CC BY
190
УДК 004.09;34.028
МЕТОДИЧЕСКИЙ ПОДХОД К ЭКОНОМИЧЕСКОМУ ОБОСНОВАНИЮ РЕШЕНИЙ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ
В.А. Курский, Е.Б. Чачина
Рассмотрены вопросы обоснования объёмов финансирования на защиту информации и интеллектуальной собственности предприятия; предложена модель оценки инвестиций в информационную безопасности и достигаемого при этом экономического эффекта; разработаны рекомендации по определению составляющих совокупная стоимость владения.
Ключевые слова: информационной безопасности; информационные активы и интеллектуальную собственность: угрозы; уязвимости; системами защиты информации; совокупная стоимость владения
В условиях конкурентной рыночной экономике информационные ресурсы предприятия превращаются в главный фактор развития не только производственной сферы, но и экономической системы в целом. Деструктивные процессы, связанные с внешним или внутренним воздействием на информационные активы и интеллектуальную собственность приводит к значительным потерям, снижению прибыли и рыночной стоимости предприятия.
Возникает необходимость приобретение дорогостоящих средств информатизации и защиты информации, что требует более строго их экономического обоснования. Во многих работах по информационной безопасности (ИБ) проводится мысль, что информация предприятия стоит дороже собственной продукции. [1,2] Если предположить, что информация соизмерима со стоимостью основной продукции, то соответственно должны определяться и расходы на ИБ. Это утверждение можно принять, если удастся измерить потери от недостаточной защищенности информационных ресурсов предприятия.
Оценка эффективности обеспечения режима ИБ в компании предполагает обоснование затрат на защиту информации, а также оценку достигаемою при этом эффекта. Сопоставление этих оценок позволяет определить окупаемость инвестиций на ИБ, а также экономически корректно планировать и управлять бюджетом ИБ предприятия, обеспечивая при этом баланс между возможным ущербом от несанкционированных действий и размером вложений в защиту информации. Инвестиции в разработку проектов ИБ есть материализованный экономический ущерб. Идя на эти издержки, собственник информационных ресурсов надеется избежать большего ущерба, связанного с возможным нарушением конфиденциаль-
ности. Разумное решение состоит в определении оптимальных вложений в систему защиты, обеспечивающих минимальные финансовые потери.
Наиболее надежными системами защиты информации (СЗИ) являются те, в которых комплексно реализованы все возможные и доступные средства. Однако комплексные решения очень дороги могут быть реализованы далеко не всегда. Кроме того, ущерб от утраты защищаемой информации или от разного рода несанкционированных действий с ней может быть гораздо меньше стоимости СЗИ. Поэтому уровень финансовых средств, выделяемых на создание и эксплуатацию СЗИ, должен быть сбалансированным и соответствовать масштабу угроз. Необходимо при этом отметить, что затраты на СЗИ носят детерминированный характер, поскольку они уже материализованы в конкретные меры, способы и средства защиты, а вот ущерб, который может быть нанесен при несанкционированных действиях, - величина случайная.
Многообразие объектов защиты, структуры и ценности их информационных ресурсов, разнообразие состава вероятных угроз, а также высокий уровень неопределенности вызывают существенные трудности в выборе целесообразного подхода к разработке эффективных СЗИ.
В практике обеспечения ИБ сложились два основных подхода: фрагментарный и комплексный. Фрагментарный подход направлен на противодействие определенным локальным угрозам. Достоинством такого подхода является высокая избирательность выбираемых средств защиты по отношению к выявленным угрозам и уязвимостям, относительно низкая стоимость, гибкость и низкие сроки реализации. К недостаткам можно отнести недостаточный учет взаимосвязей защищаемых ресурсов ИС между собой.
Комплексный подход ориентирован на создание защищенной среды для функционирования ИС, объединяющий разнородные средства защиты информации, образующие комплексную систему защиты. Достоинством подхода является возможность гарантировать определенный уровень безопасности и надежности защиты информации. К его недостаткам можно отнести: высокую стоимость разработки, ограничения на свободу действия пользователей, сложность управления.
