , или интеграции систем информационной защиты затрагивает все отрасли: политическую, экономическую, культурную. Развитие международных коммуникационных систем нуждается в согласованном обеспечении безопасности данных.

Согласно принципу экономической целесообразности , эффективность мер по обеспечению информационной безопасности должна соответствовать или превосходить затраченные ресурсы. Неокупаемость затрат на поддержание системы безопасности только вредит прогрессу.

Принцип гибкости систем информационной защиты означает устранение любых режимных ограничений, которые мешают генерировать и внедрять новые технологии.

Строгую регламентацию конфиденциальной, а не открытой информации предполагает принцип несекретности .

Чем больше различных аппаратных и программных инструментов безопасности применяют для защиты данных, тем больше разносторонних знаний и навыков требуется злоумышленникам, чтобы обнаружить уязвимости и обойти защиту. На усиление информационной безопасности направленпринцип разнообразия защитных механизмов информационных систем.

Принцип простоты управления системой безопасности основан на идеи, что чем сложнее система информационной безопасности, тем труднее проверить согласованность работы отдельных компонентов и реализовать центральное администрирование.

Залогом лояльного отношения персонала к ИБ является постоянное обучение правилам информационной безопасности и четкие разъяснения последствий несоблюдения правил вплоть до банкротства компании. Принцип лояльности администраторов систем безопасности данных и всего персонала компании связывает обеспечение безопасности с мотивацией сотрудников. Если сотрудники, а также контрагенты и клиенты воспринимают информационную безопасность как ненужное или даже враждебное явление, гарантировать безопасность информации в компании не под силу даже самым мощным системам.

Перечисленные принципы - основа обеспечения информационной безопасности во всех отраслях, которая дополняется элементами в зависимости от специфики отрасли. Разберемся на примерах банковской сферы, энергетик и СМИ.

Банки

Развитие технологий кибератак вынуждает банки внедрять новые и постоянно совершенствовать базовые системы безопасности. Цель развития информационной безопасности в банковской сфере - выработать такие технологические решения, которые способны обезопасить информационные ресурсы и обеспечить интеграцию новейших IT-продуктов в ключевые бизнес-процессы финансово-кредитных учреждений.

Механизмы обеспечения безопасности информации финансовых учреждений выстраиваются в соответствии с ратифицированными международными конвенциями и соглашениями, а также федеральными законами и стандартами. Ориентиром в сфере ИБ для российских банков служат:

• Стандарт Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»;
• ФЗ №161 «О национальной платежной системе»;
• ФЗ №152 «О персональных данных»;
• Стандарт безопасности данных индустрии платежных карт PCI DSS и другие документы.

Необходимость следовать различным законам и стандартам связана с тем, что банки осуществляют множество различных операций, ведут деятельность по разным направлениям, которые нуждаются в собственных инструментах обеспечения безопасности. Например, обеспечение информационной безопасности при дистанционном банковском обслуживании (ДБО) включает создание инфраструктуры безопасности, куда входят средства защиты банковских приложений, контроля потоков данных. мониторинга банковских транзакций и расследования инцидентов. Многокомпонентная защита информационных ресурсов обеспечивает минимизацию угроз, связанных с мошенничеством при использовании сервисов ДБО, а также защиту репутации банка.

Информационная безопасность банковской сферы, как и других отраслей, зависит от кадрового обеспечения. Особенность ИБ в банках заключается в повышенном внимании к специалистам по безопасности на уровне регулятора. В начале 2017 года Банк России вместе с Министерством труда и социальной защиты при участии ФСТЭК, Министерства образования и науки для специалистов по информационной безопасности.

Как провести ИБ-аудит в банке правильно?

Энергетика

Энергетический комплекс принадлежит к числу стратегических отраслей, которые нуждаются в особых мерах обеспечения информационной безопасности. Если на рабочих местах в администрациях и управлениях достаточно стандартных средств ИБ, то защита на технологических участках генерации энергии и доставки конечным пользователям нуждается в повышенном контроле. Главным объектом защиты в энергетической сфере является не информация, а технологический процесс. Система безопасности в таком случае должна обеспечить целостность технологического процесса и автоматизированных систем управления. Поэтому, прежде чем внедрять механизмы информационной безопасности на предприятиях энергетического сектора, специалисты изучают:

• объект защиты - технологический процесс;
• устройства, применяемые в энергетике (телемеханика);
• сопутствующие факторы (релейная защита, автоматика, учет энергии).

