Модель эффективности инвестиций в информационную безопасность предприятия

1 
МОДЕЛЬ ЭФФЕКТИВНОСТИ ИНВЕСТИЦИЙ В ИНФОРМАЦИОННУЮ 
БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ 
Жаринова Светлана Сергеевна 
Бабенко Алексей Александрович 
На современном этапе развития экономической и информационной сфер предприятий 
наблюдается стоимость информационного актива. Это обусловлено тем, что активы стали 
содержать информацию не только конфиденциального характера, но и коммерческую тайну. В 
связи с этим перед организациями стоит задача защиты информации для обеспечения 
непрерывности функционирования бизнес-процессов. 
Целью исследования является повышение эффективности инвестиций в информационную 
безопасность. Для достижения цели необходимо последовательно решить следующие задачи: 
анализ подходов к оценке затрат в информационную безопасность предприятия; определение 
специфики российского подхода к оценке затрат в информационную безопасность предприятия; 
разработка модели, повышающей эффективность инвестиций в информационную безопасность 
предприятия. В результате исследования было установлено, что задача оценки эффективности 
инвестиций в информационную безопасность предприятий ещё не решена. В работе предложена 
новая методология, основанная на формализованной модели, повышающей эффективность 
инвестиций в информационную безопасность предприятия. Информационную базу исследования 
составили открытые статистические данные операций инвестирования в информационную 
безопасность и оценка их эффективности. Результаты экспериментального исследования показали, 
что предложенная модель позволяет повысить эффективность инвестиций в информационную 
безопасность предприятия. 
эффективность инвестиций, оценка затрат, информационная безопасность. 
Непрерывный оборот информационного актива, связь между информационными 
ресурсами, эффективное функционирование информационных систем, в которых они 
обрабатываются, влияют на конечные финансовые показатели компании. При выборе стратегии 
управления компанией необходимо учесть затраты на построение системы защиты и её 
дальнейшего усовершенствования. На данном этапе работ возникает ряд трудностей от оценки 
значимости информационного актива до определения составных инвестиций необходимых для 
выстраивания системы защиты высокого уровня. 
Под активом будем понимать что-либо, что имеет ценность для организации [3]. Под 
информационным активом – знания или данные, которые имеют значения для организации [3]. 
Обеспечение информационной безопасности предприятия в современном мире является 
сложным и специфическим процессом, подверженным воздействию множества внешних и 
внутренних факторов. Один из основополагающих факторов осуществления процессов 
построения, организации и реализации информационной безопасности предприятия, является 
инвестирование. Стратегию системы защиты высокого уровня возможно построить только в том 
случае, если провести предварительный анализ инвестиций и оценить эффективность затрат в 
информационную безопасность. 
При принятии решения об инвестировании деятельности, направленной на построение 
систем защиты информации, необходимо использовать специальную методологию, позволяющую 
произвести эффективные затраты на реализацию информационной безопасности предприятия. 
Однако не все подходы к оценке затрат в информационную безопасность предприятия 
распределяют денежные ресурсы так, что инвестирование средств на ее построение является 
эффективным. 
Согласно 
статистическим 
данным 
затраты 
на 
обеспечение 
режима 
информационной безопасности составляют 30% от всех затрат предприятия на информационные 
системы, а стоимость системы защиты информационной безопасности предприятия должна 
составлять примерно 20% от стоимости информационного ресурса предприятия [1]. Однако всего 

