Предоставление услуг в сфере информационной безопасности

Лекция 13: Предоставление услуг в сфере информационной безопасности Аннотация: В лекции рассматриваются организационные вопросы оказания различных услуг, связанных с обеспечением информационной безопасности: аудиторских, консультационных, услуг по внедрению технических средств защиты, а также услуг по страхованию информационных рисков. Предпосылки развития рынка услуг по обеспечению информационной безопасности и его структура Развитие современных информационных технологий, рост зависимости деятельности многих предприятий и учреждений от функционирования информационных систем и постоянное нарастание объемов и сложности информационных потоков привели к тому, что задачи обеспечения информационной безопасности стали требовать использования значительных ресурсов. В частности, финансовые средства, выделяемые на обеспечение информационной безопасности, занимают все большую долю в бюджетах предприятий, а текущее и стратегическое управление защитой информации требует большего внимания не только со стороны специалистов по информационным технологиям, но и со стороны руководителей и собственников предприятий. Зачастую необходимые ресурсы и усилия руководителей в этой сфере оказываются сопоставимыми с теми ресурсами, которые тратятся на осуществление основной деятельности предприятий. Таким образом, сложились предпосылки для формирования рынка различных услуг по обеспечению информационной безопасности, которые (услуги) помогли бы не только повысить эффективность защиты информационных ресурсов, но и оптимизировать издержки предприятий и организаций. Основными факторами, которые обусловили появление у предприятий потребностей в услугах сторонних фирм, решающих задачи обеспечения информационной безопасности, и выделение услуг по защите информационных ресурсов в самостоятельную сферу бизнеса, стали: • усложнение и постоянное развитие современных систем обработки, хранения и передачи информации; • усложнение программных и аппаратных средств, используемых для защиты информации, необходимость понимания сложного комплекса теоретических и методических вопросов для их эффективной эксплуатации; • рост числа инцидентов и разнообразия видов атак на информационные системы и их интенсивности; • нехватка квалифицированных специалистов в сфере информационной безопасности и рост затрат на их содержание и профессиональную подготовку. Причиной того, что предприятия оказываются заинтересованными в отказе от самостоятельного выполнения определенных функций и привлечения сторонних специализированных компаний для решения этих задач (в современной практике такой подход принято называть "аутсорсингом" От английского термина Outsourcing или "передачей на аутсорсинг"), является возможность повысить эффективность процессов защиты информации, в определенной мере сократить издержки на эти процессы, а также в большей степени сконцентрироваться на управлении основной деятельностью предприятия и не отвлекать ресурсы и время руководителей на решение задач, являющихся по своей сути вторичными и вспомогательными по отношению к основным целям и задачам деятельности предприятия. Более высокая эффективность работы специализированных компаний – поставщиков услуг в сфере информационной безопасности по сравнению с самостоятельным решением этих задач самими предприятиями, как правило, связана с тем, что высокие издержки распределяются между множеством предприятий – клиентов поставщика услуг. Характерными примерами таких расходов, которые, с одной стороны, могут оказаться непозволительными для одного предприятия, но, с другой стороны, могут быть эффективно распределены между несколькими предприятиями, являются: • найм высококвалифицированных специалистов в относительно узких дисциплинах и областях информационной безопасности (таких как использование криптографических средств, борьба с вирусами, внедрение виртуальных частных сетей и т.п.); • частое переобучение и повышение квалификации специалистов; • постоянное отслеживание новых угроз и глубокий качественный анализ текущего состояния информационных технологий и тенденций их развития; • приобретение специализированных программных и аппаратных средств, необходимых для защиты информации и аудита информационных систем; • обеспечение круглосуточного дежурства служб реагирования на инциденты. При всех преимуществах передачи отдельных задач обеспечения безопасности на аутсорсинг этот подход имеет и ряд недостатков, которые в определенной мере могут ограничивать его применение. • Предприятие, которое пользуется такими услугами, несколько ограничивает себя в возможностях управлять своими затратами и сокращать издержки (накладные расходы) и, таким образом, попадает в определенную зависимость от ценовой политики поставщиков услуг, а также от складывающейся конъюнктуры рынка. • Сотрудники компании, предоставляющей услуги, получают доступ к наиболее важной информации предприятия-клиента и его информационным системам, что потенциально может быть источником дополнительных рисков для информационной безопасности. • Возникают дополнительные угрозы информационной безопасности при взаимодействии между компанией-поставщиком и предприятием-клиентом в процессе оказания услуг (например, может быть перехвачена информация при удаленном администрировании информационных систем предприятия-клиента). Основными услугами, которые могут быть переданы на аутсорсинг (как по отдельности, так и в комплексе), являются: • услуги по проведению комплексных аудитов состояния информационной безопасности на предприятии; • услуги по проведению аудитов (инструментальных проверок) устойчивости и надежности отдельных информационных подсистем (сетей, программных и аппаратных платформ и т.п.) и средств защиты информации, используемых предприятием; • услуги по сертификации информационных систем, производимых программных и аппаратных средств защиты информации; • консультационные услуги, связанные с формированием стратегии предприятия в сфере информационной безопасности и разработкой политики безопасности; • услуги по проектированию системы защиты информации; • консультационные услуги по выбору и адаптации отдельных технологий защиты информации (криптографии, биометрической идентификации и т.п.) применительно к определенным условиям ведения бизнеса; • услуги по внедрению системы защиты информации, а также внедрению отдельных технических (программных и аппаратных) средств и реализации организационных мероприятий; • услуги по текущему администрированию, поддержке и сопровождению информационных систем и систем защиты информации; • услуги по реагированию на инциденты, связанные с нарушениями информационной безопасности; • услуги по обучению руководителей предприятия, специалистов службы информационной безопасности и ИТ-службы, а также пользователей информационной системы предприятия. Также в конце этой главы мы рассмотрим еще два вида услуг, связанных с обеспечением информационной безопасности: услуги по страхованию информационных рисков и услуги по поддержанию инфраструктуры публичных ключей (Public Key Infrastructure, PKI). В целом, к настоящему моменту сложно говорить о формировании полноценного рынка услуг в сфере информационной безопасности (особенно в России), так как у большинства менеджеров крупных, а особенно средних и малых предприятий в основном не сформировались представления о необходимых мерах в этой сфере, а финансирование работ по обеспечению информационной безопасности зачастую осуществляется по остаточному принципу. Некоторые крупные российские разработчики комплексных решений в сфере информационной безопасности, хотя и функционируют достаточно активно, но при этом фактически не являются участниками открытого рынка, так как их продукция и услуги практически полностью ориентированы на определенных потребителей в государственном секторе, таких как ФСБ, Минатом и другие. Еще одной важной особенностью рынка услуг в сфере информационной безопасности является то, что оказание таких услуг иногда становится "побочным", дополнительным видом (направлением) деятельности для компаний, занимающихся поставкой аппаратных и программных средств защиты информации (так называемых "коробочных продуктов"), а также для компаний, занимающихся разработкой комплексных решений по автоматизации предприятий. Возможным недостатком такого подхода потенциально может быть то, что консультанты и аналитики оказываются жестко "привязаны" к определенным программным и аппаратным средствам (производителям, торговым маркам) и не имеют возможности гибко подбирать отдельные средства защиты и формировать наиболее эффективные комплексные решения в соответствии с потребностями каждого конкретного предприятия. Тем не менее, несмотря на определенные недостатки в развитии рынка услуг по обеспечению информационной безопасности, неоспоримым фактом является то, что многие такие услуги уже представлены на рынке, а основные рыночные и организационные механизмы начинают отрабатываться на практике. При этом одной из рекомендаций при работе с фирмами-поставщиками услуг в сфере информационной безопасности является правило - пользоваться услугами нескольких разных фирм и периодически менять партнеров, обеспечивающих решение тех или иных проблем безопасности. Особенности некоторых видов услуг Каждый вид услуг в этой сфере имеет свои специфические характеристики как с точки зрения организации работы компаний, оказывающих услуги, так и с точки зрения структуры рынка. Соответственно, для эффективной работы необходим индивидуальный подход к организации оказания таких услуг, а также организации взаимодействия между потребителями и поставщиками услуг. Услуги по реагированию на инциденты (нарушения информационной безопасности), уже частично рассмотренные в одном из предыдущих разделов, являются одним из наиболее характерных примеров обоснованности и целесообразности передачи сервисов безопасности на аутсорсинг. В частности, целесообразность отказа от самостоятельного выполнения функций реагирования на инциденты и их (функций) централизации в специализирующейся на таких задачах компании связана с тем, что эта деятельность имеет следующие важные особенности: • требует постоянного (круглосуточного) дежурства, что предполагает содержание в штате как минимум пяти специалистов; • предполагает наличие высококвалифицированных (а следовательно, высокооплачиваемых и востребованных на рынке труда) специалистов, способных быстро предпринять эффективные меры противодействия возникающим угрозам (в том числе и применить контрмеры к нападающим в процессе длящейся атаки), а также самостоятельно принять необходимые решения в процессе отражения длящейся атаки; • загрузка дежурных специалистов, отвечающих за реагирование на инциденты, может быть крайне неравномерной. Таким образом, эффект от централизации функций, связанных с реагированием на инциденты, складывается из нескольких составляющих и предоставляет возможности как для сокращения затрат и повышения уровня защищенности предприятий-клиентов, так и для получения прибыли фирмами-поставщиками таких услуг. При этом разграничение функций между предприятием-клиентом и компанией-поставщиком услуг может зависеть от таких факторов, как: • уровень доверия предприятия-клиента к фирме-поставщику услуг; • сложившаяся практика оказания таких услуг и наличие у фирмы-поставщика необходимых специалистов с определенным уровнем квалификации; • состав, характеристики и функциональность информационных систем предприятия-клиента; • уровень квалификации сотрудников предприятия-клиента (как пользователей информационных систем, так и сотрудников департамента информационной безопасности); • оценка существующих рисков (вероятности нанесения ущерба); • оценка (в том числе и субъективная) того, насколько значимым является знание внутренней среды предприятия сотрудниками службы информационной безопасности и их способность "изнутри" координировать действия и решать проблемы в случае каких-либо инцидентов. Кроме того, в некоторых случаях могут существовать определенные законодательные ограничения на аутсорсинг процессов безопасности (в частности, для государственных предприятий). Основные вопросы проведения аудитов информационной безопасности (и, в частности, внешних аудитов) уже рассматривались нами в предыдущей лекции. Помимо уже указанных факторов, которые обуславливают необходимость проведения именно внешних аудитов, а не внутренних (более высокая квалификация специалистов, право делать заключения о соответствии международным стандартам и т.п.), важным является также и то обстоятельство, что внешние аудиторы, как правило, не заинтересованы в представлении необъективной информации (в отличие от внутренней службы информационной безопасности). В случае же, если предприятие захочет создать собственную независимую службу для проведения аудитов информационной безопасности (отдельно от департамента информационной безопасности и других подразделений предприятия), результатом могут оказаться очень большие затраты, тем более что частота проведения таких аудитов, как правило, является не очень большой. Необходимость прибегать к услугам специализированных фирм, связанным с проверкой защищенности и надежности отдельных элементов информационной инфраструктуры (серверов, сетей, межсетевых экранов и т.п.), обусловлена, как правило, наличием у этих фирм специализированных программных и аппаратных средств, необходимых для проведения таких проверок (например, специализированных сканеров уязвимостей), а также наличие специальных знаний и навыков и разностороннего опыта, накопленного в процессе практической работы при проведении подобных проверок на различных предприятиях. Приобретение подобного опыта в рамках одного предприятия, пусть даже и очень крупного, практически невозможно. Одним из наиболее эффективных приемов при проведении такого рода проверок является пробное (тестовое) преодоление защиты, когда проверяющий имитирует определенное нападение с целью совершить нарушение (разрушить базу данных, выкрасть конфиденциальную информацию и т.п.). Основными задачами проверок такого рода являются: • оценка эффективности используемых технических (программных и аппаратных) средств защиты информации; • оценка эффективности работы специалистов, ответственных за реагирование на инциденты; • контроль соблюдения сотрудниками предприятия требований политики безопасности. Для получения наиболее достоверных результатов желательно, чтобы на самом предприятии о проведении такого теста знали только несколько руководителей, ответственных за его организацию. Также важным условием проведения такой проверки является четкая договоренность о том, насколько далеко должна зайти атака и какой уровень проникновения и разрушительных действий является достаточным, для того чтобы достоверно продемонстрировать, что атакуемая (проверяемая) система является уязвимой. В любом случае вся ответственность за ущерб, нанесенный в результате осуществления такой проверки, полностью ложится на предприятие, заказавшее такую услугу. Консультационные услуги, связанные с первичной постановкой системы управления информационной безопасностью (первичным анализом, формированием и внедрением политики безопасности), обычно бывают необходимы в той ситуации, когда предприятие впервые ставит для себя задачу целенаправленного систематического комплексного обеспечения информационной безопасности. В этих условиях привлечение сторонних консультантов является практически единственным способом сформировать достаточно адекватную и эффективную политику безопасности в относительно короткие сроки, так как само предприятие в такой ситуации обычно не имеет необходимых специалистов и руководителей, которые могли бы решить весь комплекс задач, связанных с оценкой рисков, инвентаризацией информационных активов, выработкой стратегии, формированием политики и организационной структуры департамента информационной безопасности. Привлекаемая для решения всех этих задач консультационная компания должна будет провести анализ деятельности предприятия в нескольких разрезах: с точки зрения основных бизнес-процессов, с