Обеспечение информационной безопасности (далее – ИБ) и непрерывности бизнеса – актуальное направление развития предприятий и отраслей региона [1]. Это обусловлено тем, что одним из путей достижения целей бизнеса является внедрение и развитие механизмов обеспечения его информационной безопасности и непрерывности [2]. Кроме того, процесс управления непрерывностью бизнеса позволяет предприятиям и отраслям постоянно поддерживать функционирование минимально допустимых производственных мощностей, уменьшить степень риска до приемлемого уровня и разработать планы восстановления бизнес-процессов на случай их повреждения во время чрезвычайных ситуаций [3]. Данные аспекты обусловливают актуальность нашего исследования.
Исследование показало, что в современных условиях хозяйствования необходимо учитывать все факторы, влияющие на устойчивое развитие как отечественной курортной отрасли в целом, так и отдельных бальнеологических курортных предприятий [4, 5]. Сегодня необходимо направить усилия на поиск новых направлений их развития, среди которых авторы выделяют маркетинг и логистику [6–10], системный и программно-целевой подход к управлению [11, 12]. Функция обеспечения информационной безопасности и непрерывности бизнеса бальнеологического курортного предприятия играет все большую роль и становится одной из важнейших в достижении целей регионального развития. Среди основных проблем обеспечения информационной безопасности и непрерывности бизнеса следует выделить обоснование затрат на приобретение средств зашиты данных и расчет экономически обоснованного бюджета на приобретение и эксплуатацию оборудования и средств его поддержки [13].
Требуется также обоснование для различных бизнес-приложений всех расходов, в том числе подсчета времени, которое затрачивается руководством на принятие управленческих решений, связанных с управлением бизнес-процессами обеспечения информационной безопасности и непрерывности бизнеса. И здесь основная проблема заключается в том, что данные бизнес-процессы являются по своей сути обеспечивающими, так как не приносят непосредственной прибыли. Вместе с тем без эффективного управления данными бизнес-процессами и системного подхода [14] невозможно обеспечить реализацию основных бизнес-процессов, которые принимают непосредственное участие в создании добавленной ценности для потребителя. Обеспечивающие бизнес-процессы требуют определённых затрат, как и другие ИТ-системы, что в обязательном порядке также требует их экономического обоснования. При этом отметим, что та или иная политика информационной безопасности зависит от целей бизнеса предприятия [15].
Совершенно очевидно, что основная цель, стоящая перед курортным бизнесом в области обеспечения информационной безопасности, заключается прежде всего в надежной защите бизнеса при условии оптимизации затрат на обеспечение информационной безопасности, включая минимизацию затрат и усилий на поддержание принятой в организации системы безопасности в актуальном состоянии. Реализация заявленной цели возможна при решении определенных задач, среди которых отметим следующие:
- минимальное количество используемых продуктов и систем при оптимальном уровне защиты;
- выполнение требований законодательства в части построения системы защиты;
- организация централизованного управления всеми компонентами защиты.
Руководство конкретного бальнеологического курортного предприятия должно обеспечить решение вышеперечисленных задач, что в конечном счете даст предприятию как минимум три конкурентных преимущества: минимизацию затрат на приобретение и сопровождение продуктов; минимизацию требуемого уровня квалификации персонала и, как следствие, снижение затрат на формирование фонда оплаты труда; высвобождение ресурсов для решения иных задач развития предприятия и бизнеса в целом.
Исследование показало, что в качестве основного инструмента оптимизации и планирования затрат на обеспечение информационной безопасности предприятия следует использовать аудит, реализация которого позволит систематизировать и упорядочить существующие на предприятии меры защиты информации, обоснование инвестиций в информационную безопасность. Также по результатам аудита можно подготовить техническое задание на разработку и создание системы безопасности в соответствии с международными и российскими требованиями к стандартам, оценить уровень эффективности существующей на предприятии системы безопасности.
Преимущества такого инструмента, как аудит, состоят также в том, что потребителями его результата могут быть как внутренние потребители (руководство предприятия, служба ИБ, служба автоматизации предприятия, служба внутреннего контроля), так и внешние (акционеры, регулирующие органы, страховые компании, потребители предприятия).
Для обоснования затрат на обеспечение развития и информационную безопасность бальнеологических курортных предприятий предлагаем воспользоваться актуальным в экономике показателем – ROI (Return On Investment), который определяет, сколько времени потребуется для возврата вложенных в то или предприятие (проект, мероприятие) инвестиций. Учитывая предмет нашего исследования, отметим, что по сути ROI представляет собой процентное отношение прибыли (или экономического эффекта) от внедрения той или иной системы информационной безопасности к инвестициям, необходимым для ее приобретения и эксплуатации.
Представляет также определенный интерес метод, который получил название «метод ожидаемых потерь». Данный метод основан на вычислении потерь от нарушения политики безопасности, которые может иметь бизнес, в том числе и курортный. Далее эти потери необходимо сравнить с инвестициями в систему обеспечения информационной безопасности и непрерывности бизнеса. Метод ожидаемых потерь основан на эмпирическом опыте того или иного предприятия и сведений о вторжениях, о потерях от вирусов, об отражении сервисных атак и т. д.
Для экономического обоснования необходимо учесть и тот факт, что стоимость системы информационной безопасности обобщенно складывается из двух групп затрат:
- единовременные затраты, в которые, как правило, включается стоимость оборудования и стоимость внедрения системы зашиты информации;
- периодические затраты, среди которых ключевыми являются техническая поддержка и сопровождение, заработная плата ИТ-персонала, продление лицензии на антивирусы и другое программное обеспечение.
В соответствии с данным методом для определения эффекта от внедрения системы информационной безопасности и непрерывности бизнеса нужно, прежде всего, вычислить показатель ожидаемых потерь. По данным экспертов, правильно установленная и настроенная система ИБ дает 85% эффективности в предупреждении или уменьшении потерь от нарушений безопасности. Экономическая выгода обеспечивается ежегодными сбережениями, которые получает тот или иной бизнес от внедрения конкретной системы обеспечения информационной безопасности.
Также можно воспользоваться и другими методами, среди которых отметим метод оценки свойств системы безопасности (Security Attribute Evaluation Method – SAEM), основанный на сравнении различных архитектур систем информационной безопасности для получения стоимостных результатов оценки выгод от ее внедрения [16]. Преимуществом методологии SAEM является ее возможность, объединив вероятность события и ранжировав воздействие окружающей среды, предложить различные проекты по ИБ с многовариантным влиянием окружающей среды на относительные затраты.
Стоит также обратить внимание на менее популярный, но достаточно эффективный метод – метод анализа дерева ошибок (Fault Tree Analysis). Особенность данного метода заключается в возможности показать, в чем заключаются причины нарушений политики безопасности и какие сглаживающие контрмеры могут быть применены. Кроме того, данный метод позволяет свести всю систему возможных нарушений к логическим отношениям «и»-«или» компонентов этой системы. Если доступны данные по нормам отказа критических компонентов системы, то дерево ошибок позволяет определить ожидаемую вероятность отказа всей системы.
Несмотря на явные перспективы и преимущества данного метода, следует отметить, что в настоящее время он еще недостаточно адаптирован к сфере информационной безопасности и, соответственно, требует его дальнейшего изучения.
Для обоснования затрат на ИБ может также использоваться модель ТСО (total cost of ownership), известная в отечественной практике как совокупная стоимость владения. Преимуществом данной модели является то, что с ее помощью можно распределять средства таким образом, чтобы добиться максимальной отдачи от инвестиций в защиту информации и при этом уложиться в бюджет, выделенный на внедрение. Важным является вопрос о том, как снизить совокупную стоимость владения. Специалисты выделяют несколько вариантов ее снижения:
- внедрение аутсорсинга;
- максимальную централизацию обработки и хранения информации, централизацию средств администрирования;
- уменьшение числа специализированных элементов, и прежде всего компьютеров, с прикладным программным обеспечением;
- перенос прикладного программного обеспечения на серверы приложений;
- обеспечение входа в систему с любой точки;
- обеспечение единообразного доступа по внутренней и по внешней телекоммуникационным сетям.
Кроме того, модель ТСО позволяет заранее определить узкие места и минимизировать затраты, а также предупредить проблемы еще на этапе внедрения системы обеспечения информационной безопасности и непрерывности бизнес-процессов предприятия. Также данная методика позволяет рассчитать всю расходную часть информационных активов предприятия, включая следующие затраты:
- прямые и косвенные затраты на аппаратно-программные средства;
- затраты на организационные мероприятия;
- затраты на обучение и повышение квалификации сотрудников предприятия;
- затраты на реорганизацию, реструктуризацию бизнеса предприятия и т. д.
Методика также позволяет провести оценку экономической эффективности системы защиты информации, объективно обосновать экономическую целесообразность использования конкретных организационных мер и средств защиты информации.
Кроме обоснования затрат на информационную безопасность и развитие бальнеологических курортных предприятий необходимо в обязательном порядке говорить об их оптимизации. При этом следует учесть, что важным является такой показатель, требующий оптимизации, как стоимость владения системой. Определение данного показателя необходимо осуществлять уже на этапах идентификации и оценки информационных рисков и определения вариантов по их обработке.
Рассмотренные методы, кроме метода ожидаемых потерь, который объединяет выгоду от каждой контрмеры в единый количественный показатель эффективности, не позволяют количественно оценить стоимость и выгоды от контрмер безопасности. А с точки зрения системы безопасности этот показатель интерпретируется как показатель пригодности всей системы защиты, который обычно указан в договоре с поставщиком системы защиты. Поэтому на практике специалисты рекомендуют использовать метод оценки целесообразности затрат на систему обеспечения информационной безопасности и непрерывности бизнеса, что обусловлено несколькими аспектами. Прежде всего, это финансовая ориентированность метода, а также достаточно полная оценка стоимости различных мер по безопасности и выгод от внедрения.
Реализация конкретного подхода к определению и оптимизации затрат на обеспечение информационной безопасности зависит от ряда факторов, таких как степень зрелости предприятия, специфика деятельности предприятия.
Исследование показало, что одним из эффективных механизмов развития внутренних бальнеологических курортных предприятий является обеспечение информационной безопасности и непрерывности бизнеса на основе оценки экономической целесообразности того или иного средства. При выборе метода необходимо учесть особенности конкретного предприятия и его стратегические цели. Кроме того, для принятия экономически обоснованного управленческого решения нужно иметь в виду, какой уровень информационной безопасности будет приемлем для конкретного предприятия. В любом случае экономически выгодным будет решение, при котором чистая приведенная стоимость доходов от проекта внедрения будет положительной.