Как правило, фрагментарный подход используется для повышения уровня ИБ существующих СЗИ. Одной из эффективных форм поддержания ИБ является процедура управления рисками. Риск - это финансовая категория. На его величину риска можно воздействовать через финансовый механизм, использующий целевую функцию деятельности организации и обеспечивающий оптимальное соотношение прибыли и риска. Управление рисками - типично оптимизационная задача для решения которой разработано довольно много программных продуктов [3]. Принципиальная трудность заключается в неточности исходных данных и сложности их получения.
Управление рисками информационных ресурсов заключается в определении стратегии, которая будет включать комплекс мер защиты структурированных по уровням (организационному, техническому, программному) и по отдельным аспектам безопасности (конфиденциальности, целостности, доступности). Предложенный комплекс должен закрывать выявленные уязвимости и обеспечивать снижение риска до допустимых уровней, характеризующихся наибольшей экономической эффективностью. Внедрение комплекса мер необходимо осуществлять в последовательности, определяемой приоритетами рисков и выбранной стратегией управления.
Процедура управления включает в себя оценку (измерение) рисков и выбор экономичных средств защиты.
Сравнивая ожидаемые потери при условии внедрения комплекса защитных мер и без них можно оценить эффект от таких мероприятий. Эффект от защиты информации количественно может быть описан с помощью показателя ROI - рентабельность (отдача) инвестиций.
Применительно к управлению рисками данный показатель может быть представлен в не дисконтированной форме на последующий год после внедрения средства защиты (эффективность или отдача инвестиций от внедрения)
Эь ~ARh/
Эh /ЛИh ,
где ARj - ожидаемое снижение риска (потерь), которое обеспечивает
внедрение средства защиты; ACj - дополнительные затраты на внедрение и поддержку j - ого средства защиты. г - коэффициенты дисконтирования; tp - ожидаемый срок службы выбранного комплекса средств.
Прогнозирование показателей ARjh и АИh представляет достаточно сложную задачу вследствие отсутствия необходимой статистической базы , а также их сложной вероятностной зависимостью от влияния значительного количества случайных разнонаправленных факторов.
Ниже рассмотрим подход, основанный на прогнозирование оценок эффективности альтернативных средств защиты в относительной (приростной) форме с помощью построения иерархической модели, отражающей причинно-следственные связи оцениваемых средств защиты с переменными состояния ИС, характеризующих, соответственно, уровень ее защищенности (риска) и размер дополнительных затрат. [4]. Влияние факторов (переменных) на значения показателей определяется с использованием процедуры «калибровки» и разностной шкалы сравнения, теоретически обоснованных в работе [5].
Общая схема выбор оптимального набора средств защиты информации на основе управления рисками представлена на рис.
Алгоритм управления рисками ИС
Процедура разработки выполняется в следующей последовательности:
1. Проводится анализ вероятных рисков, характерных для анализируемого объекта. В результате анализа формируется исходный список наиболее критичных угроз и уязвимостей, для нейтрализации которых требуются дополнительные средства защиты.
2. Для разных классов рисков должна быть выбрана стратегия управления. В таблице приведены условия выбора соответствующей стратегии управления риска.
3. В результате проведенного анализа исходного списка критичных угроз, выявляются угрозы и уязвимости, риск от которых необходимо уменьшить за счет выбора дополнительных средств защиты. Необходи-
мость формирования оптимального набора средств защиты возникает при выполнении условия
яИС Щк £ялк > ЯДОП к к
где ЯИС - совокупная величина информационных рисков ИС; Я^; - соответственно риски, подлежащие страхованию и ликвидации; ЯДОП - минимально допустимое значение риска.
Выбор стратегии управления риском
Стратегия управления Наличие средств защиты Условия выбора Форма контрмеры
Принятие Да Цк<{И^ №jk} План действий в кризисной ситуации
Нет Цк^кр
Страхование Да И^} Договор со страховой фирмой
Нет И^Цк
Ликвидация Да Щк<{И^ И-к} План мероприятий по изменению архитектуры ИС
Нет Щк<Цк
Уменьшение Да И^Цк Набор дополнительных средств защиты
Примечание: Цк - потери от реализации угрозы j через уязвимость k; Исjk; И^к; Иyjk - издержки от реализации стратегии соответственно, страхования, ликвидации, уменьшения; Rkp - граничный уровень критичности.
