единый комплекс проблемы обоснования затрат компании на ИБ, расчета стоимости ущерба от инцидентов, количественной оценки эффективности финансовых вложений и мероприятий по защите информации, показателей и критериев эффективности самой системы ИБ достаточно активно обсуждаются в публикациях по этой теме, но до сих пор не нашли отражения, а лучше сказать завершения в официальных методиках, инструкциях, руководствах, нормативных документах Правда, целесообразно упомянуть о существовании отдельных программных комплексов (ПО) для анализа и контроля информационных рисков, которые имеются на рынке и используются крупными компаниями. Каждый из этих продуктов характеризуется своими преимуществами, а также недостатками, главными из которых являются высокая стоимость приобретения лицензии, наличие специально обученных квалифицированных кадров. Нам представляется, что прежде чем рассматривать существующие подходы к оценке экономического эффекта от системы ИБ, необходимо разобраться с экономической терминологией. М ы оперируем несколькими терминами: эффект, затраты, инвестиции. Эффект означает результат, который получит компания, создав и поддерживая систему ИБ. Эффект бывает как положительным, так и отрицательным. Положительный эффект может быть получен в следующих формах: • меньший по стоимости ущерб от инцидентов, чем в прошлом периоде; • экономия по объему затрат на систему ИБ в сравнении с бюджетом прошлого периода; • экономия средств за счет высвобождения персонала при внедрении новых средств защиты; • привлечение новых инвесторов, деловых партнеров, клиентов (рост ’ Хмелев Л. Оценка эффективности мер безопасности, закладываемых при проектировании электронно-информационных систем. Труды научно-технической конференции «Безопасность информационных технологий». Пенза, 2001. 144 |
97 * I X пт ~ 192 * ‘т (4) (5) Упущенная выгода от простоя атакованного узла или сегмента составляет: и =П п + Па +У , г а с (6) V = О -х(1п +1н+1ви) (7) 52x5x8 Таким образом, общий ущерб от атаки на узел или сегмент корпоративной сети компании составит: О У =^ Х и ■ (8> год I Модель расчета, предложенная Лукацким А.В., может быть интерпретирована соответствующим образом адекватно: а) условиям конкретного предприятия, б) объекту защиты, в) возможному инциденту и т.д. Если такие расчеты провести, ориентируясь на накопленную статистику за прошлый период (например, за год), то их результаты наверняка будут служить убедительным основанием для руководства компании при решении вопроса о финансировании системы ИБ вообще и, в частности, могут быть некоторым ориентиром, а точнее —предельным размером по объему затрат. Следует отметить, что взаимосвязанные и но существу образующие единый комплекс проблемы обоснования затрат компании на ИБ, расчета стоимости ущерба от инцидентов, количественной оценки эффективности финансовых вложении и мероприятий по защите информации, показателей и критериев эффективности самой системы ИБ достаточно активно обсуждаются в публикациях по этой т е м е , н о до сих пор не нашли отражения, а лучше сказать завершения в официальных методиках, инструкциях, руководствах, нормативных документах.1 Правда, целесообразно упомянуть о существовании отдельных программных комплексов (ПО) для анализа и контроля информационных рисков, которые имеются на рынке и используются крупными компаниями (приложение 10). Каждый из этих продуктов характеризуется своими преимуществами, а также недостатками, главными из которых являются высокая стоимость приобретения лицензии, наличие специально обученных квалифицированных кадров. Нам представляется, что прежде чем рассматривать существующие подходы к оценке экономического эффекта от системы ИБ, необходимо разобраться с экономической терминологией. Мы оперируем несколькими терминами: эффект, затраты, инвестиции. Эффект означает результат, который получит компания, создав и поддерживая систему ИБ. Эффект бывает как положительным, так и отрицательным. Положительный эффект может быть получен в следующих формах: ■ меньший по стоимости ущерб от инцидентов, чем в прошлом периоде; • экономия по объему затрат иа систему ИБ в сравнении с бюджетом прошлого периода; ■ экономия средств за счет высвобождения персонала при внедрении новых средств защиты; * привлечение новых инвесторов, деловых партнеров, клиентов (рост продаж, капитала) за счет укрепления репутации компании как надежно защищенной в части информации. 1 Хмелев Л. Оценка эффективности мер безопасности, закладываемых при проектировании электронноинформационных систем. Труды научно-технической конференции «Безопасность информационных технологий». Пенза, 2001. 132 80. Как подготовиться к выбору корпоративной информационной системы //Финансовый директор, 2002, № 3. 81. Керимов В.Э. Профилактика и предупреждение преступлений в сфере компьютерной информации / Керимов В.Э., Керимов В.В. // "Черные дыры" в Российском законодательстве, 2002, № 1. 82. Кононов А. Страхование нового века. Как повысить безопасность информационной инфраструктуры. М.: Connect, 12,2001. 83. Хмелев Л. Оценка эффективности мер безопасности, закладываемых при проектировании электронно-информационных систем. Труды научно-технической конференции «Безопасность информационных технологий», Пенза, июнь 2001. 84. Махинов Д.В., Рогозин Д.А., Савченко А.В. Комплексная оценка уфоз качеству функционирования эргатических информанионно-управляющих систсм//Телскоммуникации, 2002, № 1. 85. Мещеряков В.А. Криминалистическая классификация преступлений в сфере компьютерной информации.//Конфидент, 1999, №4-5. 86. Минаев В., Карпычев В. Экономические аспекты информационной безо* пасносги//Вестник связи International, 2003, № 8. 87. Петренко С.А., Терехова Е.М. Оценка затрат на защиту информации.//3ащита информации, 2005, № 1. 88. Провоторов В. Агенты конкурента на вашем предприятии // Безопасность. Достоверность. Информация, 2002, № 3. 89. Вихорев С., Кобцев Р. Как определить источники уфоз.// Открытые системы, 2002, № 7-8. 90. Симонов С. Технологии и инструментарий для управления рисками./Лщ Info, 2003, №2. 91. Стратегия компании в области информационных тсхнологий//Финансовый директор, 2003, № 7. Прочие источники 92. Математический энциклопедический слопарь./Под ред. Ю.В. Прохорова. М.: Изд-во «Большая российская энциклопедия», 1995. 93. Ожегов С.И. Словарь русского языка, 20-е издание. М.: Рус. яз, 1988. Зарубежные источники 94. 2003 Industry Survey Information Security, October 2003. |