|
требующейся для работы, например, к развлекательным сайтам, а также с требованием сокращения неслужебной переписки. Без расходов на построение системы информационной безопасности обойтись не удается: операционные затраты присутствуют всегда — это и разработка проекта, и обучение персонала и стоимость средств защиты информации. Но есть составляющие, которые могут это компенсировать и даже привести к снижению расходов после реализации проекта. Главная причина уменьшения расходов, то, ради чего система информационной безопасности строится или модернизируется, — увеличепие рискозащищенности. Подсчитанные roi необходимо сравнить со следующими «пороговыми величинами»: • roi < О, т.е. эффективность проекта отрицательна. Это, естественно, худший вариант, но он не так редок, как может показаться (может быть еще более плохая ситуация, когда roi проекта информационной безопасности столь отрицателен, что отрицательным может стать и R.OI всей кредитной организации); • ROI > roi > О, т.е. внедрение проекта приведет к уменьшению общего ROI организации; • roi > ROI, т.е. внедрение проекта приведет к увеличению общего ROI кредитной организации. Любой экономист отказался бы от проекта в случае 1 (проект приносит убытки), как следует подумал бы, стоит ли браться за него, в случае 2 (проект снижает общую эффективность, но все же прибылен) и сразу рекомендовал бы проект к внедрению в случае 3 (проект прибылен и приводит к росту эффективности). Условный анализ доходов и расходов кредитной организации Учитывая преимущества и недостатки рассмотренных методик совершенствования информационной безопасности, проведем анализ 81 |
защиты информации скажется на росте доходов компании. Например, согласно исследованиям компании PriceWaterhouseCoopers именно недостаточная безопасность электронных платежей стала основным барьером для пользователей, т.е. реализация системы ИБ в таких системах обусловливает доверие клиентов, а значит и приток денег. Внедрение системы информационной безопасности, как правило, приводит к более продуктивному использованию рабочего времени сотрудниками. Это связано с ограничением доступа к информации, не требующейся для работы, например, к развлекательным сайтам, а также с требованием сокращения неслужебной переписки. Без расходов на построение системы ИБ обойтись не удается: операционные затраты присутствуют всегда это и разработка проекта, и обучение персонала и стоимость средств защиты информации. Но есть составляющие, которые могут это компенсировать и даже привести к снижению расходов после реализации проекта. Главная причина уменьшения расходов, т.е. то, ради чего система информационной безопасности строится или модернизируется, увеличение рискозащищенности. Подсчитанные roi необходимо сравнить со следующими "пороговыми величинами": 1. roi < 0, т.е. эффективность проекта отрицательна. Это, естественно, худший вариант, но он не так редок, как может показаться (может быть еще более плохая ситуация, когда roi проекта ИБ столь отрицателен, что отрицательным может стать и ROI всей компании); 2. ROI > roi > 0, т.е. внедрение проекта приведет к уменьшению общего ROI компании; 3. roi > ROIy т.е. внедрение проекта приведет к увеличению общего ROI компании. 72 73 Любой экономист отказался бы от проекта в случае 1 (проект приносит убытки), как следует подумал бы, стоит ли браться за него в случае 2 (проект снижает общую эффективность, но псе же прибылен) и сразу рекомендовал бы проект к внедрению в случае 3 (проект прибылен и приводит к росту эффективности). Для наглядности необходимо сразу привести пример. При оценке рисков информационной безопасности следует учитывать не только произведение ущерба с учетом вероятности его возникновения, но и абсолютное значение этого ущерба. Если стоимость потерь соизмерима со стоимостью всей кампании, то даже при низкой (но, конечно, не околонулевой) вероятности возникновения ущерба, эти потери надо учитывать при проектировании системы информационной безопасности. Представим себе небольшую буртю развивающуюся интернет компанию, например, предоставляющую услуги хостинга, и сделаем примерную оценку эффективности проекта информационной безопасности для нее. В компанию инвестировано 100 000 дол., а разница между доходами и расходами составляет 40 000 дол. в год, т.е. ROI=0,4. Результатом мощной атаки, проведенной на сдаваемые в аренду серверы (например, уничтожение всей информации на серверах), будет уход всех клиентов, т.е. закрытие компании. Ущерб можно приравнять к стоимости всего проекта 100 000 дол. Вероятность успешного проведения такой атаки для активно работающий па рынке и не имеющей дополнительных средств защиты компании составляет около 10% (т.е. с вероятностью 10% в текущем году будет успешно проведена мощная "хакерская" атака). Таким образом, имеющийся риск оценивается в 10 000 дол. в год. Установка мощного межсетевого экрана с системой обнаружения атак стоит около 10 000 и потребует операционных затрат примерно в 1 000 дол. в месяц (техническая поддержка, обучение персонала, зарплата, амортизация и т.п.). Реализация этого проекта защиты |