4. Формирование исходного списка мер (средств) снижающих риски ИС.В качестве исходных (дополнительных) средств защиты выбирают такие варианты, которые обеспечивают закрытие уязвимостей и снижение риска локальных угроз, а также технически и организационно реализуемые в условиях предприятия. Для обеспечения возможности последующей оптимизации набора, число выбранных средств должно превышать необходимое количество для закрытия уязвимостей и охватывать все классификационные группы средств защиты.
5. Оценка эффективности альтернативных мероприятий по снижению рисков основывается на расчете двух количественных показателей: ARjh - вероятное снижение риска от угрозы j, при внедрении средства
защиты И; АИ^ - дополнительные издержки на внедрение и функционирование средства И.
В условиях ограниченности исходной информации прогнозирование оценок эффективности альтернативных средств защиты целесообразно осуществлять в относительной (приростной) форме. Данный метод основан на построении иерархической модели, отражающей причинно -следственные связи оцениваемых средств защиты с переменными состояния ИС, характеризующих, соответственно, уровень ее защищенности (риска) и размер дополнительных затрат. Влияние факторов (переменных) на значения показателей определяется с использованием процедуры «калибровки» и разностной шкалы сравнения, теоретически обоснованных в работе. Иерархическая структура (фрагмент) оценки вектора дополнительных издержек при использовании новых средств защиты и иерархическая структура оценки вектора вклада средств защиты в снижение риска.
Для прогнозирования в приростной форме значения вклада анализируемых средств защиты, соответственно, в снижении уровня риска и дополнительных издержек используются расчетные иерархические структуры и модели. Модель включает пять уровней упорядоченных элементов, обеспечивающая получение количественных оценок и форме приоритетов.
Для каждого альтернативного варианта рассчитывается обобщенная мера изменений всего набора переменных, характеризующих их вклад в снижение риска ИС в баллах.
Для обеспечения сопоставимости значений эффективности для всего набора исходного списка средств защиты их необходимо нормализовать по формуле:
Аналогично выполняется расчет вектора дополнительных издержек по использовании альтернативных средств защиты.
Прирост издержек в относительной форме определяется по формулам:
г П
АЯ]к = Р0° р] Р/,
где Р/0 - "вес" ресурса f с размещенной информацией в общей стоимости защищаемых ресурсов; р/ - критичность угрозы j для ресурса £
АИ] = ро° Р-( Р1;
о
т
ЛИ р = ЛИ^ЛИ, / к=1
где а^ц - прирост издержек по статье 1 от базового уровня в баллах от
использования средства защиты к
Традиционным критерием выбора альтернативы является показатель "относительная эффективность":
Э1 = ЛЯк/ЛИк ,
где ЛЯк - снижение риска ИС от использования средства защиты ^ ЛИк - дополнительные издержки, связанные с применением средств защиты к
6. Ранжирование вариантов выполняется в следующей последовательности:
- определяются нормируемые значения вектора показателей ЛЯк,
ЛИ к;
- альтернативные варианты упорядочиваются по возрастанию издержек. При этом издержки, в связи с ограниченностью финансовых ресурсов, рассматриваются как более важные по отношению к полезности;
- для каждой пары упорядоченных смежных альтернатив рассчитываются первые разности показателей ЛЯк и ЛИк и их отношение по формулам:
4 = ЛЯк+1 ЛЯк, 4 = ЛИк+1 ЛИк, Эк = 4/4 ;
- варианты средств защиты, у которых значение Э^ < 0 исключаются из ряда, поскольку дополнительные издержки, связанные с их реализацией не окупаются от прироста полезности;
- оставшиеся в списке варианты средств защиты ранжируются по убыванию критерия э1 . Они являются основой для формирования оптимального их набора;
7. Формируется оптимальный набор средств защиты ИС путем последовательного включения в соответствии со значением их ранга. Процесс формирования завершается при выполнении одного из заданных ограничений:
а) по остаточному уровню риска:
к
ЯИС %ЛЯк <Ядоп , к=1
ИС
где Я - общий уровень риска ИС с учетом всех потенциальных угроз; Ядоп - значение допустимого остаточного риска по ИС (рекомендации по
обоснованию показателя рассмотрены в разделе 5.4); АЯк - вклад средств защиты h в снижение риска ИС;
б) по объему допустимого инвестиционного бюджета на ИБ:
к
^АИк <КИБ , к=1
где КИБ - инвестиционный бюджет предприятия на информационную безопасность (методические указания по обоснованию изложены в разделе 5.6); АИк - потребный объем затрат на разработку (приобретение) и функционирование средств защиты h из ранжированного ряда альтернатив.
