GetInfo.Ru – Компьютерная библиотека
Последние поступления
Как выбрать систему управления базы данных
Базы данных03/09/14
Этапы загрузки UNIX (в схеме)
Unix27/03/12
Gatewall Antispam: тотальный контроль электронной почты
Спам21/04/11
Мастер-класс: создаем Интернет-магазин (Часть 1)
Обзоры ПО20/04/11
CorelDRAW Graphics Suite X5: Что нового?
Обзоры ПО20/07/10
Добавить статью
Самые читаемые материалы
Что такое SSH?(20630)
Создание отдела информационной безопасности, или строим забор своими руками(11486)
Один в поле не воин: межсетевые экраны и антивирусы - братья на веки!(11430)
Оценка затрат компании на ИБ(10682)
Десять мифов о паролях в Windows(10076)
Всего статей: 793Всего авторов: 364Подразделов: 47Добавлено за сутки: 0
Статьи  СТАТЬИ Форум  ФОРУМ Рейтинг  РЕЙТИНГ Поиск  ПОИСК Контакты  КОНТАКТЫ
» Главная » Вопросы безопасности » Оценка затрат компании на ИБ

Оценка затрат компании на ИБ


Марат Давлетханов
softkey@maratd.ru
http://www.maratd.ru

Для получения денег на ИБ нужно доказать, что они будут потрачены не зряНи для кого не секрет, что сегодня руководство большинства компаний уделяет недостаточное внимание вопросам информационной безопасности. Более того, исследования показали, что на решение проблем, связанных с защитой информации, фирмы тратят меньше средств, чем на покупку новых принтеров! Почему так происходит? Обычно специалисты в области информационной безопасности привыкли "сваливать" все на руководство. Мол "начальник не понимает", "босс не хочет слушать" и т. п. Вот только на сложившуюся ситуацию нужно посмотреть и с другой стороны.

И действительно, на основании чего руководство компании должно выделять деньги на информационную безопасность? В бизнесе недостаточно общих слов и статей из журналов с описанием угроз. Необходимо доказать, что выделенные деньги не потратятся зря, а принесут неплохую прибыль в виде уменьшения убытков, связанных с информационными угрозами. Для этого нужно, во-первых, точно определить затраты, необходимые для построения корпоративной системы защиты данных. Вторая задача - оценить эффективность предполагаемых изменений. Причем желательно сделать это не в достаточно абстрактных единицах и процентах, а в реальных деньгах. То есть нужно показать, сколько денег ежемесячно или ежегодно позволит экономить введение новой системы информационной безопасности. Имея эти данные, легко подсчитать, через какой срок затраты, понесенные компанией, окупятся и какую прибыль принесут в будущем. Ну а с такими аргументами, начальник службы безопасности может спокойно обращаться к руководству компании, не выпрашивая деньги, а предлагая выгодное вложение средств.

Для того, чтобы точно оценить затраты на введение системы информационной безопасности и экономическую прибыль, которую они способны принести, существуют различные методики. Так, например, для этого может быть использован параметр ROI (Return On Investments - коэффициент возврата инвестиций). Как видно из его названия, этот коэффициент позволяет увидеть, какую прибыль получит компания от вложения собственных денег в те или иные мероприятия.

Без точной оценки затрат и эффективности системы ИБ успех невозможенДля вычисления ROI также существуют различные методики. Но наиболее распространенным из них является дерево принятия решения. Суть этого анализа очень проста. Потенциальный доход от инвестиций умножается на вероятность получения этого дохода. Полученная сумма является так называемой "ценой решения". Составив определенное количество пар "сумма инвестиций - цена решения", можно найти оптимальный вариант, когда вложенные деньги принесут максимальный эффект. Правда, руководители служб безопасности, решивших использовать ROI для оценки будущих затрат скорее всего столкнутся с одной проблемой. Дело в том, что подсчитать доход от внедрения системы не так-то и просто. При этом нужно учесть огромное количество факторов, так что использование метода дерева принятия решения даст весьма приблизительный результат. Более того, параметр ROI обычно используются для оценки маркетинговых мероприятий. Именно применительно к этой области действуют все основные методики подсчета коэффициента возврата инвестиций. Между тем, информационная безопасность имеет целый ряд особенностей, делающих распространенные способы расчета ROI неэффективными.

