Инвестирование в информационную безопасность

Все рассмотренные средства защиты разделены на формальные (выполняющие  защитные функции строго по заранее  предусмотренной процедуре без  непосредственного участия человека) и «неформальные» (определяемые целенаправленной деятельностью человека или регламентирующие эту деятельность).

Организованная совокупность специальных органов, средств, методов  и мероприятий, обеспечивающих защиту информации от внутренних и внешних  угроз, называется  системой защиты информации (СЗИ).

С позиций системного подхода  к защите информации предъявляются  определенные требования:

-обеспечение безопасности  информации не может быть одноразовым  актом. Это непрерывный процесс,  заключающийся в обосновании  и реализации наиболее рациональных  методов, способов и путей совершенствования  и развития системы защиты, непрерывном  контроле ее состояния, выявления  ее узких и слабых мест и  противоправных действий;

-безопасность информации  может быть обеспечена лишь  при комплексном использовании  всего арсенала имеющихся средств  защиты  всех структурных элементах  экономической системы и на  всех этапах технологического  цикла обработки информации;

-планирование безопасности  информации осуществляется путем  разработки каждой службой детальных  планов защиты информации в  сфере ее компетенции;

-защите подлежат конкретные  данные, объективно подлежащие охране, утрата которых может причинить  организации определенный ущерб;

-методы и средства  защиты должны надежно перекрывать  возможные пути неправомерного  доступа к охраняемым секретам;

-эффективность защиты  информации означает, что затраты  на ее осуществление не должны  быть больше возможных потерь  от реализации информационных  угроз;

-четкость определения  полномочий и прав пользователей  на доступ к определенным видам  информации;

-предоставление пользователю  минимальных полномочий, необходимых  ему для выполнения порученной  работы;

-сведение к минимуму  числа общих для нескольких  пользователей средств защиты;

-учет случаев и попыток  несанкционированного доступа к  конфиденциальной информации; обеспечение  степени конфиденциальной информации;

-обеспечение контроля  целостности средств защиты и  немедленное реагирование на  их выход из строя.

Таким образом, мы рассмотрели  основные понятия, касающиеся информационной безопасности в экономических системах. Следующим вопросом является рассмотрение теоретических основ инвестирования. [8, с.56]

 

2. Теоретические  аспекты инвестирования

Инвестиции - средства (денежные  средства,  ценные  бумаги,  иное имущество, в том числе имущественные  права, имеющие денежную оценку), вкладываемые в объекты предпринимательской  и (или) иной деятельности с целью  получения прибыли и (или) достижения иного полезного эффекта.

Инвестиции различаются  между собой по нескольким признакам:

1.По объектам вложения  капитала:

- Реальные инвестиции – вложения денег в реальные материальные и нематериальные активы (основной и оборотный капитал, интеллектуальную собственность).

-  Портфельные инвестиции  – вложения денег в различные  финансовые инструменты (ценные  бумаги, банковские депозиты, валюту, драгоценные металлы и камни).

2.По характеру участия  в инвестировании:

- Прямые инвестиции –  непосредственно участие самого  инвестора в выборе объекта  инвестирования для вложения  средств.

- Косвенные инвестиции  – когда вложение средств опосредовано  другими лицами (инвестиционными  фирмами и компаниями, паевыми  инвестиционными фондами, другими  финансовыми учреждениями).

3.По периоду инвестирования:

- Краткосрочные инвестиции  – вложения капитала на отрезок  времени менее 1 года.

- Среднесрочные инвестиции  – вложения капитала на период  от 1 до 5 лет.

- Долгосрочные инвестиции  – вложения капитала на срок  свыше 5 лет.

4.По формам собственности:

-Частные инвестиции –  вложения средств, осуществляемые  гражданами и частными организациями  (фирмами и компаниями).

-Государственные инвестиции  – вложения, которые производятся  центральными и местными органами  власти и управления за счёт  бюджетных, внебюджетных и заёмных  средств, а также унитарными  предприятиями, учреждениями и  организациями путём мобилизации  собственных финансовых источников.

