Оказалось, что они находятся в одном ряду с другими сервисными структурами, не приносящими деньги самостоятельно, и что «зарабатывающим» подразделениям следует покупать у них услуги на основе тщательного расчета ROI, TCO или других методик.
Однако если при разработке, внедрении и обслуживании информационных систем отношения бизнеса и ИТ уже сложились, то в сфере обеспечения безопасности оценить экономический эффект достаточно трудно. Специалистам по безопасности трудно отвечать на вполне разумные вопросы со стороны бизнеса, например, такие: «Мы вложили в поддержку безопасности нашей информационной системы огромные средства и хотим знать, стала ли она более защищенной. Сопоставимы ли текущие уровни информационной безопасности в нашей компании и в нашем секторе экономики в целом? Станет ли наша информационная система еще более безопасной (и насколько), если мы осуществим дополнительные инвестиции в ее развитие?»
Как рассчитать возврат инвестиций в системы безопасности? Привычные методы для этого плохо подходят. Сложности применения стандартных способов расчета ROI в проектах, связанных с обеспечением безопасности, привели к созданию отдельного направления экономических расчетов и к появлению методик ROSI (return on security investment). Разработано несколько моделей расчета ROSI; из них наиболее развиты статистический подход к вероятным потерям и подход к безопасности как к элементу обеспечения качества обслуживания.
Первый из этих подходов базируется на модели TQM (total quality management) и расчете показателя ROQI (return on quality investment). По сути, TQM очень близок к стандартам ISO и в значительной степени описывает процесс построения системы обслуживания заказчика.
В данной модели показатель ROSI получают на основе расчета прямых и непрямых затрат, а также оценки упущенных возможностей. Прямые затраты необходимы для выполнения поставленной задачи; они требуются, например, для покупки системы обнаружения вторжений или сетевого экрана. Непрямые расходы — это в том числе время, затраченное на установку системы и ее обслуживание. Упущенные возможности определяют разницу между воздействием эффективных и неэффективных (или отсутствующих) методов защиты. Фактически, они сводятся к потенциальным потерям компании в случае нарушения безопасности — к утрате информации, краже интеллектуальной собственности, «сбоям» в работе предприятия и т.п. Такой подход неплохо отражает тот факт, что ИТ обеспечивают лишь сервис для ведения бизнеса. Однако упускается из вида, что защита является отдельным направлением и связана скорее с предотвращением убытков, чем с зарабатыванием денег.
Подход к безопасности как к элементу обеспечения качества обслуживания основан на анализе рисков, статистической вероятности и стоимости потерь в случае выхода из строя системы или ее отдельных компонентов. Для оценки потерь от какого-либо события вводится параметр ожидаемого годового ущерба (annual loss expectancy, ALE), при расчете которого возникает немало проблем. Для корректного вычисления ALE используется довольно сложная система разбиения по возможным местам повреждения системы.
Такие расходы могут, в свою очередь, делиться на материальные (затраты на диски, память и т.п.) и нематериальные (скажем, данные и программы, хранящиеся на дисках). Первые легко подсчитать в денежном эквиваленте, а со вторыми это не всегда легко сделать; для их относительной оценки можно использовать условные единицы. Скажем, данные о номенклатуре изделий оцениваются тремя «пунктами», а база данных по платежам — семью, так как она важнее для функционирования предприятия.
Кроме того, вводятся два дополнительных параметра. Критичность позволяет оценить, насколько тяжелыми могут оказаться последствия выхода из строя какого-либо элемента. Уязвимость свидетельствует о том, насколько повреждение данного элемента существенно для работы системы, или о том, способно ли оно привести к тяжелым последствиям для всей организации. Для оценки рисков составляется таблица возможных ситуаций и их вероятностей (табл. 1).
Оценка вероятности реализации того или иного риска — достаточно сложная задача, которую можно решить на основании статистических данных (как общих по отрасли, так и полученных самой компанией). Ситуация становится еще сложнее, когда информационная система содержит уникальные элементы, либо — что характерно для нашей страны — необходимые данные недоступны. В таких случаях возможна оценка вероятных рисков группой экспертов, обладающих большим опытом работы в ИТ-индустрии.
Для любого риска можно найти значение ALE, показывающее, какой ущерб он способен спровоцировать за год. Уже само значение ALE допускается использовать для сравнительного анализа альтернативных проектов в области обеспечения безопасности. Скажем, событие X может нанести ущерб 50 тыс. рублей, и мы предполагаем, что оно будет происходить дважды в год. А событие Y, которое нанесет ущерб 500 тыс. рублей, потенциально возможно раз в четыре года. Поскольку ALE рассчитывается на один год, то для риска X его значение составит 100 тыс. рублей, а для Y — 125 тыс. рублей.
Однако при организации защиты нужно учитывать и стоимость проекта, позволяющего решить проблему. Допустим, вторжение во внутреннюю сеть компании нанесет ущерб, оцениваемый в 200 тыс. рублей. По оценкам специалистов, такое событие может происходить раз в два года. Стоимость системы защиты от несанкционированного вторжения составляет 40 тыс. рублей, а ее эффективность — 85%. Учитывая все это, можно рассчитать экономический эффект от внедрения решения.
В результате удалось выразить эффект от внедрения системы защиты, и можно воспользоваться стандартными механизмами расчета ROI для получения ROSI. Этот подход с некоторыми модификациями уже применяется в разных организациях. В качестве примера можно привести методику расчетов, к которой прибегло агентство по информационным технологиям правительства Нового Южного Уэльса в Австралии. В рамках проекта была разработана подробная таксономия различных угроз и их последствий, а также собрана необходимая для расчета ROSI обширная статистика (табл. 2).
Ограничение этой методики состоит в том, что вероятностные процессы более корректно описываются не единственным числом, а распределением Пуассона. Материальный ущерб также имеет вероятностную природу, поэтому существует расширенная методика расчетов с учетом вероятностей.
Государственным и коммерческим организациям Австралии предлагается калькулятор для расчета ROSI (в том числе варианта, учитывающего распределение вероятностей) с постоянно обновляющимися статистическими данными, собираемыми агентством информационных технологий. Сегодня это наиболее «продвинутая» система оценки возврата инвестиций при внедрении систем обеспечения безопасности.
***
Перспективы ROSI в России туманны. Во-первых, нам еще очень далеко до повсеместного использования экономических оценок в ИТ-области. Во-вторых, для расчета ALE требуются большие массивы «исторических» данных по инцидентам, которые обычно не создаются внутри отдельных компаний, а обмен сведениями между отечественными предприятиями весьма затруднен. В таких условиях наиболее вероятно применение рассмотренных методик в госучреждениях, но для этого необходимы политическая воля и понимание.
Михаил Елашкин (mikhail@elashkin.com) — директор компании Elashkin Research (Москва).
