Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р 59503-2021/ISO/IEC TR 27016:2014 "Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Экономика информационной безопасности организации" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 19 мая 2021 г. N 386-ст)
- Приложение С (справочное). Экономические модели обеспечения информационной безопасности
Приложение С (справочное). Экономические модели обеспечения информационной безопасности
Приложение С
(справочное)
Экономические модели обеспечения информационной безопасности
С.1 Общая информация
Существует множество моделей расчетов, связанных с экономикой. Для целей ИБ можно использовать как эти, так и другие модели. В этом приложении приведены самые базовые модели.
Бывает сложно определить точные экономические последствия реализации процессов, процедур или технических средств для обеспечения ИБ. По этой причине результаты расчетов рекомендуется представлять в виде диапазонов значений (максимальных и минимальных). Этот момент не учитывается в моделях, поскольку используется одна модель, но с разными значениями и (или) показателями затрат.
С.2 Модель базовой стоимости
Основная модель базовой стоимости 1 применяется как к положительным (прибыль), а так и отрицательным (издержки) значениям. Ее следует использовать при работе с переходом от отрицательных значений к положительным и балансовой ведомостью. Данные выводятся в таблице с полным набором шагов по оценке и представлению результатов.
В основе принципа BVM 1 лежат следующие три области с различными характеристиками.
Прямые показатели ценности выражаются в экономических категориях, таких как материальные потери или прямые инвестиции в зависимости от их реализации в пассивной или активной форме. В этой области возможны точные количественные значения.
Косвенные показатели ценности представляют собой расширенный вариант прямых показателей и отражают дополнительный рост или уменьшение ценности за счет учета нематериальных активов. Косвенные показатели ценности менее точны и сами по себе могут обозначаться диапазоном значений. Эти показатели могут отражать снижение объема выпуска продукции, увеличение административных издержек и т.п.
Расширенные показатели ценности зависят от прямых и косвенных показателей и могут быть весьма существенными. Расширенные показатели варьируются в более широком диапазоне, и их оценка должна осуществляться аналогично оценке прямой и косвенной ценности. Однако на расширенные показатели могут влиять другие факторы, например такие, как возможность отрицательного влияния на общество и (или) на организацию в целом, например снижение стоимости акций и т.п. Такие расширенные показатели, как, например, ценность бренда или потеря репутации невозможно выразить в количественной форме. (Следует отметить, что эти показатели обычно имеют отрицательные значения, хотя возможны и положительные, как следствие внедрения ИБ.)
Рисунок С.1 - Основная модель базисных показателей ценности
С.3 Модель с переходом от отрицательных значений к положительным
Подход с переходом от отрицательных значений* к положительным* основан на взаимоисключающих вопросах:
- Насколько отрицательным будет значение, если мера не будет предпринята?
- Насколько положительным будет значение, если мера не будет предпринята?
- Насколько отрицательным будет значение, если мера будет предпринята?
- Насколько положительным будет значение, если мера будет предпринята?
Примечание - Значения, используемые в модели в качестве затрат, могут быть положительными.
Ответы на эти вопросы в сочетании с основной моделью базовой стоимости, показанной на рисунке С.1, формируют четыре квадрата, показанные на рисунке С.2.
Рисунок С.2 - Модель перехода от отрицательных значений к положительным
Использование такой модели обеспечивает учет всех аспектов. Однако в отношении одной меры создаются дублирующие значения. Этого можно избежать, если использовать простую таблицу (см. рисунок С.1).
В таблице C.1 в некоторых случаях значение в ячейке А1 аналогично значению в ячейке D2, что делает возможным переход от отрицательного значения (стоимости) к положительному при сравнении чистого значения по результатам двух столбцов (1 и 2).
[Для более сложных мероприятий можно добавить новые строки, но при этом сравнение должно производиться между текущим состоянием (возможная мера не принята) и состоянием, при котором мера принята или реализована в полной мере].
Таблица C.1 - Таблица сравнения чистых значений
|
|
Базовое положение |
Мероприятие |
Положительное значение - мера принята |
Положительное значение - мера не принята |
Отрицательное значение - мера принята |
Отрицательное значение - мера не принята |
Чистый результат |
|
Дополнительные материалы |
А |
В |
С |
D |
|||
|
1 |
Мера, способная изменить текущее положение дел |
Мера "X" принята |
Ценность |
Неприменимо |
Стоимость |
Неприменимо |
1А - 1В |
|
2 |
Возможная мера не принята |
Мера "X" не принята |
Неприменимо |
Ценность |
Неприменимо |
Стоимость |
2B - 2D |
|
Примечание - В настоящей таблице отражен основной принцип. Для дальнейшего упрощения можно удалить не соответствующие ситуации ячейки. | |||||||
С.4 Общий баланс инвестиций в меры защиты (теория сравнения затрат и ценности)
Теория заключается в том, что точку оптимального баланса можно найти путем постепенного применения к ценности затрат на защитные мероприятия. Оптимальная стоимость издержек по защите актива и ценности достигается в тех условиях, когда снижение риска, влияющее на стоимость, окажется меньше стоимости реализации меры по защите. В основе теории лежат следующие базовые факторы:
a) известная ценность (константа);
b) известные расходы на защиту (с возможностью роста в зависимости от принимаемых мер);
c) снижение риска в связи с применением мер защиты, что зависит от ценности и эффективности таких мер.
Ценность и расходы на меры защиты часто можно установить точно, но степень снижения является оценочной.
Рисунок С.3 - Теория оптимального баланса между стоимостью защитных мер и ценностью
С.5 Расчет общих инвестиций. Расчет затрат и ценности
Затраты. Анализ преимуществ часто используется государственными и прочими организациями, в том числе коммерческими, для оценки необходимости вмешательства. Анализ эффективности различных вариантов затрат призван установить, превышают ли преимущества объем вложений [т.е. имеет ли смысл что-либо делать в принципе и, если да, то насколько (какой вариант вмешательства выбрать)]. Цель состоит в оценке эффективности возможных мер по сравнению друг с другом и с текущей ситуацией. Для достижения наилучших результатов текущая ситуация меняется с применением эффективности по Парето.
Ниже приводится список шагов в рамках общего анализа затрат и преимуществ:
a) подготовка набора альтернативных проектов (программ);
b) составление списка основных участников (имеющих статус или влияние);
c) подбор системы измерения и сбора всех элементов затрат и выгод;
d) прогноз результата в виде затрат и выгод в течение срока реализации проекта;
e) перевод всех итоговых затрат и выгод в денежный эквивалент в местной валюте;
f) применение ставки дисконтирования (или внутреннего финансового курса) *;
------------------------------
*Чаще всего предоставляется финансовым отделом.
------------------------------
g) расчет чистой текущей ценности вариантов реализации проекта;
h) анализ чувствительности;
i) рекомендации.