Пробные занятия. Бесплатно!
Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь


Система обеспечения информационной безопасности персональных данных на предприятии. Инвестиционная оценка внедрения проекта

Булгакова Е.С.
выпускник группы MBA CSO 12
Школы IT-менеджмента
РАНХиГС при Президенте РФ

Свое начало информационная безопасность в России берет с древнейших времен. В сравнительно же управляемое русло она вошла во времена Ивана IV Грозного, когда Российское государство приступило к активной внешнеполитической деятельности с регулярной дипломатической перепиской, а также постоянными войнами и конфликтами.

Технический прогресс и с каждым годом усиливающееся влияние информационных технологий на жизнь общества послужили началом формирования новой отрасли права - информационное законодательство.

Европейский союз сначала в 1981 году, а затем в 1999 году принял директиву № 95/46/ЕС «О защите физических лиц применительно к обработке персональных данных и свободном движении таких данных». В Российской Федерации предпосылки к подобной сфере законодательства были определены в федеральном законе от 20.02.1995 № 24-ФЗ «Об информации, информатизации и защите информации». Однако четко отмечены лишь в 2006 году с выходом федерального закона № 152-ФЗ «О персональных данных», который задал новые требования в развитии информационной безопасности. И впервые закрепил требования по защите персональных данных в рамках отдельного, самостоятельного федерального закона, сделав их обязательными для юридических лиц и индивидуальных предпринимателей.

При всей работе, проделанной за последние 25 лет в области обработки и защиты персональных данных субъектов, актуальным остается вопрос баланса между интересами бизнеса и интересами субъекта персональных данных, воплощением которых является блок законодательства Российской Федерации по обработке и защите персональных данных. Выполнить требование закона - недостаточное условие для существования подразделений информационной безопасности. В сложившихся экономических условиях стало необходимо показать бизнесу выгоды от проектов в области персональных данных. Для достижения этого результата первое с чего стоит начать – это изучение уже имеющихся активов. Далее на основе выявленных активов разработать архитектуру информационной безопасности с учетом настоящих и будущих потребностей.

Следующим этапом для изыскания возможности построения оптимальной системы защиты персональных данных при минимальных затратах является переход от оценки результативности к оценке эффективности. Понятие эффективности системы защиты персональных данных для бизнеса включает в себя три аспекта. Во-первых - это достижение соответствия требованиям законодательства. Во-вторых, защитабизнеса от реализации угроз. И, в-третьих – стоимость проекта.

Проекты по обработке и защите персональных данных субъектов включают в себя закупку, в том числе, программного обеспечения, поддержание работоспособности которого требует обновления его лицензий. И при таких условиях выводом является тот факт, что система защиты персональных данных, заработная плата работников, которые поддерживает работоспособность этой системы, а также постоянная работа по поддержанию соответствия бизнеса требованиям федерального законодательства в области обработки и защиты персональных данных, исключительно затратная статья бюджета.

Стимулом, повышающим экономический интерес для бизнеса от описываемых проектов, является обязательность положений федерального законодательства, а также тот факт, что система безопасности в целом – фактор превентивной защиты бизнеса. Иными словами, внедрение системы защиты персональных данных позволит бизнесу не только добиться соответствия требованиям законодательства в области обработки и защиты персональных данных, что, в свою очередь, позволяет сократить или исключить расходы будущих периодов, связанные с проверками органов исполнительной власти, возможными судебными издержками, в том числе со стороны субъектов персональных данных, а также минимизировать ущерб от инцидентов.В совокупности это является возможными расходами будущих периодов, исключение которых для подразделений информационной безопасности - тот самый положительный эффект, ожидаемый бизнесом.

На основе документа «Методические рекомендации по оценке эффективности инвестиционных проектов», утвержденный Министерством экономики Российской Федерации, Министерством финансов Российской Федерации, Государственным комитетом Российской Федерации по строительной, архитектурной и жилищной политике 21 июня 1999 года № ВК 477, была разработана методика оценки экономической эффективности системы защиты персональных данных на базе критерия «эффективность затрат на создание системы защиты», который определяется как период времени, в течение которого затраты на создание системы защиты персональных данных будут меньше возможных потерь от отсутствия системы защиты персональных данных. Чем меньше этот период, тем целесообразнее затраты на систему защиты персональных данных в выбранной конфигурации.

Предлагаемая модель является универсальной за счет возможности ее реструктурирования под частные случаи.

Модель экономической эффективности затрат на внедрение системы защиты персональных данныхпредприятием применяется после решения таких задач как:

  • формирование перечня требований, мероприятий, необходимых к реализации;
  • формирование перечня средств защиты информации.

    Основной метод, позволяющий определить достоинства и недостатки инвестиций в проекты по обработке и защите персональных данных на предприятии – это NetPresentValue (чистый дисконтируемый доход).

    Для расчета чистого дисконтируемого дохода, во-первых, необходимо определить первоначальное вложение денежных средств и предполагаемые притоки денежных средств в будущем (расчет потенциального ущерба от нереализованных инцидентов). Решение этой задачи является:

  • формирование перечня программных и технических средств, которые предприятие определит для себя как наиболее подходящие;
  • расчет потенциального ущерба от инцидентов различного характера в случае отказа от реализации проекта.

    При решении вопроса формирования перечня программных и технических средств стоит рассматривать несколько вариантов конфигураций систем защиты персональных данных. В дальнейшем каждый из вариантов, отраженный в модели, может быть рассмотрен с точки зрения следующих экономических показателей: суммарный чистый дисконтированный поток, внутренняя норма доходности, срок окупаемости проекта.Во-вторых - ставку дисконтирования.

    Далее, исходя их приведенных экономических показателей, выбирается оптимальный вариант системы защиты персональных данных.

    Логическое обоснование метода: в момент когда чистый дисконтируемый доход равен нулю – затраты напроект создания системы защиты персональных данныхстали равны затратам на ликвидацию последствий инцидентов. В этот момент проект по созданию системы защиты персональных данных перестанет быть бременем для бизнеса. На графике чистый дисконтируемый доход равен нулю в точке А.

     

     

     

  • Рубрика: 
    Информационная безопасность
    Голосов пока нет
    Школа IT-менеджмента Экономического факультета АНХ, 119571, Россия, г. Москва, проспект Вернадского, д. 82 корп. 2, офис 207, тел.: +7 (495) 933-96-00, Copyright @ 2008-2009