Структурирование затрат на информационную безопасность ХС

Структурирование затрат на информационную безопасность состоит в определении перечня затрат на обеспечение ИБ ХС и распределение их по категориям. Главной задачей сбора данных о затратах и их структурирования является обеспечение руководства ХС эффективным инструментом управления.

Детализация структурирования затрат на ИБ:

-структурирование затрат на контроль политики ИБ

-структурирование внутренних затрат на компенсацию нарушений политики ИБ ХС

-структурирование внешних затрат на компенсацию нарушений политики ИБ

-структурирование затрат на предупредительные мероприятия.

 

Анализ и оценка эффективности затрат на информационную безопасность ХС

Модели оценки экономической эффективности инвестиций в СОИБ:

-оценка совокупной стоимости владения информационными системами TCO (Total Cost of Ownership)  

Является ключевым стоимостным показателем ИТ и информационных систем (ИС) в компании, так как позволяет оценивать совокупные затраты на ИТ, анализировать их и управлять ими для достижения наилучшей отдачи. Такой подход может быть применен и для анализа затрат на обеспечение ИБ.

 

-оценка возврата инвестиций ROI (Return on Investment)

-стандартные методы оценки эффективности инвестиций.

Используется в качестве стандартных методов – метод расчета срока окупаемости инвестиции.

-отдача активов

Рассчитывают коэффициент превышения ставки доходности СОИБ над ставной альтернативной доходности

-цена акционера

Оценка лффективности инвестиций в СОИБ в расчете на привлечение одного акционера и определение коэффициента роста стоимости акции

-оценка единовременных затрат на внедрение и закупку средств ЗИ

 

ТСО

Выделяют 2 категории затрат:

-Прямые. Расходы на приобретение оборудования; расходы на управление СОИБ; расходы на услуги связи; расходы на разработку программного обеспечения и так далее

-Косвенные

Первая группа – «Неработоспособность системы». СОИБ некачественно спроектирована, медленно работает, в следствии чего мероприятие терпит убытки в следствии того, что происходит непроизводительное расходование времени у пользователей

Вторая группа – «Непроизводительные усилия конечного пользователя». В следствии ненадлежащей подготовки сотрудников ИБ, конечные пользователи вынуждены сами изучать работу системы, что уменьшает производительное время работы.

TCO = Пр + Кр1 + Кр2

 

ROI

ROI = Эф/И

Эф – величина эффекта от внедрения СОИБ

И – инвестиции в СОИБ

Метод оценки отдачи активов

К = СдСоиб/ СдАльт

СдСоиб – Ставка доходности СОИБ

СдАльт – Ставка альтернативной доходности

 

Оценка «Цены» акционера

ЭФакц = ЭФ / (Q1акц – Q0акц)

ЭФакц – Эффективность инвестиций в информационную инфраструктуру ХС в расчете на привлечение одного акционера

ЭФ – эффект от внедрения СОИБ

Q1акц – Количество акционеров ХС до внедрения СОИБ

Q0акц – Количество акционеров ХС после внедрения СОИБ

 

 

Оптимизация затрат на ИБ ХС

Под оптимизацией понимается процесс определения такого состояния исследуемой системы, при которой обеспечивается достижение экстремального (максимального или минимального) значения одним или несколькими показателями ее функционирования.

Основные подходы к оптимизации затрат на обеспечение ИБ ХС покажем с использованием методов математического моделирования.

Параметрами модели оптимизации затрат являются следующие:

- риск ИБ, R;

- стоимость средств защиты информационных ресурсов ХС, S;

- вероятность нанесения ХС ущерба вследствие наличия уязвимостей СОИБ, P;

- размер возникающего ущерба, U.

…

Практические рекомендации по оптимизации затрат на системы обеспечения ИБ:

1)Если система компании обладает достаточными характеристиками безопасности, целесообразно добиваться снижения затрат на системы, без снижения соответствующего уровня. Если же данные характеристики не удовлетворительны то целесообразно отказаться от оптимизации.

2)стоимость системы обеспечения ИБ можно существенно снизить при использовании инструмента страхования возможного ущерба.

3)оптимальная по затратам система обеспечения ИБ. Целесообразно для экономически самостоятельных компаний, которые в своей деятельности вынуждены соблюдать баланс между затратами на ИБ и возможным ущербом.

Оценка экономически оптимальных параметров должна являться основой формирования конкретного технического облика систем обеспечения ИБ.