Материал продолжает начатный цикл статей, в который информационную безопасность рассматривается с точки зрения ее экономической составляющей. В данной публикации остановимся на вопросах определения информации как ценного актива компании, а также рассмотрим методику оценки его стоимости. По мнению автора данная методика позволяет наиболее объективно измерить информационные активы, и является связующим звеном между информационной безопасностью, как прикладной сферой деятельности, и её финансово-экономической базой.
2. Информация как самостоятельный актив
3. Проблемы оценки стоимости информационных активов
Введение
Наряду с классическими факторами производства, такими как труд, земля, капитал, информация становится одним из основных ресурсов, обеспечивающих деятельность компании. Более того, информация, зачастую, сама является исходным сырьем или результатом производства – товаром, предлагаемым конечному потребителю. С данной позиции информация становится активом компании, который нуждается, в каком то измерении, учете и выражении в общепринятых количественных показателях.
В отличие от других фундаментальных ресурсов, теоретическому и практическому рассмотрению которых уделено много научных работ, информационные активы это своего рода феномен современного общества. Поэтому столь долгое время отсутствовали инструменты их оценки и учета. А, тем временем, информационные активы – это тоже поддающийся измерению результат деятельности компании за определённый период времени. Применяя достижения в области информационных технологий и опыт бухгалтерского учета, автор попытается изложить новую точку зрения на следующие вопросы:
Насколько же ценен информационный актив для собственника? Какой ущерб может понести компания в случае его компрометации? Каким образом выразить ценность информации в общепринятых количественных параметрах (денежном выражении)?
Информация как самостоятельный актив
В независимости от форм собственности и вида деятельности учреждения информация является основой для принятия важнейших управленческих решений, например, определения стратегии поведения на рынке, планов дальнейшего развития, инвестирования в проект, заключений сделок. Одним из основных поставщиком такой информации для руководства компании является бухгалтерия. Главная проблема заключается в том, что, как правило, в итоговом балансе основное внимание уделяется материальным составляющим – имуществу, оборотным активам, обязательствам, дебиторской и кредиторской задолженности, и мало внимания уделяется нематериальным активам.
А, тем временем, информация может являться едва ли не самым ценным фактором, приносящим прибыль. Проиллюстрировать подобную ситуацию можно на примере брокерского обслуживания, оказывающего услуги по управлению ценными бумагами на международных биржах. Любая информация, даже неправдоподобные слухи, мгновенно могут изменить картину происходящего на рынке. Что говорить, если, к примеру, произойдет утечка информации о заключении сделки или судебном разбирательстве, просочится инсайдерская информация о новинках выпускаемой продукции -- акции мгновенно рухнут или взлетят. Или компании разработчики программного обеспечения, для которых информация это одновременно и рабочий материал и итоговый продукт. Новые технологии, инновационные идеи, производственные ноу-хау, исходный код программного продукта, – это все информация, и ее использование как ресурса значительно влияет на итоговые результаты деятельности. Следовательно, информация перестает быть просто сведениями, она становится ценным информационным активом компании. И для защиты интересов собственника такой информации существует федеральный закон от 29.07.2004 N 98-ФЗ «О коммерческой тайне», позволяющий законными методами защищать часть таких активов в режиме коммерческой тайны.
Поскольку вся информация обрабатывается с использованием информационных технологий, она неразрывно связана с вычислительной техникой и сотрудниками, которые ее используют. Итак, под информационными активами организации будем понимать все ценные информационные ресурсы собственника, способные приносить ему экономическую выгоду, в которых аккумулированы знания, умения и навыки персонала, и реализованные с использованием современных информационных технологий. Иначе говоря, информационные активы необходимо рассматривать как неотделимую совокупность самих сведений, средств их обработки и персонала, имеющих к ней доступ и непосредственно их использующие. И, соответственно, конечная стоимость информационных активов тоже будет формироваться суммарной стоимостью всех составляющих описанных выше.
