Решение проблемы соотношения информационной безопасности и экономической целесообразности

Быстрое развитие информационных технологий требует неизменного совершенствования систем защиты информации, анализа экономической эффективности их внедрения. Оценка экономической целесообразности применения мер по обеспечению информационной безопасности – важная задача, решение которой осуществляется на основе комплексного подхода, который учитывает специфику конкретной организации. Это вызывает особые сложности, которые обусловлены рядом факторов, таких как:
Информационная безопасность – условно новая сфера деятельности, поэтому методы оценки информационных рисков и методики оценки информационных ресурсов мало проработаны;
Большая часть методов оценки экономической эффективности внедрения мер по обеспечению информационной безопасности основываются на использовании статистики успешной реализации угроз. Но доступ к данной статистике ограничен – организации не разглашают информацию, которая в будущем может повлечь за собой неблагоприятные последствия (например, ухудшение репутации компании, потеря клиентов (постоянных и потенциальных);
Убытки (прямые и косвенные), которые наносятся организации вследствие реализации угрозы. Достаточно тяжело дать оценку, что связано со сложностью прогнозирования всех допустимых последствий реализации угрозы и оценки их значимости для организации;
При рассмотрении редких событий, происходящих единожды в 10, 20 или более лет, также возникают затруднения. Сбор статистических данных в данном случае практически невозможен, ведь каждое такое событие – уникально, а размер ущерба, который наносится организации в результате реализации данного события, превышает размер ущерба, который наносится в результате идентичного предыдущего события.
Также, многие аспекты, которые касаются безопасности, могут вообще не подлежать количественному измерению. Они являются сугубо качественными, и предлагать измерять их количественно в большинстве случаев бесперспективно. Кроме того, часто получение от лица, который принимает решение, надежной количественной информации – затруднительно. В таких случаях имеется цель получить от него в основном только качественную информацию. Например, информацию о том, какой из критериев наиболее или наименее значим, какой из критериев может быть ухудшен, а для каких ухудшение крайне нежелательно и т.д

. В данном случае разумно применение лингвистического описания. Тогда от эксперта не требуют количественной точности, а требуют только субъективную оценку на естественном языке.
Требуются вспомогательные усилия по организации процесса экономического анализа, что также очень часто приводит к тому, что некоторые принимаемые решения, которые относятся к обеспечению информационной безопасности, оказываются неадекватными. Примеры ситуаций, в которых недостаточная развитость методологии экономического анализа отрицательно влияет на состояние информационной безопасности, могут быть случаи, когда:
руководство предприятия принимает неподобающие решения относительно инвестиций в средства защиты информации, что приводит к убыткам, которых была возможность избежать;
руководство предприятия может принять правильные решения относительно организации бизнес-процессов, процессов обработки информации на предприятии, исходя из стремления сократить текущие затраты, уменьшить нагрузку на персонал, при этом не принимая во внимание экономические последствия недостаточной защищенности информационных ресурсов;
страхователь и страховщик могут не заключить договор о страховании информационных рисков или установить неадекватные параметры такого договора ввиду того, что отсутствуют модели и методы оценки экономических параметров сделки.
Итак, в ситуации, когда нужно осуществить отдельные новые организационные, либо технические мероприятия (например, реализация проекта), главная задача лиц, отвечающих за эффективную организацию информационной безопасности, является правильное соотнесение затрат, которые придется понести в связи с реализацией такого мероприятия (как единовременные, так и постоянные текущие), и дополнительных (новых) денежных потоков, которые будут получены. В таком случае денежный поток – экономия затрат, предотвращение убытков и дополнительный доход предприятия.
2 вопрос
Организация и планирование информационной технологии и информационной системы на предприятии. Базовая информационная технология в управлении предприятием.
Организации считают, что реинжиниринг бизнес-процессов в сочетании с внедрением информационных технологий возможно приведет к существенному сокращению времени выполнения цикла производства:
снижению трудоемкости;
повышению качества обслуживания клиентов;
сокращению времени реакции на изменение требований рынка и пр.
Достижение таких результатов требует от сотрудников IT-подразделений знаний в области организации бизнес-процессов