Рис. П1.3. Распределение респондентов по доходам предприятия
Рис. П1.4. Распределение респондентов по занимаемым должностям на предприятии
Бюджеты защиты информации. Исследование 2004 года коснулось вопроса планирования бюджета на защиту информации. Как видно на рис. П1.5, данные по бюджетам опрашиваемых предприятий и организаций на защиту информации распределились следующим образом: 46 % респондентов указали, что на защиту информации выделяется от 1 до 5 % от общего бюджета на информационные технологии; 16 % – менее 1 %; 23 % – более 5 % от бюджета на информационные технологии; 14 % респондентов указали, что сумма бюджета на защиту информации им не известна.
Рис. П1.5. Планирование бюджета на защиту информации предприятия
Определение величины средних эксплуатационных расходов на защиту информации в пересчете на одного работника предприятия показало следующее (см. рис. П.1.6.). Как и следовало ожидать, подтвердилось предположение о том, что по мере роста доходов предприятий эксплуатационные и капитальные затраты на защиту информации растут менее быстрыми темпами. Например, компании с годовым оборотом менее 10 млн. долларов США тратят на одного сотрудника в среднем около 500 долларов (334 доллара эксплуатационных расходов и 163 доллара капитальных затрат), в то время как компании с годовым оборотом более 1 млрд. долларов тратят в среднем около 110 долларов на одного сотрудника (82 доллара эксплуатационных расходов и 30 долларов капитальных затрат).
Рис. П1.6. Средние затраты на защиту информации на одного сотрудника предприятия
Величины затрат на защиту информации в перерасчете на одного сотрудника предприятия по отраслям экономики США представлены на рис, П1.7. Как оказалось, самые большие затраты на защиту информации (608 долларов) на предприятиях транспорта (449 долларов эксплуатационных расходов и 159 долларов капитальных затрат на одного сотрудника). Далее по убыванию эксплуатационных расходов следует федеральное правительство (261 доллар), предприятия телекоммуникаций (209 долларов) и высоких технологий (183 доллара). С точки зрения капитальных затрат на защиту информации в убывающем порядке места распределились следующим образом: в отрасли телекоммуникаций (150 долларов), в отрасли высоких технологий (83 доллара) и в федеральном правительстве (61 доллар).
Рис. П1.7. Средние затраты на защиту информации на одного сотрудника предприятия по отраслям экономики США
Интересно отметить, что если федеральное правительство сообщило об одних из самых больших затратах на защиту информации на одного сотрудника, правительственные учреждения на местах тратят на одного сотрудника меньше всего (примерно 17 долларов), а правительства штатов по аналогичным затратам оказались где-то посередине (примерно 154 доллара).
На практике лицам, ответственным за организацию режима информационной безопасности, часто требуется обосновать бюджеты на создание и сопровождение корпоративной системы защиты информации. В академических кругах и во время проведения профессиональных форумов по безопасности, а также на страницах периодических изданий часто ведется дискуссия о целесообразности расчета экономических показателей эффективности инвестиций на защиту информации. Результаты исследования CSI/FBI 2004 года показали, что для определения эффективности инвестиций на защиту информации компании используют ряд экономических показателей, таких, как коэффициент возврата инвестиций (ROI или ROSI), показатели внутренней нормы доходности (IRR) и чистой текущей стоимости (NPV). Например, участников исследования 2004 года попросили обозначить по шкале из семи баллов готовность компаний использовать показатели ROI, IRR и NPV для количественной оценки экономической эффективности затрат на защиту информации. При этом ответы 1, 2 или 3 истолковывались как неготовность к использованию названных экономических показателей; ответ 4 – затруднение в ответах; ответ 5, 6 или 7 – готовность к использованию указанных показателей. Как оказалось (см. рис. П1.8), 55 % респондентов используют показатель ROI, 28 % – показатель IRR и 25 % – показатель NPV. Таким образом, показатель ROI при всех своих ограничениях по сравнению с NPV и IRR является наиболее популярным. Использование NPV и/или IRR вызывает некоторое удивление, так как в периодической печати не раз заявлялось о малой пригодности методов традиционного экономического анализа в области защиты информации.
Рис. П1.8. Данные по использованию экономических показателей ROI, NPV и IRR
Исследование CSI/FBI 2004 года затронуло ряд новых проблем безопасности, в частности аутсорсинга работ по защите информации (подразумевающего передачу части функций по защите информации сторонним организациям), а также страхования остаточных информационных рисков предприятия.