И, раз есть информационные активы, необходимо иметь механизмы по оценке и учёту такого рода активов. Из-за специфичности эта функцию часто перекладывают на службу информационной безопасности, где процесс учета и оценки является составной частью риск-менеджмента, хотя данный вопрос уже давно выходит за рамки одной лишь службы. Правильно учтенные и оцененные активы позволяют, во-первых эффективно управлять уже имеющимися выгодами и оценить потенциал использования их в будущем, и, во-вторых, учитывать эти параметры в итоговом балансе, что может значительно сказаться на показателях и индексах общей кредитоспособности, инвестиционной привлекательности, финансовой устойчивости компании.
Проблемы оценки стоимости информационных активов
Информационные активы являются нематериальными и, поэтому, первой из проблем является их формирование как объекта. Выделение именно ценных и полезных в коммерческом плане сведений из всего массива информации вовлеченной в бизнес-процессы компании. Вопрос решается путем создания экспертной комиссии, в состав которой входят непосредственно сами участники бизнес-процесса – руководители, узкоквалифицированные специалисты, способные определить на каком этапе производства какие именно сведения используются как ценный ресурс. Качество и достоверность полученных результатов напрямую зависит от компетентности и профессионального опыта комиссии. Общий перечень возможных конфиденциальных сведений представлен в приложении N. Однако, формируя такой перечень, необходимо помнить о том, что не все сведения могут защищаться в режиме коммерческой тайны. ограничения установлены ст. 5 98-ФЗ «О коммерческой тайне».
Другой, более сложной и глобальной проблемой, является определение ценности информационного актива и объективное выражение его в общепринятом количественном показателе – денежном выражении. Задача является слабо формализуемой, поэтому все значения, полученные в результате оценки будут приближенными. Только собственник информационного актива или другое лицо, извлекающего с его помощью прибыль, может объективно выразить его денежную стоимость.
Для определения стоимости актива применяются различные методы. Самый простой – это определение стоимости путем расчета трудозатрат на единицу полученной ценной информации. К примеру, произведение среднечасовой ставки сотрудника на затраченное им время для получении этих сведений. Однако такой метод не позволяет оценивать уже имеющиеся активы или активы, полученные иным путем. Как определились считать ранее, информационный актив – это не просто ценные сведения, его нужно рассматривать как неотделимую совокупность вышеуказанных элементов. Поэтому, более прогрессивный подход предполагает комбинированную оценку стоимости путем учета многих факторов, среди которых, например, стоимость получения информации, ее обработки и хранения с использованием вычислительной техники, человеческие трудозатраты.
Еще одной проблемой является то, что, по сравнению другими объектами, например, основными средствами организации, информационные активы являются очень динамической структурой, срок полезного использования которых, в виду быстрой потери актуальности информации, крайне неопределенный и стоимость которых также может значительно меняться в очень короткие промежутки времени. Это требует их периодической переоценки. Причем оценка по резервному значению, которая берется на начало и конец года не отражает реальной картины, эффективным вариантом признан метод оценка исходя из среднего значения по всем дням в течении отчетного года.
В виду своей специфичности обладание ценными сведениями также не всегда ведет к прямому росту прибыли, к примеру, большое значение может иметь имиджевое положение компании (англ. goodwill). В данном случае, упрощая, можно сказать, что порой неоправданные с экономической точки зрения действия дают определенные выгоды компании. Это, к примеру, больше всего распространено среди азиатских стран, где дань уважения и сохранения традиций имеет гораздо больший смысл, чем сугубо экономические преимущества. Такой имиджевый показатель как рейтинг очень сложно измерить и выразить его стоимость в денежном эквиваленте. Однако в определенный момент именно эти критерии могут оказать существенное влияние в пользу увеличения статуса компании, совершения крупной сделки с компанией-партнером и т.д.
Методика оценки стоимости
Первоначальным этапом необходимо сформировать информационные активы как объект учета и оценки. Алгоритм оценки имеющихся корпоративных информационных активов включает в себя их описание по следующим категориям:
- человеческие ресурсы;
- информационные активы (открытая и конфиденциальная информация);
- программные ресурсы (программные продукты, базы данных, корпоративные сервисы, например, 1С, Банк-клиент и др, а также зависимое аппаратное обеспечение);
- физические ресурсы (сервера, рабочие станции, сетевое и телекоммуникационное оборудование, в том силе мобильные устройства);
- сервисные ресурсы (электронная почта, веб ресурсы, онлайн-хранилища, каналы передачи данных и т.п.);
- помещения (в которых обрабатывается и хранится информация).
