 |
Неизбежны ли затраты на информационную безопасность?
|
|
|
|
Качественный анализ экономических затрат на ИБ.
Необходимость в защите информации от постороннего вмешательства и наблюдения давно осознана, разработаны и продолжают разрабатываться соответствующие технологии. Однако увлечение отдельными решениями из области информационной безопасности заслоняет сохраняющуюся фундаментальную проблему, а именно достаточность и эффективность систем защиты с точки зрения пользователя. Мерилом потребительских качеств подобных систем может служить соотношение «стоимость/эффективность», т.е., в конечном счете, баланс между возможным ущербом от несанкционированных действий и размером вложений, которые необходимо потратить для обеспечения защищенности информационных ресурсов.
Инвестиции в разработку проектов защиты объекта, закупку необходимых элементов безопасности и эксплуатацию систем защиты для владельца информации есть ни что иное, как материализованный экономический ущерб. Идя на эти траты, пользователь надеется избежать большего ущерба, связанного с возможным нарушением конфиденциальности. Возникает дилемма: внести плату (частично реализовав ущерб) за возможность уклонения с долей вероятности или допустить возможность ущерба в полной мере, не тратя ничего. Разумное решение состоит в определении оптимальных вложений в системы защиты, обеспечивающих минимальные финансовые потери владельца информации при несанкционированных действиях с нею, т.е. при обеспечении достаточного уровня защиты.
Перед пользователем стоит задача создания оптимальной, с экономической точки зрения, системы защиты информации. Эта задача не так характерна для государственных организаций, однако весьма актуальна для хозяйственно самостоятельных субъектов, ориентированных на деятельность в рыночных условиях.
|
|
|
Наиболее надежными системами защиты информации (СЗИ) являются те, в которых комплексно реализованы все возможные и доступные меры — морально-этические, законодательные, организационные, экономические и технические. Однако комплексные решения очень дороги и могут быть реализованы далеко не всегда. Кроме того, ущерб от утраты защищаемой информации или от разного рода несанкционированных действий с ней может быть гораздо меньше стоимости СЗИ. Поэтому уровень финансовых средств, выделяемых на создание и эксплуатацию СЗИ, должен быть сбалансированным и соответствовать масштабу угроз. Если стоимость СЗИ по сравнению с предполагаемым ущербом мала, то основным фактором риска собственника являются экономические потери от несанкционированных действий с принадлежащей ему информацией. В противоположной ситуации основные потери связаны с чрезмерно высокой стоимостью СЗИ. Необходимо при этом отметить, что затраты на СЗИ носят детерминированный характер, поскольку они уже материализованы в конкретные меры, способы и средства защиты, а вот ущерб, который может быть нанесен при несанкционированных действиях, — величина случайная.
Такой качественный анализ позволяет предполагать, что существует область экономически оптимальных СЗИ, обеспечивающих наименьший риск собственника информации.
Рассмотрим, как можно определить прямые (бюджетные) и косвенные затраты на ИБ с учетом специфики российских компаний.
Предположим, что руководство компании проводит работы по внедрению на предприятии системы защиты информации (СЗИ). Уже определены объекты и цели защиты, угрозы информационной безопасности и меры по противодействию им, приобретены и установлены необходимые средства защиты информации. Для того, чтобы требуемый уровень защиты ресурсов реально достигался и соответствовал ожиданиям руководства предприятия, необходимо ответить на следующие основные вопросы, связанные с затратами на информационную безопасность:
|
|
|
· Что такое затраты на информационную безопасность?
· Неизбежны ли затраты на информационную безопасность?
· Какова зависимость между затратами на информационную безопасность и достигаемым уровнем информационной безопасности?
· Представляют ли затраты на информационную безопасность существенную часть от оборота компании?
· Какую пользу можно извлечь из анализа затрат на информационную безопасность?
Рассмотрим возможные ответы на поставленные вопросы.
Что такое затраты на информационную безопасность?
Как правило, затраты на информационную безопасность подразделяются на следующие категории:
· Затраты на формирование и поддержание звена управления системой защиты информации (затраты на предупредительные мероприятия П).
· Затраты на техническое обслуживание системы защиты информации и мероприятия по предотвращению нарушений политики безопасности предприятия (затраты на предупредительные мероприятия П).
· Затраты на контроль К, то есть на определение и подтверждение достигнутого уровня защищенности ресурсов предприятия.
· Внутренние затраты на ликвидацию последствий нарушения политики информационной безопасности (затраты на компенсацию, восстановление В) - затраты, понесенные организацией в результате того, что требуемый уровень защищенности не был достигнут.
· Внешние затраты на ликвидацию последствий нарушения политики информационной безопасности (затраты на компенсацию, восстановление В) – компенсация потерь при нарушениях политики безопасности в случаях, связанных с утечкой информации, потерей имиджа компании, утратой доверия партнеров и потребителей и т. п.
При этом обычно выделяют единовременные и систематические затраты. К единовременным относятся затраты на формирование политики безопасности предприятия: организационные затраты и затраты на приобретение и установку средств защиты.
Классификация затрат условна, так как сбор, классификация и анализ затрат на информационную безопасность - внутренняя деятельность предприятий, и детальная разработка перечня зависят от особенностей конкретной организации. Самое главное при определении затрат на систему безопасности - взаимопонимание и согласие по статьям расходов внутри предприятия. Кроме того, категории затрат должны быть постоянными и не должны дублировать друг друга. Пример классификации затрат приводится в приложении 1.
|
|
|
Неизбежны ли затраты на информационную безопасность?
Невозможно полностью исключить затраты на безопасность, однако они могут быть приведены к приемлемому уровню. Некоторые виды затрат на безопасность являются абсолютно необходимыми, а некоторые могут быть существенно уменьшены или исключены. Последние - это те, которые могут исчезнуть при отсутствии нарушений политики безопасности или сократятся, если количество и разрушающее воздействие нарушений уменьшатся.
Необходимые затраты - это те, которые необходимы даже если уровень угроз безопасности достаточно низкий. Это затраты на поддержание достигнутого уровня защищенности информационной среды предприятия. Неизбежные затраты могут включать:
· Обслуживание технических средств защиты. (П)
· Функционирование и системы безопасности. (П)
· Обучение персонала методам информационной безопасности. (П)
· Минимальный уровень проверок и контроля с привлечением специализированных организаций. (К)
При соблюдении политики безопасности и проведении профилактики нарушений можно исключить или существенно уменьшить следующие затраты:
· На восстановление системы безопасности до соответствия требованиям политики безопасности. (В)
· На восстановление ресурсов информационной среды предприятия. (В)
· На выявление причин нарушения политики безопасности. (В)
· На переделки внутри системы безопасности. (В)
· На юридические споры и выплаты компенсаций. (В)
|
|
|