-Смешанные инвестиции  – долевое вложение средств при участии государства, регионов, муниципальных образований, а также юридических и физических лиц.

-Иностранные инвестиции  – вложения, осуществляемые иностранными  государствами, физическими и  юридическими лицами.

-Совместные инвестиции  – вложения, осуществляемые субъектами  данной страны и иностранных  государств.

Инвестиционная деятельность - вложение инвестиций и осуществление  практических действий в целях получения  прибыли и (или) достижения иного  полезного эффекта.

Комплекс  взаимосвязанных  мероприятий, направленных на достижение определенных целей в специальной  экономической литературе рассматривается  как инвестиционный проект.

В частности,  под инвестиционным проектом понимается план вложения капитала в конкретные объекты предпринимательской деятельности с целью последующего получения прибыли, достаточной по размеру для удовлетворения требований инвестора.

По своему содержанию такой  план включает систему технико-технологических, организационных, расчетно-финансовых и правовых, целенаправленно подготовленных материалов, необходимых для формирования и последующего функционирования объекта  предпринимательской деятельности. С помощью инвестиционного проекта  решается важная задача по выяснению  и обоснованию технической возможности  и экономической целесообразности создания объекта предпринимательской  деятельности. [5, с. 85]

Эффективность инвестиционного  проекта – показатель, отражающий соответствие проекта целям и интересам его участников.

С точки зрения законодательства, оценка эффективности инвестиционных проектов не является обязательной, однако каждый инвестор заинтересован в том, чтобы обезопасить себя от потери вложенных средств и получить достаточную для компенсации рисков прибыль [5].

Определение приемлемого  для инвестора уровня экономической  эффективности инвестиций является наиболее сложной областью экономических  расчетов, связанной с разработкой  ТЭО, так как здесь надо свести воедино все множество факторов различных интересов потенциальных  инвесторов, учесть трудно предсказуемые  изменения во внешней среде по отношению к проекту, а также  системы налогообложения в условиях нестабильной экономики. Все это  многократно усложняется в связи  с тем, что оценка эффективности  должна базироваться на соответствующей  информации за весьма длительный расчетный  период.

 

3. Определение  инвестиций в информационную  безопасность

Реалии современного бизнеса  таковы, что в условиях агрессивной  рыночной среды практически любая  компания постоянно сосредоточена  на поддержании своей конкурентоспособности. Очевидно, что основным инструментом поддержания конкурентоспособности компании является стратегическое бизнес-планирование, направленное на развитие ее адаптивности и повышение устойчивости к воздействию рыночной среды.

В этих условиях особую важность приобретают качество и эффективность  информационной системы, которые влияют на конечные финансовые показатели опосредованно, через качество бизнес-процессов. Проигрывают  те компании, где финансирование защиты информации ведется по остаточному  принципу.

И здесь очень важно  ответить на вопрос, как относиться к вложениям в информационную безопасность (ИБ) – как к затратам или как к инвестициям? Необходимо  разрешить противоречие: если относиться к вложениям в ИБ как к затратам, то сокращение этих затрат позволит решить тактическую задачу освобождения средств. Однако это заметно отдалит компанию от решения стратегической задачи, связанной с повышением ее адаптивности к рынку, где безопасность бизнеса  в целом и информационная безопасность в частности играет далеко не последнюю  роль. Поэтому, если у компании есть долгосрочная стратегия развития, она, как правило, рассматривает вложения в ИБ как инвестиции. Именно такой  подход позволяет определить цели и  задачи построения системы защиты информации, а самое главное, он дает возможность  сосредоточиться на результатах, ожидаемых  от внедрения этой системы. [9]

И затраты, и инвестиции есть отвлечение средств, необходимость потратить деньги. Разница состоит в том, что затраты – это, в первую очередь, «осознанная необходимость», инвестиции – это перспектива окупаемости. И в этом случае требуется тщательная оценка эффективности таких инвестиций и экономическое обоснование планируемых затрат.

