Рассматривая вопросы информационной безопасности, нельзя не затронуть взаимной зависимости между ними и общими задачами кредитной органи­зации. Часто приходится сталкиваться с ситуациями, когда развитие отдель­ных направлений бизнеса просто блокируется требованиями безопасности. Обычно это имеет смысл, так как затраты на защиту информационного ресурса того или иного бизнеса вместе с остаточным риском больше, чем ожидаемый доход.

Однако ошибки в подобных расчетах означают потерю конкурентного преимущества и как следствие намного больший ущерб для организации в целом. Эта угроза заставляет многие банки идти на риск, игнорируя риски ин­формационной безопасности, скрывая возникающие проблемы. Рассмотрим некоторые критерии, облегчающие принятие решений в этой области.

Согласно общему правилу экономической целесообразности определяется следующее выражение:

[SCO - S) х Г+ 1%(Т) > (S1 х (%У + Sa х Т]/К,

где

SOI — функция ожидаемого дохода от нового продукта, зависит от вре­мени;

S — сумма требуемого дохода от рассматриваемого продукта;

Т— рассматриваемый промежуток времени;

1 %(Г) — прибыль за счет вторичного использования средств, полученных в качестве дохода от рассматриваемого продукта;

S1 — разовая инвестиция в систему информационной безопасности;

(%)г — потерянная прибыль от использования вложенных средств;

Sа — затраты на сопровождение;

К — коэффициент доли использования, определяется исходя из исполь­зования необходимых в данном случае элементов системы безопасности другими продуктами.

Рассматривая эту формулу, нетрудно заметить, что в случае возникновения противоречия между развитием бизнеса и уязвимостью его информационной системы можно использовать следующие типовые решения:

• создание системы общей защиты для всей информационной среды организации а не для отдельных модулей. Это может стоить дороже,

у

однако снижаются затраты на сопровождение и на внедрение новых решений;

• стандартизацию решений, что также позволит снизить стоимость со­провождения и обеспечения информационной безопасности;

• снижение требуемого уровня рентабельности новой услуги;

• применение решений, проверенных в других организациях.

Но в любом случае, анализируя систему информационной безопасности, к ней следует относиться не как к злу, дополнительным и неоправданным затратам, а как к части общих услуг, предлагаемых клиенту, гарантирующих конфиденциальность его бизнеса и сохранность его денег.