точки зрения имеющейся информационно-технологической и коммуникационной инфраструктуры, а также с точки зрения используемых приложений (программного обеспечения и баз данных). Таким образом, необходимое качество работы по обеспечению комплексной защищенности информационных ресурсов предприятия может быть достигнуто только в том случае, если у консалтинговой компании имеются необходимые специалисты, а также опыт работы как на подобных предприятиях, так и с подобными программными и аппаратными платформами. Высокие требования к квалификации специалистов, работающих в консалтинговых компаниях, объясняются необходимостью не просто понять особенности функционирования тех или иных бизнес-процессов и информационных систем, но и достаточно быстро оценить их слабые места, существующие риски и наиболее вероятные сценарии нанесения ущерба информационным ресурсам. Услуги по администрированию информационных систем и средств защиты информации могут предоставляться как в комплексе с услугами по реагированию на инциденты, так и независимо от них. Фирмы-поставщики услуг могут осуществлять администрирование таких систем, как: • электронная почта (защита от вирусов, спама, нарушения конфиденциальности и других нарушений политики безопасности); • сетевое оборудование (сбор и анализ информации о функционировании маршрутизаторов, серверов и других устройств); • брандмауэры (конфигурирование и настройка доступа к сети, а также обеспечение своевременного реагирования на различные нарушения); • системы обнаружения вторжений (отслеживание всех "подозрительных" действий в отношении сетей, серверов, приложений и баз данных). При этом предприятие-клиент может прибегать к услугам других фирм для контроля за тем, насколько эффективно осуществляется администрирование средств защиты информации, либо самостоятельно осуществлять такой контроль при помощи специальных сканеров. При оказании услуг по администрированию фирма-поставщик, как правило, не может взять на себя полную ответственность за сохранность информации (так же как и при оказании услуг по реагированию на инциденты), однако для установления формальных отношений предприятие-клиент и фирма-поставщик могут выработать Соглашение об уровне обслуживания, которое должно предусматривать основные параметры функционирования информационных систем и их защищенности (гарантированное время надежной работы систем, гарантированные сроки восстановления работоспособности при нарушениях и т.п.). Инфраструктура публичных ключей Инфраструктура публичных ключей (Public Key Infrastructure, PKI) представляет собой сложную организационно-техническую систему, основанную на современных технологиях и развитых организационных стандартах, которая позволяет эффективно решать некоторые ключевые проблемы информационной безопасности и, в частности, проблемы защиты данных, передаваемых по сетям (как локальным, так и глобальным), и идентификации сторон, участвующих в информационном обмене (пользователей, информационных систем, программных процессов). Технология PKI является основным инструментом, при помощи которого на основе законодательной базы (в частности, на основе Федерального Закона РФ "Об электронной цифровой подписи", принятого в 2002 году) может быть создан юридически значимый документооборот, который, в свою очередь, может стать основой для активного развития электронной торговли, оказания финансовых, информационных и других услуг, а также осуществления электронных платежей через информационные сети общего пользования. Возможность использования этой технологии для осуществления платежей и хозяйственных сделок связана с тем, что ее самым важным элементом является так называемый цифровой сертификат, выдаваемый третьей стороной, которая фактически является гарантом того, что сделки, совершаемые с использованием определенного цифрового сертификата, совершаются от имени определенного лица. Таким образом, одним из ключевых элементов инфраструктуры публичных ключей являются так называемые "удостоверяющие центры" Данный термин, введенный Федеральным Законом "Об электронной цифровой подписи", является прямым аналогом термина Certificate Authority, используемого в англоязычной литературе и стандартах. (Certificate Authority, CA) – организационные структуры, осуществляющие идентификацию личностей (если речь идет о выдаче сертификата для одного человека) и выдачу электронного сертификата установленного образца, однозначно и достоверно представляющего этого человека. Также эти центры решают множество дополнительных задач, связанных с обеспечением эффективной работы инфраструктуры публичных ключей: ведут списки аннулированных сертификатов, обновляют истекшие сертификаты и т.п. В целом вся совокупность используемых технических и организационных решений, а также действующая юридическая база дают возможность однозначно связывать цифровой сертификат (цифровую подпись) с определенным физическим лицом и также гарантировать, что не происходит нарушения целостности передаваемых сообщений [7]. В настоящее время достаточно хорошо разработаны базовые технические стандарты и информационные технологии (средства криптографии, алгоритмы, реализующие хэш-функции и т.п.), необходимые для построения средств защиты на основе PKI. Дальнейшие перспективы развития в данной сфере связаны, главным образом, с совершенствованием рынка услуг и организационных механизмов. Идеология работы PKI предполагает создание сетей и иерархически взаимосвязанных структур множества различных удостоверяющих центров, работающих в рамках единой согласованной политики и опирающихся на общий "корневой" удостоверяющий центр. На практике же наиболее распространено создание самостоятельных разрозненных удостоверяющих центров, создаваемых отдельными предприятиями (например, коммерческими банками) на основе тиражируемых программных и аппаратных решений для обеспечения защищенности и придания юридической значимости создаваемым документам и транзакциям, осуществляемым в корпоративных информационных системах (таким как, например, платежные поручения) служащими, клиентами и бизнес-партнерами предприятия. В случае если предприятие самостоятельно развертывает PKI в рамках собственной информационной системы, все взаимоотношения между администрацией и пользователями регулируются внутренней политикой, вопросы разработки которой были рассмотрены в предыдущей главе. При этом одним из возможных подходов к внедрению технологии PKI является передача функций, связанных с выдачей и дальнейшим обращением цифровых сертификатов, на аутсорсинг. Передача функций удостоверяющего центра сторонней специализированной компании, как правило, решает для предприятия две важных задачи: • позволяет избежать значительных расходов, связанных с закупкой и поддержанием программных и аппаратных средств, а также наймом и обучением персонала; • дает возможность применять цифровые сертификаты за пределами своего предприятия, а также использовать на предприятии сертификаты сотрудников других предприятий. В свою очередь, компания, выполняющая функции удостоверяющего центра, может передать часть работ, которые связаны с проверкой документов лиц, претендующих на получение сертификата, и их консультированием, своим партнерам – так называемым "регистрационным центрам". Их основная функция заключается в упрощении и ускорении процедуры проверки документов и идентификации личности при выдаче сертификата для лиц, которые не могут лично явиться в удостоверяющий центр. Именно на основе сетей регистрационных центров, а также взаимодействия различных удостоверяющих центров (их объединения в единую сеть) должно происходить построение универсальной общедоступной инфраструктуры публичных ключей. Предполагается, что основными пользователями – клиентами удостоверяющих центров, желающими получить цифровые сертификаты, – должны быть лица, заинтересованные в доступе к различным специализированным электронным сервисам, облегчающим взаимодействие как с различными коммерческими структурами (например, банками), так и с государственными органами. Однако на практике продвижение