Значимость информационной безопасности в энергетической сфере определяется последствиями реализации информационных киберугроз. Это не только материальный ущерб или удар по репутации, но прежде всего - вред здоровью граждан, подрыв экологии, нарушение инфраструктуры города или региона.

Проектирование системы информационной защиты в сфере энергетики начинается с прогнозирования и оценки рисков безопасности. Основной метод оценки - моделирование возможных угроз, которое помогает рационально распределить ресурсы при организации системы безопасности и предупредить реализации киберугроз. Кроме того, оценка рисков безопасности в энергетике отличается непрерывностью: аудит в процессе эксплуатации системы ведется постоянно, чтобы своевременно изменять настройки для обеспечения максимальной степени защиты и поддержания системы в актуальном состоянии.

Средства массовой информации

Главная задача информационной безопасности в СМИ заключается в защите национальных интересов, включая интересы гражданин, общества и государства. Деятельность средств массовой информации в современных условиях сводится к созданию информационных потоков в виде новостей и журналистских материалов, которые поступают, обрабатываются и выдаются конечным потребителям: читателям, зрителям, посетителям сайтов.

Обеспечение и контроль безопасности в сфере массовой информации реализуется по нескольким направлениям и включает:

• разработку рекомендаций по антикризисным процедурам на случай реализации угрозы информационного нападения;
• обучающие программы по информационной безопасности для сотрудников редакций СМИ, пресс-служб, отделов по связям с общественностью;
• временное внешнее администрирование организации, которые подверглись информационному нападению.

Еще одной проблемой безопасности информации в СМИ является необъективность. Для обеспечения объективного освещения событий требуется механизм защиты, который ограждал бы журналистов от давления со стороны представителей власти, руководства и/или владельца СМИ, и одновременно - страховал добросовестные бизнес-структуры от действий нечестных представителей СМИ.

Еще одним краеугольным камнем обеспечения безопасности информации в сфере СМИ является ограничение доступа к данным. Проблема в том, чтобы ограничение доступа к сведениям с целью предупредить информационные угрозы не стало «прикрытием» для цензуры. Решение, которое сделает работу СМИ более прозрачной и поможет избежать причинения вреда интересам национальной безопасности, содержится в проекте Конвенции о доступе к информационным ресурсам, которая ожидает голосования в Европейском союзе. Нормы документа предполагают, что государство обеспечивает равный доступ ко всем официальным документам, создавая соответствующие реестры в интернете, и устанавливает ограничения доступа, которые не могут быть изменены. Исключений, которые позволят отменить ограничения доступа к информационным ресурсам, всего два:

• общественная польза , что подразумевает возможность обнародовать даже те данные, которые не подлежат распространению в обычных условиях;
• национальный интерес , если сокрытие сведений нанесет ущерб государству.

Частный сектор

При развитии рыночной экономики, росте и ужесточении конкуренции репутация компании становится неотделимой частью нематериальных активов. Формирование и сохранность положительного имиджа напрямую зависят от уровня информационной безопасности. Существует и обратная связь, когда сложившийся образ компании на рынке служит гарантией информационной безопасности. При таком подходе выделяют три разновидности деловой репутации:

1. Имидж «бесполезной» организации , информационные ресурсы которой не представляют интереса, так как их невозможно использовать во вред или на благо третьей стороне.

2. Имидж сильного противника , угрожать безопасности которого «себе дороже». Поддерживать репутацию грозного противника помогает размытость границ возможностей для отражения информационного нападения: чем сложнее понять потенциал информационной защиты, тем более неприступной выглядит компании в глазах злоумышленников.

3. Имидж «полезной» организации . Если потенциальный агрессор заинтересован в жизнеспособности компании, вместо информационной атаки возможен диалог и формирование общей политики ИБ.

Каждая компания организует свою деятельность, соблюдая нормы законодательства и стремясь достичь поставленных целей. Подобные критерии сгодятся и при разработке политики информационной безопасности, внедрении и эксплуатации внутренних систем безопасности конфиденциальных данных и IT-ресурсов. Для обеспечения максимально возможного уровня безопасности информации в организации после внедрения систем защиты следует систематически проводить мониторинг, перенастраивать и обновлять компоненты безопасности по мере необходимости.

