Процент безопасности
Автор
Алексей Лукацкий
С течением времени классические задачи ИБ начинают перетекать в ИТ и считаться уже ИТ-задачами
Каким должен быть процент на информационную безопасность от бюджета ИТ? Этот вопрос я слышу регулярно на протяжении последних 15 лет. Согласно «2005 CSI/FBI Computer Crime and Security Survey» на информационную безопасность тратится 4,3% от ИТ-бюджета. По данным Gartner, опубликованным в 2004 году, эта цифра составляет 6–9%. А согласно опросу «The Global State of Information Security 2005» от CIO Magazine процент достигает уже 13%. Кто же прав? Где взять верные цифры? И вот настал момент, когда критическая масса вопрошавших превысила пороговое значение, и следует оформить свой ответ в виде целой статьи.
Давайте сразу определимся, что вопрос этот поставлен изначально некорректно и исходит из предпосылки, будто информационная безопасность (ИБ) является подмножеством ИТ-задач и входит в компетенцию ИТ-подразделения. И хотя такое мнение продолжает бытовать в среде ИТ-специалистов, на самом деле ИБ — это гораздо более широкая задача, чем защита информационных ресурсов предприятия. Даже если не брать широкое толкование термина «информационная безопасность» из одноименной доктрины, то все равно специалисты по ИБ занимаются и расследованием инцидентов, и выполнением требований законодательства, и защитой от утечек по техническим каналам, и взаимодействием с регуляторами (ФСТЭК, ФСБ, Роскомнадзор и т. п.), и получением лицензий на деятельность в области защиты информации, и многими другими вопросами, которые не относятся к спектру традиционного восприятия ИТ. Да и с точки зрения подчиненности информационная безопасность часто вынесена за пределы ИТ-подразделения и имеет если не собственный бюджет, то уж точно дотируется не от ИТ-инвестиций; хотя, безусловно, пересечения есть.
Что влияет на процент?
Почему до сих пор никто не дал однозначного ответа на столь острый вопрос? Дело здесь не только и не столько в двух аспектах, рассмотренных выше. Даже если ограничиться предположением, что мы говорим об ИТ-безопасности, которая входит в ИТ-подразделение, то и в этом случае четкого ответа не будет. Почему? Ответ придется разбить на несколько составляющих.
Во-первых, с течением времени классические задачи ИБ начинают перетекать в ИТ и считаться уже ИТ-задачами. Так было с антивирусной защитой и с проектами по идентификации и аутентификации. Так было с проектами по антиспаму и нейтрализации DDoS-атак, с системами защиты мобильных устройств. Сейчас аналогичный сдвиг происходит с другими функциями ИБ. Например, я регулярно сталкиваюсь с тем, что внутренним заказчиком межсетевых экранов, систем предотвращения вторжений, систем контроля доступа становятся именно айтишники, а не безопасники. Для производителя здесь нет никакой разницы; для решения задач заказчика тоже, а вот для вопроса, вынесенного в заголовок, это имеет громадное значение.
Во-вторых, очень важную роль играет то, к какой отрасли принадлежит заказчик. Согласитесь, уровни информатизации в ИТ-компании, у оператора связи, в банке и на промышленном предприятии отличаются. И уровень инвестиций в информационные технологии тоже. А значит, будут разниться и уровни затрат на ИБ.
Третья составляющая — это личность руководителя информационной безопасности. Ограничится ли он в своей борьбе за бюджет только ИТ-подразделением или попробует прикоснуться к множеству различных источников — бюджету юристов, кадровиков, безопасников-экономистов, службы внутреннего контроля или иных бизнес-подразделений? Оттого, насколько успешно будет налажено взаимодействие с этими отделами, зависят и те деньги, которыми сможет оперировать служба ИБ. И даже если в относительном выражении от ИТ-бюджета на ИБ будет тратиться меньше среднерыночных цифр, то в абсолютном исчислении итоговое значение может на порядок отличаться в большую сторону.
