Н.А. Романенко
АНАЛИЗ ЗАТРАТ НА УПРАВЛЕНИЕ ИНФОРМАЦИОННЫМИ РИСКАМИ ПРЕДПРИЯТИЙ
Аннотация
Рассматриваются актуальные вопросы управления информационными рисками предприятий. Дается авторская классификация затрат на управление информационными рисками и теоретически обоснован их анализ, являющийся ключевым инструментом в системе управления информационными рисками. Анализ затрат произведен на основе применения методики совокупной стоимости владения (ССВ). В заключение приведен пример анализа затрат на управления It-рисков.
Annotation
The topical issues of information risk management enterprises. The author's classification of expenses on information risk management and theoretically substantiated their analysis, which is a key instrument in the system of information risk management. Cost analysis is made on the basis of application of a technique of the total cost of ownership (CERS). The conclusion is an example of the analysis of the costs of management of It risks.
Ключевые слова
Информационные технологии, информационные риски, обоснование затрат, методика совокупной стоимости владения, классификация затрат, анализ затрат
2011 № 2
Вестник Ростовского государственного экономического университета (РИНХ)
Key words
Informational technologies, informational risks, cost justification, the total cost of ownership, classification of expenses, cost analysis.
Залог успешного ведения бизнеса сегодня — это использование современных информационных технологий автоматизирующих бизнес-процессы на предприятиях и дающих в перспективе значительные конкурентные преимущества. Информационные технологии являются не только средством получения дополнительной прибыли, но источником потенциальных угроз и уязвимостей для информационных активов предприятия. Отсутствие должного внимания к вопросам управления и финансирования информационной
безопасности может привести к критическим последствиям для деятельности любой компании, независимо от профиля деятельности.
Количество преступлений в информационной сфере ежегодно в России возрастает в 3-4 раза. Размер материального ущерба от информационных преступлений за 2010-й год, совершен-
ных на территории России, составил 1,3 млрд.долларов. [1].
Динамика наиболее существенных угроз информационной безопасности, приводящих к значительным затратам, представлена на рисунке 1[2].
Очевидно, что обеспечение информационной безопасности — это ключевой элемент развития современного бизнеса.
Надо отметить, что не существует каких-либо универсальных организационных, экономических, технических или правовых мер, способных создать абсолютную защиту информационных систем предприятия.
Поэтому основная задача сводится к управлению информационными рисками, снижению остаточных рисков для приемлемого уровня в рамках комплексного подхода к обеспечению информационной безопасности предприятий.
76 73 7П
J 67 70
I I Г I Г I г г
^ ^ ^ о^ ¿Г ^ ^
™ 2009 г, % 1=1 2010 г, %
Рис.1 Наиболее существенные угрозы информационной безопасности, %.
Уже сейчас на отечественных предприятиях затраты на управление рисками информационной безопасности составляют до 30% всех затрат на информационные активы, и владельцы
информационных ресурсов серьезно рассматривают экономические аспекты обеспечения ИБ[3].
Для бизнеса необходимо аргументированное обоснование инвести-
ций информационной безопасностью, что, по сути, представляет собой анализ и обоснование затрат за управление информационными рисками.
Анализ затрат на управление информационными рисками - это инструмент управления, предназначенный для определения достигнутой степени защищенности информационной среды и обнаружения проблем при постановке задач поддержания требуемого уровня безопасности.
Целью проведения анализа затрат на управление информационными рисками является получение результатов в форме, наиболее полезной и удобной для тех, кто в нем заинтересован. Результаты анализа затрат должны показывать объективную картину, отражающую состояние информационной безопасности и существующие риски.
В обосновании затрат на управление информационными рисками можно выделить два основных подхода.
Первый подход - научный, который состоит в изучении и применении необходимого инструментария измерения уровня рисков информационной безопасности. Для этого оценивается стоимость информационных активов компании и потенциального ущерба от реализации информационных угроз. Если информация обладает определенной стоимостью, обозначены возможные угрозы и потенциальный ущерб, то возникает вопрос соразмерности расходов средств на управление информационными рисками .
Второй подход - практический, который состоит в поиске инварианта разумной стоимости средств защиты информационной системы предприятия. Ведь существуют аналогичные инварианты в других сферах, где значимые для предприятий события носят вероятностный характер. Эксперты-практики в области защиты информации информационных систем рассчитали оптимальное решение: стоимость системы управ-
ления информационными рисками предприятий должна составлять примерно 10-20% от стоимости информационных активов. В этом и заключается оценка на основе практического опыта (best practice). Можно обосновать затраты на управление информационными рисками, ссылаясь на общепринятые требования к обеспечению информационной безопасности "best practice", закрепленные в ряде стандартов (ISO 17799,например).
Для системного анализа затрат на управление информационными рисками можно применять положение методики определения совокупной стоимости владения (ССВ) [4]. Данная методика относится к первому подходу.