технологии PKI и ее широкое использование сильно затруднено в связи с множеством объективных и субъективных факторов, таких как: • неготовность многих предприятий и особенно государственных органов к использованию данной технологии и, в частности, к параллельному использованию как обычных "бумажных" документов, так и электронных (заверенных электронными подписями); • отсутствием у многих людей достаточных навыков обращения с компьютерной техникой, а также доступа в сеть Интернет; • отсутствием у многих людей культуры использования электронных документов и электронной подписи, за которую необходимо нести ответственность; • ограниченная совместимость некоторых средств защиты информации, используемых в России, со средствами защиты информации, применяемыми в других странах. В результате перспективы решения важных организационных задач, таких как унификация технологий электронно-цифровой подписи и развитие общефедеральных удостоверяющих центров, оказываются неопределенными и во многом зависят от квалификации отдельных представителей профессионального сообщества и их отношения к данной проблеме. Страхование информационных рисков Основы методологии страхования информационных ресурсов Хотя страхование рисков, связанных с информационной безопасностью, само по себе не является организационным средством защиты информации (так как факт наличия или отсутствия такой страховки не влияет на вероятность нанесения ущерба информационным ресурсам), все же оно является важным и перспективным инструментом управления информационными рисками на предприятии. С точки зрения риск-менеджмента, страхование является главным инструментом так называемой "передачи рисков". Основным фактором, обуславливающим заинтересованность предприятий в страховании своих информационных ресурсов, является то, что в случае каких-либо серьезных нарушений в работе информационных систем предприятие получает возможность за счет страховых выплат относительно быстро восстановить их (систем) работу, а также основные бизнес-процессы и компенсировать (хотя бы частично) ущерб от вынужденного простоя и потери информационных активов. Согласно Закону РФ "Об организации страхового дела в Российской Федерации", объектом страхования могут быть не противоречащие законодательству имущественные интересы, связанные с владением, пользованием, распоряжением имуществом, а также связанные с возмещением страхователем причиненного им вреда личности или имуществу физического лица, а также вреда, причиненного юридическому лицу (страхование ответственности). Таким образом, на практике объектами страхования могут быть: • информационные ресурсы (в любом их виде: базы данных, библиотеки электронных документов и т.п.); • программное обеспечение (как уже используемые программные собственные и покупные продукты, так и находящиеся в разработке); • аппаратное обеспечение информационных систем (сетевое оборудование, серверы, рабочие станции, телекоммуникационное оборудование, периферия, источники бесперебойного питания и т.п.); • финансовые активы (денежные средства, бездокументарные ценные бумаги) в электронной форме (в том числе средства на счетах, управляемых при помощи систем "клиент-банк"). Договор страхования (страховой полис) может предусматривать возмещение прямых убытков в случае наступления различных страховых случаев, таких как: • выход из строя (сбои в работе) информационных систем, обусловленные недостаточным качеством используемых программных и аппаратных средств, ошибками при их проектировании, разработке, производстве, установке, настройке, обслуживании или эксплуатации; • умышленные противоправные действия сотрудников предприятия, совершенные с целью нанести ущерб предприятию либо получить определенную выгоду; • нападения (атаки) на информационные системы предприятия, которые совершены третьими лицами с целью нанести ущерб информационным ресурсам предприятия и его информационным системам (повредить или уничтожить информацию, хранящуюся в электронном виде, получить конфиденциальные сведения, вывести из строя программные и аппаратные средства с целью прекратить или приостановить функционирование определенных сервисов и т.п.); • воздействия вредоносных программ и макросов (вирусов, червей и т.п.), повлекшие нарушения работы информационных систем, потерю информации или разглашение конфиденциальной информации; • хищение финансовых активов (денежных средств, бездокументарных ценных бумаг), совершенное путем осуществления различных неправомерных действий: кражи паролей и ключей, присвоения личности, внесения изменений в программное обеспечение и т.п. В дополнение к основным рискам, непосредственно связанным с информационными активами, также могут быть застрахованы: • убытки от приостановки основной хозяйственной деятельности предприятия в результате нарушения работы информационных систем; • дополнительные расходы, связанные с поддержанием текущей хозяйственной деятельности в период восстановления работы поврежденных информационных систем; • дополнительные расходы, связанные со срочным восстановлением работы информационных систем, а также срочным восстановлением основной хозяйственной деятельности предприятия; • дополнительные расходы на восстановление деловой репутации после того, как ей был нанесен ущерб в результате атаки на информационные ресурсы и информационные системы (Public Relations Coverage). Убытки от приостановки основной хозяйственной деятельности предприятия могут включать в себя упущенную выгоду, обусловленную простоем информационных систем (т.е. ту прибыль, которую предприятие могло бы получить, но не получило по причине выхода из строя информационных систем), а также расходы по поддержанию инфраструктуры предприятия в период вынужденного простоя (как правило, это некоторые постоянные расходы, не зависящие от объема выпуска продукции и интенсивности хозяйственной деятельности). Дополнительные расходы, связанные с поддержанием текущей хозяйственной деятельности в период восстановления работы поврежденных информационных систем, могут возникать в том случае, если существуют некоторые альтернативные способы обработки и хранения информации и осуществления бизнес-процессов (например, на базе программных и аппаратных средств, а также телекоммуникационных каналов, временно арендуемых у специализированных компаний) и предприятие сочтет нужным и возможным воспользоваться этими альтернативными способами. При этом задействование таких резервных ресурсов, как правило, должно быть согласовано со страховой компанией, покрывающей эти расходы. Дополнительные расходы, связанные со срочным восстановлением работы информационных систем, могут возникать в том случае если, например, у сторонних поставщиков существуют некоторые альтернативные (более оперативные по сравнению с обычными) условия поставок оборудования и программного обеспечения, а также предоставления услуг по вводу в действие информационных систем. Все эти расходы, очевидно, также могут быть объектами страхования. При этом в каждой ситуации страховщику и страхователю необходимо детально проанализировать различные альтернативы выхода из кризисной ситуации и выбирать наиболее целесообразные варианты. Так, например, страховая компания может отказаться компенсировать дополнительные издержки, связанные со срочным восстановлением информационных систем, если более выгодной является компенсация упущенной выгоды за период более длительного вынужденного простоя. Процедура страхования (жизненный цикл договора страхования) включает в себя несколько основных этапов (см. рис. 13.1). 1. Предварительное обследование предприятия, анализ существующих рисков для информационной безопасности. 2. Формулирование рекомендаций по уменьшению рисков и реализация предприятием соответствующих мероприятий. 3. Согласование условий страхования и заключение договора. 4. Анализ ущерба и его расчет в денежном выражении в случае реализации застрахованных рисков. 