Site icon Евразийский Союз Ученых — публикация научных статей в ежемесячном научном журнале

КОЛИЧЕСТВЕННАЯ ОЦЕНКА ЭФФЕКТИВНОСТИ ИНВЕСТИЦИЙ В ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ

Обеспечение информационной безопасности (ИБ) предприятия в современном мире представляет собой сложный и специфический процесс, который подвержен воздействию множества внешних и внутренних факторов. Одним из таких основополагающих факторов являются инвестиции. Под инвестициями понимают капитал, вложенный с целью извлечения прибыли из определенного вида деятельности (инвестиции отображают перспективу окупаемости) [4]. При принятии решения об инвестировании деятельности, направленной на построение систем защиты информации (СЗИ), необходимо использовать специальный подход, позволяющий произвести эффективные затраты на реализацию информационной безопасности предприятия. Однако не все подходы к оценке затрат в информационную безопасность предприятия распределяют денежные ресурсы так, что инвестирование средств на ее построение является эффективным [1].

Проблема оценки эффективности инвестиций в информационную безопасность в настоящее время является достаточно актуальной, потому что для оценки инвестиций необходимо соотносить затраты на информационную систему и получаемые преимущества с точки зрения финансовой и организационной перспектив. Знание таких сведений обеспечит эффективность вложений в систему защиты информации предприятия [2].

Путем управления не только инвестициями, но и затратами, направленными на установление режима информационной безопасности предприятия и обеспечения защиты информации, возможно повысить инвестиционную привлекательность организации, а также обеспечить стабильность показателя качества системы защиты информации.

Затраты на информационную безопасность можно разделить на следующие категории:

  1. Организационные затраты, включающие затраты на формирование и поддержание звена управления системой защиты информации.
  2. Затраты на приобретение и установку средств защиты;
  3. Затраты на контроль– затраты на оплату труда персонала службы безопасности и прочего персонала предприятия, занятого проверками и испытаниями.
  4. Внутренние затраты, понесенные организацией в результате того, что требуемый уровень защищенности не был достигнут (ликвидация последствий нарушения информационной безопасности).
  5. Внешние затраты, направленные накомпенсацию потерь при нарушениях политики безопасности (ликвидация последствий нарушения информационной безопасности).
  6. Затраты на мероприятия по предотвращению нарушений политики безопасности предприятия, а также техническое обслуживание системы защиты информации [3].

Если компанияимеет долгосрочную стратегию развития, то она, как правило, рассматривает затраты в ИБ как инвестиции. Данный подход дает возможность сосредоточиться на результатах, ожидаемых от внедрения этой системы, а наиболее важное, что он позволяет определить цели и задачи построения системы защиты информации.

Процесс нахождения наиболее оптимального решения и использование параметров оценки эффективности внедряемых проектов являются главным моментом при инвестировании в ИБ. Благодаря этому можно существенно сэкономить на затратах в ИБ.

Вопросу оптимизации инвестиций в информационную безопасность посвящены работы российских ученых Ясенева В.Н., Астахова А.М., БедраньА., Д. Муравьёва, А. Постоева, а также работы зарубежных ученых Gordon L.A., Loeb M.P., Willemson J., Shim W, в которых отражаются различные решения задачи оценки затрат на информационную безопасность с точки зрения её эффективности. Результаты анализа показали, что основной проблемой, котораясильно осложняет принятие решений специалистами ИБ, является отсутствие стандартизированных методик, позволяющих оценить эффективность затрат в ИБ. Также открытым является ряд вопросов: получение количественной оценки эффективности инвестиций, адаптация данной оценки к реальному времени, принятие решений об организации инвестиционного оборота в условиях недостатка статистических данных и параметрических оценок, сопоставление оценок возможных рисков новым угрозам.

В настоящее время выделяют следующие основные методики оценки затрат в информационную безопасность: ROI, NPV, TCO.

  1. Метод коэффициентов возврата инвестиций в информационную безопасность (ROI, ReturnonInvestment). Для определения того, насколько эффективно защитные меры сокращают потери, используется коэффициент возврата инвестиций (ROI), который определяется как отношение величины возврата инвестиций к стоимости реализации контрмер, которая включает в себя расходы на их планирование, проектирование, внедрение, эксплуатацию, мониторинг и совершенствование. Метод показывает, во сколько раз величина возврата инвестиций превышает расходы на безопасность.