Основным экономическим  эффектом, к которому стремится компания, создавая СЗИ, является существенное уменьшение материального ущерба вследствие реализации каких-либо существующих угроз информационной безопасности. При этом, руководствуясь статистическими данными различных аналитических служб, можно сделать вывод о том, что ущерб этот вполне реален и измеряется в денежных единицах. Например, по данным обзора информационной безопасности и компьютерных преступлений, подготовленного Институтом компьютерной безопасности США при участии ФБР (CSI/FBI Computer Crime and Security Survey), в 2003 году объем ущерба от утечки конфиденциальной информации среди 530 участвовавших в опросе коммерческих и государственных предприятий США составил более 70 млн долл., ущерб от хакерских атак – более 65 млн долл., а ущерб от вирусов – более 270 млн долл. Здесь следует учитывать, что все участвовавшие в опросе организации обладали СЗИ. Следовательно, можно предположить, что отсутствие этих систем защиты, а также многих других (контроля доступа, обнаружения вторжений, биометрии и т. д.) привело бы к еще более серьезным последствиям для бизнеса предприятий. А в 2009 году ФБР подсчитало убытки американцев на сумму 559,7 млн. долларов.

В настоящее время вопросы  обеспечения информационной безопасности обостряются, и решения по ним  принимаются в большинстве фирм. Так, по результатам исследования консалтинговой компании PricewaterhouseCoopers в 2009 году, в котором принимали участие 7000 респондентов из 114 стран, 43% участников опроса согласились с утверждением, что в условиях нынешнего экономического спада угроз для ИТ-активов компаний стало больше. Положительную оценку важности и необходимости реализации обеспечения защиты данных дали 74% респондентов. Основные ключевые инициативы, с которыми согласилось большинство участников, следующие:

1. Обеспечение защиты данных – основной приоритет;
2. Применение средств автоматизации для обеспечения информационной безопасности;
3. Увеличение доверия к аутсорсингу;
4. Анализ рисков – основа для инвестиций в информационную безопасность;
5. Соответствие требованиям регуляторов в части обеспечения безопасности. [12]

Данные меры существенно  снижают убытки от информационных угроз. И их реализация необходима для более  эффективной деятельности компаний.

Таким образом, обеспечение  информационной безопасности компании имеет вполне конкретный экономический  смысл. А достижение этой цели должно осуществляться экономически оправданными мерами. Принимать решение о финансировании проектов по ИБ целесообразно лишь в том случае, когда есть уверенность  не просто в увеличении расходной  части  бюджета, а осуществлении  инвестиций в развитие компании. При  этом отдача от таких инвестиций должна быть вполне прогнозируемой.

 

4. Программные продукты, применяемые для оценки эффективности инвестиций в информационную безопасность

Первым шагом при определении  оптимальной информационной защиты является определение существующего уровня защищенности. Другой актуальной проблемой является проблема формирования бюджета на информационную безопасность. Сколько денег компании необходимо тратить на защиту своих информационных ресурсов - как оценить затраты? Как оптимизировать и минимизировать эти затраты? Как доказать и добиться максимальной эффективности вложений? Данные проблемы сложно решить без привлечения сторонних специалистов, так как для ответов на них необходимо провести полноценный анализ рисков. Оптимизировать расходы на информационную безопасность и сформировать требуемый бюджет помогает программный комплекс "ГРИФ".

Основная задача системы  ГРИФ - дать возможность ИТ менеджеру самостоятельно (без привлечения сторонних экспертов) оценить уровень рисков в информационной системе, оценить эффективность существующей практики по обеспечению безопасности компании и иметь возможность доказательно (в цифрах) убедить ТОП-менеджмент компании в необходимости инвестиций в сферу информационной безопасности компании. [1, с.89]

Этапы работы системы:

Первый этап. На первом этапе определяется полный список информационных ресурсов, представляющих ценность для компании.