5. Согласование и последующее осуществление страховых выплат, покрывающих ущерб. увеличить изображение Рис. 13.1. Основные стадии процесса страхования информационных рисков Предварительное обследование предприятия до заключения договора страхования во многом аналогично проведению внешнего аудита и также может осуществляться независимой специализированной компанией. По окончании такой проверки могут быть сформированы два основных документа: • отчет (заключение) о состоянии информационной безопасности на предприятии; • рекомендации по повышению уровня защищенности информационных ресурсов и уменьшению рисков. Такое обследование в дальнейшем создает предпосылки для принятия решения о возможности и целесообразности страхования информационных рисков данного предприятия, а также для обоснованного количественного анализа рисков и определения основных параметров договора страхования. На основе оценок рисков (с учетом реализации рекомендованных мероприятий по их уменьшению) определяется одно из наиболее существенных условий договора страхования – ставка страхования. (Ставка страхования. Это может быть фиксированная процентная доля от той суммы, на которую Вы страхуете) Как правило, ее размер не превышает пяти процентов, однако на практике он может варьироваться в диапазоне от нескольких десятых долей процента до пяти и более процентов. На размер ставки в каждом конкретном случае могут повлиять несколько факторов: • статистические данные, касающиеся нарушений информационной безопасности на аналогичных предприятиях (в сопоставимых условиях); • уровень защищенности информационных ресурсов данного предприятия (качество используемых технических средств, уровень организационного обеспечения информационной безопасности на предприятии и т.п.); • интенсивность текущей хозяйственной деятельности (выполнения текущих бизнес-операций); • страховая сумма – стоимость информационных активов, подлежащих страхованию (как правило, чем больше стоимость страхуемых ресурсов, тем ниже удельная ставка страхования). Помимо ставки страхования в процессе согласования условий договора также определяется другой важный параметр – лимит ответственности страховой компании (максимальная величина средств, которые могут быть выплачены страховщиком страхователю в течение всего срока действия договора страхования). Как правило, страховая сумма должна быть достаточно большой, чтобы у страховой компании была возможность компенсировать накладные расходы (в частности, расходы на предварительное обследование предприятия), связанные с заключением договора страхования. В случае реализации риска (возникновения страхового случая) застрахованные информационные ресурсы могут быть полностью утрачены. При этом страховая компания должна будет произвести страховые выплаты в полном объеме (в пределах установленного лимита ответственности). В случае, если повреждена только часть информационных ресурсов, для предприятия и страховой компании начинается сложный процесс определения суммы ущерба, которая должна быть компенсирована. Такая оценка также может быть произведена независимой третьей стороной. Кроме того, предметом анализа в этой ситуации могут быть все обстоятельства, связанные с произошедшим страховым случаем. В частности, договором страхования может быть предусмотрена обязанность предприятия-клиента предпринять ряд мер в рамках определенного плана аварийных мероприятий с целью минимизировать ущерб. Таким образом, страховая компания, прежде чем произвести выплаты, должна будет убедиться в том, что предприятием-клиентом были предприняты определенные меры предосторожности. То обстоятельство, что взаимодействие страховщика и страхователя при определении размера страховых выплат является одним из наиболее проблемных вопросов, заставляет передовые компании искать новые формы организации процесса страхования. Так, например, для разрешения проблем при реализации некоторых страховых рисков и уменьшения убытков третьей стороной в договоре страхования может выступать компания – поставщик информационных систем и комплексных решений, которая при наступлении страхового случая может на некоторое время (на период восстановительных работ) предоставить резервные программные и аппаратные средства для обеспечения непрерывности основной деятельности предприятия-страхователя, а также организовать сами восстановительные работы. В этом случае страховая компания может сократить размер страховых выплат на компенсацию упущенной выгоды предприятия-страхователя и избежать некоторых излишних выплат на восстановление утраченных информационных ресурсов. Помимо страхования собственно информационных рисков, также важное значение имеет страхование гражданской ответственности компаний, оказывающих информационные услуги и услуги по защите информации большому числу пользователей: • страхование гражданской ответственности удостоверяющих центров, работающих в инфраструктуре публичных ключей; • страхование ответственности фондовых бирж и других электронных торговых площадок по возмещению имущественного вреда третьим лицам; • страхование гражданской ответственности разработчиков и поставщиков средств защиты информации. Необходимость страхования гражданской ответственности компаний-поставщиков продуктов и услуг перед потребителями в этом случае обусловлена тем, что их услугами (продуктами) пользуется большое число клиентов, каждый из которых с использованием этих продуктов и услуг управляет дорогостоящими информационными активами (финансовыми средствами, конфиденциальными сведениями, разглашение которых может привести к огромным убыткам, и т.п.). Таким образом, у компаний-поставщиков таких продуктов и услуг возникают риски того, что к ним будут предъявлены иски о возмещении ущерба, понесенного клиентами вследствие того, что злоумышленники воспользовались уязвимостями в поставляемых продуктах. Очевидно, что собственные активы и доступные средства, имеющиеся у компаний-поставщиков, как правило, гораздо меньше потенциально возможного ущерба, который может возникнуть у их клиентов. В результате этого страхование оказывается единственным средством обеспечения ответственности и, следовательно, построения цивилизованных взаимоотношений на рынке средств защиты информации, а также услуг по защите информации. Рынок страховых услуг Мировая практика страхования информационных рисков начала складываться в девяностых годах и получила свое развитие после 2000-го года, когда, с одной стороны, риски информационной безопасности стали более серьезными, чем когда-либо, а с другой – в западных странах окончательно сложилась практика не включать информационные риски в универсальные страховые полисы, которыми обычно покрывались основные бизнес-риски. Таким образом, к настоящему времени крупнейшими мировыми компаниями, оказывающими услуги по страхованию информационных рисков, являются: • Британская страховая компания "Lloyds of London"; • американская компания "AIG"; • Zurich North America ("The E-Risk Edge solution"); • страховая группа "Chubb"; • страховая компания "Marsh". Страхование информационных рисков компанией Lloyds of London осуществляется совместно с известной компанией Counterpane, предоставляющей услуги по оценке состояния защищенности информационных ресурсов и по текущей поддержке информационной безопасности. Также в этой работе участвуют компании Frank Crystal & Co. и SafeOnline Ltd. Эти фирмы предлагают два основных совместных страховых продукта: • Internet Asset and Income Protection Coverage ("Покрытие рисков, связанных с информационными активами и информационной деятельностью") – программа страхования информационных ресурсов отдельных компаний; • Internet Asset and Income Protection Warranty Plan ("План гарантирования информационных активов и информационной деятельности") – основанный на страховании план гарантирования надежности работы поставщиков услуг Интернет. Американская страховая компания American International Group, Inc. (AIG), действующая в 130 странах мира, в лице своего подразделения AIG eBusiness Risk Solutions (AIG eBRS) предлагает программу страхования информационных рисков netAdvantage (AIG netAdvantage Suite). В рамках своей комплексной программы страхования