ИССЛЕДОВАНИЕ МОДЕЛЕЙ ОЦЕНКИ ОПТИМАЛЬНОГО ОБЪЕМА ИНВЕСТИЦИЙ В ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ

Публикации Дмитрий Костюхин, Андрей Бордачев Учитывая, что стоимость внедрения корпоративных информационных систем достигает десятков, а то и сотен тысяч долларов, у руководителей предприятий возникает закономерный вопрос об эффективности вложений в -систему. Таким образом, руководителям ИТ-служб приходится обосновывать необходимость инвестиций в информационные технологии, применяя методы определения экономического эффекта от внедрения ИТ. В статье мы попробуем кратко остановиться на основных методах определения экономической эффективности и изложить их суть понятным бизнес-языком. Остановимся, для начала, на основных финансовых методах и попробуем описать как их сильные, так и слабые стороны. - метод чистого приведенного дохода Стоит отметить, что метод чистого приведенного дохода скорее способен определить наиболее эффективные инвестиции в информационные технологии, то есть осуществить выбор между несколькими возможными вариантами инвестиций, нежели оценить непосредственно экономический эффект. Однако, само обоснование инвестиций также можно произвести на основании данного метода.

Оценка инвестиций в ИБ

Центр Исследований Платежных Систем и Расчетов Организации, бизнес которых во многом зависит от информационной сферы, для достижения целей бизнеса должны поддерживать на необходимом уровне систему обеспечения ИБ СОИБ. Совершенствование, улучшение СОИБ возможно при условии знания состояний характеристик и параметров используемых ЗМ, процессов менеджмента, осознания ИБ и понимания степени их соответствия требуемым результатам.

Понять эти аспекты СОИБ можно только по результатам оценки ИБ организации, полученной с помощью модели оценки ИБ на основании свидетельств оценки, критериев оценки и с учётом контекста оценки. Критерии оценки — это всё то, что позволяет установить значения оценки для объекта оценки. К свидетельствам оценки ИБ относятся записи, изложение фактов или любая информация, которая имеет отношение к критериям оценки ИБ и может быть проверена.

Такими свидетельствами оценки ИБ могут быть доказательства выполняемой и выполненной деятельности по обеспечению ИБ в виде отчётных, нормативных, распорядительных документов, результатов опросов, наблюдений.

Требуется оценить уровень финансового риска по инвестиционной Информационная база экономической оценки инвестиций 5. включает: а).

Оценка возврата инвестиций в информационную безопасность Основной целью обработки риска является выбор наиболее эффективных мер, обеспечивающих сокращение среднегодовых потерь организации от инцидентов информационной безопасности при максимальном возврате инвестиций. Величина возврата инвестиций представляет собой разницу между полученной выгодой и вложенными средствами.

В качестве полученной выгоды выступает оценочное значение сокращаемых среднегодовых потерь, а в качестве вложенных средств — денежные средства, прямо или косвенно затраченные на механизмы безопасности и обеспечивающие такое сокращение потерь. Бюджет на безопасность всегда ограничен, поэтому стоит задача выбора наиболее эффективных контрмер, то есть таких контрмер, которые дают наибольший возврат инвестиций при наименьших вложениях. Для определения того, насколько эффективно защитные меры сокращают потери, используется коэффициент возврата инвестиций , который определяется как отношение величины возврата инвестиций к стоимости реализации контрмер, которая включает в себя расходы на их планирование, проектирование, внедрение, эксплуатацию, мониторинг и совершенствование.

График изменения в зависимости от объема инвестиций в информационную безопасность показан на рисунке. Мы видим, что сначала находится в отрицательной области области недофинансирования. При увеличении вложений в безопасность, начиная с определенного уровня инвестиций выходит в положительную область область оптимального финансирования и постепенно достигает своего максимального значения, а затем начинает уменьшаться и опять входит в отрицательную область область избыточного финансирования.

