Именно с этими словами у многих ассоциируется задача по оценке эффективности расходов на информационную безопасность. В данной статье мы рассмотрим практические трудности, возникающие у специалистов по ИБ, взявшихся за оценку эффективности расходов на ИБ, а также выскажем некоторые соображения о том, как с ними справиться.

Тема оценки эффективности расходов на ИБ традиционно является одной из самых оторванных от практики ИБ. По моему опыту (более 40 различных аудитов и консалтинговых проектов во всех отраслях), ни одна организация, включая крупные компании топливно-энергетического комплекса (ТЭК) и банки из первой десятки, не имела действительно результативного подхода к оценке эффективности расходов на ИБ. Тем не менее, методики и фреймворки пестрят модными аббревиатурами: ROI (Return on investment), CBA (Cost-benefit analysis), QRA (Quantitative risk assessment), основная идея которых — не трать больше, чем сэкономишь. На бумаге все просто:

  1. Выделили активы.
  2. Определили их ценность и классифицировали.
  3. Привязали активы к ИТ-инфраструктуре.
  4. Определили её уязвимости.
  5. Сопоставили с угрозами ИБ.
  6. Посчитали риски (здесь и далее я буду использовать определение риска согласно ISO 31000:2009).
  7. Сравнили со стоимостью защитных мер и внедрили экономически обоснованные защитные меры.

Соответственно, реализовав данный подход, можно говорить о том, что средства расходуются на ИБ эффективно. Однако в российский реалиях у этого подхода много проблем, причем зачастую неразрешимых.

Если первый этап (выделение активов) служба ИБ хоть и с трудом, но может пройти самостоятельно, то уже на втором этапе (определения их ценности и классификации) требуется серьезное вовлечение бизнес-подразделений. В большинстве организаций это крайне сложно реализовать: владельцы активов не установлены или установлены формально, вопросы ИБ их не интересуют, как определить ценность актива они не знают. Проблема может быть решена составлением точных опросников с большим количеством примеров и наводящих вопросов.

Привязать активы к ИТ-инфраструктере и определить её уязвимости опять же можно самостоятельно, а вот с адекватными отраслевыми каталогами угроз снова сложности. Но даже если найти/составить такой каталог под свою организацию, остается самое сложное — анализ рисков.

Чемодан без ручки

Лично мне анализ рисков ИБ во многих организациях представляется классическим чемоданом без ручки. Отказаться от подобной практики жалко, да и нормативы зачастую требуют, а выполнять неудобно.

Согласно ISO/IEC 31010:2009 «Risk management — Risk assessment techniques» существует три принципиально разных типа анализа рисков: качественный, количественный и смешанный. Очевидно, что для целей оценки эффективности затрат в первую очередь подходит количественный анализ. Смешанный анализ в целом является наиболее эффективным и удобным, но его использование для оценки не всегда приемлемо, так как данный метод во многом снижает «доказательную силу» полученных результатов, делая их зависимыми от субъективного мнения оценивающего. Качественный анализ не применим в принципе. Подобные ограничения сильно сужают количество потенциально применимых методов анализа рисков.

Важно понимать, что итоговая оценка эффективности затрат не должна являться задачей службы ИБ, занимающейся, в первую очередь, оперативными вопросами. В идеале служба ИБ в этом процессе должна всего лишь выбрать методы, собрать и предоставить обработанную информацию на рассмотрение высшему руководству организации, например финансовому директору, который уже и будет принимать решение об эффективности расходования средств. Поэтому перед началом работ обязательно следует согласовать, какой тип анализа и какой конкретный метод оценки рисков будет приемлем для конечного потребителя результатов анализа рисков. Ну и самое главное, весь этот процесс должен быть интуитивно понятным и логичным, чтобы далекий от ИБ человек разобрался и согласился с выводами.

Допустим, этот этап успешно пройден, метод анализа рисков выбран, формат ожидаемого результата согласован. Дело за малым — провести собственно сам анализ. Любой, кто хоть раз это делал, сразу сталкивался с двумя лежащими на поверхности концептуальными проблемами (более глубокие вопросы, например такие, как составление цепочек факторов рисков и оценка влияния скорости наступления последствий на итоговый ущерб, я намеренно не рассматриваю, так как это уже высший пилотаж).