эта компания предлагает скидки клиентам, пользующимся определенными средствами защиты информации. Для обеспечения эффективности и комплексности услуг по страхованию AIG eBRS организовывает технологические альянсы с компаниями, поставляющими средства защиты информации, а также проводящими аудиты безопасности. В рамках программы netAdvantage предлагается несколько вариантов страховой защиты: • защита от ущерба в случае неправомерного разглашения частных данных; • защита от уничтожения (утраты) данных или программного обеспечения; • защита от ущерба в случае нарушения операционной деятельности (упущенная выгода и дополнительные расходы) в случае нарушений информационной безопасности; • страховая компенсация затрат на нейтрализацию уязвимостей; • страховая компенсация затрат на восстановление деловой репутации (PR) в случае реализации рисков. В России одной из первых компаний, начавших предоставлять услуги такого рода, стал "Ингосстрах". В 1999 году было подписано "Соглашение о сотрудничестве в области страхования информационных ресурсов" между Министерством РФ по связи и информатизации, с одной стороны, и страховыми компаниями "Ингосстрах" и "Инфистрах" – с другой. Начиная с 2000 года некоторые российские страховые компании получили лицензии на осуществление такой деятельности, однако в целом этот рынок в России остается неразвитым. Деятельность страховых компаний, как правило, ориентирована на страхование банковских рисков и крупных объектов (таких как "Российская торговая система", РТС или система межбанковского процессингового центра электронного документооборота Faktura.Ru), при этом некоторые сегменты этого рынка практически не развиваются. Лекция 14: Экономика информационной безопасности Аннотация: В лекции рассматриваются задачи и методы экономического анализа целесообразности реализации мероприятий по обеспечению информационной безопасности в определенных условиях. Методические основы экономики информационной безопасности Управление информационной безопасностью, так же как и управление во многих других сферах деятельности, предполагает периодическое принятие различных управленческих решений, заключающихся, как правило, в выборе определенных альтернатив (отборе одной из возможных организационных схем или одного из доступных технических решений) или определении некоторых параметров отдельных организационных и/или технических систем и подсистем. Одним из возможных подходов к выбору альтернатив в ситуации принятия управленческого решения является т.н. "волевой" подход, когда решение по тем или иным причинам принимается интуитивно и формально обоснованная причинно-следственная взаимосвязь между определенными исходными предпосылками и конкретным принятым решением не может быть установлена. Очевидно, что альтернативой "волевому" подходу становится принятие решений, основанное на определенных формальных процедурах и последовательном анализе. Основой такого анализа и последующего принятия решений является экономический анализ, предполагающий изучение всех (или хотя бы основных) факторов, под влиянием которых происходит развитие анализируемых систем, закономерностей их поведения, динамики изменения, а также использование универсальной денежной оценки. Именно на основе адекватно построенных экономических моделей и осуществляемого с их помощью экономического анализа должны приниматься решения, касающиеся как общей стратегии развития, так и отдельных организационных и технических мероприятий, как на уровне государств, регионов и отраслей, так и на уровне отдельных предприятий, подразделений и информационных систем. При этом, так же как и экономика любой отрасли деятельности имеет свои особенности, экономика информационной безопасности, рассматриваемая как относительно самостоятельная дисциплина, с одной стороны, базируется на некоторых общих экономических законах и методах анализа, а с другой – нуждается в индивидуальном понимании, развитии специфических подходов к анализу, накоплении статистических данных, специфичных для этой сферы, формировании устойчивых представлений о факторах, под влиянием которых функционируют информационные системы и средства защиты информации. Сложность задач экономического анализа практически во всех областях деятельности, как правило, обуславливается тем, что многие ключевые параметры экономических моделей невозможно достоверно оценить, и они носят вероятностный характер (такие как, например, показатели потребительского спроса). Анализ усложняется также тем, что даже небольшие колебания (корректировка оценок) таких параметров могут серьезно повлиять на значения целевой функции и, соответственно, на решения, принимаемые по результатам анализа. Таким образом, для обеспечения как можно большей достоверности расчетов в процессе проведения экономического анализа и принятия решений необходимо организовать комплекс работ по сбору исходной информации, расчету прогнозных значений, опросу экспертов в различных областях и обработке всех данных. При этом в процессе проведения такого анализа необходимо уделять особое внимание промежуточным решениям, касающимся оценок тех или иных параметров, входящих в общую модель. Необходимо также учитывать то обстоятельство, что сам по себе такой анализ может оказаться достаточно ресурсоемкой процедурой и потребовать привлечения дополнительных специалистов и сторонних консультантов, а также усилий со стороны различных специалистов (экспертов), работающих на самом предприятии, – все эти затраты, в конечном счете, должны быть оправданы. Особая сложность экономического анализа в такой сфере, как информационная безопасность, обуславливается такими специфическими факторами, как: • быстрое развитие информационных технологий и методик, используемых в этой сфере (как средств и методов защиты, так и средств и методов нападения); • невозможность достоверно предугадать все возможные сценарии нападения на информационные системы и модели поведения нападающих; • невозможность дать достоверную, достаточно точную оценку стоимости информационных ресурсов, а также оценить последствия различных нарушений в денежном выражении. Это требует дополнительных усилий по организации процесса экономического анализа, а также зачастую приводит к тому, что многие принимаемые решения, относящиеся к обеспечению информационной безопасности, могут оказаться неадекватными. Примерами ситуаций, в которых недостаточная развитость методологии экономического анализа негативно влияет на состояние информационной безопасности, могут быть случаи, когда: • руководство предприятия может принять неадекватные решения относительно инвестиций в средства защиты информации, что, в свою очередь, может привести к убыткам, которых можно было избежать; • руководство предприятия может принять определенные решения относительно организации бизнес-процессов и процессов обработки информации на предприятии, исходя из стремления сократить текущие затраты и уменьшить нагрузку на персонал, при этом не принимая во внимание экономические последствия недостаточной защищенности информационных ресурсов; • страхователь и страховщик могут не заключить договор о страховании информационных рисков или установить неадекватные параметры такого договора ввиду того, что отсутствуют модели и методы оценки экономических параметров сделки. Анализ вложений в средства защиты информации В процессе текущей деятельности предприятиям постоянно приходится сталкиваться с теми или иными изменениями: уточняются бизнес-процессы, меняется конъюнктура рынков сбыта и рынков потребляемых материальных ресурсов и услуг, появляются новые технологии, изменяют свое поведение конкуренты и контрагенты, меняется законодательство и политика государства и т.д. В этих условиях менеджерам (в том числе и руководителям, отвечающим за обеспечение информационной безопасности) приходится постоянно анализировать происходящие изменения и адаптировать свою работу к постоянно меняющейся ситуации. Конкретные формы, в которых проявляется реакция руководителей, могут быть различными. Это может быть смена маркетинговой политики, реорганизация бизнес-процессов, изменение технологий, изменение производимого продукта, слияние с конкурентами или их поглощение и т.