Еще один фактор, влияющий на размер инвестиций в ИБ, — масштаб компании. Очень часто крупные компании, имеющие разные филиалы и юрлица в разных странах мира или регионах России, предоставляют своим подразделениям свободу действий по части приобретения ИТ- и ИБ-решений. Это приводит к завышенным итоговым затратам, так как централизованное приобретение оборудования для всей компании позволяет рассчитывать на значительные скидки от производителя.
Наконец, нельзя сбрасывать со счетов такой фактор, как подверженность регулятивным рискам. Одни компании находятся в прицеле ФСТЭК, ФСБ, Роскомнадзора или Банка России, а других эта чаша миновала. Одни считают необходимым безоговорочно выполнять требования нормативных документов регуляторов, а другие смотрят в первую очередь на потребности бизнеса. Очевидно, что ориентация на регулятора повышает затраты на ИБ.
В целом же можно следующим образом систематизировать факторы, влияющие на размер бюджета на информационную безопасность (да и не только на нее):
корпоративные
- географический охват;
- размер компании;
- траектория развития (спад, рост, постоянство);
- тип бизнеса (схожие компании имеют схожий бюджет);
- архитектура (структура);
- внутренняя политика;
- экспансия на международные рынки;
- требования compliance.
айтишные
- требования к готовности (5×8 или 7?24);
- требования к поддержке;
- требования к времени отклика;
- требования к времени реагирования;
- требования к доступу;
- уровень квалификации пользователей;
- архитектура ИТ;
- уровень проникновения аутсорсинга и облаков;
- наличие «багажа» (старые системы, «железо», проекты).
Иными словами, никто и никогда не скажет, какой процент ИТ-бюджета надо тратить на информационную безопасность, потому что эта функция зависит от множества изменчивых параметров.
7 плюс минус 2
Но все это отговорки, скажете вы. «Дай нам конкретные цифры!» Видимо, желание узнать всеми правдами и неправдами эту магическую цифру настолько велико, что различные консалтинговые и аналитические компании регулярно публикуют некоторую «среднюю температуру по больнице».
В начале статьи я привел цифры 2004–2005 годов. Разброс значительный: от 4,3 до 13%. Есть ли более свежие цифры? Да, есть! В 2011-м широко известный в узких кругах Ponemon Institute опубликовал исследование, согласно которому 39% организаций тратят от 6 до 10% на соблюдение правил безопасности; еще 39% организаций тратят от 11 до 15%; 11% организаций тратят от 16 до 20% и 7% организаций тратят колоссальные от 21 до 25% своего ИТ-бюджета на соблюдение правил безопасности.
Согласно отчету компании Forrester «2012 Budget and Planning Guide for CISOs», затраты на информационную безопасность составили 7,3 в 2010-м, 7,6% в 2011-м и 8,0% в 2012-м. Ему вторит компания Wisegate, которая в 2013 году опубликовала еще один отчет — «2013 IT Security Benchmark Report». В нем приведены конкретные цифры распределения затрат на информационную безопасность. Согласно исследованию Wisegate:
- В среднем на ИБ тратится 7,5% от ИТ-бюджета.
- По отраслевому срезу больше всего на ИБ тратят финансовые организации и банки — 10,4%. Меньше всего расходуют государственные органы — 2,3%. Для промышленности эта цифра равна 8,9%, для страховщиков — 3,6%, для здравоохранения — 6,9%.
- Размер бюджета также зависит от размера компании. В том случае, если в компании работало менее 1000 сотрудников, то она тратила в 2,5 раза больше денег на ИБ, чем компании с 20000 и более сотрудниками: 10% против 4%.
- Более зрелые компании тратят на ИБ больше своих менее продвинутых коллег: 9,0 против 5,6% от ИТ-бюджета.
