Селіна Наталія Вадимівна, Україна
Донецький національний технічний університет, Факультет комп’ютерних наук та технологій, e-mail: info@donntu.ru
Источник: XIII Всеукраїнській студентській науковій конференції з прикладної математики та інформатики СНКПМІ-2010 — 2010 / Тези доповідей. — Львів, Львівський національний університет ім.І.Франка — 2010, с. 93-94.
Оценка эффективности организации режима информационной безопасности (ИБ) в компании предполагает некоторую оценку затрат на нее, а также оценку достигаемого при этом эффекта. Действительно сопоставление этих оценок позволяет оценить возврат инвестиций на ИБ, а также экономически корректно планировать и управлять бюджетом компании на ИБ.
Сегодня для оценки эффективности корпоративной системы защиты информации рекомендуется использовать некоторые показатели эффективности, например показатели: совокупной стоимости владения (ТСО), экономической эффективности бизнеса и непрерывности бизнеса (BCP), коэффициенты возврата инвестиций на ИБ (ROI) и другие. Известная методика совокупной стоимости владения (TCO) была изначально предложена аналитической компанией Gartner Group в конце 80-х годов (1986-1987) для оценки затрат на информационные технологии. Методика Gartner Group позволяет рассчитать всю расходную часть информационных активов компании, включая прямые и косвенные затраты на аппаратно-программные средства, организационные мероприятия, обучение и повышение квалификации сотрудников компании, реорганизацию, реструктуризацию бизнеса и т. д. Другая методика оценки затрат компании на информационную безопасность связана с принципами BCP (Business Continuity Management - планирование непрерывности бизнеса). Вообще-то планирование непрерывности бизнеса - это целый комплекс различных мероприятий, направленных на снижение рисков прерывания бизнеса и их негативных последствий. Учитывая, что сегодня в управлении любой компании используется информационные технологии, то становится понятно, что одной из наиболее вероятных потенциальных опасностей являются именно компьютерные угрозы. Причем зачастую эти угрозы носят критический характер. И действительно, вирус, поразивший бухгалтерскую систему и уничтоживший отчетность за какой-то период, нанесет гораздо больший ущерб, чем, например, пожар на одном из складов, который испортит часть товаров компании.
Оценка эффективности затрат, предполагаемая принципами BCP, основывается на статистических данных. При этом учитываются вероятность возникновения опасной ситуации и потери, которые понесет компания в этом случае. К сожалению, в Украине подобной точной статистики пока не существует. Да и использование принципов BCP доступно только для крупных компаний, могущих себе позволить значительные затраты, которые связаны с введением их в действие. Все-таки планирование непрерывности бизнеса - вопрос более глобальный, нежели обеспечение информационной безопасности. Можно сказать, что в этом случае система защиты коммерческой информации является частью BCP. Для оценки доходной части используются разнообразные методики расчета возврата инвестиций. ROI — отношение среднего увеличения прибыли к объёму инвестиций. Срок окупаемости инвестиций — метод оценки инвестиционных проектов, когда важнейшим критерием выступает продолжительность срока (период окупаемости), в течение которого возвращаются первоначальные затраты. При этом предполагается, что все последующие доходы представляют собой чистую прибыль.
Для расчета ROI могут применяться методики различных разработчиков. Но наиболее распространенным из них является дерево принятия решения.
Вместе с методикой ТСО можно использовать разнообразные методы для расчета возврата инвестиций (ROI). Как правило, для оценки доходной части сначала анализируют те цели, задачи и направления бизнеса, которые нужно достигнуть с помощью внедрения или реорганизации существующих проектов в области системной интеграции, автоматизации и информационной безопасности. Далее используют некоторые измеримые показатели эффективности бизнеса для оценки эффекта отдельно по каждому решению. Допустим, с целью сокращения операционных расходов, обеспечения приемлемой конкурентной способности, улучшения внутреннего контроля и т. д. Указанные показатели не надо выдумывать, они существуют в избыточном виде. Далее можно использовать методики рассчета коэффициентов возврата инвестиций в инфраструктуру предприятия (ROI).
Достаточно результативно использовать следующую комбинацию: ТСО как расходную часть и ROI как расчетную. Кроме того, сегодня существуют и другие разнообразные методы и технологии расчета и измерения различных показателей экономической эффективности.
СПИСОК ЛИТЕРАТУРЫ