2 
лишь 10% предприятий осуществляют эффективное инвестирование информационной 
безопасности, 40% – подвергаются большим количествам рисков нарушения информационной 
безопасности [2]. 
Таким образом, проблема эффективного инвестирования информационной безопасности 
предприятия ещё не решена, что подтверждается анализом опубликованных работ и 
существующих подходов. Результаты анализа показывают, что открытыми являются такие 
вопросы, как оценка эффективности инвестиций в информационную безопасность, адаптация 
данной оценки к реальному времени, принятие решений об организации инвестиционного оборота 
предприятия в условиях недостатка статистических данных и параметрических оценок, 
сопоставление оценок возможных рисков новым угрозам нарушения информационной 
безопасности. 
Проблема эффективности инвестиций в информационную безопасность актуализируется 
тем, что существующие подходы к оценке затрат в информационную безопасность предприятия 
ориентированы на децентрализованный документооборот, который является специфичным для 
России. Также не все подходы к оценке затрат в информационную безопасность предприятия 
способны обеспечить повышение эффективности инвестиций в информационную безопасность 
предприятия. 
Проблемам оценки эффективности инвестиций в информационную безопасность 
предприятия посвящены работы В.А. Белецкого, В.Н. Ясенева, С.А. Петренко, С.В. Симонова, 
М.А. Амшина, Е.З. Зиндер. 
Подавляющее большинство работ ориентировано на оценку рисков нарушения 
информационной безопасности предприятия, крайне редко рассматривается вопрос комплексной 
оценки эффективности инвестиций в информационную безопасность предприятия. 
В настоящее время выделяют следующие подходы к оценке затрат в информационную 
безопасность: CCB, NPV, рентабельность инвестиций в информационную безопасность. В основе 
каждого подхода лежит уникальная математическая модель оценки инвестиций. 
Модель оценки инвестиций – математический аппарат, который определяет сферу оценки, 
отражающую контекст оценки инвестиций в рамках критерия оценки инвестиций [3]. 
Так, в основе подхода CCB лежит модель DCF, NPV содержит модель оценки инвестиций 
NPV с эквивалентным аннуитетом, а рентабельность инвестиций в информационную безопасность 
базируется на модели PI. 
Анализ подходов к оценке затрат в информационную безопасность предприятия показал, 
что эти подходы ограничиваются лишь оценкой чистой приведённой стоимости информационного 
актива и оценкой рисков нарушения информационной безопасности предприятия. Основным 
минусом данных подходов является то, что достижение эффективности инвестиций в 
информационную безопасность можно добиться, если использовать их комбинированно. Анализ 
подходов к оценке затрат в информационную безопасность описан в таблице 1. 
Таблица 1 - Анализ подходов к оценке затрат в информационную безопасность 
№ Название 
подхода 
Модель 
Показатели оценок 
Преимущества 
Недостатки 
1 CCB 
DCF 
TCO 
ROI 
-комплексная оценка 
затрат; 
- оценка затрат на всех 
этапах ЖЦ СЗИ и бизнес – 
процессов организации 
- ROI является 
статичным, не 
учитывающим 
изменение 
ситуации во 
времени 
2 Рентабель
ность 
инвестици
й в 
PI 
Pi 
- соответствие 
общепринятым методам 
бухучета и, как следствие, 
доступность исходной 
- не учитывается 
стоимость денег 
во времени; 
-неаддитивность 

3 
информац
ионную 
безопаснос
ть 
информации; 
- быстрота получения 
оценки 
(рентабельность 
проекта не равна 
сумме величин 
рентабельности 
его этапов) 
3 NPV 
NPV с 
эквивале
нтным 
аннуите
том 
EA 
NPV 
- учитывается 
альтернативная стоимость 
используемых ресурсов; 
- оценка инвестиционных 
проектов проводится с 
позиции инвестора и не 
зависит от учетной 
политики 
- некоторые из 
используемых 
ресурсов трудно 
оценить в 
денежном 
выражении; 
- привязка к
повышению 
акционерной 
стоимости фирмы 
В связи с тем, что проанализированные подходы к оценке затрат в информационную 
безопасность ориентированы на западные компании, определим специфику российского подхода к 
оценке затрат в информационную безопасность предприятия. Специфика российского подхода к 
оценке затрат в информационную безопасность (рисунок 1) сводится к расчёту рисков нарушения 
информационной безопасности, на основе которого даётся оценка о непрерывности 
функционирования информационных процессов предприятия и коэффициента внутренней нормы 
рентабельности инвестиций. 
Рисунок 1 – Специфика российского подхода к оценке затрат в информационную безопасность 
Информационный риск – потенциальная угроза эксплуатации уязвимости актива или 
группы ценных свойств, вызывая, вред организации [3]. 
При использовании специфики российского подхода к оценке затрат в информационную 
безопасность предприятия компании, на практике, определяют различные уровни рисков: 
допустимый, критический, недопустимый, стабильный. Определение допустимого уровня рисков 
Проведение аудита 
информационной 
безопасности 
Идентификация рисков 
Оценка рисков 
Определение допустимых 
уровней рисков 
=
( ) , 
где
( ) – вероятность реализации 
злоумышленником угрозы 
– 
величина 
ущерба 
от 
нанесённой угрозы i = 1,2, .. , n 
Расчёт коэффициента IRR – 
внутренней нормы 
рентабельности 

