информационной безопасности решить невозможно. Высокоэффективная, оптимальная с экономической точки зрения система информационной безопасности — это сочетание классических средств защиты данных, с экономическими методами (например, путем страхования), которые бы позволили дополнить первые, когда эффект от вложений в них падает. На практике многие реш ения в области защиты информации часто планируются на интуитивно-понятийном уровне, без каких-либо экономических расчетов и обоснований. Однако современные • требования бизнеса, предъявляемые к организации режима информационной безопасности кредитных организаций, настоятельно рекомендуют обращаться к болсс основательным техникоэкономическим методам и средствам, позволяющим количественно измерять уровень защищенности кредитных организаций. Сегодня оценивать эффективность корпоративной системы зашиты информации рекомендуется с помощью некоторых критериев эффективности, например показателей совокупной стоимости владения (англ. Total Cost o f Ownership TOO), коэффициентов возврата инвестиций на информационную безопасность (англ. Return On Investment — ROI). В частности, известная методика совокупной стоимости владения, разработанная аналитической компанией Gartner Group в конце 80-х годов (1986 — 1987 гг.), изначально была предложена для оценки затрат на « информационные технологии. Методика Gartner Group позволяет рассчитывать стоимость всей корпоративной информационной системы, включая-прямые и-косвенные расходы на аппаратно-программные средства, организационные мероприятия, обучение и повышение квалификации работников кредитных организаций, реорганизацию, реструктуризацию бизнеса и т.д. Под показателем ТСО понимается сумма прямых и косвенных затрат на организацию, эксплуатацию и сопровождение корпоративной системы защиты информация в течение года. При этом прямые затраты включают и капитальные компоненты затрат, и трудовые затраты, которые учитываются 36 |
При движении по графику вправо достигаемый уровень защищенности возрастает (информационный риск снижается). Это происходит за счет увеличения объема предупредительных мероприятий, связанных с обслуживанием системы защиты. Расходы на компенсацию нарушений политики безопасности (НПБ) уменьшаются в результате предупредительных действий. Как показано на графике, на этой стадии расходы из-за потерь падают быстрее, нежели растут затраты на предупредительные мероприятия. В результате общие затраты на безопасность становятся меньше. Если двигаться по графику вправо, за точку экономического равновесия (то есть в область, где достигаемый уровень защищенности повышается), ситуация начинает меняться. Мы видим, что стремление добиться устойчивого снижения затрат на компенсацию нарушений политики безопасности приводит к более быстрому возрастанию затрат на предупредительные мероприятия. Получается, что ценой расходования значительного объема средств удается достичь сравнительно малого снижения риска. На основе вышеизложенного можно сделать вывод о том, что одними программными и техническимисредствами проблему обеспечения информационной безопасности решить невозможно. Высокоэффективная, оптимальная с экономической точки зрения СИБ это сочетание классических средств защиты данных с экономическими методами (например, путем страхования), которые бы позволили дополнить первые, когда эффект от вложений в них падает. На практике многие решения в области защиты информации часто планируются на интуитивно-понятийном уровне, без каких-либо экономических расчетов и обоснований. Однако современные требования бизнеса, предъявляемые к организации режима информационной безопасности компании, настоятельно рекомендуют обращаться к более 37 38 основательным технико-экономическим методам и средствам, позволяющим количественно измерять уровень защищенности компании. Сегодня оценивать эффективность корпоративной системы защиты информации рекомендуется с помощью некоторых критериев эффективности, например, показателей совокупной стоимости владения (англ. Total Cost of Ownership TCO), коэффициентов возврата инвестиций на ИБ (англ. Return On Investment ROI). В частности, известная методика совокупной стоимости владения разработанная аналитической компанией Gartner Group в конце 80-х годов (1986-1987 гг.) изначально была предложена для оценки затрат на информационные технологии. Методика Gartner Group позволяет рассчитывать стоимость всей корпоративной информационной системы (КИС), включая прямые и косвенные расходы на аппаратно-программные средства, организационные мероприятия, обучение и повышение квалификации сотрудников компании, реорганизацию, ретсруктуризацию бизнеса и т.д. Под показателем ТСО понимается сумма прямых и косвенных затрат на организацию, эксплуатацию и сопровождение корпоративной системы защиты информации в течение года. При этом прямые затраты включают и капитальные компоненты затрат, и трудовые затраты, которые учитываются в категориях операций и административного управления. Сюда же относятся затраты на услуги удаленных пользователей, сторонние услуги и другие, услуги, связанные с поддержкой деятельности организации. Косвенные затраты показывают, как влияют компьютерные информационные системы и подсистемы защиты информации на деятельность сотрудников компании посредством таких измеряемых показателей, как простои и «зависания» корпоративной системы защиты информации и КИС в целом. Косвенные затраты играют серьезную роль, в |