Анотація: В лекції розглядаються завдання і методи економічного аналізу доцільності реалізації заходів щодо забезпечення інформаційної безпеки в певних умовах.
Методичні основи економіки інформаційної безпеки
Управління інформаційною безпекою, так само як і управління в багатьох інших сферах діяльності, передбачає періодичне прийняття різних управлінських рішень, які полягають, як правило, у виборі певних альтернатив (відборі однієї з можливих організаційних схем або одного з доступних технічних рішень) або визначенні деяких параметрів окремих організаційних і / або технічних систем і підсистем. Одним з можливих підходів до вибору альтернатив в ситуації прийняття управлінського рішення є т.зв. "Вольовий" підхід, коли рішення з тих чи інших причин приймається інтуїтивно і формально обґрунтована причинно-наслідковий взаємозв'язок між певними вихідними передумовами і конкретним прийнятим рішенням не може бути встановлена. Очевидно, що альтернативою "вольовому" підходу стає прийняття рішень на підставі певних формальних процедурах і послідовному аналізі.
Основою такого аналізу і подальшого прийняття рішень є економічний аналіз, який передбачає вивчення всіх (або хоча б основних) факторів, під впливом яких відбувається розвиток аналізованих систем, закономірностей їх поведінки, динаміки зміни, а також використання універсальної грошової оцінки. Саме на основі адекватно побудованих економічних моделей і здійснюваного за їх допомогою економічного аналізу повинні прийматися рішення, що стосуються як загальної стратегії розвитку, так і окремих організаційних і технічних заходів, як на рівні держав, регіонів і галузей, так і на рівні окремих підприємств, підрозділів і інформаційних систем.
При цьому, так само як і економіка будь-якої галузі діяльності має свої особливості, економіка інформаційної безпеки, що розглядається як відносно самостійна дисципліна, з одного боку, базується на деяких загальних економічних законах і методах аналізу, а з іншого - потребує індивідуального розумінні, розвитку специфічних підходів до аналізу, накопиченні статистичних даних, специфічних для цієї сфери, формуванні стійких уявлень про чинники, під впливом яких функціонують інформаційні системи і засоби захисту інформації.
Складність завдань економічного аналізу практично у всіх областях діяльності, як правило, обумовлюється тим, що багато ключових параметри економічних моделей неможливо достовірно оцінити, і вони носять імовірнісний характер (такі як, наприклад, показники споживчого попиту). Аналіз ускладнюється також тим, що навіть невеликі коливання (коригування оцінок) таких параметрів можуть серйозно вплинути на значення цільової функції і, відповідно, на рішення, що приймаються за результатами аналізу. Таким чином, для забезпечення якомога більшої достовірності розрахунків в процесі проведення економічного аналізу і прийняття рішень необхідно організувати комплекс робіт по збору вихідної інформації, розрахунку прогнозних значень, з опитуванням експертів в різних областях і обробці всіх даних. При цьому в процесі проведення такого аналізу необхідно приділяти особливу увагу проміжним рішенням, що стосуються оцінок тих чи інших параметрів, що входять в загальну модель. Необхідно також враховувати ту обставину, що сам по собі такий аналіз може виявитися досить ресурсномісткої процедурою і зажадати залучення додаткових фахівців і сторонніх консультантів, а також зусиль з боку різних фахівців (експертів), що працюють на самому підприємстві, - всі ці витрати, в кінцевому рахунку , повинні бути виправдані.
Особлива складність економічного аналізу в такій сфері, як інформаційна безпека, обумовлюється такими специфічними факторами, як:
- швидкий розвиток інформаційних технологій і методик, що використовуються в цій сфері (як засобів і методів захисту, так і засобів і методів нападу);
- неможливість достовірно передбачити всі можливі сценарії нападу на інформаційні системи і моделі поведінки нападників;
- неможливість дати достовірну, досить точну оцінку вартості інформаційних ресурсів, а також оцінити наслідки різних порушень в грошовому вираженні.
Це вимагає додаткових зусиль по організації процесу економічного аналізу, а також часто призводить до того, що багато прийняті рішення, які стосуються забезпечення інформаційної безпеки, можуть виявитися неадекватними. Прикладами ситуацій, в яких недостатня розвиненість методології економічного аналізу негативно впливає на стан інформаційної безпеки, можуть бути випадки, коли:
- керівництво підприємства може прийняти неадекватні рішення щодо інвестицій в засоби захисту інформації, що, в свою чергу, може призвести до збитків, яких можна було уникнути;
- керівництво підприємства може прийняти певні рішення щодо організації бізнес-процесів і процесів обробки інформації на підприємстві, виходячи з прагнення скоротити поточні витрати і зменшити навантаження на персонал, при цьому не беручи до уваги економічні наслідки недостатньої захищеності інформаційних ресурсів;
- страхувальник і страховик можуть не укласти договір про страхування інформаційних ризиків або встановити неадекватні параметри такого договору з огляду на те, що відсутні моделі і методи оцінки економічних параметрів угоди.
Аналіз вкладень в засоби захисту інформації
У процесі поточної діяльності підприємствам постійно доводиться стикатися з тими чи іншими змінами: уточнюються бізнес-процеси, змінюється кон'юнктура ринків збуту і ринків споживаних матеріальних ресурсів і послуг, з'являються нові технології, змінюють свою поведінку конкуренти і контрагенти, змінюється законодавство і політика держави і т. д. У цих умовах менеджерам (в тому числі і керівникам, які відповідають за забезпечення інформаційної безпеки) доводиться постійно аналізувати зміни, що відбуваються і адаптувати свою роботу до постійно мінливої ситуації. Конкретні форми, в яких проявляється реакція керівників, можуть бути різними. Це може бути зміна маркетингової політики, реорганізація бізнес-процесів, зміна технологій, зміна продукту, що виробляється, злиття з конкурентами або їх поглинання і т.п. Однак при всій різноманітності можливих моделей поведінки в мінливому середовищі майже всіх їх об'єднує один важливий загальний для них методологічний елемент: в більшості випадків реакція бізнесу на нові загрози і нові можливості передбачає здійснення нових більш-менш довгострокових і ресурсномістких вкладень (інвестицій) в певні організаційні та / або технічні заходи, які, з одного боку, припускають витрачання ресурсів (грошових коштів), а з іншого - дають можливість отримати нові вигоди, що виражаються в ув личен доходу або скорочення деяких поточних витрат.
