:::::: ЧОУ ДПО «Центр предпринимательских рисков» :::::

Оценка эффективности информационной безопасности

При достаточных инвестициях в информационную безопасность нельзя обойтись без оценки ее эффективности. Существует множество методик, основанных на сложных математических моделях, описывать их в небольшой статье не имеет смысла. В данной статье мы рассмотрим два типа информационной безопасности, а также различные подходы к оценке их эффективности.

Первый тип ИБ – инфраструктурная безопасность (защита технической инфраструктуры организации)

К этой части информационной безопасности можно отнести те средства, которые защищают IТ-инфраструктуру, – компьютеры, серверы, каналы передачи информации. Такая безопасность практически не зависит от того, чем занимается защищаемая организация, важным является только размер и структура организации. В остальном все системы защиты инфраструктуры подобны, способы защиты даже не всегда возможно выбрать, требования к ним определяют регуляторы. Тут надо поставить антивирус, тут – систему обнаружения вторжений, этот канал зашифровать, доступ на сервер организовать с помощью такой-то системы аутентификации и т.п. Выбрать можно только из короткого списка разрешенных продуктов, который чем короче, тем больше компания и тем критичнее данные она обрабатывает. В такой ситуации довольно сложно оценивать эффективность затраченных средств – если их не затратить, то можно сначала получить весомые санкции, а в пределе – запрет заниматься определенными видами деятельности. Поэтому сложно оценивать эффективность того, что тебе навязывают. Большинство компаний рассматривает средства, затраченные на выполнение требований регуляторов, не как инвестиции, эффективность которых и надо оценивать, а как еще один налог, который надо минимизировать любыми законными способами.

Оценка эффективности ИБ в статике не имеет практического смысла, ее смысл в динамике – показывать, что защищенность растет год от года при постоянных расходах или остается такой же при снижении расходов. Однако при такой оценке необходимо учитывать различие разных типов корпоративной информационной безопасности и применять к ним разные критерии: если для инфраструктурной безопасности больше важна доступность (работает/не работает), то в оценке эффективности средств и мер бизнес-безопасности большее значение имеют конфиденциальность и целостность информации.

С выполнением требований более или менее ясно, но даже если инфраструктурная безопасность не навязывается и появляется в компании по своей воле, оценить ее эффективность довольно сложно. Это часть инфраструктуры, без которой она (инфраструктура) просто не работает. Корпоративная электронная почта без антиспама загнется в считанные дни. По статистике, доля спама в почтовом трафике превышает 98%, а значит, на одно актуальное письмо приходится 48–99 мусорных писем. С доступом в Интернет, предоставленным сотрудникам без обязательной установки антивируса на интернет-шлюз и на рабочие станции, корпоративная сеть заполнится вирусами, которые в конце концов нарушат ее работу. И так далее, каждый элемент инфраструктурной информационной безопасности закрывает одну или несколько угроз прежде всего самой инфраструктуре организации. Наличие такой инфраструктуры почти автоматически подразумевает наличие средств ее защиты, поэтому о какой эффективности может идти речь? Разве кто-то считает эффективность наличия бумаги в принтерах и электрического тока в лампочках? Это, кстати, не означает, что такие расходы нельзя оптимизировать: если говорить об электричестве, то можно внедрять энергосберегающие технологии, вводить автоматическое отключение искусственного освещения при отсутствии в помещении людей или на восходе солнца и т.д. Поэтому расходы на инфраструктурную информационную безопасность можно и нужно оптимизировать и при необходимости сокращать.

Однако для оценки эффективности одной цифры расходов на инфраструктурную информационную безопасность мало – что-то должно быть в числителе дроби, в знаменателе которой стоят расходы. Интуитивно понятно, что если сократить расходы при том же качестве, то эффективность повысится, но как узнать, что качество осталось неизменным? Предположим, вы заменили антивирусное решение на вдвое более дешевое, но как узнать, что защита осталась на том же уровне, а значит, и эффективность повысилась вдвое? Предположим, что количество инцидентов с заражением вирусами не изменилось, в идеале как было нулевым, так и осталось. Но кто даст гарантии, что после уменьшения расходов на антивирус у вас в сети не поселился троян, перекачивающий вовне ваши данные, а значит, и деньги? Можно, конечно, провести внешний аудит и потратить на него деньги, но это сведет на нет всю экономию на антивирусах. А если, не дай бог, найденный троян сидит здесь еще со времен старого, дорогого антивируса?