Далее экспертная комиссия, сформированная по приказу директора и состоящая из узкоквалифицированых специалистов – экспертов, проводит детальную категоризацию имеющейся корпоративной информации, т.е. выделение защищаемой информации из всего объема информационных активов, а далее из категории защищаемых информационных активов – выделение конкретно ценой конфиденциальной информации (см. приложение 1).
Категоризация заключается в определении уровня ценности информации, его критичности. Под критичностью понимается степень влияния информации на эффективность функционирования хозяйственных процессов компании. Различные варианты методик категоризации приведены в международном стандарте ISO/IEC TR 13335 отечественным аналогом которого является ГОСТ Р ИСО/МЭК ТО 13335-х.
Например, определение ценности информации по вышеназванным параметрам может быть отражено в таблице 1, где сумма баллов, расположенных на пересечении столбцов и строк таблицы, указывает на ценность информации в целом для организации, включающей в себя вид информации с точки зрения ограниченности доступа к ней и критичность информации для компании.
Таблица 1. Определение ценности информации
| Параметр/значение | Критичность информации | ||
| Ценность вида информации | Критичная (3 балла) |
Существенная (2 балла) |
Незначи-тельная (1 балл) |
| Строго конфиденциальная (4 балла) | 7 | 6 | 5 |
| Конфиденциальная (3 балла) | 6 | 5 | 4 |
| Для внутреннего пользования (2 балла) | 5 | 4 | 3 |
| Открытая (1 балл) | 4 | 3 | 2 |
Можно использовать отраслевой дифференцированный подход: присвоить параметру ценности информации определенное весовое значение для определения уровня значимости ресурса с точки зрения его участия в деятельности компании. Например, можно определить коэффициент ценности различных категорий информации, отраженных в таблице 2.
Таблица 2. Коэффициент ценности информации
| Категорияинформации | Открытая информа-ция | Конфиденциальная информация | |||
| Управленч., коммерч. | Технологи-ческая | Финансовая, бухгалтер. | Персональ-ные данные | ||
| Коэффициент ценности | 1 | 1,4 | 1,3 | 1,2 | 1,1 |
Также имеется еще один подход к определению ценности информации (в результате возможности восполнения потерь в случае реализации угроз) в соотношении с вероятностью проявления угроз (таблица 3).
Таблица 3. Определение потерь и вероятности реализации угроз
| Потери | Вероятности реализации угроз | ||
| Несущественная, <1% |
Существенная, от 1% до 10% |
Высокая, свыше 10% |
|
| Незначительные (меньше 1% стоимости предприятия) | 1 | 2 | 2 |
| Значительные (от 1% до 10%) | 2 | 2 | 2 |
| Критические высокие(свыше 10%) | 2 | 3а* | 3б* |
* Риски подкатегории 3б неприемлемы для организации и должны быть нейтрализованы в любом случае, даже если для этого необходимо перестроить все бизнес процессы компании.
В итоге оценивается суммарная значимость информации и применяемых информационных технологий в деятельности хозяйствующего субъекта. Показатель может иметь приблизительную качественную оценку – «весьма значимо», «существенно значимо», «мало значимо», «не значимо». А также приблизительную количественную оценку – процентную (на сколько % деятельность организации зависит от используемой информации) или в рублевом эквиваленте (какую часть общей капитализации организации составляет информация в рублях).
Экспертными методами с применением математического методов также высчитывается «субъективная» и «объективная» вероятность той или иной угрозы, общее результирующее значение которой учитывается при составлении таблицы (таблица 3.1).
