УДК 681.3
В.А. Артамонов, Е.В. Артамонова
МЕТОДИЧЕСКИЕ АСПЕКТЫ ВЫБОРА ЗАТРАТ НА ОРГАНИЗАЦИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
ЧАСТЬ 2: МЕТОДИКА УЧЁТАПРИОБРЕТЁННОЙ КОНКУРЕНТНОЙ ВЫГОДЫ
Рассмотренные в ч.1 настоящей работы методические рекомендации предлагают при планировании защиты информации исчислять затраты на информационную безопасность (ИБ) пропорционально размерам возможных собственных потерь от утечки или утраты информации (нарушении политики безопасности).
Из постулатов рыночной теории оценки рисков и мер по снижению потерь финансовых ресурсов [1] следует, что в конкурентной среде собственные потери, как правило, сопровождаются получением выгод другими хозяйствующими субъектами. И эти выгоды способны обеспечить конкуренту долговременное закрепление на соответствующих товарных рынках.
Таким образом, рассмотренная методика GartnerGroup не учитывает главного мотива промышленной разведки: потенциальной финансовой ценности информации для конкурента и его экономической выгоды от её получения. Поэтому, при защите информации важно учитывать не только свои убытки от утери или хищения информации, но и соотношение возможных собственных потерь с выгодой, получаемой конкурентами от завладения ею и использования. На данном принципе строятся некоторые методики «субоптимального» планирования бюджета на защиту информации в конкурентных условиях при условии наличия тотального промышленного шпионажа (коммерческой разведки) [2].
Проиллюстрируем одну такую методику на рассмотрении некоторого абстрактного примера. И так, руководством организации за планируемый период определены шесть угроз в виде возможных каналов утраты и/или утечки информации I1 … I6и с привлечением экспертов оценена вероятность осуществления каждой угрозы Р1 … Р6.Следует понимать, что вероятности не отражают величину потерь и им не пропорциональны. При определении значения вероятности угрозы следует учитывать возможности конкурентов по ведению коммерческой разведки (напоминает извечную «дуэль» военной разведки и контрразведки противоборствующих сторон). Требуется найти сумму финансовых средств, которая может быть выделена на защиту информации от всех угроз, и её распределение на мероприятия по защите от каждой угрозы, но уже в зависимости от собственных потерь и приобретений конкурентов приреализации каждой угрозы.
Первый этап: определение веса каждой угрозы (табл. 1).
1.Ранжируем угрозы в соответствии с иерархией звеньев организационной структуры предприятия, на которые они воздействуют, от I1(угроза, существующая в нижнем звене) до I6(угроза, существующая в верхнем звене). Для простоты нижнее значение вероятности берём равным 0,5 (реализуется – не реализуется).
2. Оцениваем собственные потери (в виде неполученной прибыли) Dсобi при реализации каждой угрозы.
3. Оцениваем выгоды конкурентов (полученную ими прибыль) Dконi при успешном осуществлении ими действий, ведущих к реализации угрозы.
4. Определяем показатель степени в формуле веса каждой угрозы как отношение величины собственных потерь к величине выгод конкурентов по каждой угрозе:
αi= Dсоб i/ Dконi. (1)
5. Определяем вес каждой угрозы как показательную функцию вида: вероятность угрозы в степени, равной отношению собственных потерь к выгодам конкурентов по каждой угрозе:
Рвесi= Piαi.(2)
Сущность веса угрозы заключается в следующем: рост потенциальной выгоды конкурента приводит к росту затрат на защиту от данной угрозы в сумме общих затрат на защиту при её постоянстве.
Таким образом, уже после определения веса порядок ранжирования изменился на I3, I2, I6, I1, I5, I4. Угроза I6 с минимальной вероятностью переместилась с последнего места на третье и приобрела значительный вес, так как конкурент при её реализации получает существенные преимущества.
Таблица 1. Определение веса каждой угрозы
№п/п |
Параметры |
I1 |
I2 |
I3 |
I4 |
I5 |
I6 |
Суммы ∑ |
1 |
Вероятности угроз Pi |
0,7 |
0,8 |
0,9 |
0,6 |
0,55 |
0,5 |
– |
2 |
Потери ($ тыс.) Dсоб i |
100 |
200 |
100 |
300 |
300 |
400 |
1400 |
3 |
Выгоды конкурентов ($тыс.)Dконi |
100 |
400 |
200 |
200 |
500 |
1000 |
2400 |
4 |
Показатель степени αi в формуле веса |
1 |
0.5 |
0.5 |
1.5 |
0.6 |
0.4 |
– |
5 |
Вес угрозы Рвесi= Piαi |
0,7 |
0,894 |
0,948 |
0,465 |
0,699 |
0,758 |
– |
Второй этап: определение значимости защиты от каждой угрозы (табл.2).
6. Определяем суммы собственных потерь Dсобi и выгод конкурентовDкон i по каждой угрозе и общую сумму по всем угрозам.
7. Определяем относительный вес потерь по каждой угрозе:
Ротн i = (Dсоб i+Dкон i)/(∑ Dсобi + ∑ Dконi).(3)
Независимо от числа угроз сумма весов должна быть равна единице.
8. Определяем значимость защиты от каждой угрозы какпроизведение ее веса (вероятностный аргумент) на относительный вес (денежный вес):
Рзн i = Рвесi × Ротн i .(4)
Сущность значимости защиты заключается в том, что её значение показывает долю отчисления от общей суммы, выделяемую на противодействие каждой угрозе.
