невозможно оценить возврат средств вложенных в безопасность. Руководство кредитной организации при планировании бюджета хочет получить от начальника информационного отдела ясное обоснование затрат на внедрение новых технологий и средств защиты, четких ответов на такие вопросы: зачем покупать новые межсетевые экраны? что это даст? насколько повысится общая защищенность ресурсов кредитных организаций? как это оценить? Не всегда руководству информационных отделов удается подобрать необходимую аргументацию и зарезервировать в бюджете статьи на информационную безопасность. Таким образом, создание и модернизация системы обеспечения информационной безопасности кредитных организаций становится проблемой, лежащей исключительно в финансовой плоскости. При обосновании затрат на систему информационной безопасности в большинстве случаев следует исходить из положения, что какой-то уровень безопасности все равно обеспечивается, даже если специально об этом никто и не задумывался. Как известно для экономической оценки (и обоснования) вносимых в бизнес изменений активно используется финансовый показатель ROI. определяемый но следующей формуле: Д о ход ы —Р а сход ы R O I = -— —— -----------------,(Формула№ 5) Инвестиции где.Доходы — доходы кредитной организации за отчетный период (год); Расходы ■ расходы кредитной организации за отчетный период (год); Инвестиции--инвестиции, сделанные в кредитную организацию Однако подсчет ROL, как правило, недоступен подразделению, отвечающему за информационные технологии. Для того чтобы понять, как скажутся на ROI инвестиции в информационную безопасность, надо определить вспомогательный roi, обусловленный изменениями в системе информационной безопасности: roi = ДДоходы ЛРасходы — , (Формула Л'йб) Л И нвестици и 79 |
70 Данная методика доказательства необходимости вложения средств в ИБ на основе метода статистического моделирования может оказаться весьма полезной при принятии важных решений, касающихся обеспечения сетевой защиты. Обладая безопасной системой обмена информацией, менеджмент компании может увеличивать доход от использования электронного бизнеса й извлекать выгоду из увеличения производительности работников. Информационная безопасность всегда была и остается затратной частью бюджета компании. Трудно, а иногда и совсем невозможно оценить возврат на инвестиции в безопасность. Руководство компании при планировании бюджета хочет получить от начальников информационного отдела ясное обоснование затрат на внедрение новых технологий и средств защиты, четких ответов на такие вопросы: зачем покупать новые межсетевые экраны? что это даст? насколько повысится общая защищенность ресурсов компании? как это оценить? Не всегда руководству информационных отделов удается подобрать необходимую аргументацию и зарезервировать в бюджете статьи на информационную безопасность. Таким образом, создание и модернизация системы обеспечения информационной безопасности компании становится проблемой, лежащей исключительно в финансовой плоскости. При обосновании затрат на ИБ в большинстве случаев следует исходить из положения, что какой-то уровень безопасности все равно обеспечивается, даже если специально об этом никто и не задумывался. Как известно для экономической оценки (и обоснования) вносимых в бизнес изменений, активно используется финансовый показатель ROI, определяемый по следующей формуле: И0 1 Д °х°ды Расходы Инвестиции 71 где Доходы доходы компании за отчетный период (год); Расходы расходы компании за отчетный период(год); Инвестиции инвестиции, сделанные в компанию. Однако подсчет RO/, как правило, недоступен подразделению, отвечающему за информационные технологии. Для того, чтобы понять, как скажется на ROI инвестиции в информационную безопасность, надо определить вспомогательное roiy обусловленное изменениями в системе информационной безопасности: ._ ьДоходы а Расходы лИнвестиции 9 где го\показатель изменения ROI из-за инвестиций в ИЁ; аДоходы изменение в доходах, обусловленное инвестициями в ИБ; дРасходы изменение в расходах, обусловленное инвестициями в ИБ; лИнвестицииинвестиции, сделанные в ИБ. Допустим, что до внесения изменений в систему информационной безопасности ROI в компании равнялось ROIold, а уже сделанные инвестиции Hold, планируемые инвестиции лЯ. Тогда ROI компании после внедрения проекта будет определяться: п/-»г у/ Hold а И ROI ROIold — --------+ roi—— -----— ИоШ+а И Mold +дЯ В зависимости от эффективности ИБ и от отношения размера инвестиций в него к общим инвестициям в компанию изменяется общая эффективность компании: ROf может увеличиться (roi>ROI), уменьшиться (roi Однако нельзя ^Доходы сразу приравнивать к нулю, так как существует ряд стандартных информационных систем, в которых именно грамотно построенная система |