- Интервью
- Отчеты о конференциях
- Цифровая трансформация
- Электронный документооборот
- Финансы: стратегия и тактика
- Общие центры обслуживания
- Информационные технологии
- Финансовая отчетность
- Риск-менеджмент
- Технологии управления
- Банки и страхование
- Кадровый рынок и управление персоналом
- Управление знаниями
- White Papers
- Финансы и государство
- CFO-прогноз
- Карьера и дети
- CFO Style
- Советы по выступлению на конференциях
- Обзоры деловых книг и журналов
- История финансов
- Свободное время
- Цитаты
КОНФЕРЕНЦИИ
Все-
24 января 2025 года
Москва -
7 февраля 2025 года
Москва -
13 февраля 2025 года
Москва -
14 февраля 2025 года
Москва -
19 февраля 2025 года
Москва -
27 февраля 2025 года
Онлайн
Александр Хрусталев: «Измерение эффективности информационной безопасности – задача нетривиальная»
13.10.2015
Александр Хрусталев, директор Департамента информационной безопасности
С какими проблемами экономического планирования в сфере информационной безопасности может столкнуться любая компания?
Информация сегодня является товаром особого рода. Поэтому в современных условиях служба информационной безопасности становится важнейшим базовым элементом всей системы безопасности в компании. Если говорить о любой компании — вряд ли проблематика планирования в информационной безопасности отличается от других сфер деятельности организации. Сейчас самой сложной задачей планирования, наверное, в любой отрасли является прогнозирование изменений внешней среды и готовность адекватного реагирования на эти изменения. Нестабильный курс национальной валюты, проблемы с финансированием уже запланированных проектов, все это актуально для любой компании.
Если же рассматривать более частные проблемы — для государственных компаний это жесткие и меняющиеся требования регуляторов, задача импортозамещения, которая с каждым днем становится все актуальнее. В коммерческих организациях основными задачами являются снижение затрат на обеспечение информационной безопасности, не потеряв при этом в эффективности, а также обоснование необходимости внедрения новых решений, демонстрации эффективности уже эксплуатируемых систем.
Как рассчитать предполагаемый средний экономический ущерб от угроз информационной безопасности?
С экономической точки зрения, информация имеет такие особенности, как трудность определения потребителя при массовом распространении и трудность определения точной стоимостной оценки полученной и отправленной информации. В основном объектами защиты в коммерческих компаниях являются внеоборотные и оборотные активы, информационные ресурсы, персонал организации и договорные отношения компании с ее подрядчиками. Таким образом, в процессе обеспечения информационной безопасности предприятий мы выделяем основные объекты, подлежащие рассмотрению в качестве источников финансового и репутационного благополучия предприятий.
Оперировать некоторой суммой как средним ущербом в корне неверно, так как разброс стоимости ущерба от разных угроз информационной безопасности очень велик. Методику расчета можно взять из международных и отечественных Стандартов по управлению рисками (например, ГОСТ Р ИСО/МЭК 27005–2010.). Однако, оценка рисков — это сложный процесс, при котором необходимо учитывать множество факторов: зоны уязвимостей, вероятность наступления риска, затраты на восстановление, и многие другие.
Кроме оценки рисков, необходимо четко понимать, какие последствия для бизнеса компании могут повлечь угрозы в случае их реализации, это может быть прямая потеря дохода, репутационные потери, предписания и внеплановые проверки со стороны регуляторов, судебные издержки
Помимо этого, важнейшим шагом является определение материальной ценности активов организации. Таким образом, для детальной и качественной оценки экономического ущерба от рисков информационной безопасности, должен быть достигнут весьма зрелый уровень управления ИБ в Компании.
Как рассчитать показатели эффективности внедрения
Измерение эффективности информационной безопасности — задача нетривиальная. Показатель эффективности внедрения конкретного решения измерить проще, так как можно опираться на цели, достижение которых являлось предпосылками к внедрению системы.
Соответственно, при оценке эффективности необходимо учитывать как качественные, так и количественные показатели. Основным качественным показателем является достижение поставленной при внедрении цели. Такой целью может быть выполнение требований регуляторов или прохождения внешнего аудита.
Количественными показателями может быть сниженное число атак, утечек, простоев критичных для бизнеса ИС,
Таким образом, основным показателем будет являться предотвращенный ущерб. Данная величина представляет собой сохранённые компанией средства в следствии «ненаступления рисков». Соответственно и результатом внедрения систем ИБ должно быть снижение расходов вызываемых реализацией возникающих угроз.
Наибольшая эффективность системы обеспечения информационной безопасности предприятий может быть достигнута, на наш взгляд, при условии объединения в единый, целостный механизм средств, методов и средств, которые в совокупности в состоянии обеспечить безопасность, сохранить и эффективно использовать финансовые, материальные и информационные ресурсы компаний.
Более подробно познакомиться с опытом
Экзархо Ирина
Наши конференции:
- Конкурс и премия «Лучшее корпоративное налоговое управление 2025»
- Вторая конференция «Управление налоговыми рисками»
- Восьмая конференция «Управление рисками в промышленности»
- Семнадцатый форум финансовых директоров розничного бизнеса Retail CFO 2025
- Четырнадцатая конференция «Кадровый ЭДО: цифровизация на практике»
Комментарии