25.08.2009

Экономическая оценка инвестиционной привлекательности проектов по ИБ

По просьбе журнала Connect я подготовил статью про подходы к экономической оценке эффективности системы обеспечения ИБ предприятия. Вот введение к ней:

"Сегодня, в условиях нестабильной экономической ситуации, начинают меняться взгляды на информационную безопасность (ИБ). С одной стороны, многие отечественные производители средств защиты в интервью и с большой трибуны заявляют, что кризис на затронул и не затронет рынок ИБ, что заказчики не сокращают данную статью расходов, что требования регуляторов все равно надо выполнять и т.д. Но в кулуарах или на закрытых мероприятиях все признают, что эпоха изобилия кончилась, что заказчики замораживают или урезают бюджеты и что жить по старому становится все тяжелее. Да и сами заказчики не скрывают, что условия игры поменялись – их руководство уже не готово тратить миллионы не глядя, на проекты, отдача от которых неочевидна или видна только в долгосрочной перспективе. Что же делать? Как вести себя в такой ситуации?

Рецепт успеха известен давно – использование экономических обоснований для ИБ-проектов, демонстрирующих не столько затраты, сколько выгоды, получаемые организацией от внедрения той или иной системы защиты, того или иного процесса. Именно в этом и заключается основная сложность. И «ингредиенты» известны, и способ «готовки»… Но как это все применить именно к теме ИБ? Попробуем разобраться. Но для начала наметим список вопросов, которые обычно и требуют ответа на языке финансов:
  • Во сколько обойдется этот проект?
  • Выгоден ли этот ИБ-проект?
  • Сколько надо инвестировать в этот ИБ-проект?
  • Почему именно столько? Дешевле нельзя?
  • Через сколько времени окупится этот проект?
  • Какой продукт из двух дешевле? А выгоднее?"
Как ответить на эти вопросы, я и постарался описать в статье.

ЗЫ. Журнал должен выйти в сентябре, к InfoSecurity Russia 2009.

ЗЗЫ. Эти же вопросы я рассматриваю и в курсе "Измерение информационной безопасности".