методы оценки инвестиций в информационную безопасность

МЕТОДЫ ОЦЕНКИ ИНВЕСТИЦИЙ В ИНФОРМАЦИОННУЮ
БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ
Зубарева Елена Валерьевна
ВолГУ, г. Волгоград
Бабенко Алексей Александрович
доцент, к.п.н, ВолГУ, г. Волгоград
METHODS OF EVALUATION OF INVESTMENT IN INFORMATION
SECURITY COMPANIES
Zubareva Elena
Volgograd State University, Volgograd
Babenko Aleksei
Candidate of Science, assistant professor of Volgograd State University,
Volgograd
АННОТАЦИЯ
В данной статье рассматриваются основные методы, которые применяются
для оценки эффективности инвестиций в информационную безопасность, а
также проведен их анализ и дана оценка эффективности их применения. В
результате исследования данных методов был выбран наиболее эффективный
метод, который позволяет получить предприятию наибольшую прибыль.
ABSTRACT
This article discusses the main methods used to assess the effectiveness of
investments in information security, as well as their analysis and estimation of
efficiency of their application. The study of these methods was selected as the most
effective method, which allows the company to receive the greatest profit.
Ключевые
слова:
информационная
безопасность;
методы
оценки
инвестиций в информационную безопасность; эффективность инвестиций в
информационную безопасность.
Keywords: information security; methods of assessment of investment in
information security; efficiency of investment in information security.
В
современном
неотъемлемой
частью
мире
информационные
любого
технологии
производственного
являются
процесса.
Анализ
эффективности внедрения технологий помогает не только выбрать правильный
подход к построению системы защиты предприятия, но и увеличить его
прибыль. Оценка экономической целесообразности внедрения систем защиты
информации осуществляется при помощи методологического подхода.
Принимать решение о финансировании проектов по информационной
безопасности имеет смысл лишь тогда, когда есть уверенность в осуществлении
инвестиций в развитие предприятия, а не просто в увеличении его расходной
части. Создавая систему защиты информации и вкладывая в нее инвестиции,
компания стремится существенно уменьшить материальный ущерб в процессе
своей деятельности. Главным этапом при инвестировании в информационную
безопасность является процесс нахождения наиболее оптимального решения и
использование параметров оценки эффективности внедряемых проектов.
Вследствие этого можно существенно сэкономить на финансовых затратах в
информационную безопасность.
Основным
вопросом
современного
бизнеса
является
оценка
эффективности инвестиций в информационную безопасность для обеспечения
максимальной прибыли предприятия [2, с. 15]. Этот вопрос решается путем
нахождения оптимального метода вложения средств в систему защиты,
который учитывает специфику конкретного предприятия.
Оценка эффективности инвестиций в информационную безопасность в
настоящее время является достаточно актуальной проблемой, так как для
оценки инвестиций в информационную безопасность предприятия необходимо
соотносить затраты на информационную систему и получаемые преимущества
с точки зрения финансовой и организационной перспектив. Знание таких
сведений обеспечит эффективность вложений в систему защиты информации
предприятия.
Инвестиции в информационную безопасность – денежные средства,
ценные бумаги, иное имущество, в том числе имущественные права, иные
права,
имеющие
денежную
оценку,
вкладываемые
в
объекты
предпринимательской и (или) иной деятельности в целях получения прибыли и
(или) достижения иного полезного эффекта [4].
Эффективность
инвестиций
в
информационную
безопасность
определяется соотношением полученного экономического эффекта к размеру
