Главная страница 
 
О Фонде ФОСТАС 
События 
Семинары 
Конференции 
Программы и Проекты 
Библиотека 
Тезисы 
Доклады 
Материалы проектов 
Презентации 
Об участии 
Работа участников 
Вопросы-ответы 
Контакты 
Форум 
 

Критерии поиска:

в разделе библиотеки:

 


ОЦЕНКА ЭФФЕКТИВНОСТИ ИНВЕСТИЦИЙ В ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОРПОРАТИВНОЙ СИСТЕМЫ

СИМОНОВ СЕРГЕЙ ВИКТОРОВИЧ

"УСП КомпьюЛинк", Москва, svsim@compulink.ru

У технических специалистов, отвечающих за обеспечение информационной безопасности (ИБ) корпоративной информационной системы, зачастую возникают проблемы обоснования перед руководством (владельцами информационных ресурсов) затрат на обеспечение необходимого уровня безопасности. Директора и начальники служб автоматизации (CIO), исполнительные директора (CEO), начальники служб информационной безопасности (CISO) должны иметь понятные для бизнеса аргументы для обоснования инвестиций в ИБ, т.е. по сути, представить обоснование стоимости системы ИБ для бизнеса.

В обосновании затрат на ИБ существует два основных подхода.

Первый подход, назовем его наукообразным, заключается в том, чтобы освоить, а затем и применить на практике необходимый инструментарий измерения уровня ИБ. Для этого необходимо привлечь руководство компании (как ее собственника) к оценке стоимости информационных ресурсов, определению оценки потенциального ущерба от нарушений в области ИБ. Если информация стоит определенных денег, угрозы и потенциальный ущерб ясны, тогда понятны и рамки бюджета на подсистему ИБ. Существенно, что при этом становится возможным вовлечь и руководство компании в осознание проблем ИБ и заручиться его поддержкой в построении корпоративной системы защиты информации.

Второй подход, назовем его практическим, состоит в следующем: можно попробовать найти инвариант разумной стоимости корпоративной системы защиты информации.

Эксперты-практики в области защиты информации нашли некий оптимум, при котором можно чувствовать себя относительно уверенно - стоимость системы ИБ должна примерно составлять 10-20% стоимости КИС, в зависимости от конкретных требований к режиму информационной безопасности. Это и есть та самая оценка на основе практического опыта (best practice), которой можно уверенно оперировать, если не производить детальные расчеты.

Этот подход, очевидно, не лишен недостатков. Здесь, скорее всего, не удастся вовлечь руководство в глубокое осознание проблем ИБ. Но зато можно обосновать объем бюджета на ИБ путем ссылки на понятные большинству владельцев информационных ресурсов общепринятые требования к обеспечению режима информационной безопасности best practice, формализованные в ряде стандартов, например ISO 17799.

Реализация этих подходов (конкретные методы оценки эффективности системы ИБ) на практике зависит от ряда факторов, основными являются степень зрелости организации и специфика ее деятельности.

В докладе рассматривается одна из наиболее известных методик оценки совокупной стоимости владения (ССВ) компании Gartner Group применительно к системе ИБ [1], [2], особенности использования этой методики в отечественных условиях. Эта методика применима, когда используется первый подход к обоснованию затрат на ИБ.

Методика оценки совокупной стоимости владения для подсистемы ИБ

Методика совокупной стоимости владения (ССВ) была изначально предложена аналитической компанией Gartner Group в конце 80-х годов (1986-1987) для оценки затрат на информационные технологии. Методика Gartner Group позволяет рассчитать всю расходную часть информационных активов компании, включая прямые и косвенные затраты на аппаратно-программные средства, организационные мероприятия, обучение и повышение квалификации сотрудников компании, реорганизацию, реструктуризацию бизнеса и т. д.

Данная методика может быть использована для доказательства экономической эффективности существующих корпоративных систем защиты информации. Поскольку оценка экономической эффективности корпоративной системы защиты информации становится "измеримой", становится возможным оперативно решать задачи контроля и коррекции показателей экономической эффективности, и в частности показателя ССВ. Таким образом, показатель ССВ можно использовать как инструмент для оптимизации расходов на обеспечение требуемого уровня защищенности КИС и обоснование бюджета на ИБ. При этом в компании эти работы могут выполняться самостоятельно, с привлечением системных интеграторов в области защиты информации, или совместно предприятием и интегратором.

Рассматриваемая в докладе методика ССВ компании Gartner Group позволяет:

  • получить адекватную информацию об уровне защищенности распределенной вычислительной среды и совокупной стоимости владения корпоративной системы защиты информации;
  • сравнить подразделения службы ИБ компании как между собой, так и с аналогичными подразделениями других предприятий в данной отрасли;
  • оптимизировать инвестиции на ИБ компании с учетом реального значения показателя ССВ.

Вместе с методикой ССВ можно использовать разнообразные методы для расчета возврата инвестиций (ROI). Как правило, для оценки доходной части сначала анализируют те цели, задачи и направления бизнеса, которые нужно достигнуть с помощью внедрения или реорганизации существующих проектов в области системной интеграции, автоматизации и информационной безопасности. Далее используют некоторые измеримые показатели эффективности бизнеса для оценки эффекта отдельно по каждому решению. Указанные показатели не надо выдумывать, они существуют в избыточном виде. Далее можно использовать методики расчета коэффициентов возврата инвестиций в инфраструктуру предприятия (ROI), например, также Gartner Group.

Литература
  1. R. Witty, J. Dubiel, J. Girard, J. Graff, A. Hallawell, B. Hildreth, N. MacDonald, W. Malik, J. Pescatore, M. Reynolds, K. Russell, A. Weintraub, V. Wheatman. The Price of Information Security. Gartner Research, Strategic Analysis Report, К-11-6534, June 2001.
  2. R. Witty. The Role of the Chief Information Security Officer. Research Note, Gartner Research, Strategic Planning, SPA-13-2933, April 2001.

Назад

 


© 2002 FOSTAS Foundation
Главная страница > Библиотека Карта сайта
Дизайн — Лаборатория НТР