Методика (ССВ) была изначально предложена аналитической компанией Gartner Group в конце 80-х годов (1986-1987) для определения затрат на информационные технологии. В соответствии с этой методикой можно рассчитать совокупные затраты на информационные активы компании, учитывая все прямые и косвенные затраты.
Используя данную методику, можно:
• определить полные затраты на управление информационными рисками;
• сравнить расходы организации на управление информационными рисками с расходами на аналогичных предприятиях;
• оценить эффективность инвестирования в управление информационными рисками;
• обосновать расходование бюджета компании на управление информационными рисками;
• определить эффективность внедрения новых способов управления информационными рисками;
• определить соотношение затрат на управление информационными рисками и полных(прямых и косвенных) расходов на информационную систему;
• определить соотношение затрат на управление информационными рисками и доходов или прибыли.
В показатель ССВ включаются полные расходы на внедрение и использование системы управления информационными рисками организации в течение отчетного периода, например, календарного года.
Для проведения анализа затрат предлагается классифицировать затраты на управление информационными рисками (рис.2). При классификации учтена необходимость выделения затрат на управление информационными рисками из общих расходов на безопасность информационной системы, так как система управления информационными рисками является подсистемой информационной системы предприятия.
Представленная классификация затрат условна, поскольку идентификация, классификация и анализ затрат на управление информационными рисками — внутренняя деятельность компаний, и детальная разработка зависит от конкретных особенностей и профиля деятельности каждой организации. Главное при определении затрат на управление информационными рисками - взаимопонимание и согласие по статьям расходов внутри организации.
К единовременным относятся затраты на формирование политики управления информационными рисками в рамках общей политики управления безопасностью информационной системы предприятия, а именно: организационные затраты и затраты на покупку и установку средств защиты.
Противодействие информационным рискам осуществляется с помощью различных методов предотвращения рисков, применения финансовых и нефинансовых методов снижения затрат и ущерба от информационных рисков.
Механизмы предотвращения информационных рисков и нефинансовые механизмы снижения ущерба от рисков можно рассматривать вместе, их различие заключается в основном только в цели применения.
Финансовые механизмы снижения величины ущерба представлены в отдельной группе, потому что являются универсальным средством противодействия практически любому информационному риску.
Расчет расходов на управление информационными рисками можно производить за отчетный период эксплуатации существующей информационной системы предприятия на основании полученных статистических данных или за предполагаемый отчетный период использования разрабатываемой системы. В этом случае используется прогнозная информация.
К затратам на противодействие информационным рискам относятся :
• расходы на разработку (покупку) и внедрение средств, методов и технологий защиты;
• расходы на эксплуатацию механизмов противодействия информационным рискам, направленные на обеспечение непрерывности функционирования информационной системы предприятия
Финансовыми механизмами снижения ущерба от информационных рисков являются:
1. Создание денежного резерва.
2. Страхование информационных рисков.
При этом только страхование обеспечивает компенсацию ущерба, который уменьшается на сумму страховой выплаты в случае реализации рискового события. Денежные резервы дают возможность сокращать ущерб путем оперативного использования денежных средств из созданных резервов.
Рис.2. Классификация затрат на управление информационными рисками.
Системные затраты интегрируют все механизмы управления и защиты от информационных рисков в единую систему. К ним относятся: затраты на внесение изменений, внедрение нововведений, эксплуатация системы управления и защиты от информационных рисков.
Оценка общесистемных затрат осуществляется при подсчете суммарных затрат общесистемных ресурсов на управление информационными рисками и выражение их в денежной форме.
К затратам на ликвидацию ущерба относятся затраты на ликвидацию последствий реализации прямых или косвенных информационных рисков и затраты на невосполнимые потери от воздействия информационных рисков, то есть тот ущерб, который ни при ка-
ких условиях не будет возмещен никакими дополнительными расходами.
Нельзя полностью минимизировать все затраты на управление информационными рисками, но можно их привести к оптимальному уровню. Существуют виды как необходимых затрат, так и тех, которые можно уменьшить.
Общие затраты включают в себя сумму всех затрат на управление информационными рисками, их и позволяет определить методика ССВ, являющаяся целевой функцией управления рисками. Критерий оптимальность — это минимум целевой функции.
Недостатком методики ССВ является то, что с ее помощью нельзя сравнить результаты управления Ирисками на предприятиях разных мас-
штабов или в одной организации по различным годам.
Поэтому для сравнения эффективности управления информационными рисками кроме абсолютных величин показателей, целесообразно использовать относительные величины показателей.
Целесообразно соотносить затраты на управление информационными рисками с объемом проданной продукции или трудоемкостью .
При проведении анализа информационных рисков оценивается ценность информационных ресурсов.
Анализ затрат на управление информационными рисками является неотъемлемой частью методик, подобных
ССВ. Анализ затрат на управление информационными рисками целесообразно оформить в виде отчета по затратам на управление информационными исками.