Таким образом, после определения значимости защиты от угрозы порядок ранжирования изменился на I6, I5, I2, I3, I4, I1. Мы видим, что хотя относительный вес потерь от разновероятностныхугроз I2 и I5отличается, но в списке значимости защиты они находятся рядом. Это определено соотношением значений собственных потерь и выгод конкурента: вес угрозы I5 возрастает за счёт того, что выгода конкурентов выше собственных потерь и значение суммы потерь и выгод больше, чем для угрозы I2. Последнее место угрозы I1 с не самой низкой вероятностью осуществления определено и малыми значениями потерь и выгод, и отсутствием превышения выгод конкурента над своими потерями. На первое же место вышла значимость защиты от угрозы I6с минимальным значением вероятности. Это объясняется и самой большой суммой потерь и выгод, и большой разницей между этими величинами в пользу конкурента. Значимость защиты от угрозы с максимальной вероятность переместилась на четвёртое место, так как относительный вес потерь от её реализации не самый большой, и разница между собственными потерями и выгодами конкурента также не самая существенная.
Таблица 2. Определение значимости защиты от каждой угрозы
№ п/п |
Параметры |
I1 |
I2 |
I3 |
I4 |
I5 |
I6 |
Суммы ∑ |
6 |
Суммы($тыс.) собственных потерь и выгод конкурентов |
200 |
600 |
300 |
500 |
800 |
1400 |
3800 |
7 |
Относительный вес потерьРотнi |
0,052 |
0,158 |
0,079 |
0,132 |
0,211 |
0,368 |
∑Ротн =1 |
8 |
Значимость защиты от угрозы Рзн= Рвесi × Ротнi |
0,036 |
0,141 |
0,075 |
0,061 |
0,147 |
0,28 |
∑Рзнi =0,74 |
Третий этап: определение величины средств, необходимых и выделяемых на защиту информации от прогнозируемых угроз.
9. Научно обоснованныхнорм для определения инвестиций в ИБ не существует, для их выработки должна проводится соответствующая аналитическая работа, причём по каждой отрасли бизнеса, поэтому на практике в качестве финансовых баз, от которых задаются относительные величины потерь и отчислений на защиту информации, приводятся различные балансовые или экономические показатели, либо опираются на устоявшуюся по отрасли практику (bestpractice) [3]. Так в последнем случае эксперты – практики из некоторых авторитетных консалтинговых компаний в области защиты информации нашли некое оптимальное решение, при котором можно чувствовать себя относительно уверенно – стоимость системы ИБ должна составлять примерно 10-20% от стоимости корпоративной информационной системы (как видим весьма широкий диапазон и без учёта конкурентной среды бизнеса). Тем не менее, учитывая, что в примере в качестве базы для отчислений на защиту принята неполученная (потенциальная) прибыль, и ориентируясь на эти коэффициенты потерь, норму отчисления DH0T неполученной прибыли на защиту информации примем равной 0,3. Тогда выделяемая сумма равна:
DH. 0T= 0,3∑ Dсобi = 0,3 × 1400 тыс. = 420 тыс.(5)
Данная норма отчисления от сберегаемой прибыли предназначена для нейтрализации суммы значимостей всех угроз :
DH. 0T= ∑ Рзн i. (6)
Тогда на предотвращение каждой угрозы должна выделяться часть доли, пропорциональная значимости защиты от этой угрозы:
DH.0T= ∑ Рзн i.(7)
Распределение сумм находится применением следующего выражения:
Dн.от i = Dн.от× Рзн i / ∑ Рзн i .(8)
Пример расчёта для первой угрозы:
Dн.от1= $420тыс. × 0,036/0,74=$20,43 тыс.(9)
Просчитав суммы, необходимые для защиты информации от каждой угрозы, получим сводные результаты (см. табл. 3).
Таблица 3. Определение величины средств на защиту от каждой угрозы
№п/п |
Параметры |
I1 |
I2 |
I3 |
I4 |
I5 |
I6 |
Общая сумма( ∑ ) |
9 |
Сумма($тыс.)противодействия каждой угрозе Dн. от i |
20,43 |
80 |
42,57 |
34,6 |
83,4 |
159 |
420 |
Заключение.
Как видно, большую часть средств следует выделять не на защиту от тех угроз, вероятность которых больше, а от тех, где значимости защиты выше. В данном примере угроза I6 с вероятностью 0,5 и угроза I5 с вероятностью 0,55 могут нанести больший ущерб, так как, получив существенную выгоду, конкурент способен закрепиться на данном рынке, вытеснив с него ваше предприятие. Угроза с максимальной вероятностью по значимости защиты от нее оказалась на четвертом месте. Таким образом, значимость защиты от угрозы учитывает связь вероятности угрозы с вашими собственными потерями и получаемыми выгодами конкурентов, как по отдельным угрозам, так и по всей их совокупности. Эта связь проявляется только в том случае, когда норма отчисления на защиту берется не от упущенной выгоды или суммы потерь по отдельным угрозам, а от суммы упущенных выгод или потерь по всем угрозам. Это и есть основное отличие предлагаемой методики. Полученное с ее помощью распределение затрат учитывает вероятности событий и может считаться наиболее близким к оптимальному варианту.
Литература
1.Радиевский М.В. БИЗНЕС-ПЛАН. Технико-экономическое планирование и обоснование финансовой стратегии предприятия. Методика и практ. рек. – Мн.: Белпринт, 2000. – 264 с.
2. Провоторов В. Д. ЗАЩИТИТЬ, ЧТОБЫ НЕ ПРОИГРАТЬ.// Информационная безопасность, 2004, №5. – с. 18 – 20.
3.Петренко С. А. Управление информационными рисками. Экономически оправданная безопасность / Петренко С. А., Симонов С. В. - М.: Компания АйТи ; ДМК Пресс, 2004. - 384 с.: ил. - (Информационные технологии для инженеров).
МНОО «МАИТ», г. Минск
Отправить статью в социальные сети, на печать, e-mail и в другие сервисы: