Цена страховки бизнеса

Как отметил модератор круглого стола Михаил Емельянников (Консалтинговое агентство "Емельянников, Попова и партнеры"), исторически бизнес и информационная безопасность развивались в разных "системах координат". Поэтому обосновать затраты на ИБ нередко бывает очень сложно. "Вообще, хорошая безопасность - это та, где ничего не случается, - заметил М. Емельянников. - А когда ничего не случается, очень трудно показать свою работу". Как перевести на язык бизнеса ИБ-терминологию и нужно ли это делать? 

По мнению Ильи Трифаленкова (ОАО "Ростелеком"), есть два пути преодоления этого "языкового барьера": либо бизнес в лице директоров компании освоит терминологию "безопасников" (есть примеры, когда руководители высокого уровня оказываются в состоянии оперировать такими сущностями, как криптография, межсетевые экраны, антивирусы, резервное копирование и восстановление данных, защита от DDoS-атак и др., однако происходит это чаще в силу личного интереса руководителя  к этим технологиям), либо "безопасники" выучат язык бизнеса и смогут объяснить, какие риски будет нести бизнес, если не будут осуществляться мероприятия по информационной безопасности. Второй путь – наиболее реальный и становится мейнстримом, считает И. Трифаленков.

 Александр Шубин (Банк "Возрождение") отметил при этом, что необходимо взаимное обучение. Как "безопасники" учат язык бизнеса, так и обучать информационной безопасности и ее терминологии нужно весь персонал компании, от руководства до рядовых сотрудников. Такое обучение надо выстроить дифференцированно для разных уровней -  топ-менеджеров, правления компании, основного персонала, "айтишников", а также сотрудников, формально не имеющих отношения к ИТ. Для каждой категории служба ИБ должна разработать свой процесс обучения. Скажем, первому лицу надо "на уровне картинок" быстро и сжато дать понимание того или иного вопроса, который актуален в данное время. Для членов правления информация может быть более развернутой, но тоже очень дозированной. И чем ниже уровень, тем знания могут быть больше расширены, причем рядовые сотрудники должны пройти курс дистанционного обучения. "Тогда и смета будет хорошая, и результаты по ИБ", - резюмировал А. Шубин. 

Дмитрий Устюжанин ("ВымпелКом") отметил, что для обоснования бюджета на ИБ необходима стратегия или хотя бы тактический план развития и поддержания уровня информационной безопасности в компании. В этом плане следует учитывать прежде всего тенденции стратегии развития бизнеса. Например, бизнес осваивает новые территории, где необходимо внедрить определенные средства защиты. Или создаются новые бизнес-единицы создаются, новые сервисы. Тоже нужно провести анализ рисков и показать, что с внедрением такого-то сервиса нужны такие-то вложения. Все это позволяет сформулировать бизнес-обоснование мер внедрения тех или иных средств или процессов ИБ. С другой стороны, развитие бизнеса обуславливает развитие ИТ – и исходя из ИТ-стратегии компании тоже следует разрабатывать план развития информационной безопасности. И третье направление – обоснование затрат на поддержку уже существующих систем.

Еще один путь – привлечение внешних консультантов. Александр Сикорский (МТС) отметил, что в части оценки рисков для руководства компании очень важно получить информацию не от своих сотрудников, а от консалтинговой компании, которая провела соответствующее независимое исследование. Причем компания должна иметь существенный вес и известность в этой области. "Как правило, на основе таких убедительных результатов руководство склоняется в правильную сторону", - заключил А. Сикорский. 

В обосновании затрат на ИБ существует два основных подхода – методический и практический. В первом случае используются методики и показатели эффективности (используются показатели ТСО, BCP, ROI и др.), во втором оценка делается без детальных расчетов на основе best practice (стоимость системы ИБ должна составлять примерно 10-20% от стоимости КИС). Говоря о преимуществах и недостатках каждого из них, Михаил Емельянников заметил, что с точки зрения безопасности первый подход реализовать сложно: "Какой возврат инвестиций может быть от замка, повешенного на дверь гаража? Существуют только затраты и никогда они не вернутся".  Поддерживая эту позицию, Михаил Суконник (Radware) отметил, что сначала следует делать отбор исходя из  best practice, а  потом сравнить различные из выбранных решений, используя те или иные методики. "Но говорить об окупаемости этих решений нельзя, - уверен М. Суконник. - Надо помнить, что это, конечно, ИТ, но это – безопасность". 

По мнению А. Сикорского, следует разумно сочетать методический и практический подходы. С использованием определенных методик можно перевести наличие рисков и их вероятность реализации в вероятность потерь тех или иных финансовых средств. Другое дело, если существует подразделение, которое обосновывает свою деятельность тем, что показывает, какие риски уже предотвращены и на какую сумму предотвращен ущерб. В этом случае используются другие методики, опираясь на которые можно обосновывать затраты на дополнительные средства защиты. 

Александр Кириллов ("Северсталь") отметил, что для бизнеса очень понятна методика разработки матриц. С прошлого года "Северсталь" реализует масштабный проект внедрения комплексной системы снижения издержек бизнеса, составной частью которой является информационная безопасность. Общий подход единой методики предусматривает составление "матрицы рисков": оценка рисков, вероятность наступления рисков, стоимостная оценка последствий наступления этих рисков. Эти матрицы составлены на нескольких уровнях иерархии системы – и бизнес получил понятную картину и по бизнес-процессам, и по функциональным блокам, и по необходимым затратам.

Павел Волков (ARinteg) считает, что говоря о рисковой методологии, о конкретных технических средствах обеспечения ИБ, о категориях подлежащих защите объектов, следует учитывать динамическую природу этих объектов. "Если мы говорим об эффективной системе обеспечения ИБ, об обоснованном бюджете, мы должны  говорить о возможностях мониторинга событийной стороны, - отметил П. Волков. - Некий гибрид рисковой методологии с системой мониторинга событий ИБ - это инструмент, который позволяет оценить, насколько адекватна работа подразделений и расходование средств".

Публикация расширенной версии круглого стола планируется в одном из ближайших номеров "ИКС"