Если окунуться еще глубже и посмотреть, как тратится бюджет ИБ, то согласно последнему отчету Forrester распределение статей бюджета выглядит следующим образом:
От экспертной оценки к теории игр
Понимая, что подход «% от ИТ-бюджета» неверен, специалисты стали искать другие методы оценки бюджетирования ИБ. Одной из первых работ по данной теме явилось исследование Лоуренса Гордона и Мартина Леба (The Economics of Information Security Investment, ACM Transactions on Information and System Security, Vol. 5, No. 4, стр. 438-457), которые в 2002 году опубликовали модель оценки оптимального уровня инвестиций в ИБ, исходя из стоимости защищаемой информации. По их мнению, этот уровень должен быть равен 36,8%. Правда, у данной модели есть одна сложность — мы должны оценить стоимость защищаемой информации, и тут еще стоит подумать, что проще:оперировать % от бюджета или оценивать стоимость защищаемых активов.
Тремя годами позже Жан Виллемсон из Эстонии показал, что оптимальный уровень инвестиций может быть и выше, согласившись при этом с правильно выбранным Гордоном и Лебом подходом. В 2005-м Деррик Хуанг из Аатлантического университета Флориды дополнил модель Гордона — Леба профилем риска человека, принимающего решение об уровне инвестиций в ИБ, и все сразу встало на свои места. Можно ли утверждать, что уровень затрат в 36,8% действительно оптимальный? Четкого ответа, особенно ввиду исследования Виллемсона, пока нет. Но модель Гордона — Леба дала начало активному применению экономики и смежных наук в области информационной безопасности. Мы сейчас только в начале пути...
Есть ли другие методы вычисления размера затрат на ИБ от ИТ-бюджета? Как оказалось, оба подхода используют 77% всех организаций. Еще 22% применяют иные способы. Меньше одного процента «привязывают» свой бюджет на информационную безопасность к общим доходам предприятия. Что за «иные способы»?
В 2003-м появились первые серьезные наработки, использующие совершенно иной подход в оценке эффективности вложений в ИБ, основанный на теории игр. Их автором является итальянец Кавузоглы. Как нам говорит «Википедия», «теория игр — математический метод изучения оптимальных стратегий в играх. Под игрой понимается процесс, в котором участвуют две и более сторон, ведущих борьбу за реализацию своих интересов. Каждая из сторон имеет свою цель и использует некоторую стратегию, которая может вести к выигрышу или проигрышу — в зависимости от поведения других игроков. Теория игр помогает выбрать лучшие стратегии с учетом представлений о других участниках, их ресурсах и их возможных поступках». Кто помнит фильм «Игры разума», тот поймет, о чем идет речь.
Кавузоглы применил теорию игр к оценке оптимального объема инвестиций в ИБ. Из интересных особенностей этой модели можно назвать возможность оценки вклада отдельных технологий (системы предотвращения вторжений, межсетевые экраны и т. д.) в инвестиционную привлекательность проектов по ИБ, а также влияние одной технологии ИБ на другую. Модель Кавузоглы позволяет делать обоснованные решения в пользу того или иного решения. В своих работах Кавузоглы с коллегами показал, что теория игр применительно к ИБ более предпочтительна, чем классическая теория принятия решений, так как позволяет делать действительно оптимальные инвестиции.
Что у нас в сухом остатке? Четкого и однозначного ответа на вопрос о том, сколько тратить на информационную безопасность от ИТ-бюджета, нет. Его не было 10 лет назад, его не появилось и до сих пор. И связано это с множеством факторов, влияющих на принятие решения об инвестировании. Наверное, это и хорошо. Самым правильным было бы формировать бюджет, исходя из потребностей организации и бизнеса, а не притянутых с потолка соотношений. Но мир несовершенен — всем хочется простого и быстрого ответа, и его дают нам последние проведенные исследования Wisegate и Forrester, согласно которым средний процент инвестиций в ИБ от ИТ составляет около 8%. Именно это значение можно использовать в качестве первого приближения к решению поставленной задачи.
Опубликовано 20.02.2014
Похожие статьи