Другая методика оценки затрат компании на информационную безопасность связана с принципами BCP (Business Continuity Management - планирование непрерывности бизнеса). Вообще-то планирование непрерывности бизнеса - это целый комплекс различных мероприятий, направленных на снижение рисков прерывания бизнеса и их негативных последствий. Учитывая, что сегодня в управлении любой компании используется информационные технологии, то становится понятно, что одной из наиболее вероятных потенциальных опасностей являются именно компьютерные угрозы. Причем зачастую эти угрозы носят критический характер. И действительно, вирус, поразивший бухгалтерскую систему и уничтоживший отчетность за какой-то период, нанесет гораздо больший ущерб, чем, например, пожар на одном из складов, который испортит часть товаров компании.

BCM - сложная глобальная система планирования бизнесаОценка эффективности затрат, предполагаемая принципами BCP, основывается на статистических данных. При этом учитываются вероятность возникновения опасной ситуации и потери, которые понесет компания в этом случае. К сожалению, в России подобной точной статистики пока не существует. Да и использование принципов BCP доступно только для крупных компаний, могущих себе позволить значительные затраты, которые связаны с введением их в действие. Все-таки планирование непрерывности бизнеса - вопрос более глобальный, нежели обеспечение информационной безопасности. Можно сказать, что в этом случае система защиты коммерческой информации является частью BCP.

Большая же часть специалистов в области информационной безопасности для определения затрат на создание системы защиты и оценки ее эффективности использует показатель TCO (Total Cost Of Ownership - совокупная стоимость владения). Эта методика была разработана известной аналитической компанией Gartner Group в конце 80-х годов (1986-1987). Первоначально она рассматривалась как способ оценки затрат на введение в управление компанией компьютерных технологий. Однако сегодня эта методика получила наибольшее распространение именно в области информационной безопасности. Более того, TCO позволяет оценить и доказать реальный экономический эффект действующей системы защиты информации. А это тоже немаловажная задача для руководителей служб безопасности.

Суть методики заключается в следующем. Сначала подсчитывается сама стоимость владения. Она включает в себя сумму всех прямых и косвенных затрат на организацию (реорганизацию), эксплуатацию и сопровождение корпоративной системы защиты информации. Для подсчета выбирается какой-то определенный период, например, год. При этом под прямыми понимаются все материальные капитальные затраты (покупка оборудования и программного обеспечения) и трудозатраты соответствующих категорий сотрудников. Косвенными же являются все затраты на обслуживание системы ИБ, а также материальные и трудовые потери от простоев, связанных с нарушениями компьютерных систем. Для проведения расчетов обычно используются данные статистических исследований, из которых видны основные информационные угрозы для компании и возможные убытки из-за них. Эта информация может использоваться и в российских условиях, правда с введением определенных поправок.

Пример оценки эффективности разных систем ИБ методом ТСО для небольшой компании

Для исследования обычно берется несколько вариантов системы безопасности. И для каждого из них высчитывается TCO. Затем составляется таблица, в которой каждому варианту системы безопасности соответствует своя стоимость владения. Естественно, результаты анализа для наглядности можно представить и в виде различных диаграмм. Ну а дальше все очень просто. Остается всего лишь выбрать систему ИБ с минимальным параметром TCO. Это значит, что при выборе этого варианта компания понесет минимальные затраты (в которые входят и убытки из-за проблем с ИБ).

Ну а теперь пришла пора подвести итоги. Собственно говоря, сделать это совсем не сложно. Современный бизнес постепенно начинает приобретать все более и более цивилизованные черты. Раньше специалист в области информационной безопасности мог придти к руководству и на основе статей из журналов и живописных рассказов "из личного опыта" "выбить" деньги на свои нужды. Теперь же для получения инвестиций необходимо предоставить доказательства эффективности вложения средств и получения прибыли от них, пусть даже и в долгосрочной перспективе. Именно поэтому оценка затрат на построение системы ИБ на сегодняшний день является очень важной задачей, без решения которой невозможно построение надежных систем защиты коммерческой информации.

Оригинал статьи опубликован здесь

 
16.12.2004
Версия для печати Версия для печати Запомнить ссылку Запомнить ссылку
Ваша оценка:  1   2   3   4   5     

 О проектеПерепечаткаАвторамПартнерыО нас пишут
Наверх
©2003—2007. GETINFO.RU. ВСЕ ПРАВА ЗАЩИЩЕНЫ.