4 
при использовании российского подхода производится исходя из показателей: недолговечность 
информационного актива, доказуемая безопасность, обоснование стоимости информационного 
ресурса. Оценка коэффициента внутренней нормы рентабельности инвестиций позволяет 
разграничивать риски по уровням, и исключать те, которые не вошли в допустимый уровень 
рисков. [4]. 
В связи с тем, что основным показателем российского подхода к оценке затрат в 
информационную безопасность является оценка информационных рисков, проведём анализ 
рисков (таблица 2). В результате анализа рисков нарушения информационной безопасности было 
выделено три вида рисков. Оценки каждого риска различны. Поэтому в зависимости от категории 
рисков, оценка риска нарушения информационной безопасность в рамках предложенной модели 
будет определяться по-разному.
Таблица 2 – Анализ рисков нарушения информационной безопасности. 
Вид риска (Обозначение) 
Причина возникновения риска 
Разрешимость риска 
Риск, связанный с 
программно – технической 
реализацией системы защиты 
(
). 
Возникает из – за 
невозможности реализации 
100% - ой надёжности и 
отказоустойчивости. 
1. 
Более эффективно 
проработать структуры и 
принципы управления 
системой защиты. 
2. 
Проведение системного 
анализа состояния системы 
защиты. 
Риск, связанный с 
технологической 
реализацией системы защиты 
при внедрении на 
предприятие (
) 
Отсталость технического или 
программного обеспечения. 
1. Наладить мощность 
технических и программных 
средств. 
2. Снизить функциональную 
ёмкость системы защиты. 
Риск, обусловленный 
рыночной конъюнктурой 
(
). 
Нерентабельность проекта 
построения СЗИ. 
Низкий объём продаж. 
Увеличивать 
ориентированность на 
потребителей. 
Представление информационной безопасности как информационного процесса, а не 
продукта, даёт возможность интерпретировать безопасность информационных активов как 
многофункциональный процесс 
управления 
рисками нарушения 
режима 
безопасности 
организации. В результате управления рисками можно достичь баланса информационных рисков 
для деятельности компании, снижая потенциальные угрозы, направленные на вычислительные 
средства, 
обрабатывающие 
информационные 
ресурсы. 
Результатами 
баланса 
рисков 
информационных активов является выбор эффективного метода управления, который позволяет 
максимально точно определить параметры безопасности информационного продукта, и получение 
максимальной прибыли от вложенных средств на построение системы защиты информации [4]. 
Таким образом, российский подход к оценке затрат в информационную безопасность 
предоставляет оценку информационных рисков в виде расчёта суммы рисков, присущих 
определённой информационной системе и системе информационной безопасности, с учётом не 
только внутренних и внешних факторов, но и определённых условий, присущих системе. 
В качестве решения проблемы повышения эффективности инвестиций в информационную 
безопасность предприятия мы предлагаем новую методологию к оценке затрат в информационную 
безопасность, которая основана на применении формализованной модели, получающей 
интегральный критерий эффективности инвестиций в информационную безопасность, и 
способной повысить эффективность инвестиций в информационную безопасность предприятия. 
Данная модель реализована в виде программного комплекса. 
Предложенная модель получает интегральный критерий оценки эффективности инвестиций 
в информационную безопасность, который состоит из следующих параметров: 

5 
 
значимость информационного актива; 
 
признак эффективности затрат; 
 
единичный риск; 
 
субъективный риск; 
 
совокупный риск; 
 
ранг процесса разработки системы защиты информации;
 
приведённая стоимость денежного потока; 
 
коэффициент рентабельности инвестиций в информационную безопасность; 
 
степень риска в единицу среднего дохода; 
 
оценка дохода от использования системы защиты информации. 
Значимость информационного актива можно оценить по следующей формуле: 
=
(1),
где – стоимость информационного ресурса, 
– капитал, вложенный в эксплуатацию этого информационного ресурса [5]. 
Признак эффективности затрат 
∆ можно оценить по формуле: 
∆ = (2), 
где – ожидаемый экономический эффект, 
– расходы на разработку системы защиты информации. 
Единичный риск нарушения информационной безопасности предприятия R оценивается 
исходя из формулы: