Назад в библиотеку

---

Анализ методов оценки эфективности затрат в информационную безопасность

Авторы: Синяк А.А., Кибальченко А.В., Губенко Н.Е.
Источник: Сучасні комп'ютерні інформаційні технології: матеріали II всеукраінської школи-семінару молодих вчених і студентів. – Тернопіль: ТНЕУ – 2012. – С. 197-198.

Постановка проблемы

На сегодняшний день в условиях рынка компания сосредоточена на поддержании своей конкурентоспособности – продуктов и услуг, конкурентоспособности компании в целом.

В таких условиях качество и эффективность информационной системы влияют на конечные финансовые показатели через качество бизнес-процессов. В проигрыше оказываются те компании, где финансирование защиты информации ведется по остаточному принципу.

К вложениям в информационную безопасность (ИБ) можно относиться как к затратам или как к инвестициям. Отношение к вложениям в ИБ как к затратам отдаляет компанию от решения стратегической задачи, связанной с повышением ее адаптивности к рынку. Если у компании есть долгосрочная стратегия развития, она рассматривает вложения в ИБ как инвестиции [1].

Цель работы

Целью исследования является сравнение наиболее распространенных методов оценки эффективности затрат в ИБ

Особенности различных методов оценки эффективности затрат в ИБ

Выделим наиболее известные методы оценки эффективности затрат в ИБ:

• ROI (Return On Investments – коэффициент возврата инвестиций). Данный коэффициент показывает, какую прибыль получит компания от вложения денег в различные мероприятия. Наиболее распространенный метод вычисления ROI – дерево принятия решений. Суть анализа заключается в следующем: потенциальный доход от инвестиций умножается на вероятность получения этого дохода. В результате получаем «цену решения». Сопоставив пары "сумма инвестиций - цена решения" можем найти оптимальный вариант, когда вложенные деньги принесут максимальный эффект.

  Следует заметить, что руководители служб безопасности, использующие ROI для оценки будущих затрат столкнуться с проблемой подсчета дохода от внедрения системы. Использование метода дерева принятия решения дает приблизительный результат. Обычно параметр ROI используют для оценки маркетинговых мероприятий. ИБ имеет свои особенности, которые делают распространенные способы расчета ROI неэффективными [3].

• LE (Loss Expectancy – метод ожидаемых потерь). Подход основывается на том, что вычисляются потери от нарушений политики безопасности, с которыми может столкнуться компания, и эти потери сравниваются с инвестициями в безопасность, направленными на предотвращение нарушений. Метод основан на эмпирическом опыте организаций и сведений о вторжениях, о потерях от вирусов, об отражении сервисных нападений. Чтобы определить эффект от внедрения системы ИБ, нужно вычислить показатель ожидаемых потерь (Annualised Loss Expectancy – ALE).


где AS – ежегодные сбережения (Annual Saving), E – эффективность системы защиты (около 85%), AC – ежегодные затраты на безопасность (Annual Cost).

• SAEM (Security Attribute Evaluation Method – метод оценки свойств системы безопасности). Метод был разработан в Carnegie Melon University, основан на сравнении архитектур систем ИБ для получения стоимостных результатов оценки выгод от внедрения системы ИБ. Объединив вероятность события и ранжировав воздействие окружающей среды, можно предложить проекты по ИБ с многовариантным влиянием окружающей среды на относительные затраты. Недостаток метода в том, что специалисты по ИБ редко имеют точные данные относительно выгод, приносимых технологией, поэтому они полагаются на опыт и интуицию [4].
• ТСО (Total Cost Of Ownership – совокупная стоимость владения). Методика была предложена аналитической компанией Gartner Group. В этой модели затраты делятся на две категории: прямые и косвенные. Косвенные затраты – это скрытые расходы, возникающие при эксплуатации системы защиты информации (СЗИ). Под прямыми затратами понимают капитальные затраты и трудовые затраты.

Методика ТСО компании Gartner Group позволяет:

1. Получить адекватную информацию об уровне защищенности распределенной вычислительной среды и совокупной стоимости владения корпоративной СЗИ;
2. Сравнить подразделения службы ИБ компании между собой и с аналогичными подразделениями других предприятий в данной отрасли;
3. Оптимизировать инвестиции на ИБ компании с учетом реального значения показателя ТСO [2].

Одно из преимуществ этого показателя состоит в том, что он позволяет сделать выводы о целесообразности реализации проекта в области ИБ на основании оценки только затрат. Другим преимуществом является то, что модель расчета ТСО предполагает оценку не только первоначальных затрат на создание СЗИ, но и затрат, которые могут возникнуть на различных этапах жизненного цикла системы [1].

Выводы

Оценка затрат на построение системы ИБ на сегодняшний день – это очень важная задача, без решения которой невозможно построение надежных систем защиты коммерческой информации. На сегодняшний день существует множества методов оценки эффективности затрат в информационную безопасность, среди которых выделяют ROI, LE, SAEM, TCO. На основе анализа можно сделать вывод, что метод ожидаемых потерь (LE) и метод оценки свойств системы безопасности (SAEM) являются более предпочтительными.

Список літератури

1. Ясенев В.Н. Информационная безопасность в экономических системах. / В. Н. Ясенев. – Н. Новгород: Изд-во ННГУ, 2006.
2. Оценка затрат компании на Информационную безопасность [Электронный ресурс]. Режим доступа: http://citforum.ru
3. Оценка затрат компании на ИБ [Электронный ресурс]. Режим доступа: http://www.getinfo.ru
4. Материал из СА – ежемесяного журнала [Электронный ресурс]. Режим доступа: http://samag.ru