Ефективність інвестицій в інформаційну безпеку: проблеми і рішення
EIR PSTU
Переглянути архів ІнформаціяПоле | Співвідношення | |
Title |
Ефективність інвестицій в інформаційну безпеку: проблеми і рішення
Эффективность инвестиций в информационную безопасность: проблемы и решения The effectiveness of investments in information security: problems and solutions |
|
Creator |
Верескун, Михайло Вікторович
Верескун, Михаил Викторович Vereskun, M. V. |
|
Description |
Верескун М. В. Ефективність інвестицій в інформаційну безпеку: проблеми і рішення / М. В. Верескун // Вісник Приазовського державного технічного університету : зб. наукових праць / ПДТУ. – Маріуполь, 2015. – Вип. 30. – С. 220–227. – (Серія : Економічні науки). У статті зроблено порівняльний аналіз основних переваг і недоліків трьох методик визначення ефективності витрат на інформаційну безпеку промислових підприємств. Дві методики базуються на використанні сукупних показників: ROI (Return on Investment - віддача від інвестицій) за певний період часу, TCO (Total Cost of Ownership - сукупної вартості володіння активів. Також використовується методика, розроблена компанією Gartner Group. Основними перевагами ROI є: можливість прогнозування результатів та комплексність використовуваних показників. Основним недоліком є відсутність можливості визначити вартість конфіденційної інформації. Основними перевагами показника TCO є: найкращі можливості для врахування всіх можливих витрат та можливість обґрунтовувати витрати на різних рівнях готовності систем захисту. Основні недоліки показника TCO: проблематичність вибору з двох проектів, якщо обидва ведуть до зниження витрат та відсутність обліку впливу ризиків. Основні переваги методики Gartner Group: врахування впливу ризиків та можливість визначити ефективність системи безпеки для всіх рівнів компанії. Основним недоліком вказаної методики є те, що вона побудована лише на аналізі можливих ризиків. Доведено, що використання якоїсь однієї методики не дає повної картини щодо ефективності витрат на інформаційну безпеку. Зроблено висновок про необхідність удосконалення існуючих методик оцінки ефективності, основним напрямом якого є сумісне їх використання. Для цього в статті запропоновано удосконалений методичний підхід до оцінки ефективності інвестицій в інформаційну безпеку, який ґрунтується на процедурах оптимального вибору варіанту системи захисту, визначення ступеню ризику при впровадженні обраної альтернативи та оцінки можливостей підприємства щодо прийняття на себе визначених ризиків. Для полегшення практичного впровадження розробленого підходу в статті наведено алгоритм його реалізації. В статье сделан сравнительный анализ основных преимуществ и недостатков трех методик определения эффективности затрат на информационную безопасность промышленных предприятий. Две методики базируются на использовании совокупных показателей: ROI (Return on Investment - отдача от инвестиций) за определенный период времени, TCO (Total Cost of Ownership - совокупной стоимости владения активов. Также используется методика, разработанная компанией Gartner Group. Основными преимуществами ROI является: возможность прогнозирования результатов и комплексность используемых показателей. Основным недостатком является отсутствие возможности определить стоимость конфиденциальной информации. Основными преимуществами показателя TCO являются: лучшие возможности для учета всех возможных затрат и возможность обосновать расходы на разных уровнях готовности систем защиты. Основные недостатки показателя TCO: проблематичность выбора из двух проектов, если оба ведут к снижению расходов и отсутствие учета влияния рисков. Основные преимущества методики Gartner Group: учет влияния рисков и возможность определить эффективность системы безопасности для всех уровней компании. Основным недостатком указанной методики является то, что она построена лишь на анализе возможных рисков. Доказано, что использование какой-то одной методики не дает полной картины эффективности затрат на информационную безопасность. Сделан вывод о необходимость усовершенствования существующих методик оценки эффективности, основным направлением которого является совместное их использование. Для этого в статье предложен усовершенствованный методический подход к оценке эффективности инвестиций в информационную безопасность, который основывается на процедурах оптимального выбора варианта системы защиты, определении степени риска при внедрении выбранной альтернативы и оценки возможностей предприятия относительно принятия на себя определенных рисков. Для облегчения практического внедрения разработанного подхода в статье приведен алгоритм его реализации. The article made a comparative analysis of the main advantages and disadvantages of three methods for determining cost effectiveness of information security of industrial enterprises. Two methods based on the use of aggregate indicators: ROI (Return on Investment - return on investment) for a certain period of time, TCO (Total Cost of Ownership - total cost of ownership of assets. Also used the method developed by Gartner Group. The main advantages of ROI is: the ability to predict results and complexity of IP-used indicators. The main disadvantage is the lack of opportunities to determine the value of the confidential information. The main advantages of the indicator of TCO are: better opportunities to account for all possible costs and the ability to justify the expenditure at different levels of readiness of the protection systems. The main disadvantages of the indicator TCO: problem-lichnosti selection of two projects that both reduce costs and the lack of accounting for the impact of risks. The main advantages of the methodology Gartner Group: accounting for the impact of risks and the ability to determine the effectiveness of system security for all levels of the company. The main disadvantage of this method is that it is based only on the analysis of possible risks. It is proved that the use of any one technique does not give a complete picture of the effectiveness of spending on information security. The conclusion about the necessity of improvement of existing methodologies for assessing efficiency, the main focus of which is their joint use. To do this, the paper proposed an improved methodological approach to assessing the effectiveness of investments in information security, which is based on the procedures of the optimal choice of the protection system, the risk assessment during implementation of the selected alternative and evaluation capabilities of the enterprise regarding making a certain Fig-cov. To facilitate practical implementation of the developed approach in the article the algorithm of its realization. |
|
Date |
2016-01-25T09:29:28Z
2016-01-25T09:29:28Z 2015 |
|
Type |
Article
|
|
Identifier |
http://eir.pstu.edu/handle/123456789/8086
|
|
Language |
uk
|
|