Во-первых, как оценивать ущерб от реализации конкретных угроз? Если с нарушением доступности все более-менее понятно (можно привязаться к времени простоя и недополученной выгоде), то последствия нарушения конфиденциальности и целостности в большинстве случаев не просчитываемы на уровне отдельных угроз. Логичным решением данной задачи может быть законодательное обязательство раскрывать подробности о свершившихся инцидентах ИБ совместно с формализованными выводами о причинах их происхождения и последствиями. Хорошим примером тут является работа, проводимая Центральным Банком Российской Федерации в рамках ежегодной подготовки «Обзоров о несанкционированных переводах денежных средств». Данный обзор готовится на основании передаваемых в ЦБ форм отчетности 0403203 «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

В то же время нужно понимать, что централизованный сбор статистики по потерям в банковской отрасли — более простая задача, чем, например, в ТЭКе, так как банковская отрасль напрямую оперирует деньгами и легко подсчитывает потери от прямой компрометации. Для других отраслей необходима разработка стандартизированных инструментов для оценки последствий нарушения ИБ (которых сейчас просто нет), а без них статистика в большинстве областей, напрямую не связанных с хищением денежных средств, не будет значить ничего.

Во-вторых, как перейти от конкретных уязвимостей/недоработок ИТ-инфраструктуры к вероятности возникновения конкретной угрозы? Здесь обычно тоже вспоминают о статистике, но как таковой статистики инцидентов ИБ, с опубликованными причинами возникновения, у нас нет. Есть отдельные отраслевые исследования, но, как правило, они зарубежные и слишком общие.

Вообще главной сложностью, порождающей описанные выше проблемы, и связанной со сбором статистики по инцидентам ИБ, является отсутствие централизованного органа по обработке этой статистики. Если в случае с банковской отраслью эту функцию взяло на себя ЦБ РФ, то в других отраслях таких центров компетенций нет, и не предвидится. Это приводит к отсутствию понимания в каждой конкретной отрасли (ритейл, телеком, производство и т. д.), что такое инцидент, как формализовать причину его наступления и в каком виде описывать последствия его наступления.

А что в итоге?

В итоге это приводит к тому, что анализ рисков, количественный или смешанный, в каждом отдельном случае (организации) проводится по своему, их результаты принципиально несравнимы между собой из-за разного понимания актуальных угроз, а качество неизмеримо и всецело зависит от компетенций человека, проводившего анализ рисков.

Какие шаги могли бы помочь преодолеть все эти сложности?

  1. Определение отраслевых центров компетенций, ответственных за обработку статистики инцидентов ИБ (или организация единого центра компетенций для всей РФ, например, на базе ФСТЭК).
  2. Формирование отраслевых каталогов угроз с привлечением экспертного сообщества. Данные каталоги угроз должны быть построены по единообразному принципу для удобства их применения и сравнения между собой. Фактически хотелось бы видеть расширенную и доработанную версию банка угроз ФСТЭК, учитывающую вложенность угроз. Логичной видится декомпозиция угроз на 2–3 уровня, при этом угрозы верхнего уровня для всех отраслей должны быть едиными.
  3. Формирование единой методологической базы по оценке последствий инцидентов ИБ, а также стандартизированных форм отчетности.
  4. Проработка отраслевых методик анализа рисков ИБ (например, на основе методов, изложенных в ISO 31010:2009).
  5. Законодательное закрепление обязательной отчетности по произошедшим инцидентам ИБ, удовлетворяющим заранее определенным критериям.

Реализация комплекса этих мер в среднесрочной перспективе позволила бы собрать достаточное количество статистических данных и отработать используемые методики, что в будущем позволило бы перейти к устойчивой практике регулярных оценок эффективности затрат на ИБ в каждой конкретной организации.

Наш рецепт

На текущий момент о подобной формализации сверху остается только мечтать. Но несмотря на все сложности, служба ИБ в любой организации должна взаимодействовать с высшим руководством, обосновывать свои будущие расходы и отчитываться за прошлые. Как мы уже выяснили, классические подходы, основанные на анализе рисков, для этого не очень подходят (хотя все зависит от конкретной ситуации и позиции конкретных людей, принимающих решение). Соответственно, нужно искать другие варианты.

