Please enable JavaScript.
Coggle requires JavaScript to display documents.
МЕТОДИ ЕКОНОМІЧНОГО ОБҐРУНТУВАННЯ ВИТРАТ НА ЗАХИСТ ІНФОРМАЦІЇ - Coggle…
МЕТОДИ ЕКОНОМІЧНОГО ОБҐРУНТУВАННЯ
ВИТРАТ НА ЗАХИСТ ІНФОРМАЦІЇ
Проблемні питання економічного обґрунтування доцільності
витрат на захист інформації
Якщо ІТ не є основним чинником виробництва, то бюджет визначається за принципом мінімуму. А бюджет на захист інформації – за принципом залишків.
Якщо захист інформації це лише затрати, то їх треба мінімізувати. Але ж лише він дозволить розв'язати стратегічне завдання підвищення адаптивності к умовам ринку
Головне завдання компанії – це мінімізація витрат та максимізація
прибутку
Основний економічний ефект від створення СЗІ – суттєве зменшення матеріального збитку як наслідок реалізації існуючих загроз інформаційній безпеці.
Вимоги до методу оцінювання.
Прозорість з точки зору користувача. Можливість вводити користувачем власні емпіричні дані
Універсальність. Тобто метод має бути однаково застосовним для оцінки витрат як на закупівлю апаратних засобів, спеціалізованого програмного забезпечення так і на навчання користувачів
Забезпечення кількісної оцінки затрат на інформаційну безпеку із використанням показників імовірності інцидентів ІБ та їх наслідків
Можливість моделювати ситуацію із застосування кількох контрзаходів, що спрямовані на запобігання загрозі, але різною мірою впливають на зменшення ризику
Огляд існуючих методів оцінки доцільності витрат на ІБ
Прикладний інформаційний аналіз (Applied Information Economics (AIE))
Дозволяє підвищити точність економічного показника ―дійсна економічна вартість вкладень в технології безпеки за рахунок визначення доходності інвестувань‖ (Return of Investment (ROI) - рентабельність (доходність) інвестицій) до та після інвестувань і як наслідок зменшити невизначеність витрат, ризиків та можливого прибутку.
Споживчий індекс (Customer Index (CI))
Базується на оцінюванні ступеню впливу інвестування на технології безпеки на кількість та склад споживачів. Використовується в основному для оцінювання ефективності корпоративних систем захисту, в яких кількість замовників впливає на всі аспекти бізнесу. Недолік – складність формалізації процесу встановлення прямого зв'язку між кількістю споживачів та витратами на безпеку.
Додана економічна вартість (Economic Value Added (EVA))
У рамках методу пропонується розглядати службу захисту як ―Державу в державі‖, тобто фахівці служби продають свої послуги у середині компанії за цінами, що приблизно еквівалентні цінам на зовнішньому ринку. Це дозволяє компанії відстежувати доходи та витрати, що пов'язані із витратами на ІБ. Таким чином Служба захисту стає центром прибутку и виникає можливість визначати, як витрачаються активи пов'язані із технологіями безпеки.
Початкова економічна вартість (Economic Value Sourced (EVS))
Базується на кількісному вимірюванні повернення інвестувань в технології безпеки. Використовує EVA – доходну економічну вартість, ROI – рентабельність інвестицій
Метод життєвого циклу штучних систем (System Life Cycle Analysis
(SLCA))
Базується на вимірюванні ідеальності корпоративної системи захисту інформації – співвідношення її корисних факторів до суми шкідливих факторів та факторів плати за виконання корисних функцій. Будується моделі ―Як є‖ та ―Як має бути‖.
Система збалансованих показників (Balanced Scorecard (BSC))
Методика у рамках якої традиційні показників фінансових звітів об'єднуються із операційними параметрами, що дозволяє оцінити нематеріальні активи: рівень корпоративних інновацій, ступень незадоволеності співробітників, ефективність застосунків тощо.