В презентації відображені фактори, що впливають на бюджет інформаційної безпеки (ІБ) у 2020 році, наданий приклад кількісної оцінки окупності інвестицій в ІБ та висвітлений підхід до впровадження кількісної оцінки ІБ в організації.

1. Аргумент до власника щодо
бюджету безпеки: ROSI
ЯК РОЗРАХОВУВАТИ ОКУПНІСТЬ ІНВЕСТИЦІЙ В ІБ
1

2. Що впливає на бюджет ІБ у 2020
Регуляторні
вимоги*
Банки: системи
за 95-ю, ризики
за 64ю
ОКІ: КМУ 518
клієнти/власники
з ЄС:
сертифікація та
захист даних
Агресивне
середовище*
86 інцидентів
глобального
рівня за півроку
2019 у світі
Кібервійна та
цифрова
холодна війна
Брак
компетенцій
Вперше увійшов
в топ-10
глобальних
ризиків*
Ринок пошукачів,
важко знайти та
втримати
Технологічні
зміни
Сервісні моделі в
постачальників
Короткий
життєвий цикл
Гарантовані
інциденти через
ускладнення
систем
*див. джерела в кінці слайдів 2

3. Що обмежує інвестиції в ІБ?
Бізнес-модель
• Грошовий потік
vs OPEX
Короткий горизонт
планування
• Security by
design – довго і
дорого
• САРЕХ – це
вивільнити
кошти з обороту
Ризики
• Непрогнозовані
• Нерозраховані
• Невідчутні
3

4. Аргументи до бюджету безпеки
Ризики
• Кількісна оцінка
Короткий горизонт
планування
• Рентабельність
інвестицій vs
стратегія
Бізнес-модель
• Підтверджений
рівень безпеки –
конкурентна
перевага для
зовнішніх ринків
4

5. Кількісна оцінка ризиків ІБ
Час
Доступність систем за критичними процесами
Час на ліквідацію наслідків подій ризику
Порушення дедлайнів через ІТ (операції, договори,
звітність, податки)
Гроші
Середня вартість години простою процеса
Оплата праці та інших ресурсів, витрачених на
ліквідацію наслідків
Недоотримані доходи, штрафи, пеня
Прямі втрати від інцидентів
Порушення дедлайнів при розробці (time-to-market),
вкл. аутсорсинг
Недоотримані доходи
5

6. Аргумент до бюджету: ROSI
Що це?
Return on security investments,
або окупність інвестицій в
безпеку
Визначає економічну
ефективність окремих заходів
безпеки
Розраховується як відношення
вартості заходу безпеки до
очікуваних втрат від
інцидентів
Навіщо?
Допомагає визначити
пріоритетні заходи безпеки в
середовищі організації
Дає обґрунтовані підстави для
прийняття рішення
Передумови
Потребує кількісної оцінки
ризиків безпеки
Потребує розрахунку сукупної
вартості заходу безпеки (ТСО)
6

7. Алгоритм розрахунку ROSI для заходу
безпеки
Вхідні дані: вартість праці, вартість простою, вплив на контрагентів
Вартість інцидентів за типами (відмова обладнання, DDoS,
зараження, спам тощо): single loss expectancy (SLE)
Очікувана частота інцидентів кожного типу, в рік: annual rate of
occurrence (ARO)
Очікувані річні втрати від інцидентів кожного типу: annualized loss
expectancy (ALE)
Вплив контролю безпеки на ARO та ALE за кожним типом
інцидентів
Відношення сукупної вартості заходу безпеки (ТСО) до очікуваних
втрат протягом строку використання заходу
1
2
3
4
5
6
7

8. Як це виглядає: 1-2
1- Вхідні дані
2- SLE for DDoS
8

9. Як це виглядає: 3-5
9

10. Як це виглядає: 6
10

11. Коли аргументи не спрацюють
Невпевненість в
існуванні
• ІБ потрібна тільки
якщо є стратегічне
рішення
продовжувати
діяльність
Об’єктивні
обмеження
• Фінансових
джерел не
вистачає
Невраховані
фактори
• Ризики менші, ніж
видно з позиції
безпеки
(неавтоматизовані
процеси, інші
напрями
діяльності тощо)
11

12. Коли і як впроваджувати кількісну оцінку
Рішення приймає колегіальний орган
Розпорядник бюджету не є кінцевим бенефіціаром
Власник вирішує на підставі об’єктивних даних
Є нормативні вимоги
CFO –
союзник
12

13. Джерела з детальною інформацією
Фактори впливу на бюджет
•про глобальні інциденти:
https://www.clearskysec.com/wp-
content/uploads/2019/08/ClearSky-2019-H1-Cyber-
Events-Summary-Report.pdf
•про ризики:
https://www.agcs.allianz.com/content/dam/onemarketin
g/agcs/agcs/reports/Allianz-Risk-Barometer-2019.pdf
•Нормативні акти
•https://zakon.rada.gov.ua/laws/show/v0064500-18
•https://zakon.rada.gov.ua/laws/show/v0095500-17
•https://zakon.rada.gov.ua/laws/show/518-2019-
%D0%BF
•https://eur-lex.europa.eu/eli/reg/2019/881/oj
•https://eur-lex.europa.eu/eli/reg/2016/679/oj
Кількісна оцінка вартості інцидентів
•Курс про обчислення вартості інцидентів від ENISA
(був використаний для прикладу):
•https://www.enisa.europa.eu/topics/trainings-for-
cybersecurity-specialists/online-training-
material/operational#cost-of-ict-incident
•https://www.enisa.europa.eu/topics/trainings-for-
cybersecurity-specialists/online-training-
material/documents/Costofincidenthandlingtoolset.pdf
•https://www.enisa.europa.eu/topics/trainings-for-
cybersecurity-specialists/online-training-
material/documents/Exercise15CalculatorCIC.xlsx
•Онлайн-калькулятор ROSI
•https://advisera.com/27001academy/free-tools/free-
return-security-investment-calculator/
13

14. Приєднуйтесь!
Анастасія Конопльова
Наші новини та події:
https://www.facebook.com/Kyiv.ISACA/
Більше інформації:
https://isaca.org/
CISA
Президент ISACA Kyiv
LLC UAG
a.konopleva@isaca.org.ua
+38(050)9570596
14