Одним из таких вариантов, является частичный отказ от метода оценки экономической эффективности как единственного инструмента обоснования затрат на ИБ и переход на более верхнеуровневый анализ, учитывающий не только денежную сторону вопроса. При таком подходе отпадает необходимость обоснования экономической эффективности затрат на мелкие и средние проекты (отстаивание каждой копейки). Важным фактором, говорящим в пользу подобного гибкого подхода, является то, что специфика ИБ-отрасли заключается в постоянном появлении новых угроз. Таким образом, сегодня внедрение конкретной защитной меры может быть экономически не оправдано, а завтра ситуация может измениться. С учетом того, что обоснование затрат и бюджетирование обычно происходит раз в год, организация рискует на год остаться без необходимой защитной меры.

Суть предлагаемого нами подхода заключается в обосновании затрат (OPEX&CAPEX) на реализацию каждой конкретной защитной меры в отдельности и с учетом её специфики. Например, меры, безусловно направленные на реализацию нормативных требований, по умолчанию требуют менее формализованного подхода к их обоснованию.

В общем случае это может выглядеть так:

  1. Реализация всех необходимых регуляторных требований, как безусловный базис ИБ организации.
  2. Определение финансового порога, ниже которого трата ресурсов может осуществляться на основании экспертного мнения CISO (если высшее руководство не дает установить такой порог и требует строго формального обоснования каждой копейки, логичным образом встает вопрос, зачем они наняли CISO, чьему экспертному мнению они не доверяют).
  3. Установление процедуры согласования затрат на ИБ, превышающих установленный финансовый порог. В случае глобальных и дорогостоящих работ эта процедура вполне может осуществляться по описанному выше сценарию ROI.
  4. Формирование дорожной карты планируемых мероприятий по ИБ. Основой для этой дорожной карты может служить как анализ рисков, в том числе качественный, так и просто экспертное мнение ИБ и ИТ-служб.
  5. Защита каждого проекта, входящего в дорожную карту, в соответствии с установленной процедурой. При этом в каждом конкретном случае CISO может использовать различные аргументы для обоснования необходимости проекта: там, где это возможно, — экономические выкладки, в других случаях — ссылки на требования регуляторов, произошедшие инциденты или лучшие практики по ИБ. Единого рецепта нет.

Самым важным в реализации подобного подхода является умение CISO понятно донести до высшего руководства потребности ИБ в финансировании.

Распределяй и властвуй

Другим аспектом, который хотелось бы затронуть в данной статье, является различие таких понятий как «выделение ресурсов» и «распределение ресурсов». К сожалению, на практике различиям между этими процессами фактически не придается значения. Однако оно есть. Например, в международном стандарте O-ISM3 «Open Information Security Management Maturity Model» эти понятия выделены в разные процессы информационной безопасности «SSP-6: Allocate Resources for Information Security» и «TSP-2: Manage Allocated Resources». И это не случайно. Именно в контексте оценки эффективности затрат на ИБ это различие проявляет себя наиболее ярко и обязательно должно учитываться.

«Выделение» и «распределение» ресурсов имеют отношение к классической триаде «люди — процессы — средства защиты». С точки зрения высшего руководства нет разницы, на что в этой триаде выделять ресурсы (финансы), они выделяются просто на «информационную безопасность». При этом в большинстве случаев с точки зрения внутренних коммуникаций обосновать бюджет на СЗИ гораздо проще, и это создает значительный перекос в описанной выше триаде.

Подобный перекос главным образом влияет на снижение эффективности затрат на ИБ. В своей практике я не раз сталкивался с ситуациями, когда у одного-двух ИБ-специалистов (обычно в региональных филиалах крупных холдингов) было в ведении 12–15 консолей средств защиты (SIEM, AV, контроль целостности, IDS/IPS, DAM, контроль привилегированных пользователей и т. д.). Думаю, излишне будет говорить, что ничем кроме антивируса и ненастроенного SIEM они не пользовались в принципе, так как просто не хватало рабочего времени. Вендорские обучения, кстати, тоже не проводились. О какой эффективности затрат на ИБ тут может идти речь? Отказ от любого из этих СЗИ и перераспределение выделенных на него ресурсов на расширение штата и обучение работников на порядок подняло бы эффективность затрат. Причем эта эффективность была бы видна руководству без всяких сложных расчетов.

СПЕЦПРОЕКТ КОМПАНИИ «ИНФОСИСТЕМЫ ДЖЕТ»