Сергей Петренко - Политики безопасности компании при работе в Интернет

• аудит системы безопасности:

– затраты на контроль изменений состояния информационной среды предприятия;

– затраты на систему контроля за действиями исполнителей;

• обеспечение должного качества информационных технологий:

– затраты на обеспечение соответствия требованиям качества информационных технологий, в том числе анализ возможных негативных аспектов информационных технологий, которые влияют на целостность и доступность информации;

– затраты на доставку (обмен) конфиденциальной информации;

– удовлетворение субъективных требований пользователей: стиль, удобство интерфейса и др.;

• обеспечение требований стандартов:

– затраты на обеспечение соответствия принятым стандартам и требованиям, достоверности информации, действенности средств защиты;

• обучение персонала:

– повышение квалификации сотрудников предприятия в вопросах использования имеющихся средств защиты, выявления и предотвращения угроз безопасности;

– развитие нормативной базы службы безопасности.

Пример использования методики Total Cost of Ownership

Допустим, что объектом исследования является страховая компания ЗАО «Страхование». Название компании вымышленное, возможные совпадения случайны и носят непреднамеренный характер.

Для определения затрат на систему информационной безопасности по методике совокупной стоимости владения воспользуемся программным продуктом ТСО Manager компании Gartner Group. Технология работы с ПП ТСО Manager заключается в следующем: пользователь вводит первоначальные данные об объекте (профайл компании, данные о конечных пользователях, об информационных активах предприятия), исходя из них определяется текущий показатель ТСО и вычисляются ежегодные затраты на поддержание существующего уровня безопасности. Также ТСО Manager позволяет оптимизировать показатель ТСО, сравнив текущий показатель ТСО компании с «лучшим» в отрасли и смоделировав целевой показатель ТСО для данного предприятия.

Теперь обратимся к исходным данным по ЗАО «Страхование» и вычислим текущий показатель ТСО.

Название компании – ЗАО «Страхование».

Период анализа – январь-декабрь 2004 года.

Основной вид деятельности – страхование.

Общий годовой доход – 450 млн. руб.

Количество рабочих часов в год – 1880 час/год.

Средняя годовая зарплата конечных пользователей – 38 тыс. руб.

Средний процент, отчисляемый на налоги, медицинское страхование, страхование от несчастных случаев и т. д. персонала службы безопасности (ЕСН) – 37 %.

Средний процент, отчисляемый на налоги, медицинское страхование, страхование от несчастных случаев и т. д. конечных пользователей (ЕСН) – 37 %.

Количество конечных пользователей – 2 869 чел.

Классификация конечных пользователей представлена в табл. П5.2-П5.3.

Таблица П5.2. Классификация конечных пользователей по типам Таблица П5.3. Классификация конечных пользователей по местоположению Таблица П5.4. Сравнение текущего и целевого уровней системы защиты

Форма ввода данных «Интервью» в ТСО Manager содержит сведения об информационных активах предприятия (аппаратные средства и программное обеспечение), информацию о конечных пользователях, и на основании этих данных мы получаем следующие отчеты (см. табл. П5.5-П5.7).

Также ТСО Manager, используя практический подход к определению совокупной стоимости владения, позволяет сравнивать текущие затраты с эталонными («лучшими в группе») и строить целевые показатели затрат (см. табл. П5.5-П5.15). В частности, в табл. П5.6-П5.15. приведена детализация и расшифровка укрупненных прямых и косвенных затрат, которые отображены в табл. П5.5.

Таблица П5.5. Анализ затрат по показателям ТСО

Окончание табл. П5.5

Таблица П5.6. Детализация затрат на программное обеспечение и оборудование по категориям

Таблица П5.7. Расшифровка затрат на аппаратные средства Таблица П5.8. Расшифровка затрат на программное обеспечение Таблица П5.9. Детализация операционных затрат Таблица П5.10. Расшифровка затрат на обслуживание клиентских мест и периферийных устройств Таблица П5.11. Расшифровка затрат на обслуживание серверов Таблица П5.12. Расшифровка затрат на планирование и управление процессами Таблица П5.13. Детализация административных затрат Таблица П5.14. Расшифровка финансовых и административных затрат Таблица П5.15. Расшифровка затрат на поддержку конечных пользователей

Целевые показатели моделируются на основании проекта модернизации корпоративной системы антивирусной защиты и системы управления доступом на объекте информатизации (физическая защита).