Отчет по затратам формулируется в финансовых терминах, содержит только объективную информацию, суть которой зависит от того, кому предназначен отчет, и представляется в виде таблицы. Например, составлен отчет за три информационных ресурса: "А", "Б" и "В", которые различаются видом содержащейся информации и только. Оценки стоимости ресурсов похожи, а технологии управления информационным риском сходны. Отчет по затратам будет представлен в следующей форме.
Затраты Периоды
1 2 3 4
РЕСУРС "А" = = = =
Предупредительные 229 199 210 252
На контроль 594 617 607 615
На внутренние потери 986 1017 759 745
На внешние потери 504 530 488 429
Общие затраты на управление 1Т рисками 2313 2363 2064 2041
Общие затраты на управление 1Т рисками, отнесенные к объему продаж 1.05 % 1,1 % 1 % 0,9 %
Общие затраты на управление 1Т рисками, отнесенные к трудоемкости 1,95 % 2,05 % 1,55 % 1,45 %
РЕСУРС "Б " = = = =
Предупредительные 207 230 341 398
На контроль 895 950 917 926
На внутренние потери 1904 1936 1035 949
На внешние потери 621 599 614 633
Общие затраты на управление 1Т рисками 3627 3715 2907 2906
Таблица 1. Отчет по затратам на управление информационными рисками.
Продолжение таблицы 1
Общие затраты на управление 1Т рисками, отнесенные к объему продаж 1,15 % 1,2 % 0,95 % 0,95 %
Общие затраты на управление 1Т рисками, отнесенные к трудоемкости 2,55 % 2,6 % 1,45 % 1,35 %
РЕСУРС"В" = = = =
Предупредительные 185 243 300 348
На контроль 816 860 832 803
На внутренние потери 1188 1192 911 894
На внешние потери 1102 1067 723 569
Общие затраты на управление 1Т рисками 3291 3362 2762 2875
Общие затраты на управление 1Т рисками, отнесенные к объему продаж 1,25 % 1,25 % 1,05 % 0,95 %
Общие затраты на управление 1Т рисками, отнесенные к трудоемкости 1,95 % 1,95 % 1,55 % 1,45 %
Если проанализировать данные по 1-му и 2-му периоду, приведенные в таблице 1., то можно сделать вывод, что имеются очень большие внутренние потери на компенсацию нарушений политики управления информациионными рисками для ресурса "Б", а также внешние потери для ресурса "В". Поэтому после 2-го периода был увеличен объем предупредительных мероприятий для ресурса "Б", что дало весомый эффект по снижению внутренних потерь к концу 3-го периода, и увеличена предупредительная деятельность для ресурса "В". После 3-го периода были снижены внешние затраты, а к концу 4-го периода - еще больше.
Использование анализа затрат на управление информационными рисками на практике фактически отсутствует либо встречается крайне редко из-за мнимой сложности ее использования, особенно на предприятиях малого и среднего бизнеса. При этом очевидна полезность данного мероприятия. Возможно использование методики ССВ на отечественных предприятиях для анали-
за затрат на управление информационными рисками вместе с методами для расчета возврата инвестиций (напри-мерД01- методика для расчета коэффициентов возврата инвестиций в инфраструктуру предприятия (Gartner Group)).
Библиографический список
1.««Русский» рынок компьютерных преступлений в 2010 году: состояние и тенденции». URL:http:// www.group-ib.ru (дата обращения 01.04.2011 г)
2.Комплексная безопасность российского IT-бизнеса. URL:http://integrum.ru (дата обращения 05.04.2011г)
3.Петренко С., Симонов С. Информационная безопасность: экономические аспекты //Jet Info Online: сетевой журнал, 2003,10 URL: http://citforum.ru/security/articles/sec/inde x.shtml (дата обращения 30.05.2011г)
4.R. Witty , J. Dubiel , J. Girard , J. Graff , A. Hallawell , B. Hildreth , N. MacDonald , W. Malik , J. Pescatore , M. Reynolds , K. Russell , A. Weintraub , V. Wheatman. -- The Price of Information Security. Gartner Research, Strategic Analysis Report,
K-l 1-6534 — Gartner Research, Strategic Analysis Report, K-l 1-6534, June 2001
Bibliographic list
1.""The Russian market of computer crimes in 2010: status and trends". URL:http:// www.group-ib.ru (date of access 01.04.201 lr)
2. Integrated safety and security of the Russian IT-business. URL:http://integrum.ru (date of access 05.04.201 lr)
3. Petrenko From., SimonovP. Information security: economic aspects //Jet Info
Online:online journal, 2003, no.10 URLS: http://citforum.ru/security/articles/sec/inde x.shtml(flaTa treatment 30.05.201 lr) 4. R. Witty , J. Dubiel, J. Girard , J. Graff, A. Hallawell, B. Hildreth , N. MacDonald , W. Malik, J. Pescatore , M. Reynolds , K. Russell, A. Weintraub , V. Wheatman. — The Price of Information Security. Gartner Research, Strategic Analysis Report, To-11-6534— Gartner Research, Strategic Analysis Report, To-11-6534, June 2001