лькість видів витрат, прийнятих у розрахунок; Cnt - витрати n-ого виду, понесені у t-му періоді, грн. p> Таким чином, в цілому можуть бути визначені витрати, пов'язані з реалізацією заходів щодо забезпечення інформаційної безпеки. Однак найбільшу складність представляє визначення позитивного ефекту від впровадження засобів захисту інформації. Як правило, ефект від впровадження ІС визначається тим, що вони забезпечують автоматизацію і прискорення різних бізнес-операцій, що дозволяє скоротити витрати праці, придбати конкурентні переваги і, таким чином, підвищити загальну ефективність господарської діяльності. p> Проте впровадження засобів захисту інформації саме по собі, не забезпечує скорочення витрат - досягнення позитивного ефекту від їх використання залежить від безлічі важкоконтрольованих факторів як всередині підприємства, так і поза ним. Більше того, реалізація заходів, пов'язаних із забезпеченням ІБ, може призвести до додаткових навантажень на персонал підприємства і, відповідно, до зниження продуктивності праці. p> Одним з небагатьох способів, визначення ефекту від здійснення заходів у сфері захисту інформації, є грошова оцінка збитку, який може бути нанесений інформаційних ресурсів підприємства, і який може бути відвернений в результаті реалізації пропонованих заходів. Таким чином, передбачуваний відвернена збиток і становитиме отриманий економічний ефект або додатковий грошовий потік. При такому підході більшість розрахунків можуть бути тільки оціночними і носити приблизний характер. Це пов'язано з тим, що активність зловмисників, що є джерелами загроз для ІБ, практично непередбачена: неможливо достовірно передбачити стратегії нападу, кваліфікацію нападників, їх конкретні наміри і ресурси, які будуть задіяні для вчинення тих чи інших дій, а також наміри щодо вкраденої інформації . p> Відповідно, для здійснення всіх необхідних розрахунків необхідно зробити безліч припущень і експертних оцінок у контексті діяльності даного конкретного підприємства, а також по можливості вивчити статистичну інформацію, що стосується атак на інформаційні ресурси, аналогічні захищається. p> Таким чином, економічна оцінка ефективності заходів щодо захисту інформації передбачає: оцінку існуючих загроз для інформаційних активів, яких торкнеться реалізація захисних заходів; оцінку ймовірності реалізації кожної з виявлених загроз; економічну оцінку наслідків реалізації загроз. p> Для здійснення такого аналізу, як правило, використовуються такі базові поняття: - оціночна величина одноразових втрат (Single Loss Expectancy, SLEi) - передбачувана середня оціночна сума збитку в результаті одного порушення інформаційної безпеки i-го типу. Вона може бути визначена як добуток загальної вартості захищаються інформаційного активів AV (Active Value) на коефіцієнт їх руйнування внаслідок порушення інформаційної безпеки EFi (Exposure Factor); - кількість порушень інформаційної безпеки за рік (Annualized Rate of Occurrence, AROi) - оцінна частота, з я...
