Экономический подход к защите информации можно сформулировать следующим образом: «Если размер затрат на получение какой-либо информации превышает ее стоимость или тот ущерб, который может быть нанесен, если она станет доступна конкуренту, то система защиты выгодна». Этот принцип не нашел (да и не мог найти) своего отражения в области защиты государственных тайн. Для рынка же эта идея очевидна — нужно, чтобы стоимость системы защиты информации не превышала стоимости самой информации.
При организации охраны коммерческой информации следует руководствоваться соображениями разумности и не гнаться за 100%-ной защитой, допуская возможность хищения (порчи или блокирования) части данных.
Главное требование к системе ИБ с экономической точки зрения формулируется следующим образом: система ИБ должна повысить доходы (или снизить расходы) при ведении основной деятельности компании.
Достичь увеличения доходов и снижения расходов можно несколькими путями:
То, что система защиты решает часть или все из вышеперечисленных задач, понимают многие. Но главная проблема в том, чтобы размер инвестиций в систему защиты не превышал получаемую от ее внедрения выгоду.
Таким образом, для обоснования необходимости приобретения системы защиты необходимо выяснить, что позволит решить та или иная система защиты, а также подсчитать все плюсы и минусы от ее внедрения.
Фактически необходимо подсчитать доходы и расходы от внедрения системы защиты и представить полученное технико-экономическое обоснование руководству. Первую задачу решает механизм подсчета возврата инвестиций (ROI), а вторую — расчет совокупной стоимости владения (ТСО).