финансовых затрат, которые потребовались для его достижения.
Наиболее распространённой в настоящее время является качественная
оценка
рисков
информационной
безопасности.
Качественные
методы
оценивания используются на начальных этапах моделирования, если реальная
система не может быть выражена в количественных характеристиках,
отсутствуют описания закономерностей систем в
зависимостей.
В
результате
такого
виде аналитических
моделирования
разрабатывается
концептуальная модель системы. Этот процесс оценивания рисков основан на
сценариях инцидентов информационной безопасности и определении влияния
инцидента на активы. Главной задачей качественного анализа, помимо
выявления возможных видов рисков, является также определение и описание
причин и факторов, влияющих на уровень данного вида риска. Проводя
качественный анализ рисков, эксперт составляет краткое описание сценариев
возможных
инцидентов
информационной
безопасности,
которые
затем
разрабатываются и исследуются для поиска областей деятельности и активов
организации, которые могут быть затронуты инцидентом, и для определения
рамок ущерба, нанесённого всем возможным областям деятельности и активам.
Данный анализ проводится экспертным путем.
Качественные методы оценки не предоставляют достаточной информации
для сравнительного анализа, расстановки приоритетов и для принятия решения
в целом. Таким образом, у руководства компании появляется необходимость
количественного
расчета
для
финансового
обоснования
инвестиций в
информационную безопасность. При использовании методов количественного
анализа риска вычисляются числовые значения величин отдельных рисков и
риска объекта в целом, выявляется возможный ущерб и дается стоимостная
оценка от проявления риска. Результатом должна стать система мероприятий
по снижению рисков и расчет их стоимостного эквивалента.
На сегодняшний день существует множество количественных методов
оценки эффективности затрат в информационную безопасность, среди которых
выделяют ROI, IRR, NPV, TCO, FTA.
1. Метод коэффициентов возврата инвестиций в информационную
безопасность (ROI, Return on Investment). Коэффициент возврата инвестиций
(ROI) используется для определения того, насколько эффективно защитные
меры сокращают потери. Он определяется как отношение величины возврата
инвестиций к стоимости реализации контрмер, которая включает в себя
расходы на их планирование, проектирование, внедрение, эксплуатацию,
мониторинг и совершенствование. Метод показывает, во сколько раз величина
возврата инвестиций превышает расходы на безопасность [1, с. ?? номер стр
или диапазон стр].
Преимуществом метода является то, что рассматривается сразу группа
взаимосвязанных
механизмов
безопасности,
которые
поддерживают
и
дополняют друг друга, обеспечивая максимальный эффект. Недостатком
метода является то, что при расчете показателя возможно применение
различных подходов, что затрудняет, или сводит на нет, попытки сопоставить
данные, полученные из различных источников.
2. Внутренняя норма доходности или внутренняя норма рентабельности
(IRR, Internal Rate of Return). Этот метод часто используется для обоснования
инвестиций. IRR определяет процентную ставку от реализации проекта, а
потом сравнивает эту ставку со ставкой окупаемости с учетом рисков. Если
рассчитанная окупаемость превышает окупаемость, то инвестиции имеют
смысл. IRR определяет верхнюю границу допустимого уровня банковской
процентной ставки.
Преимуществом данного метода является то, что он позволяет не только
принимать решения по каким-то конкретным проектам, но и сравнивать
проекты с абсолютно разным уровнем финансирования, с абсолютно разными
бюджетами.
Недостатки:

не позволяет учесть изменение во времени ставок дисконтирования;

поскольку IRR является ставкой реинвестирования, то при высокой
величине IRR небольшое изменение во временной структуре денежных потоков
приводит к значительному изменению IRR.
3. Чистая приведенная стоимость (NPV, Net Present Value). Данный метод
основан на сопоставлении величины инвестиционных затрат и общей суммы
скорректированных
во
времени
будущих
денежных
поступлений,
генерируемых в течение прогнозируемого срока (в данном случае –
уменьшение размера ущерба в результате реализации угроз информационной
безопасности). При заданной ставке дисконтирования можно определить
величину всех оттоков и притоков денежных средств в течение экономической
жизни проекта, а также сопоставить их друг с другом. Результатом такого
сопоставления будет чистый приток или чистый отток денежных средств,
который показывает, удовлетворяет или нет проект принятой норме учета.
Преимущества:

не предполагает введения ограничений по сроку жизни проекта, тем
самым, позволяя менеджерам более «полно» оценить отдачу от проекта;

хорошо работает для обоснования принятия одного проекта.
Недостатки:

недостаточная гибкость (метод расчета подразумевает принятие
единственного решения в самом начале пути на основе прогнозных данных);

не происходит анализа рисков, поэтому после положительного NPV
обязательно должна следовать стадия анализа рисков ИТ-проекта.
4. Совокупная стоимость владения (TCO, Total Cost of Ownership)
корпоративной системы информационной безопасности рассчитывается как
сумма всех затрат. Затем этот показатель сравнивается с рекомендуемыми
величинами для данного типа предприятия. Если полученная совокупная
стоимость
владения
системы
безопасности
значительно
превышает
рекомендованное значение и приближается к предельному, то необходимо
принять меры по снижению ТСО. Сокращения совокупной стоимости владения
можно достичь следующими способами: максимальной централизацией
управления
безопасностью,
уменьшением
числа
специализированных
элементов, настройкой прикладного программного обеспечения безопасности и
пр.
Преимущества:

позволяет сделать выводы о целесообразности реализации проекта
в области информационной безопасности на основании оценки одних лишь
только затрат;

предполагает оценку не только первоначальных затрат на создание
СЗИ, но и затрат, которые могут иметь место на различных этапах всего
жизненного цикла системы.
Недостатки:

компаниям стоит более тщательно подходить к анализу и
исчислению затрат на ИТ;

требуется более глубокое понимание затрат, а именно их динамики
и поведения в привязке к видам деятельности;

не учитывает риски и не позволяет соотнести технологию со
стратегическими целями дальнейшего развития бизнеса и решением задачи
повышения конкурентоспособности.
5. Анализ дерева неисправностей (FTA, Fault Free Analysis). Метод анализа
дерева ошибок является нетрадиционным инструментом оценки выгод. Цель
применения данного метода – показать, в чем заключаются причины
нарушений политики безопасности, и какие сглаживающие контрмеры могут
быть применены. Этот метод базируется на двух связанных предположениях о
том, что компоненты системы разрушаются случайным образом в соответствии
с известными вероятностями разрушений, и на самом низком уровне дерева
составляющие отказа независимы друг от друга. Однако отказы программного
обеспечения системы информационной безопасности обычно неслучайны,
возникают из-за системных ошибок, и это часто влияет на работу других ее
частей. В настоящее время этот метод еще недостаточно адаптирован к области
информационной безопасности и требует дальнейшего изучения [3, с. 234-265.].
Преимущества:

позволяет
анализировать
разнообразные
факторы,
включая
отказов,
которые
действия персонала и физические явления;

позволяет
рассматривать
воздействия
тех
непосредственно связаны с конечным событием.
Недостатки:

неопределенность оценок вероятностей базисных событий влияет
на оценку вероятности возникновения конечного события;

в некоторых ситуациях начальные события не связаны между
собой, и порой трудно установить, учтены ли все важные пути к конечному
событию.
На
практике
для
оценки
воспользоваться
методом
информационную
безопасность.
эффективности
коэффициентов
Такой
выбор
инвестиций
возврата
лучше
инвестиций
обусловлен
в
несколькими
соображениями – финансовой ориентированностью метода и достаточно
полной оценкой стоимости различных мер безопасности и выгод от их
внедрения.
Оценка затрат на построение системы информационной безопасности – это
очень важная задача, без решения которой невозможно построение надежных
систем защиты коммерческой информации. Правильная оценка эффективности
инвестиций в информационную безопасность позволяет выбрать наиболее
оптимальное решение и значительно увеличить прибыль предприятия.
Список литературы
1. Астахов А.М. Искусство управления информационными рисками /
А.М. Астахов – М.: ДМК-Пресс, 2010.
2. Бедрань А. Оценка эффективности инвестиций в информационную
безопасность // Финансовая газета. 2011. № 16. .
3. Петренко С. А. Оценка затрат на кибербезопасность// Проблемы
кибербезопасности информационного общества. - М: КомКнига, 2006.
4. Федеральный закон от 25.02.1999 N 39-ФЗ "Об инвестиционной
деятельности в Российской Федерации, осуществляемой в форме капитальных
вложений"
(ред.
"КонсультантПлюс".
от
28.12.2013)
[Электронный
ресурс]
//
СПС