Таблица 3.1. Преобразование вероятности реализации угрозы к ежегодной частоте (Ву)
| Частота (Ву) | Вероятность возникновения угрозы за определенный период | Уровень вероятности |
| 0,05 | угроза практически никогда не реализуется | очень низкий уровень |
| 0,6 | примерно 2-3 раза в пять лет | очень низкий уровень |
| 1 | примерно 1 раз в год и реже (180<У>366 (дней)) | низкий уровень |
| 2 | примерно 1 раз в полгода (90<У<180 (дней)) | низкий уровень |
| 4 | примерно 1 раз в 3 месяца (60<У<90 (дней)) | средний уровень |
| 6 | примерно 1 раз в 2 месяца (30<У<60 (дней)) | средний уровень |
| 12 | примерно 1 раз в месяц (15<У<30 (дней)) | высокий уровень |
| 24 | примерно 2 раза в месяц (7<У<15 (дней)) | высокий уровень |
| 52 | примерно 1 раз в неделю (1<У<7 (дней)) | очень высокий уровень |
| 365 | ежедневно (1<У<24 (часов)) | очень высокий уровень |
Для денежного выражения стоимости представляется целесообразным рассматривать ценность информационных ресурсов как с точки зрения ассоциированных с ними возможных финансовых потерь (выражаемое в рублевом эквиваленте), так и с точки зрения ущерба репутации организации (непрямых финансовых потерь), дезорганизации ее деятельности, нематериального ущерба от разглашения конфиденциальной информации и.т.д. Таким образом, ценность актива определяется экспертами путем оценки степени возможного нанесения ущерба организации при неправомерном использовании рассматриваемой информации (т.е. в случае нарушения его конфиденциальности, целостности или доступности).
Чтобы избежать избыточного суммирования по ущербу (иначе говоря затрат на ликвидацию последствий), необходимо анализировать возможность реализации угроз безопасности по видам информационных активов организации. Для экспертной оценки возможного ущерба от реализации угроз используются следующие категории: стоимость восстановления и ремонта вычислительной техники, сетей и иного оборудования; упущенная (потенциальная) прибыль; судебные издержки; потеря производительности труда, потери, связанные с простоем и выходом из строя оборудования.
В управлении рисками информационной безопасности для оценки стоимости информации применяется метод ожидаемых потерь (ALE – Annualised Loss Expectency), показывающий возможные потери организации в результате несоответствующих мер защиты информации. Производится вычисление уровня риска, т.е. показателя возможных потерь (ущерба) – далее Ущ, учитывая такие аспекты, как вероятность и частота проявления той или иной угрозы в течение года, возможный ущерб от ее реализации, степень уязвимости информации.
Консолидируя все вышеописанное получаем, что суммарная величина экономического ущерба разделена на несколько категорий:
1) упущенная прибыль (не выпущенная проекция, срыв сделки и т.д.) – на эту категории приходится большая доля экономического ущерба. В малых компаниях упущенная прибыль составляет приблизительно 50% от общего размера экономического ущерба, а в больших компаниях – приблизительно 80%;
2) стоимость замены, восстановления и ремонта вычислительной техники, сетей и иного оборудования составляет приблизительно 20% от экономического ущерба в небольших компаниях и 8% – в крупных компаниях;
3) потеря производительности (простой) – ущерб по данной категории составляет приблизительно 30% в небольших компаниях и 12% – в крупных компаниях.
По итогам исследования составляется заключение, характеризующее общий уровень защищенности информационных активов организации на текущий момент (в качественных показателях), определяется уровень зрелости организации к вопросам ИБ и совокупная психологическая готовность организации к внедрению режима защиты (мера эффективности и скорости отдачи от мероприятий направленных на защиту).
Последние исследования показывают, что большинство предприятий тратит на защиту информационных активов 2-5% от бюджета на информационные технологии, другие организации в ситуациях, когда чрезвычайно важны работоспособность информационных систем, целостность данных и конфиденциальность информации, затрачивают на это 10-20% от совокупного бюджета на ИТ, у некоторых организаций на поддержание инфраструктуры (в т.ч. на ИБ) уходит приблизительно 40% (Jet Info № 10(125)/2003, Информационная безопасность: экономические аспекты).
Стоимость защитных мероприятий может значительно отличаться для разных организаций, это зависит от многих обстоятельств, в том числе от величины и характера деятельности, нормативно-правовой базы, текущей оперативной обстановки, уровня зависимости от информационно-телекоммуникационных технологий, вовлеченности в электронный бизнес, профессиональных и личностных качеств персонала и др. В таблице 3.14 показано распределение бюджета на информационные технологии с отражением в этих категориях расходов на информационную безопасность (А. Леваков. Анатомия информационной безопасности США, 07 октября 2002).