ROI = (Income + Risk + AddLosses)/Investments,

(1)

где Income — изменение доходов в результате внедрения системы защиты;

Risk — это параметр, исчисляемый в денежном выражении и учитывающий не только предотвращенные потенциальные потери в результате действия угрозы, но и вероятность ее осуществления;

AddLosses — это потери, связанные с отсутствием системы защиты;

Investment — инвестиции в систему защиты.

Преимущества:

Недостатком метода является то, что при расчете показателя возможно применение различных подходов, что затрудняет или сводит на нет попытки сопоставить данные, полученные из различных источников.

  1. Чистая приведенная стоимость (NPV, NetPresentValue). В основуданного метода положено следование основной цели инвестирования –получение положительного эффекта, в частности, дохода. Доходом будетявляться превышение справедливой цены за будущие поступления надреально понесенными инвестиционными расходами, т. е. необходимонайти разность между инвестициями и приведенными(дисконтированными) будущими поступлениям. Если эта разность будетбольше нуля, инвестиционные расходы будут считаться эффективными.

где  –чистый денежный поток на шаге t;

– ставка дисконтирования;

– временной горизонт проекта.

Преимущества:

Недостатки:

  1. Совокупная стоимость владения (TCO, TotalCostofOwnership). позволяет оценивать совокупные затраты на ИТ, анализировать их и, соответственно, управлять ими для достижения наилучшей отдачи. TCO рассчитывается как сумма всех затрат. Затем этот показатель сравнивается с рекомендуемыми величинами для данного типа предприятия. Если полученная совокупная стоимость владения системы безопасности значительно превышает рекомендованное значение и приближается к предельному, то необходимо принять меры по снижению ТСО. Сокращения совокупной стоимости владения можно достичь следующими способами: максимальной централизацией управления безопасностью, уменьшением числа специализированных элементов, настройкой прикладного программного обеспечения безопасности и пр.

где DE (direct expenses) – прямыерасходы;

IC1,2 (indirectcosts) – косвенные расходы первой и второй группы соответственно.

Преимущества:

Недостатки:

Одним из самых актуальных подходов к оценке затрат в информационную безопасность является GartnerGroup (TCO). В своих работах В.Н. Ясенев отмечает, что использование этого подхода позволяет достичь экономического эффекта, к которому стремится большинство компаний [4]. Подобный эффект достигается путём уменьшения материального ущерба вследствие реализации существующих угроз. Так по данным JetInfo: 42% предприятий мира используют подход TCO, из которых10% организаций в России выстраивают свою систему оценки инвестирования проектов, направленных на осуществления информационной безопасности, используя модифицированный подход оценки окупаемости инвестиций в ИБ.

Анализ подходов к оценке затрат в информационную безопасность предприятия показал, что эти подходы ограничиваются лишь оценкой чистой приведённой стоимости информационного актива и оценкой рисков нарушения информационной безопасности предприятия. Основным минусом данных подходов является то, что достижение эффективности инвестиций в информационную безопасность можно добиться, если использовать их комбинированно.

Список литературы:

  1. Жаринова С. С., Бабенко А. А. Оптимизация инвестиций в информационную безопасность предприятия // Информационные системы и технологии, 2014 №3 стр. 114-123.
  2. Зубарева Е.В., Бабенко А.А. Методы оценки инвестиций в информационную безопасность предприятия // Евразийский союз ученых, 2014, № 8, стр. 147-149.
  3. Петренко С., Симонов С., Кислов Р. Информационная безопасность: экономические аспекты // JetInfo, № 10, 2003.
  4. Ясенев В.Н. Информационная безопасность в экономических системах. Учебное пособие – Н. Новгород: Изд-во ННГУ, 2006. — 253 с.[schema type=»book» name=»КОЛИЧЕСТВЕННАЯ ОЦЕНКА ЭФФЕКТИВНОСТИ ИНВЕСТИЦИЙ В ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ» author=»Зубарева Елена Валерьевна, Васенёва Валерия Андреевна, Николаенко Виктория Григорьевна» publisher=»БАСАРАНОВИЧ ЕКАТЕРИНА» pubdate=»2017-03-13″ edition=»ЕВРАЗИЙСКИЙ СОЮЗ УЧЕНЫХ_30.05.2015_05(14)» ebook=»yes» ]

404: Not Found404: Not Found