Информационная защита стратегических объектов

В начале 2017 года Государственная дума Российской Федерации приняла в первом чтении пакет законопроектов, которые касаются информационной безопасности и критической информационной инфраструктуры страны.

Основные источники информационных угроз в военной сфере РФ.

Председатель парламентского комитета по информационной политике, информационным технологиям и связи Леонид Левин, представляя законопроекты, предупредил об увеличении в количества кибератак на стратегически значимые объекты. На заседании комитета представитель ФСБ Николай Мурашов сообщил, что в течение года на объекты в России произведено 70 млн кибератак . Одновременно с возрастающими угрозами внешних атак увеличивается масштабность, сложность и координация информационных атак внутри страны.

Законопроекты, принятые парламентариями, создают правовую основу обеспечения информации в сфере общегосударственной критической инфраструктуры и отдельных отраслей. Кроме этого, законопроекты прописывают полномочия государственных органов в сфере информационной безопасности и предусматривают ужесточение уголовной ответственности за нарушение информационной безопасности.

Как уже отмечалось, безопасность предприятия обеспечивается комплексом мер на всех этапах его жизненного цикла, его информационной системы и в общем случае складывается из стоимости:

• - проектных работ;
• - закупки и настройки программно-технических средств защиты;
• - затрат на обеспечение физической безопасности;
• - обучения персонала;
• - управления и поддержки системы;
• - аудита защиты информации;
• - периодической модернизации системы защиты информации и т.д.

Стоимостным показателем экономической эффективности комплексной системы защиты информации будет сумма прямых и косвенных затрат на организацию, эксплуатацию и сопровождение системы защиты информации в течение года.

Он может рассматриваться как ключевой количественный показатель эффективности организации защиты информации в компании, так как позволит не только оценить совокупные затраты на защиту, но управлять этими затратами для достижения требуемого уровня защищенности предприятия. При этом прямые затраты включают как капитальные компоненты затрат, так и трудозатраты, которые учитываются в категориях операций и административного управления. Сюда же относят затраты на услуги удаленных пользователей и др., связанные с поддержкой деятельности организации.

В свою очередь, косвенные затраты отражают влияние комплексной системы безопасности и подсистемы защиты информации на служащих посредством таких измеримых показателей, как простои и «зависания» корпоративной системы защиты информации и комплексной системы безопасности в целом, затраты на операции и поддержку.

Очень часто косвенные затраты играют значительную роль, так как они обычно изначально не отражаются в бюджете на комплексную систему безопасности, а выявляются явно при анализе затрат в последствии, что в конечном счете приводит к росту «скрытых» затрат компании. Рассмотрим, как можно определить прямые и косвенные затраты на комплексную систему безопасности. Предположим, что руководство предприятия проводит работы по внедрению на предприятии комплексной системы защиты информации. Уже определены объекты и цели защиты, угрозы информационной безопасности и меры по противодействию им, приобретены и установлены необходимые средства защиты информации.

Как правило, затраты на информационную безопасность подразделяются на следующие категории:

• - затраты на формирование и поддержание звена управления системой защиты информации;
• - затраты на контроль, то есть на определение и подтверждение достигнутого уровня защищенности ресурсов предприятия;
• - внутренние затраты на ликвидацию последствий нарушения информационной безопасности - затраты, понесенные организацией в результате того, что требуемый уровень защищенности не был достигнут;
• -внешние затраты на ликвидацию последствий нарушения информационной безопасности - компенсация потерь при нарушениях политики безопасности в случаях, связанных с утечкой информации, потерей имиджа компании, утратой доверия партнеров и потребителей и т.п.;
• -затраты на техническое обслуживание системы защиты информации и мероприятия по предотвращению нарушений политики безопасности предприятия.

При этом обычно выделяют единовременные и систематические затраты.

Единовременные, затраты на формирование безопасности предприятия: организационные затраты и затраты на приобретение и установку средств защиты.

Систематические, затраты на эксплуатацию и обслуживание. Классификация затрат условна, так как сбор, классификация и анализ затрат на информационную безопасность - внутренняя деятельность предприятий, и детальная разработка перечня зависят от особенностей конкретной организации.