Текущее исследование показало, что аутсорсинг работ по защите информации не является столь широко распространенным явлением, как аутсорсинг работ в области традиционных информационных технологий. Лишь 12 % респондентов указали, что их организации передают сторонним организациям более 20 % функций безопасности (см. рис. П1.9). При этом 63 % респондентов указали, что их организации в настоящее время не занимаются и не планируют заниматься аутсорсингом функций безопасности. Достаточно интересно будет проследить динамику развития аутсорсинга функций безопасности в будущих исследованиях CSI/FBI.
Рис. П1.9. Данные по аутсорсингу функций безопасности
Как свидетельствует рис, П1.10, практика внешнего страхования остаточных информационных рисков также находится на этапе становления. Постепенно предприятия начинают понимать, что зрелость современных технологий защиты информации, таких, как антивирусная защита, защита от НСД, межсетевое экранирование и VPN, обнаружение вторжений и аномалий и пр., не могут полностью устранить информационные риски предприятия. Поэтому обращение к услугам внешнего страхования для покрытия остаточных информационных рисков и снижения прогнозируемых финансовых потерь выглядит вполне естественным шагом. Пока страховые компании не располагают представительными статистическими данными по инцидентам безопасности для обоснованного определения тарифов страхования информационных рисков, но уже пытаются предлагать страховые полисы. В целом же исследование 2004 года позволило определить (см. рис. П1.10), что только менее 30 % респондентов воспользовались услугами внешнего страхования. В дальнейшем также интересно проследить динамику обращения предприятий к услугам внешнего страхования информационных рисков.
Рис. П1.10. Данные по внешнему страхованию информационных рисков
Характеристика инцидентов безопасности. Исследование 2004 года показало (см. рис. П1.11) сохранение тенденции 2000 года сокращения общей частоты успешных атак на информационные системы. Доля респондентов, ответивших, что на предприятии столкнулись с несанкционированным использованием компьютерных систем, за последние 12 месяцев сократилась до 53 % (это наименьший процент с 1999 года). Доля респондентов, ответивших, что случаев несанкционированного использования компьютерных систем не было, увеличилась до 35 %, в то время как доля респондентов, которым не известно, имело ли место такое несанкционированное использование, снизилась до 11 %.
Рис. П1.11. Данные по несанкционированному использованию компьютерных систем
Таблица П1.1. Характеристика инцидентов безопасности в 2004 году
Приведенная здесь таблица наглядно демонстрирует, что количество инцидентов безопасности постепенно снижается. При этом угрозы безопасности равномерно распределились на внешние и внутренние. Эта таблица также показывает, что доля респондентов, фиксирующих за год от 6 до 10 инцидентов безопасности, судя по всему, стабилизировалась на уровне 20 %, в то время как доля респондентов, фиксирующих количество инцидентов безопасности за год от одного до пяти, увеличилась до 47 %. В 2004 году впервые зафиксирован самый низкий процент (12 %) респондентов, оценивающих, что их организация столкнулась за год более чем с десятью инцидентами безопасности.
Рис. П1.12. Характеристика атак или злоупотреблений в 2004 году
Рис. П1.12. показывает, что общее количество атак на компьютерные системы или выявленное злоупотребление этими системами медленно, но вполне устойчиво уменьшается.
Рис. П1.13. Данные по происшествиям на Web-сайтах предприятий США
Как видно на рис. П1.13, на большинстве предприятий в 2004 году столкнулись с происшествиями на Web-сайтах. При этом 5 % респондентов сообщили о том, что их организации столкнулись более чем с десятью происшествиями на Web-сайтах. Подавляющее большинство (89 %) респондентов указали, что в течение года их организации столкнулись с происшествиями на Web-сайтах числом от одного до пяти.
Анализ убытков предприятий и организаций США (см. рис. П1.14) из-за инцидентов безопасности в 2004 году позволяет сделать следующие выводы. Во-первых, реальная история подсчета убытков свидетельствует о том, что общие потери (в расчете на одного респондента) сократились. Общие потери предприятий в 2004 году составили 141 496 560 долларов по сравнению с 201 797 340 долларами в 2003 году. Во-вторых, как и в предыдущих исследованиях, респонденты часто были не готовы оценить потери в денежном эквиваленте. В исследовании 2004 года только 269 респондентов из 494 смогли предоставить количественные данные об убытках в долларах.