Метод оценки экономической эффективности подразделения по защите информации

Кирилл Андреев
специалист по безопасности корпоративной сети
отдела информационной безопасности
Оскольского электрометаллургического комбината

Парадокс и необходимое ограничение

Зачастую на практике в сфере информационной безопасности используется оценка экономической эффективности, которая основана на субъективной точке зрения. Парадокс ситуации заключается в том, что IТ- и ИБ-специалисты прекрасно понимают значение и важность реализации мероприятий, направленных на повышение уровня информационной безопасности, а для объективной оценки экономического эффекта нет универсальных методов. Так как экономический эффект представляет собой превышение стоимостных оценок конечных результатов над совокупными затратами ресурсов (трудовых, материальных и т.п.) за расчетный период, стремление получить объективную оценку экономической эффективности подразделения по защите информации справедливо.

Затраты на обеспечение информационной безопасности следует считать эффективными, если они обеспечивают выполнение требований нормативных документов и стандартов, принятых государством, а также концепции информационной безопасности организации.

Предотвращенный ущерб

Конечным результатом внедрения и проведения мероприятий по обеспечению информационной безопасности является значение предотвращенных потерь (Ппр), которое рассчитывают, исходя из вероятности возникновения инцидента информационной безопасности и возможных экономических потерь от него до и после реализации мероприятий по обеспечению информационной безопасности на объекте:

Ппр = П1 – П2.

П1 – потери от реализации угроз до внедрения мероприятий, повышающих уровень информационной безопасности.
П2 – потери от реализации угроз после внедрения мероприятий, повышающих уровень информационной безопасности.

По сути, Ппр является разностью потерь до и после реализации мероприятий, направленных на повышение уровня информационной безопасности, и в целом отражает ту часть прибыли, которая могла быть потеряна.

Возмещенный ущерб

Показателем, который непосредственно характеризует деятельность подразделения, является хозрасчетная эффективность (Эх.р.). В случае оценки подразделения по защите информации она отражает количество средств, непосредственно возвращенных организации в результате деятельности подразделения за расчетный период. Это могут быть средства, полученные в результате депремирования сотрудников, виновных в инцидентах ИБ, средства, возмещенные третьей стороной, которая виновна в инциденте ИБ, и т.п.

Затраты на обеспечение

Показателем, напрямую влияющим на эффективность работы подразделения по защите информации, являются затраты на его содержание (С) за расчетный период, куда входят оплата труда специалистов, закупка и содержание технических средств защиты информации и др.

Коэффициент эффективности

Коэффициент эффективности подразделения по защите информации за расчетный период должен объективно и доступно отражать суть его деятельности. Так как от эффективности подразделения по защите информации напрямую зависит количество инцидентов информационной безопасности, то коэффициент эффективности можно выразить как разность заведомой полной эффективности и относительной частоты возникновения инцидентов информационной безопасности:

К     = 1 – И/И эф р.п.max р.п.

Ир.п. – количество инцидентов информационной безопасности за расчетный период.
Иmax р.п. – максимально возможное количество инцидентов информационной безопасности за расчетный период.

При определении максимально возможного количества инцидентов информационной безопасности (Иmax р.п.) не о б хо димо пользоваться статистическими данными, если же они недоступны, можно воспользоваться методом экспертно-аналитической оценки.

Коэффициент эффективности подразделения по защите информации всегда принимает значение 0 ≤ Кэф ≤ 1.

Расчет эффективности

Таким образом, экономическая эффективность (Ээф) подразделения по защите информации за расчетный период может быть определена по формуле:

Ээф = (Ппр + Эх.р. – С) х Кэф.

Комментарий эксперта

Евгений Климов

начальник отдела информационной безопасности УК "Металлоинвест"

Оценка экономической эффективности деятельности подразделения информационной безопасности является сложной и одновременно интересной задачей.

По опыту общения с коллегами можно сделать вывод, что рекомендации международных стандартов по выделению ИБ в самостоятельное подразделение не нашли понимания у руководства российских компаний, что во многом обусловлено “трудностями перевода” целей и задач на понятный бизнесу язык. Место информационной безопасности в структуре предприятия чаще всего находится либо в безопасности, либо в IT. В случае когда ИБ находится в службе   безопасности,   не   всегда
удается полностью раскрыть потенциал подразделения, которое воспринимается, как внутреннее IT-по-дразделение, сотрудники часто занимаются несвойственными им функциями. Во втором варианте ИБ воспринимается как вспомогательный элемент контроля качества IT-сервисов, проекты финансируются по остаточному принципу, возможны внутренние конфликты. Наличие объективной методики оценки эффективности позволит изменить ситуацию, повысить статус подразделения ИБ внутри компании и сделать его деятельность более понятной для бизнеса.

При анализе целесообразности тех или иных проектов ИБ обычно используется рискориентированный подход, когда оцениваются величины актуальных рисков безопасности и стоимость внедряемых контрмер, снижающих их до приемлемого уровня. Данная же методика является хорошим вариантом формализации процессной составляющей деятельности подразделения ИБ, позволяет оценить эффективность работы по ежедневным задачам, разработать объективные критерии отчетности.