В этом случае безопасность является затратной статьей для организации, а предпринимаемые защитные меры обходятся дороже приобретаемых выгод либо только ослабляют реальную защиту и приводят к возрастанию рисков. На схеме закрашены проблемные области с отрицательным возвратом инвестиций:

Системы менеджмента информационной безопасности. Калачанов В. Экономическая эффективность внедрения информационных технологий.

Больше материалов на сайте журнала «Оценка инвестиций» Информационная безопасность – это ускоритель для бизнеса, а не.

Такой рост определяется в основном двумя факторами: Понятно, что долго такие темпы роста сектора ИБ сохраняться не смогут, они замедлятся, и вопросы оценки эффективности затрат в области ИБ встанут весьма остро. Уже сейчас в отечественных ИС с повышенными требованиями в области ИБ банковские системы, ответственные производства, и т.

Даже в тех ИС, уровень ИБ которых явно не достаточен, у технических специалистов зачастую возникают проблемы обоснования перед руководством владельцами информационных ресурсов затрат на повышение этого уровня. Начальники служб автоматизации, исполнительные директора, начальники служб информационной безопасности должны иметь понятные для бизнеса аргументы для обоснования инвестиций в ИБ, т.

В обосновании затрат на ИБ существует два основных подхода. Первый подход, назовем его наукообразным, заключается в том, чтобы освоить, а затем и применить на практике необходимый инструментарий измерения уровня ИБ. Для этого необходимо привлечь руководство компании как ее собственника к оценке стоимости информационных ресурсов, определению оценки потенциального ущерба от нарушений в области ИБ.

От результатов этих оценок будет во многом зависеть дальнейшая деятельность руководителей в области ИБ. Если информация ничего не стоит, существенных угроз для информационных активов компании нет, а потенциальный ущерб минимален руководство это подтверждает!

4.3 Оценка эффективности инвестиций в информационную безопасность

Выявление соответствия стратегии ИТ и инвестиций в ИТ изменившейся стратегии бизнеса. Повышение отдачи от инвестиций в ИТ. Оптимальный выбор ИТ-продуктов и поставщиков ИТ-услуг, а также использование аутсорсинга. Управление ИТ-рисками, информационной безопасностью и обеспечение соответствия нормативным требованиям в области ИТ в условиях ограниченного бюджета.

Предоставление руководству возможности объективной оценки деятельности ИТ-службы. Информационная безопасность Эффективное управление информационной безопасностью является одним из ключевых условий развития и обеспечения конкурентоспособности бизнеса.

На примере оценки средств криптозащиты показан подход, позволяющий Важность экономического обоснования инвестиций в ИБ.

Оценка соответствия системы информационной безопасности Транскапиталбанка В рамках консалтингового проекта в Транскапиталбанке были решены две глобальные задачи: Адаптация существующих в банке нормативных документов по защите персональных данных в соответствии с актуальными требованиями законодательства. Работы по подготовке документов по защите персональных данных проходили в три этапа: Был проведен сбор данных об информационных системах, обрабатывающих персональные данные, используемых организационных мер и технических средств защиты.

По результатам был подготовлен отчет, отражающий в том числе выявленные несоответствия требованиям текущего законодательства в области защиты персональных данных, и рекомендации по их устранению. Был доработан имеющийся у заказчика комплект проектов нормативных документов по ИБ, регламентирующих процесс защиты персональных данных.

Информационная безопасность: 2.0

Здравствуйте! На основе своего опыта я подготовил инструкцию как разработать стратегию ИБ в компании. Разработка стратегии информационной безопасности ИБ для многих компаний видится трудной задачей, как с точки зрения организации самого процесса разработки, так и последующей практической реализации стратегии. Некоторые компании заявляют, что могут обойтись без формального планирования, не затрачивая сил и времени на составление планов, обосновывая это стремительными изменениями рынка технологий, которые перечеркивают все их усилия.