п. Однако при всем разнообразии возможных моделей поведения в меняющейся среде почти всех их объединяет один важный общий для них методологический элемент: в большинстве случаев реакция бизнеса на новые угрозы и новые возможности предполагает осуществление новых более или менее долгосрочных и ресурсоемких вложений (инвестиций) в определенные организационные и/или технические мероприятия, которые, с одной стороны, предполагают расходование ресурсов (денежных средств), а с другой – дают возможность получить новые выгоды, выражающиеся в увеличении дохода или сокращении некоторых текущих расходов. Таким образом, в ситуации, когда необходимо осуществить некоторые новые организационные или технические мероприятия (реализовать проект), основной задачей лиц, отвечающих за эффективную организацию информационной безопасности, является четкое соотнесение затрат, которые придется понести в связи с реализацией этого мероприятия (как единовременные, так и постоянные текущие), и дополнительных (новых) денежных потоков, которые будут получены. В данном случае под денежным потоком может пониматься экономия затрат, предотвращение убытков, а также дополнительный доход предприятия. В качестве основного показателя, отражающего это соотношение, в экономической практике принято использовать функцию отдачи от инвестиций – Return on Investment, . ( 14.1) где: • – дополнительный денежный поток, создаваемый в результате реализации проекта; • – затраты, связанные с реализацией проекта (расход ресурсов, отрицательная величина); • – ставка дисконтирования (Ставка дисконтирования — это процентная ставка, используемая для пересчёта будущих потоков доходов в единую величину текущей стоимости. Ставка дисконтирования применяется при расчёте дисконтированной стоимости будущих денежных потоков NPV); • – функция дисконтирования (Дисконтированная (приведённая, текущая) стоимость — оценка стоимости (текущий денежный эквивалент) будущего потока платежей исходя из различной стоимости денег, полученных в разные моменты времени (концепция временно́й ценности денег). Денежная сумма, полученная сегодня, обычно имеет более высокую стоимость, чем та же сумма, полученная в будущем. Это связано с тем, что деньги, полученные сегодня, могут принести в будущем доход после их инвестирования. Кроме того, деньги полученные в будущем в условиях инфляции обесцениваются (на ту же сумму в будущем можно приобрести меньшее количество товаров и услуг). Также есть другие факторы снижающие стоимость будущих платежей. Неравноценность разновременных денежных сумм численно выражается в ставке дисконтирования). Функция дисконтирования используется при анализе инвестиционных вложений для учета влияния фактора времени и приведения разновременных затрат к одному моменту (обычно моменту начала реализации проекта). Ставка дисконтирования в этом случае позволяет учесть изменение стоимости денег с течением времени. Модель отдачи от инвестиций (14.1) наглядно демонстрирует, какие две основные задачи необходимо решить при анализе любого инвестиционного проекта и, в частности, проекта по реализации мероприятий в сфере информационной безопасности: расчет затрат, связанных с проектом, и расчет дополнительного денежного потока. Если методология расчета совокупных затрат ( ) за последние 10-15 лет в целом достаточно полно сформировалась (в виде концепции "Total Cost of Ownership", TCO – Совокупная стоимость владения, ССВ) и активно используется на практике применительно к различным видам информационных систем и элементам информационной инфраструктуры, то расчет дополнительного денежного потока ( ), получаемого в результате инвестиций в средства защиты информации, как правило, вызывает серьезные затруднения. Одним из наиболее перспективных подходов к расчету этого показателя является методика, которая опирается на количественную (денежную) оценку рисков ущерба для информационных ресурсов и оценку уменьшения этих рисков, связанного с реализацией дополнительных мероприятий по защите информации. Таким образом, в целом состав методологии анализа целесообразности вложений средств в проекты, направленные на обеспечение информационной безопасности, схематично представлен на рис. 14.1. увеличить изображение Рис. 14.1. Структура методологии анализа эффективности вложений в проекты по обеспечению информационной безопасности Анализ затрат, связанных с реализацией проекта, хотя и является относительно более простой задачей, все же может вызвать определенные затруднения. Так же как и для многих других проектов в сфере информационных технологий, анализ затрат на реализацию проектов в сфере информационной безопасности целесообразно осуществлять, опираясь на известную базовую методологию "Total Cost of Ownership" — TCO (Совокупная стоимость владения — ССВ), введенную консалтинговой компанией "Gartner Group" в 1987 году применительно к персональным компьютерам. В целом, эта методика ориентирована на обеспечение полноты анализа издержек (как прямых, так и косвенных), связанных с информационными технологиями и информационными системами, в ситуациях, когда необходимо оценить экономические последствия внедрения и использования таких систем: при оценке эффективности инвестиций, сравнении альтернативных технологий, составлении капитальных и текущих бюджетов и т.п. В общем случае суммарная величина ССВ включает в себя: • затраты на проектирование информационной системы; • затраты на приобретение аппаратных и программных средств: вычислительная техника, сетевое оборудование, программное обеспечение (с учетом используемых способов лицензирования), а также лизинговые платежи; • затраты на разработку программного обеспечения и его документирование, а также на исправление ошибок в нем и доработку в течение периода эксплуатации; • затраты на текущее администрирование информационных систем (включая оплату услуг сторонних организаций, которым эти функции переданы на аутсорсинг); • затраты на техническую поддержку и сервисное обслуживание; • затраты на расходные материалы; • затраты на телекоммуникационные услуги (доступ в Интернет, выделенные и коммутируемые каналы связи и т.п.); • затраты на обучение пользователей, а также сотрудников ИТ-подразделений и департамента информационной безопасности; • косвенные затраты – издержки предприятия, связанные с потерей времени пользователями в случае сбоев в работе информационных систем. Также в расчет затрат на повышение уровня информационной безопасности необходимо включить расходы на реорганизацию бизнес-процессов и информационную работу с персоналом: оплата услуг бизнес-консультантов и консультантов по вопросам информационной безопасности, расходы на разработку организационной документации, расходы на проведение аудитов состояния информационной безопасности и т.п. Кроме того, при анализе расходов необходимо также учесть то обстоятельство, что в большинстве случаев внедрение средств защиты информации предполагает появление дополнительных обязанностей у персонала предприятия и необходимость осуществления дополнительных операций при работе с информационными системами. Это обуславливает некоторое снижение производительности труда сотрудников предприятия и, соответственно, может вызвать дополнительные расходы Значение ССВ в каждом конкретном случае необходимо определять индивидуально с учетом особенностей проекта, который предстоит реализовать: основной востребованной функциональности, существующей инфраструктуры, количества пользователей и других факторов. В общем виде ССВ для анализа эффективности и целесообразности вложений в реализацию проектов по повышению уровня защищенности информации определяется как сумма всех элементов затрат, скорректированная с учетом фактора времени: ( 14.2) где: • – предполагаемый жизненный цикл проекта (информационной и/или организационной системы), лет; • – количество видов затрат, принимаемых в расчет; • – затраты n-ого вида, понесенные в t-ом периоде, руб. Таким образом, в целом могут быть определены затраты, связанные с реализацией мероприятий по обеспечению информационной безопасности. Однако наибольшую сложность представляет определение положительного эффекта от внедрения средств защиты информации. Как правило, эффект от внедрения информационных систем (ERP-систем, систем автоматизации бухгалтерского и управленческого учета, CAD/CAM-систем и т.