|
материализованный экономический ущерб. Осуществляя эти затраты, пользователь старается уберечься от еще больших потерь, вызванных нарушениями конфиденциальности. Эффективное экономическое решение сводится к расчету минимально необходимого (оптимального) объема затрат на ИБ, который позволит свести к минимуму финансовые потери в случае несанкционированных действий. Специалисты предлагают различные методы, в том числе и некоторые из тех концепций управления бизнесом, о которых упоминалось в начале данного раздела. Так, Петренко С.А. и Терехова Е.М . приводят девять методов, которые можно использовать для экономического обоснования затрат на ИБ К ним относятся: • метод прикладного информационного анализа (A IE Applied Information Economics); • метод потребительского индекса (C I Customer Index); • метод добавленной экономической стоимости (E V A Economic Value Added); • метод управления портфелем активов (РМ Portfolio Management); • метод оценки реальных возможностей (R O V Real Option Valuation); • метод жизненного цикла (SLCA System Life Cycle Analysis); • система сбалансированных показателей (BSC Balanced Scorecard); • метод совокупной стоимости владения (ГС О Total Cost o f Ownership); • функционально-стоимостной анализ (ABC Activity Based Costing). Обобщение методов, моделей, концепций обоснования и оценки затрат на ИБ, предлагаемых разными авторами, убеждает в том, что расчетная часть должна включать вычисление либо показателя доходности (возвратности) инвестиций (R O I), либо показателя совокупной стоимости владения (ТСО ). Поскольку мы уже определились с терминологией, остановившись на затратах и отвергнув инвестиции, то несколько конкретизируем метод ТСО как наиболее подходящий для обоснования затрат компании на ИБ. Методика ТСО, Петренко С.А., Терехова Е.М. Оценка затрат на защиту информации.//Защита информации, 2005, Хз 1, январь-февраль. 149 |
103 смотренных понятий, мы будем изучать обоснование, оценку и эффективность затрат на ИБ. Необходимо также пояснить, соглашаясь с Баутовым Л.' (правда, он пишет об инвестициях, а мы о затратах), что затраты на разработку проектов защиты информации, закупку необходимых элементов безопасности и эксплуатацию систем защиты для владельца информации есть ни что иное, как материализованный экономический ущерб. Осуществляя эти затраты, пользователь старается уберечься от еще больших потерь, вызванных нарушениями конфиденциальности. Эффективное экономическое решение сводится к расчету минимально необходимого (оптимального) объема затрат на ИБ, который позволит свести к минимуму финансовые потери в случае несанкционированных действий. Специалисты предлагают различные методы, в том числе и некоторые из тех концепций управления бизнесом, о которых упоминалось в начале данного раздела. Так, Петренко С.Л. и Терехова Е.М. приводят девять методов, которые можно использовать для экономического обоснования затрат на ИБ.2К ним относятся: * метол прикладного информационного анализа (AIE Applied Information Economics); ■ метод потребительского индекса (Cl Customer Index); ■ метод добавленной экономической стоимости (EVA — Economic Value Added); ■ метод управления портфелем активов (PM Portfolio Management); ■ метод оценки реальных возможностей (ROV Real Option Valuation); ■ метод жизненного цикла (SLCA System Life Cycle Analysis); 1Баутои Л.Н. Программно-методическое обеспечение «Расчет рискоо и вычисление оптимальных затрат на систему защиты информации от несанкционированных дсПствий и сохранение конфиденциальности информационных ресурсов. М., 2001. 2 Петренко С.А., Терехова Е.М. Оценка затрат на зашнту информацииУ/Зашита информации, 2005, № 1, янпарь-февраль. 104 ■ система сбалансированных показателей (BSC Balanced Scorecard); ■ метод совокупной стоимости владения (ТСО Total Cost of Ownership); ■ функционально-стоимостной анализ (ABC —Activity Based Costing). Обобщение методов, моделей, концепций обоснования и оценки затрат на ИБ, предлагаемых разными авторами, убеждает в том, что расчетная часть должна включать вычисление либо показателя доходности (возвратности) инвестиций (ROI), либо показателя совокупной стоимости владения (ТСО). Поскольку мы уже определились с терминологией, остановившись на затратах и отвергнув инвестиции, то несколько конкретизируем метод ТСО как наиболее подходящий для обоснования затрат компании на ИБ. Методика ТСО, разработанная в середине 80-х гг. прошлого века американской компанией Gartner Group1, дает возможность реализовать следующие цели: ■ получить достоверную информацию об уровне защищенности распределенной вычислительной среды и совокупной стоимости владения корпоративной системы защиты информации; ■ провести сравнительный анализ работы подразделений службы ИБ компании, как между собой, так и с аналогичными подразделениями других предприятий в данной отрасли; ■ определить оптимальный объем затрат на ИБ с учетом реального значения показателя ТСО. *R. Witty, J. Dubiel, J. Girard, J. Graff, A. Hallawell ets. The Price of Information Security. Gartner Research, Sira* legic Analysis Report. K-l 1-6534, June, 2001. 126 интеллектуальный капитал компании; эффективная система информационной безопасности. 27. Обоснован тезис о том, что расходы на разработку проектов защиты информации, закупку необходимых элементов безопасности и эксплуатацию систем защиты для владельца информации есть ни что иное, как материализованный экономический ущерб. Осуществляя эти затраты, пользователь старается уберечься от еще больших потерь, вызванных нарушениями конфиденциальности информации. 28. Разработаны методические рекомендации по использованию комбинированного метода составления ИБ-бюджета, который предполагает на первом этапе бюджетного проектирования применение бенчмарков для постатейной разбивки бюджета. • 29. Разработана адекватная условиям любого малого предприятия методика определения целесообразности и экономической эффективности затрат на ИБ. 30. Разработана методика расчета экономической эффективности затрат иа ИБ, включающая в том числе блок-схему алгоритма расчета экономической эффективности и формирования бюджета расходов на ИБ. |