Главное при определении затрат на систему безопасности -взаимопонимание и согласие по статьям расходов внутри предприятия.

Кроме того, категории затрат должны быть постоянными и не должны дублировать друг друга. Невозможно полностью исключить затраты на безопасность, однако они могут быть приведены к приемлемому уровню.

Некоторые виды затрат на безопасность являются абсолютно необходимыми, а некоторые могут быть существенно уменьшены или исключены. Последние - это те, которые могут исчезнуть при отсутствии нарушений безопасности или сократятся, если количество и разрушающее воздействие нарушений уменьшатся.

При соблюдении безопасности и проведении профилактики нарушений можно исключить или существенно уменьшить следующие затраты:

• - на восстановление системы безопасности до соответствия требованиям безопасности;
• - на восстановление ресурсов информационной среды предприятия;
• - на переделки внутри системы безопасности;
• - на юридические споры и выплаты компенсаций;
• - на выявление причин нарушения безопасности.

Необходимые затраты - это те, которые необходимы даже если уровень угроз безопасности достаточно низкий. Это затраты на поддержание достигнутого уровня защищенности информационной среды предприятия.

Неизбежные затраты могут включать:

• а) обслуживание технических средств защиты;
• б) конфиденциальное делопроизводство;
• в) функционирование и аудит системы безопасности;
• г) минимальный уровень проверок и контроля с привлечением специализированных организаций;
• д) обучение персонала методам информационной безопасности.

Однако существуют и другие затраты, которые определить достаточно сложно. В их числе:

• а) затраты на проведение дополнительных исследований и разработку новой рыночной стратегии;
• б) потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно-технические достижения;
• в) затраты, связанные с ликвидацией «узких мест» в снабжении, производстве и сбыте продукции;
• г) потери от компрометации производимой предприятием продукции и снижения цен на нее;
• д) возникновение трудностей в приобретении оборудования или технологий, в том числе повышение цен на них, ограничение объема поставок.

Перечисленные затраты могут быть вызваны действиями персонала различных отделов, например, проектного, технологического, планово-экономического, юридического, хозяйственного, отдела маркетинга, тарифной политики и ценообразования.

Поскольку сотрудники всех этих отделов вряд ли будут заняты полный рабочий день вопросами внешних потерь, то установление объема затрат необходимо вести с учетом реально затраченного времени. Один из элементов внешних потерь невозможно точно вычислить - это потери, связанные с подрывом имиджа предприятия, снижением доверия потребителя к продукции и услугам предприятия. Именно по этой причине многие корпорации скрывают, что их сервис небезопасен. Корпорации боятся обнародования такой информации даже больше, чем атаки в той или иной форме.

Однако многие предприятия игнорируют эти затраты на основании того, что их нельзя установить с какой-либо степенью точности - они только предположительны. Затраты на предупредительные мероприятия. Эти затраты, вероятно, наиболее сложно оценить, поскольку предупредительные мероприятия проводятся в разных отделах и затрагивают многие службы. Эти затраты могут появляться на всех этапах жизненного цикла ресурсов информационной среды предприятия:

• - планирования и организации;
• - приобретения и ввода в действие;
• - доставки и поддержки;
• - мониторинга процессов, составляющих информационную технологию.

В дополнение к этому, большинство затрат данной категории связано с работой персонала службы безопасности. Затраты на предупредительные мероприятия в основном включают заработную плату и накладные расходы. Однако точность их определения в большей степени зависит от точности установления времени, затраченного каждым сотрудником в отдельности. Некоторые предупредительные затраты легко выявить напрямую. Они, в частности, могут включать оплату различных работ сторонних организаций, например:

• - обслуживание и настройку программно-технических средств защиты, операционных систем и используемого сетевого оборудования;
• - проведение инженерно-технических работ по установлению сигнализации, оборудованию хранилищ конфиденциальных документов, защите телефонных линий связи, средств вычислительной техники и т.п.;
• - доставку конфиденциальной информации;
• - консультации;
• - курсы обучения.