Таблица 3.3. Распределение бюджета на информационные технологии и информационную безопасность (Источник: Computer Economics, А. Леваков)
| Секторы | Средний процент бюджета на ИС | Расходы на защитную деятельность или продукты |
| Инфраструктура сети передачи данных | 8.0 | Высокие |
| Рабочие станции, настольные персональные и портативные компьютеры | 8.7 | Высокие |
| Системы среднего класса | 7.4 | Средние |
| Серверы /суперсерверы LAN | 8.7 | Высокие |
| Программное обеспечение: операционная системы и утилиты | 5.5 | Средние |
| Мейнфреймы | 4.7 | Средние |
| Прикладное программное обеспечение | 6.8 | Средние |
| Услуги внешних фирм | 5.7 | Средние |
| Оплата труда сотрудников | 36.0 | Высокие |
| Накладные расходы | 3.1 | Низкие |
| Расходные материалы | 2.3 | Низкие |
| Обучение | 3.0 | Средние |
Как видно из таблицы, основная доля расходов приходится на оплату труда сотрудников (36% от всего бюджета на информационные технологии и информационную безопасность), защиту серверов (8,7%), компьютеров (8,7%) и инфраструктуры сети передачи данных (8%).
Рассмотрим упрощенный пример определения стоимости информационного актива небольшой организации. За основу возьмем кооперативную ERP систему 1С:Предприятие. Первоначальная стоимость актива будет формироваться из стоимости непосредственно приобретения самого программного продукта, среднечасовой стоимости эксплуатации технической базы для его обработки – сервера, сетевого оборудования, рабочих компьютеров сотрудников, зарплатой ставки операторов программы и непосредственно той информации, которая содержится в базе данных. Оценить стоимость самой информации, возможно пользуясь данными указанными в вышеописанных таблицах, а так же используя рассмотренный метод оценки ожидаемых потерь в результате нарушения безопасности (ALE – Annualised Loss Expectency). Иначе говоря, по сумме возможного ущерба. Как выяснили раньше в таком случае сумма ущерба будет рассчитываться как затраты на ремонт и восстановление оборудования + затраты связанные с простоем (в результате не совершения каких либо сделок, проведения финансовых операций, срыва сроков) + затраты на упущенную прибыль (потеря конкурентного преимущества, деловой репутации, рейтинга компании). Результатом всех расчетов будет стоимость информационного актива в денежном выражении, которую уже можно включать в бухгалтерские регистры и итоговый балансовый отчет.
Выводы
Учет и оценка информационных активов с точки зрения коммерческой составляющей деятельности компании позволяют предоставить высшему руководству объективную информацию для принятия важных стратегических решений.
Итоги по проведенному исследованию:
1) Информация является ценным ресурсом производства. С использованием информационных технологий и труда сотрудников ценные сведения формируются в особый вид нематериально блага – информационные активы, которые, так же как и другие подвергаются учету и измерению;
2) Главными проблемами оценки информационных активов является их выделение как объекта учета, а так же измерение в количественных показателях – денежном выражении. Поскольку в виду специфических особенностей данная задача слабо формализуема все оценки будут иметь приближенный характер;
3).Оценка стоимости информационных активов с выражением в денежном эквиваленте формируется комбинированными методами:
- экспертным методом с использованием табличных данных (см. таблицы 1-2);
- методом расчета ожидаемых потерь (ALE – Annualised Loss Expectency).
4) Ожидаемые финансовые потери (ущерб) формируется общей суммой в результате реализации угроз ИБ и складывается из нескольких факторов:
- упущенной прибыли (недополучения прибыли);
- стоимость замены, восстановления и ремонта оборудования;
- потеря производительности (вынужденного простоя).
Приведенная методика оценки, конечно же, не является абсолютно универсальным инструментом. По мнению автора она позволяет на сегодняшний день наиболее объективно измерить информационные активы, и является связующим звеном между информационной безопасностью, как прикладной сферой деятельности, и её финансово-экономической базой.
