Современные
информационные технологии/ 4. Информационная безопасность
Магистрант Цыбульская А.В.
Национальный горный университет, Украина.
Оценка эффективности вложений в информационную
безопасность.
Использование информационных систем связано с
определенной совокупностью рисков. Когда возможный ущерб неприемлемо велик,
необходимо принять экономически оправданные меры защиты.
Каждая компания стремится к росту
прибыли и снижению затрат. Что касается защиты информации, как правило,
финансирование и вовсе ведется по остаточному принципу. Потому что качество и
эффективность информационной безопасности влияют на конечные финансовые
показатели опосредованно, через качество бизнес-процессов. И здесь очень важно
ответить на вопрос: как относиться к вложениям в информационную безопасность
(ИБ) – как к затратам или как к инвестициям? Если у компании есть долгосрочная
стратегия развития, она, как правило, рассматривает вложения в ИБ как инвестиции.
В чем же разница? И затраты,
и инвестиции есть отвлечение средств, необходимость потратить
деньги. Разница в том, что затраты – это, в первую очередь, «осознанная
необходимость», инвестиции – это перспектива окупаемости. И в этом случае
требуется оценка эффективности таких инвестиций и экономическое обоснование планируемых
затрат.
Основным экономическим эффектом, к которому
стремится компания, создавая систему управления информационной безопасностью (СУИБ),
является существенное уменьшение материального ущерба вследствие реализации
каких-либо существующих угроз информационной безопасности, ущерб этот вполне
реален и измеряется в денежных единицах.
В основе большинства методов оценки
эффективности вложений в информационную безопасность лежит сопоставление
затрат, требуемых на создание СУИБ, и ущерба, который может быть причинен
компании из-за отсутствия этой системы.
При выборе метода оценки
целесообразности затрат на СУИБ преследуются такие цели:
- метод должен обеспечивать количественную оценку затрат на
безопасность, используя качественные показатели оценки вероятностей событий и
их последствий;
- метод должен быть прозрачен с точки зрения пользователя, и давать возможность
вводить собственные эмпирические данные;
- метод должен быть универсален, то
есть одинаково применим к оценке затрат на приобретение аппаратных средств,
специализированного и универсального программного обеспечения, затрат на
услуги, затрат на перемещение персонала и обучение конечных пользователей и т. д.;
- выбранный метод должен позволять моделировать ситуацию, при
которой существует несколько контрмер, направленных на предотвращение определенной
угрозы, в разной степени влияющих на сокращение вероятности происшествия [1].
Сегодня для оценки
эффективности СУИБ довольно часто используются такие показатели, как отдача на
инвестиционный капитал (Return of
Investments – ROI) и совокупная стоимость владения (Total Cost of
Ownership – TCO) [2].
ROI – это процентное отношение
прибыли (или экономического эффекта) от проекта к инвестициям, необходимым для
реализации этого проекта (в общем случае под инвестициями понимают ТСО).
Несмотря на длительный опыт применения этого показателя в ИТ, на сегодняшний
день достоверных методов расчета ROI не появилось, а попытки определить его
путем анализа показателей деятельности компаний, внедривших у себя те или иные
информационные технологии, привели к появлению показателя ТСО.
В основу общей модели расчета ТСО
положено разделение всех затрат на две категории: прямые и косвенные. Под
косвенными затратами, как правило, понимаются скрытые расходы, которые
возникают в процессе эксплуатации СЗИ. Прямые затраты составляют 15–21% от
общей суммы затрат на использование ИТ [1].
Одним из преимуществ показателя ТСО
является то, что он позволяет сделать выводы о целесообразности реализации
проекта в области ИБ на основании оценки одних лишь только затрат.
Другим преимуществом
этого показателя является то, что модель расчета ТСО предполагает оценку не
только первоначальных затрат на создание СЗИ, но и затрат, которые могут иметь
место на различных этапах всего жизненного цикла системы. Но, несмотря на это,
показатель ТСО, впрочем, как и ROI, является статичным, не учитывая изменения
ситуации во времени. Ведь информационные системы с течением времени подвергаются
постоянным изменениям, появляются новые угрозы и уязвимости. Поэтому для
анализа эффективности инвестиций в ИБ предлагается рассмотреть возможность
применения системы динамических показателей, основанных на методе
дисконтированных потоков денежных средств (Discounted
Cash Flows – DCF) [3].
Будущие поступления денежных средств (снижение
ущерба) должны быть дисконтированы, то есть приведены к текущей стоимости. Для
этого применяют ставку дисконтирования, величина которой отражает риски,
связанные с обесцениванием денег из-за инфляции и с возможностью неудачи
инвестиционного проекта, который может не принести ожидаемого эффекта. Другими
словами, чем выше риски, связанные с проектом, тем больше значение ставки
дисконтирования.
Нередко ставка дисконтирования (норма
доходности ) определяется показателем средневзвешенной стоимости капитала (Weighted Average Cost of Capital
– WACC). Это средняя норма дохода на вложенный капитал, которую приходится
выплачивать за его использование. Обычно WACC рассматривается как минимальная
норма отдачи, которая должна быть обеспечена инвестиционным
проектом [3].
Непосредственно для
оценки эффективности инвестиций используют показатель чистой текущей стоимости
(Net Present Value – NPV). По сути, это текущая стоимость будущих
денежных потоков инвестиционного проекта с учетом дисконтирования и за вычетом
инвестиций. При значении NPV большем или равном нулю, считается, что вложение
капитала эффективно [4].
Кроме того, можно рассчитать
внутренний коэффициент отдачи (Internal Rate of Return
– IRR) [3,4]. Для этого необходимо найти такую ставку дисконтирования, при которой
значение NPV будет равно нулю. Это значение имеет конкретный экономический
смысл дисконтированной точки безубыточности. В этой точке дисконтированный
поток затрат равен дисконтированному потоку доходов. Таким образом, внутренняя
ставка доходности — это та минимальная ставка, при которой инвестиции окупают
все затраты, в том числе затраты на привлечение капитала.
Не следует забывать и о том, что
далеко не весь ущерб от реализации угроз ИБ можно однозначно выразить в
денежном исчислении. Например, причинение урона интеллектуальной собственности
компании может привести к таким последствиям, как потеря позиций на рынке,
потеря постоянных и временных конкурентных преимуществ или снижение стоимости
торговой марки. Поэтому нередко даже при наличии рассчитанных показателей ROI и
ТСО решение о создании СЗИ принимается на основе качественной оценки возможных
эффектов.
Также нужно помнить, что
любой метод оценки эффективности инвестиций в ИБ является всего лишь набором
математических формул и логических выкладок. Поэтому качество информации,
необходимой для принятия решения о целесообразности инвестиций, в первую
очередь, будет зависеть от исходных данных, на основе которых производились
вычисления.
Литература:
1. Петренко С.А., Курбатов В.А., “Политики
информационной безопасности”,
АйТи-Пресс,
2. С. В. Арзуманов, “Оценка
эффективности инвестиций в информационную безопасность”, №1 январь-февраль
3. Савчук В.П. Учебник “Оценка эффективности
инвестиционных проектов” – Днепропетровск, ГметАУ,1998. http://www.cfin.ru/finanalysis/savchuk/index.shtml .