Источники сведений о рассмотренных затратах. При определении затрат на обеспечение ИБ необходимо помнить, что:

• - затраты на приобретение и ввод в действие программно-технических средств могут быть получены из анализа накладных, записей в складской документации и т.п.;
• - выплаты персоналу могут быть взяты из ведомостей;
• - объемы выплат заработной платы должны быть взяты с учетом реально затраченного времени на проведение работ по обеспечению информационной безопасности если только часть времени сотрудника затрачивается на деятельность по обеспечению информационной безопасности, то целесообразность оценки каждой из составляющих затрат его времени не должна подвергаться сомнению;
• - классификация затрат на безопасность и распределение их по элементам должны стать частью повседневной работы внутри предприятия.

Как обосновать затраты на информационную безопасность?

Перепечатано с любезного разрешения ОАО ИнфоТеКС Интернет Траст
Исходный текст находится здесь .

Уровни зрелости компании

Gartner Group выделяет 4 уровня зрелости компании с точки зрения обеспечения информационной безопасности (ИБ):

• 0 уровень :
• ИБ в компании никто не занимается, руководство компании не осознает важности проблем ИБ;
• Финансирование отсутствует;
• ИБ реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам).
• 1 уровень :
• ИБ рассматривается руководством как чисто "техническая" проблема, отсутствует единая программа (концепция, политика) развития системы обеспечения информационной безопасности (СОИБ) компании;
• Финансирование ведется в рамках общего ИТ-бюджета;
• ИБ реализуется средствами нулевого уровня + средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN (традиционные средства защиты).
• 2 уровень :
• ИБ рассматривается руководством как комплекс организационных и технических мероприятий, существует понимание важности ИБ для производственных процессов, есть утвержденная руководством программа развития СОИБ компании;
• ИБ реализуется средствами первого уровня + средства усиленной аутентификации, средства анализа почтовых сообщений и web-контента, IDS (системы обнаружения вторжений), средства анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, положения, процедуры, регламенты и руководства).
• 3 уровень :
• ИБ является частью корпоративной культуры, назначен CISA (старший офицер по вопросам обеспечения ИБ);
• Финансирование ведется в рамках отдельного бюджета;
• ИБ реализуется средствами второго уровня + системы управления ИБ, CSIRT (группа реагирования на инциденты нарушения ИБ), SLA (соглашение об уровне сервиса).

По информации Gartner Group (данные приводятся за 2001 год) процентное соотношение компаний применительно к описанным 4 уровням выглядит следующим образом:
0 уровень - 30%,
1 уровень - 55%,
2 уровень - 10 %,
3 уровень - 5 %.

Прогноз Gartner Group на 2005 год выглядит следующим образом:
0 уровень - 20%,
1 уровень - 35%,
2 уровень - 30 %,
3 уровень - 15 %.

Статистика показывает, что большинство компаний (55%) в настоящий момент внедрили минимально необходимый набор традиционных технических средств защиты (1 уровень).

При внедрении различных технологий и средств защиты часто возникают вопросы. Что внедрять в первую очередь, систему обнаружения вторжений или PKI инфраструктуру? Что будет более эффективно? Стивен Росс, директор Deloitte&Touche, предлагает следующий подход для оценки эффективности отдельных мер и средств обеспечения ИБ.

Исходя из приведенного графика видно, что наиболее дорогими и наименее эффективными являются специализированные средства (собственные или заказные разработки).

Наиболее дорогими, но в тоже время наиболее эффективными являются средства защиты 4 категории (уровень 2 и 3 по Gartner Group). Для внедрения средств данной категории необходимо использовать процедуру анализа риска. Анализ риска в данном случае позволит гарантировать адекватность затрат на внедрение существующим угрозам нарушения ИБ.

К наиболее дешевым, однако имеющим высокий уровень эффективности, относятся организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, план бесперебойной работы, положения, процедуры, регламенты и руководства).

Внедрение дополнительных средств защиты (переход на уровни 2 и 3) требует существенных финансовых вложений и соответственно обоснования. Отсутствие единой программы развития СОИБ, одобренной и подписанной руководством, обостряет проблему обоснования вложений в безопасность.

Анализ риска

В качестве такого обоснования могут выступать результаты анализа риска и статистика, накопленная по инцидентам.Механизмы реализации анализа риска и накопления статистики должны быть прописаны в политике ИБ компании.