Такой подход при наличии эффективных действий может привести к некоторому успеху, однако не только не гарантирует успех в будущем, но и ставит его под серьезное сомнение. Формальное планирование значительно уменьшает риск принятия неверных решений и служит основой для последующего контроля, а также содействует повышению готовности к изменениям рынка.

услуг по оценке рисков и средств контроля Информационная безопасность Мы помогаем клиентам оценить эффективность инвестиций в ИТ и.

На его страницах публикуются материалы на актуальные темы, связанные с практикой инвестиционного проектирования, моделирования бизнес-процессов, оценки прав собственности, управления нематериальными активами и вовлечения объектов интеллектуальной собственности в деловой оборот. Приоритет журнала — авторские статьи из различных областей знаний. Сайт . Только за последние три года в России появилось несколько десятков новых профессий среди которых тренд-вотчеры, -евангелисты, комьюнити-менеджеры, коучеры, блогеры, -менеджеры и даже постеры.

Меняется ли отношение и требования к функционалу тех, кто трудится здесь и сейчас? И если да, то насколько? Все эти отделы начинались с привычного функционала - базовой установки антивирусов, настройки межсетевых экранов и прав доступа. Чуть позже прибавилась -составляющая и акцент сместился на соблюдение всевозможных нормативных актов — от закона о персональных данных до стандартов Банка России. Сегодня на повестке дня новая задача: Это тот момент, когда ИБ уже не только защита от киберугроз, но и подспорье для других департаментов.

Выполнение всего перечня требований регулятора и фанатичное следование нормативным актам — отлично.

6.1. Оценка инвестиционной привлекательности рынков недвижимости РФ

Атаки, ведущие к экстраординарному ущербу, становятся обычным явлением. Финансовый ущерб от атак возрастает и одни из самых больших потерь связаны с атаками вирусов-вымогателей. Еще одной тенденцией является увеличение количества атак на объекты критической инфраструктуры и стратегические промышленные объекты, что может привести к выводу из строя злоумышленниками систем, поддерживающих жизнеобеспечение человечества и возникновению глобальных техногенных катастроф.

Таким образом, риски информационной безопасности входят в тройку наиболее вероятных рисков вместе с рисками природных катаклизмов и экстремальных погодных условий и в список из шести наиболее критичных рисков по возможному ущербу вместе с рисками применения оружия массового поражения, природными катаклизмами, погодными аномалиями и нехваткой питьевой воды.

Аудит информационной безопасности – это анализ системы информационной Обоснование инвестиций в системы защиты информации;.

Алексей Лукацкий При оценке эффективности ИБ в т. Идея проста - оцениваем риск в терминах вероятности его реализации и ущерба от него. Затем выбираем методы снижения риска или принятия, или перекладывания , стоимость которых должна быть ниже потенциального ущерба. Эту классическую идею применительно к экономике ИБ впервые развили Гордон и Леб.

Потом ее многие крутили так и эдак например, иерархическая голографическая модель Лонгстаффа или работы Ху , не сильно отклоняясь от первоначальной идеи. В м году появились первые серьезные наработки, использующие совершенно иной подход в оценке эффективности вложений в ИБ, основанный на теории игр. Их автором является Кавузоглы. Под игрой понимается процесс, в котором участвуют две и более сторон, ведущих борьбу за реализацию своих интересов. Теория игр помогает выбрать лучшие стратегии с учётом представлений о других участниках, их ресурсах и их возможных поступках".

Кто помнит фильм"Игры разума", тот поймет о чем идет речь. Очевидно, что противоборство безопасника и нарушителя может быть отлично описано теорией игр. Но применяется она в первую очередь в экономике.

Методы оценки эффективности инвестиции

Узнай, как мусор в голове мешает людям эффективнее зарабатывать, и что можно предпринять, чтобы очиститься от него навсегда. Кликни тут чтобы прочитать!