Применение рассмотренной методики позволяет более точно оценивать объёмы инвестиций в проектах информационной безопасности на отечественных предприятиях. Положения методики в достаточной степени обоснованы и прошли апробацию на предприятиях Тульского региона.
Список литературы
1. Щеглов А.Ю. Задача противодействия внутренним ИТ-угрозам. Вопросы оценки эффективности решений // Защита информации. 2006. № 6. с. 48 - 53.
2. Петренко С.А. Оценка затрат на информационную безопасность. // Защита информации. 2003. № 1. С. 68-73.
3. Есиков О.В. Математическая модель оптимизации состава комплекса средств защиты информации современных автоматизированных систем обработки данных// Приборы и системы. Управление, контроль, диагностика. 2000, №4. С. 28-36.
4. Курский В.А., Васин Л.А., Чачина Е.Б. Угрозы и риски корпоративных систем: оценка, анализ, управление. Учебное пособие/ Тульский университет. Тула: Изд-во ТулГУ, 2008. 109с.
5. Саати Т. Принятие решения. Метод анализа иерархий. М.: Радио и связь. 1993. 302 с.
Курский Виктор Алексеевич, д-р экон. наук, проф., Россия, Тула, Тульский государственный университет,
Чачина Елена Борисовна, канд. экон. наук, доц., Россия, Тула, Тульский государственный университет
METHODOLOGICAL APPROACH TO THE ECONOMIC JUSTIFICATION OF INFORMATION SECURITY SOL UTIONS FOR THE ENTERPRISE.
V.A. Kurskiy, E.B. Chachina
Considered issues concerning the funding for the protection of information and intellectual property of the company; the proposed model evaluate investments in information security and achieved economic effect; recommendations for determination of the components of the total cost of ownership.
Key words: information security; information assets and intellectual property: threats; vulnerabilities; information security systems; total cost of ownership
Kurskiy Victor Alecseevich, doctor of economy scicence, professor, Russia, Tula State University,
Chachina Elena Borisovna, candidate of economy scicence, docent, Russia, Tula State University
УДК: 339.138
МАРКЕТИНГОВЫЕ АСПЕКТЫ АКТИВИЗАЦИИ РЫНОЧНЫХ ПРОЦЕССОВ И ОБЕСПЕЧЕНИЯ КОНКУРЕНТОСПОСОБНОСТИ СФЕРЫ ЗДРАВООХРАНЕНИЯ В МАСШТАБЕ МИРОВОЙ
ЭКОНОМИКИ
Н.В. Пржедецкая
Статья посвящена решению проблемы активизации рыночных процессов и обеспечения конкурентоспособности сферы здравоохранения в масштабе мировой экономики. В качестве ее перспективного решения в работе предложен специально разработанный комплекс маркетинг микс для организаций здравоохранения, включающий в себя продуктовую, ценовую, сбытовую и коммуникационную стратегию. Автором определена сущность конкурентоспособности сферы здравоохранения в масштабе мировой экономики и предложены рекомендации по ее обеспечению в современной России.
Ключевые слова: рыночный механизм, конкурентоспособность, сфера здравоохранения, медицинские услуги, мировая экономика.
Здравоохранение становится все более сложной и прибыльной сферой для ведения бизнеса с ростом вовлеченности России в мирохозяйственные процессы. По мене распространения информации о мировых стандартах здравоохранения у отечественных потребителей формируются потребности в получении медицинских услуг, соответствующих передовой медицинской практике [13]. Тем не менее, несмотря на рост государственных и частных инвестиций в сферу здравоохранения России, объем которых в 2015 г. составил 3,6% от ВВП, она продолжает развиваться низкими темпами [2].
Так, согласно результатом многочисленных социологических исследований отношения населения России к отечественной системе здравоохранения, проведенных Министерством здравоохранения Российской Федерации, в 2015 г. только 40,4% населения были удовлетворены медицинской помощью. Причем 88,6% респондентов предпочитают (или, скорее, вынуж-