Процесс анализа риска состоит из 6 последовательных этапов:

1. Идентификация и классификация объектов защиты (ресурсов компании, подлежащих защите);

3. Построение модели злоумышленника;

4. Идентификация, классификация и анализ угроз и уязвимостей;

5. Оценка риска;

6. Выбор организационных мер и технических средств защиты.

На этапе идентификации и классификации объектов защиты необходимо провести инвентаризацию ресурсов компании по следующим направлениям:

• Информационные ресурсы (конфиденциальная и критичная информация компании);
• Программные ресурсы (ОС, СУБД, критичные приложения, например ERP);
• Физические ресурсы (сервера, рабочие станции, сетевое и телекоммуникационное оборудование);
• Сервисные ресурсы (электронная почта, www и т.д.).

Категорирование заключается в определении уровня конфиденциальности и критичности ресурса. Под конфиденциальностью понимается уровень секретности сведений, которые хранятся, обрабатываются и передаются ресурсом. Под критичностью понимается степень влияния ресурса на эффективность функционирования производственных процессов компании (например, в случае простоя телекоммуникационных ресурсов компания - провайдер может разориться). Присвоив параметрам конфиденциальности и критичности определенные качественные значения, можно определить уровень значимости каждого ресурса, с точки зрения его участия в производственных процессах компании.

Для определения значимости ресурсов компании с точки зрения информационной безопасности можно получить следующую таблицу:

Например, файлы с информацией об уровне зарплат сотрудников компании имеют значение "строго конфиденциально" (параметр конфиденциальности) и значение "незначительный" (параметр критичности). Подставив эти значения в таблицу, можно получить интегральный показатель значимости данного ресурса. Различные варианты методик категорирования приведены в международном стандарте ISO TR 13335.

Построение модели злоумышленника - это процесс классификации потенциальных нарушителей по следующим параметрам:

• Тип злоумышленника (конкурент, клиент, разработчик, сотрудник компании и т.д.);
• Положение злоумышленника по отношению к объектам защиты (внутренний, внешний);
• Уровень знаний об объектах защиты и окружении (высокий, средний, низкий);
• Уровень возможностей по доступу к объектам защиты (максимальные, средние, минимальные);
• Время действия (постоянно, в определенные временные интервалы);
• Место действия (предполагаемое месторасположение злоумышленника во время реализации атаки).

Присвоив перечисленным параметрам модели злоумышленника качественные значения можно определить потенциал злоумышленника (интегральную характеристику возможностей злоумышленника по реализации угроз).

Идентификация, классификация и анализ угроз и уязвимостей позволяют определить пути реализации атак на объекты защиты. Уязвимости - это свойства ресурса или его окружения, используемые злоумышленником для реализации угроз. Перечень уязвимостей программных ресурсов можно найти в сети интернет.

Угрозы классифицируются по следующим признакам:

• наименование угрозы;
• тип злоумышленника;
• средства реализации;
• используемые уязвимости;
• совершаемые действия;
• частота реализации.

Основной параметр - частота реализации угрозы. Она зависит от значений параметров "потенциал злоумышленника" и "защищенность ресурса". Значение параметра "защищенность ресурса" определяется путем экспертных оценок. При определении значения параметра принимается во внимание субъективные параметры злоумышленника: мотивация для реализации угрозы и статистика от попыток реализации угроз данного типа (в случае ее наличия). Результатом этапа анализа угроз и уязвимостей является оценка параметра "частота реализации" по каждой из угроз.

На этапе оценки риска определяется потенциальный ущерб от угроз нарушения информационной безопасности для каждого ресурса или группы ресурсов.

Качественный показатель ущерба зависит от двух параметров:

• Значимость ресурса;
• Частота реализации угрозы на этот ресурс.

Исходя из полученных оценок ущерба, обоснованно выбираются адекватные организационные меры и технические средства защиты.

Накопление статистики по инцидентам

Единственным уязвимым местом в предлагаемой методике оценке риска и соответственно обосновании необходимости внедрения новых или изменения существующих технологий защиты является определение параметра "частота реализации угрозы". Единственный путь получения объективных значений этого параметра - накопление статистики по инцидентам. Накопленная статистика, например, за год позволит определить количество реализаций угроз (определенного типа) на ресурс (определенного типа). Работу по накоплению статистики целесообразно вести в рамках процедуры обработки инцидентов.