Таким чином, в ситуації, коли необхідно здійснити деякі нові організаційні або технічні заходи (реалізувати проект), основним завданням осіб, що відповідають за ефективну організацію інформаційної безпеки, є чітке співвіднесення витрат, які доведеться понести в зв'язку з реалізацією цього заходу (як одноразові, так і постійні поточні), і додаткових (нових) грошових потоків, які будуть отримані. В даному випадку під грошовим потоком може розумітися економія витрат, запобігання збитків, а також додатковий дохід підприємства.
В якості основного показника, що відображає це співвідношення, в економічній практиці прийнято використовувати функцію віддачі від інвестицій - Return on Investment, .
де:
Функція дисконтування використовується при аналізі інвестиційних вкладень для врахування впливу фактора часу і приведення різночасових витрат до одного моменту (зазвичай моменту початку реалізації проекту). Ставка дисконтування в цьому випадку дозволяє врахувати зміну вартості грошей з плином часу.
Модель віддачі від інвестицій (14.1) наочно демонструє, які дві основні задачі необхідно вирішити при аналізі будь-якого інвестиційного проекту і, зокрема, проекту по реалізації заходів у сфері інформаційної безпеки: розрахунок витрат, пов'язаних з проектом, і розрахунок додаткового грошового потоку. Якщо методологія розрахунку сукупних витрат ( ) За останні 10-15 років в цілому досить повно сформувалася (у вигляді концепції "Total Cost of Ownership", TCO - Сукупна вартість володіння, ССВ) і активно використовується на практиці стосовно до різних видів інформаційних систем і елементів інформаційної інфраструктури [ 22 ], То розрахунок додаткового грошового потоку ( ), Одержуваного в результаті інвестицій в засоби захисту інформації, як правило, викликає серйозні труднощі. Одним з найбільш перспективних підходів до розрахунку цього показника є методика, яка спирається на кількісну (грошову) оцінку ризиків збитку для інформаційних ресурсів і оцінку зменшення цих ризиків, пов'язаного з реалізацією додаткових заходів по захисту інформації.
Таким чином, в цілому склад методології аналізу доцільності вкладень коштів у проекти, спрямовані на забезпечення інформаційної безпеки, схематично представлений на Мал. 14.1 .
збільшити зображення
Мал.14.1.
Структура методології аналізу ефективності вкладень в проекти по забезпеченню інформаційної безпеки
Аналіз витрат, пов'язаних з реалізацією проекту, хоча і є відносно більш простим завданням, все ж може викликати певні труднощі. Так само як і для багатьох інших проектів в сфері інформаційних технологій, аналіз витрат на реалізацію проектів у сфері інформаційної безпеки доцільно здійснювати, спираючись на відому базову методологію "Total Cost of Ownership" - TCO (Сукупна вартість володіння - ССВ), введену консалтинговою компанією " Gartner Group "в 1987 році стосовно до персональних комп'ютерів. В цілому, ця методика орієнтована на забезпечення повноти аналізу витрат (як прямих, так і непрямих), пов'язаних з інформаційними технологіями та інформаційними системами, в ситуаціях, коли необхідно оцінити економічні наслідки впровадження і використання таких систем: при оцінці ефективності інвестицій, порівняно альтернативних технологій , складанні капітальних і поточних бюджетів і т.п.
У загальному випадку сумарна величина ССВ включає в себе:
- витрати на проектування інформаційної системи;
- витрати на придбання апаратних і програмних засобів: обчислювальна техніка, мережеве обладнання, програмне забезпечення (з урахуванням використовуваних способів ліцензування), а також лізингові платежі;
- витрати на розробку програмного забезпечення та його документування, а також на виправлення помилок в ньому і доопрацювання протягом періоду експлуатації;
- витрати на поточне адміністрування інформаційних систем (включаючи оплату послуг сторонніх організацій, яким ці функції передані на аутсорсинг);
- витрати на технічну підтримку та сервісне обслуговування;
- витрати на витратні матеріали;
- витрати на телекомунікаційні послуги (доступ в Інтернет, виділені і комутовані канали зв'язку і т.п.);
- витрати на навчання користувачів, а також співробітників ІТ-підрозділів і департаменту інформаційної безпеки;
- непрямі витрати - витрати підприємства, пов'язані з втратою часу користувачами в разі збоїв в роботі інформаційних систем.
Також до уваги витрат на підвищення рівня інформаційної безпеки необхідно включити витрати на реорганізацію бізнес-процесів і інформаційну роботу з персоналом: оплата послуг бізнес-консультантів та консультантів з питань інформаційної безпеки, витрати на розробку організаційної документації, витрати на проведення аудитів стану інформаційної безпеки і т .п. Крім того, при аналізі витрат необхідно також врахувати ту обставину, що в більшості випадків впровадження засобів захисту інформації передбачає появу додаткових обов'язків у персоналу підприємства та необхідність здійснення додаткових операцій при роботі з інформаційними системами. Це обумовлює деяке зниження продуктивності праці співробітників підприємства і, відповідно, може викликати додаткові витрати.