По просьбе журнала Connect я подготовил статью про подходы к экономической оценке эффективности системы обеспечения ИБ предприятия. Вот введение к ней:
«Сегодня, в условиях нестабильной экономической ситуации, начинают меняться взгляды на информационную безопасность (ИБ). С одной стороны, многие отечественные производители средств защиты в интервью и с большой трибуны заявляют, что кризис на затронул и не затронет рынок ИБ, что заказчики не сокращают данную статью расходов, что требования регуляторов все равно надо выполнять и т.д. Но в кулуарах или на закрытых мероприятиях все признают, что эпоха изобилия кончилась, что заказчики замораживают или урезают бюджеты и что жить по старому становится все тяжелее. Да и сами заказчики не скрывают, что условия игры поменялись – их руководство уже не готово тратить миллионы не глядя, на проекты, отдача от которых неочевидна или видна только в долгосрочной перспективе. Что же делать? Как вести себя в такой ситуации?
Рецепт успеха известен давно – использование экономических обоснований для ИБ-проектов, демонстрирующих не столько затраты, сколько выгоды, получаемые организацией от внедрения той или иной системы защиты, того или иного процесса. Именно в этом и заключается основная сложность. И «ингредиенты» известны, и способ «готовки»… Но как это все применить именно к теме ИБ? Попробуем разобраться. Но для начала наметим список вопросов, которые обычно и требуют ответа на языке финансов:
- Во сколько обойдется этот проект?
- Выгоден ли этот ИБ-проект?
- Сколько надо инвестировать в этот ИБ-проект?
- Почему именно столько? Дешевле нельзя?
- Через сколько времени окупится этот проект?
- Какой продукт из двух дешевле? А выгоднее?«
Как ответить на эти вопросы, я и постарался описать в статье.
ЗЫ. Журнал должен выйти в сентябре, к InfoSecurity Russia 2009.
ЗЗЫ. Эти же вопросы я рассматриваю и в курсе «Измерение информационной безопасности«.