К тому же внешний фон изменений все время меняется: основную часть внешних рисков компания не в состоянии контролировать и сохранять на том же уровне. Поэтому собственная статистика – не самый хороший инструмент оценки эффективности. В этом году количество инцидентов меньше, чем в прошлом, эффективность вроде бы выросла. Но вот заслуга ли это тех, кто планирует информационную безопасность в организации? Возможно, в прошлом году офисный центр, в котором компания арендует помещение, стал объектом террористического акта, а в этом году такого теракта не было. Может измениться фон любых внешних угроз – стихийных бедствий, терактов, хакерских атак, вирусных эпидемий, DDoS-атак.

Поэтому большинство компаний не обременяют себя поисками инструментов оценки эффективности средств инфраструктурной информационной безопасности, просто включая расходы на нее в стоимость инфраструктуры, как включают стоимость предохранителей электрической цепи в стоимость расходов на инфраструктуру освещения.

Иногда, правда, встречаются подходы "от стоимости инцидентов". Предположим, когда-то какая-то система в конкретной организации упала на сутки из-за вируса или не работала те же сутки из-за DDoS-атаки. Это привело к точно посчитанным убыткам. Умножаем эту цифру на 365 и делим на годовые расходы на антивирус или защиту от DDoS-атак, получаем эффективность. Понятно, что такая оценка эффективности излишне избыточна, но встречается, когда надо обосновать расходы на ИБ.

Другая часть ИБ – бизнес-безопасность (защита собственно информации и бизнес-процессов)

К ней можно отнести системы защиты от утечек, противодействия мошенничеству, защиты приложений. Их эффективность зависит не только от выбранного технического средства, но и от понимания того, кто это средство настраивает, процессов создания, обработки, передачи, архивирования и уничтожения информации.

По статистике, доля спама в почтовом трафике превышает 98%, а значит, на одно актуальное письмо приходится 48–99 мусорных писем. С доступом в Интернет, предоставленным сотрудникам без обязательной установки антивируса на интернет-шлюз и на рабочие станции, корпоративная сеть заполнится вирусами, которые в конце концов нарушат ее работу. И так далее, каждый элемент инфраструктурной информационной безопасности закрывает одну или несколько угроз прежде всего самой инфраструктуре организации. Наличие такой инфраструктуры почти автоматически подразумевает наличие средств ее защиты, поэтому о какой эффективности может идти речь?

Подход к оценке эффективности такой безопасности не совпадает с подходом, применяемым в инфраструктурной информационной безопасности: принципы использования, основные метрики и критерии эффективности у них разные. В отличие от проектного подхода в инфраструктурной безопасности здесь используется процессный подход. Бизнес-безопасность имеет дело с постоянно меняющимися правилами бизнеса, как внутренними (изменение бизнес-процессов, связанных, например, с запуском новых сервисов или открытием новых филиалов), так и внешними (экономический кризис, изменение законов и требований регуляторов, политическая нестабильность и т.п.). На это накладывается отсутствие абсолютных критериев конфиденциальности – она меняется как во времени (информация по новому продукту до запуска строго конфиденциальна, а после запуска должна распространяться максимально широко), так и территориально (в этот филиал информацию можно отправить, а в другой – нет). Поэтому нельзя настроить систему бизнес-безопасности раз и навсегда для каждой транзакции как антивирус, это непрерывный процесс. Как только вы перестаете поддерживать актуальность процессов, эффективность системы постепенно снижается.

Второй особенностью систем бизнес-безопасности является то, что ее эффективность зависит не только от ее функционала, но и от эффективной обратной связи средств контроля с пользователями информационных систем – своими сотрудниками или клиентами. Вспомните внедрение выделенных полос для движения общественного транспорта в Москве – сначала просто рисование полос, потом предупреждение водителей о недопустимости езды по ним и штрафах за это, потом оповещение о наличие системы контроля – видеокамер. И только после того как водители начали получать "письма счастья", это правило начало действовать. То же самое и в любой бизнес-системе информационной безопасности: сначала рисуется идеальный профиль, затем вводятся допустимые отклонения от него, вводится система контроля и определяется способ обратной связи пользователей информационной системы.

При правильной постановке такого процесса может проявиться ложное чувство неэффективности решения в среднесрочной перспективе: сначала резкий всплеск количества инцидентов (внедрен инструмент их детектирования), потом уменьшение такого количества (склонные к нарушениям сотрудники уволены, наказаны или воспитаны, а новые сотрудники сразу начинают работать в новой среде), затем расходы идут, а среднее количество инцидентов не снижается – достигнут эффективный уровень конкретного процесса. Если перестать поддерживать такую систему технически или организационно, перестать давать обратную связь пользователям – количество инцидентов быстро вернется на первоначальный уровень.