п.) определяется тем, что они обеспечивают автоматизацию и ускорение различных бизнес-операций, а это, в свою очередь, позволяет сократить затраты ручного труда, приобрести конкурентные преимущества и, таким образом, повысить общую эффективность хозяйственной деятельности. Однако внедрение средств защиты информации само по себе, как правило, не обеспечивает сокращения затрат (хотя в отдельных случаях может и обеспечить) — достижение положительного эффекта от их использования зависит от множества трудноконтролируемых факторов как внутри предприятия, так и вне его. Более того, как уже было отмечено, реализация мероприятий, связанных с обеспечением информационной безопасности, может привести к дополнительным нагрузкам на персонал предприятия и, соответственно, к снижению производительности труда. В связи с этим одним из немногих способов, которые могли бы помочь предприятию определить эффект от осуществления мероприятий в сфере защиты информации, является денежная оценка (хотя бы приблизительная) того ущерба, который может быть нанесен информационным ресурсам предприятия и который может быть предотвращен в результате реализации предлагаемых мероприятий. Таким образом, предполагаемый предотвращенный ущерб (разница между предполагаемым ущербом в случае отказа от реализации мероприятий и ущербом в случае их реализации) будет составлять полученный экономический эффект – дополнительный денежный поток. Очевидно, что при таком подходе большинство расчетов могут быть только оценочными и носить приблизительный характер. Это связано с тем, что активность злоумышленников, являющихся источниками угроз для информационной безопасности, практически непредсказуема: невозможно достоверно предсказать стратегии нападения, квалификацию нападающих, их конкретные намерения и ресурсы (финансовые, технические, организационные), которые будут задействованы для совершения тех или иных действий, а также намерения в отношении украденной информации (если целью атаки будет похищение конфиденциальных сведений). Соответственно, для осуществления всех необходимых расчетов необходимо сделать множество допущений и экспертных оценок в контексте деятельности данного конкретного предприятия, а также по возможности изучить статистическую информацию, касающуюся атак на информационные ресурсы, аналогичные защищаемым. Таким образом, экономическая оценка эффективности мер по защите информации предполагает: • оценку существующих угроз для информационных активов, которых коснется реализация защитных мер; • оценку вероятности реализации каждой из выявленных угроз; • экономическую оценку последствий реализации угроз. Для осуществления такого анализа, как правило, используются следующие базовые понятия. Оценочная величина единовременных потерь ( Single Loss Expectancy, ) – предполагаемая средняя оценочная сумма ущерба в результате одного нарушения информационной безопасности i-го типа. Она может быть определена как произведение общей стоимости защищаемых информационного активов ( ) на коэффициент их разрушения вследствие нарушения информационной безопасности (подверженности нападению), который обозначается (Exposure Factor). Количество нарушений информационной безопасности за год ( Annualized Rate of Occurrence, ) – оценочная частота, с которой в течение года происходят нарушения информационной безопасности (реализуются угрозы) i-го типа. Оценочная величина среднегодовых потерь ( Annualized Loss Expectancy, ) – суммарный размер потерь от нарушений информационной безопасности (реализации рисков) i-го типа в течение года. ( 14.3) Непосредственный эффект от реализации мероприятий по повышению уровня информационной безопасности будет проявляться в том, что: • негативные последствия каждого нарушения (каждой реализованной угрозы) после реализации мероприятий ( ) будут меньше, чем были до их реализации: ; • частота нарушений информационной безопасности уменьшится после реализации мероприятий . В результате уменьшенная величина будет составлять: ( 14.4) Таким образом, суммарный годовой эффект от реализации мероприятия будет определяться как: ( 14.5) Исходя из этого, общий денежный поток от реализации мероприятия определяется по следующей формуле[36]: ( 14.6) На основе всех этих данных в соответствии с формулой (14.1) может быть определен суммарный эффект от реализации мероприятий в сфере информационной безопасности и продемонстрировано, насколько оправданными и целесообразными являются вложения в те или иные средства защиты информации в условиях конкретного предприятия с учетом всех особенностей его функционирования (а также с учетом принятых допущений и сделанных предположений). И хотя с математической точки зрения все расчеты в описанной рамочной модели оценки ROI являются предельно простыми, определение отдельных параметров (прогнозных частот нарушений и размеров потерь, а также предполагаемого срока использования программных и аппаратных средств и организационных моделей) может вызвать значительные затруднения на практике. Проведение таких расчетов, так же как и проведение аудитов информационной безопасности, может потребовать привлечения сторонних консультантов, однако квалификация и профессиональная специализация таких консультантов может существенно отличаться от квалификации консультантов, специализирующихся, например, на проведении аудитов и внедрении технических средств защиты информации. Причем если оценку вероятностей атак, а также оценку того, насколько эти атаки могут быть успешными, предпочтительно доверить внешним консультантам по информационной безопасности, то оценку стоимости информации и экономических последствий утраты контроля над информационными активами, скорее всего, целесообразно осуществлять самим специалистам, работающим на предприятии (экономистам, маркетологам и т.п.), а также привлекать для этого сторонних специалистов из соответствующих сфер деятельности (маркетинга, финансов, торговли и т.п.). Несмотря на все трудности процесса оценки целесообразности внедрения средств защиты, описанная методология позволяет менеджерам и специалистам по защите информации получать обоснованные оценки и делать формализованные выводы относительно того, насколько оправданными являются вложения в определенные средства защиты информации, а также определить основные приоритеты расходования средств, предусмотренных в бюджете на обеспечение информационной безопасности (если предприятие практикует выделение фиксированных сумм на эти цели). При этом достаточно высокий уровень достоверности таких оценок достигается за счет того, что вся работа по проведению оценки и подготовке инвестиционных решений раскладывается на несколько относительно более простых и "прозрачных" задач, решение каждой из которых может быть закреплено за специалистами в определенной сфере. В результате общая оценка складывается на основе полученных решений нескольких отдельных задач, каждое из которых может быть проконтролировано и при необходимости дополнительно уточнено. В этих условиях общее качество получаемой аналитической оценки и, соответственно, формулируемого решения зависит от квалификации всех экспертов, аналитиков и специалистов, участвующих в работе. А значит, одной из основных задач руководителей предприятия и менеджеров, отвечающих за обеспечение информационной безопасности и принятие решений в этой сфере, является подбор наиболее квалифицированных и опытных специалистов, ибо от качества их работы будет зависеть не просто безопасность отдельных элементов информационных активов в определенные моменты времени, а эффективность всей системы защиты информации в среднесрочной, а иногда и в долгосрочной перспективе.