Условно определяют три возможных состояния системы защиты КИС от вирусов и вредоносного программного обеспечения, а именно: базовое, среднее и высокое. Рассмотрим характеристики этих состояний:

•  базовое – стационарные и мобильные рабочие станции обладают локальной защитой от вирусов. Антивирусное программное обеспечение и базы сигнатур регулярно обновляются для успешного распознавания и парирования новых вирусов. Установлена программа автоматического уничтожения наиболее опасных вирусов. Основная цель уровня – организация минимальной защиты от вирусов и враждебного программного обеспечения при небольших затратах;

•  среднее – установлена сетевая программа обнаружения вирусов. Управление программными обновлениями на сервере автоматизировано. Системный контроль над событиями оповещает о случаях появления вирусов и предоставляет информацию по предотвращению дальнейшего распространения вирусов. Превентивная защита от вирусов предполагает выработку и следование определенной политике защиты информации, передаваемой по открытым каналам связи Интернета. Дополнительно к техническим мерам активно предлагаются и используются организационные меры защиты информации;

•  высокое – антивирусная защита воспринимается как один из основных компонентов корпоративной системы защиты. Система антивирусной защиты тесно интегрирована в комплексную систему централизованного управления информационной безопасностью компании и обладает максимальной степенью автоматизации. При этом организационные меры по защите информации преобладают над техническими мерами. Стратегия защиты информации определяется исключительно стратегией развития бизнеса компании.

Согласно практическому подходу в ТСО Manager формируется отчет (табл. П5.4.) для ЗАО «Страхование», в котором отражаются требования к состоянию корпоративной системы защиты на основании данных о типе предприятия и текущего показателя ТСО.

Таким образом, можно сделать вывод о том, что ЗАО «Страхование» необходимо повышать уровень защиты информационной системы от вирусов, совершенствовать технологию управления активами и проводить обучение конечных пользователей и специалистов отдела информационных технологий.

Теперь обратимся к отчетам по совокупной стоимости владения, приведенным в таблицах, и проанализируем полученные показатели ТСО.

Сопоставляя табл. П5.4 и данные отчетов (табл. П5.5-П5.15), можно сделать следующие выводы: при построении целевой модели ТСО наибольшему снижению подверглись административные затраты на управление (на 44 %) и затраты при простое (на 43 %). Сокращение административных расходов связано в основном с внедрением автоматизированной системы управления активами, а значительное снижение затрат от простоев – с пересмотром уровня знаний конечных пользователей и ИТ-персонала и увеличением затрат на обучение.

Небольшое повышение затрат на аппаратные средства (на 16 %) вызвано закупкой оборудования, необходимого для внедрения корпоративной системы защиты.

Таким образом, целевой показатель ТСО значительно меньше текущего, но вместе с тем поддержание соответствующего уровня защиты требует существенных расходов (5–7% от ежегодного дохода), и для обоснования этих расходов необходимо применять методы оценки эффективности инвестиций в корпоративную систему информационной безопасности.

2. Обоснование инвестиций в информационную безопасность

Впервые термин Return on Investment for Security (ROSI) был введен в употребление специалистами в области IT Security после публикации в начале 2002 года статьи в журнале СЮ Magazine «Finally, a Real Return on Security Spending». Примерно в это же время вышло несколько статьей, посвященных количественным методам оценки затрат на безопасность. Сегодня тема возврата инвестиций (Return on Investment, ROI) в информационные технологии стала темой повышенного интереса для ТОР-менеджмента многих российских компаний. При этом особое внимание уделяется методам расчета возврата инвестиций в безопасность (Return on Investment for Security, ROSI).