Экономический эффект от внедрения средств информационной
безопасности, примеры расчета ROI
http://devbusiness.ru/mkozloff





Return on Investment (ROI)
Отдача от инвестиций
Выгода – Затраты
ROI = * 100%
Затраты
3

Безопасность – это ROI достигается за Угрозы, риски и
бизнес-процесс, счет снижения вероятности их
требующий рисков до проявления
инвестиций приемлемого уровня постоянно
в рамках конкретной изменяются
модели угроз

1.


2.


http://www.slideshare.net/mkozloff/roi-7039990

Централизованная
установка 20 ESX хостов (2CPU) 300 ВМ 3 администратора
vCenter/vGate
Настройки ИБ Годовая з/п
Горизонт расчета 3 Ставка соответствуют администратора с
года дисконтирования 15% требованиям PCI DSS, учетом накладных
CIS, VMware Hardening расходов = $48к

Ручная настройка
виртуальной
инфраструктуры VMware
для соответствия лучшим
практикам CIS, VSHG и
требованиям PCI DSS
Применение шаблонов
vGate снижает время
настройки в 4 раза









Приведенная
Показатель Значение
стоимость PV (3 года)
Стоимость ручной настройки ИБ $133 683 $117 004
Эффект от vGate: снижение затрат 75% $100 262 $87 753
Затраты на vGate $40 800 $37 503
NPV (эффект - затраты) $50 249
ROI (NPV / затраты) 134%
Выгода в месяц (эффект / 36 месяцев) $2 785
Период окупаемости, мес. 15
Данный расчет сделан с vGate ROI Calculator для вымышленной компании

Оценки
возможности
снижения
вероятности и
стоимости рисков
Модель угроз Вероятность при помощи
для проявления и средств ИБ
конкретной стоимость (положительный
ситуации рисков денежный поток)
Модель Стоимость рисков
соответствую- и средств их
щих рисков уменьшения (ИБ -
отрицательный
денежный поток)




The Value Of Corporate Secrets. How Compliance And Collaboration Affect
Enterprise Perceptions Of Risk. March 2010, Forrester




True Cost of Compliance Report, Ponemon Institute LLC, January 2011

Вариант 1: «Ничего не делаем« (принимаем 100% риска) PV (3 года)
Штрафы PCI DSS -$1 141 613
Потеря важной информации -$2 716 695
-$3 858 308
Вариант 2: «Ручная настройка ИБ» (-95% рисков)
Ручные затраты на compliance и настройку ИБ -$117 004
Потеря важной информации -$135 835
-$252 839
Вариант 3: «Автоматизация настроек ИБ с vGate» (-98% рисков)
Затраты на vGate -$37 503
vGate снижает ручные затраты на 75% $87 753
Оставшиеся ручные затраты -$29 251
Потеря важной информации -$54 334
Данный расчет сделан с vGate ROI Calculator для вымышленной компании -$33 335

Показатель Значение PV (3)
Выгода от снижения рисков ручной настройки $266 810 $219 503
Затраты на vGate $40 800 $37 503
NPV $226 010 $182 000
ROI 485%
Выгода в месяц $6 278
Период окупаемости, мес. 7
Данный расчет сделан с vGate ROI Calculator для вымышленной компании

Value PV (3)
Выгода от снижения рисков ручной настройки $266 810 $219 503
Снижение затрат на ручную настройку 75% $100 262 $87 753
Общая выгода от vGate для ВС VMware $367 072 $307 256
Затраты на vGate $40 800 $37 503
NPV $326 272 $269 753
ROI 719%
Выгода в месяц $9 063
Период окупаемости, месяцев 5
Данный расчет сделан с vGate ROI Calculator для вымышленной компании

Выгода
Снижение риска Лицензии
потери Внедрение
информации
Обучение
Сегментирование администратора
ПДн
Администрирование
• К1 = 18000 руб. на
ПК
• К3 = 6000 руб. на ПК
Затраты

Централизованная Годовая з/п Снижение риска
установка, 1 5 серверов администратора с потери данных
администратор 150 ПК учетом накладных после внедрения
TrustAccess расходов = $48к TrustAccess = 10%
Ставка Снижение риска
Горизонт расчета 3 Сегментируем
дисконтирования штрафа по PCI
года ИСПДн с К1 до К3
15% DSS = 8%

Риск Значение ПС (3 года)
Инвестиции 1 589 174р. 1 430 488р.
Выгода (снижение рисков потери данных на 10%) 13 146 650р. 10 304 243р.
Фактор риска для выгоды 30% - 3 943 995р. - 3 091 273р.
NPV 7 613 481р. 5 782 483р.
ROI 404%
Выгода в месяц 211 486р.
Период окупаемости, мес. 8
• Данный расчет сделан с TrustAccess ROI Calculator для вымышленной компании. Защита 5-ти серверов и 150 ПК
• Модель угроз Forrester ("The Value Of Corporate Secrets - How Compliance And Collaboration Affect Enterprise Perceptions Of Risk", March
2010, by A Forrester Consulting Thought Leadership Paper (Commissioned By Microsoft And RSA, The Security Division Of EMC)
• Снижение риска потери данных из-за НСД на 10%, штрафов PCI DSS на 8% и снижения затрат на защиту ПДн за счет сегментации
ИСПДн при помощи TrustAccess

Источники ROI в ИБ: Для России нет Детали бизнес-
рост эффективности публичной модели процессов и рисков
процессов и угроз – делайте = точность расчета
снижения рисков свою
(ошибок, потери
данных, штрафов…)

(c)2011, Михаил Козлов. Информация в настоящей презентации предоставляется на условиях «КАК ЕСТЬ», без предоставления каких-либо гарантий и прав. Используя
данную информацию, Вы соглашаетесь с тем, что (i) автор(ы) не несут ответственности за использование Вами данной информации и (ii) Вы принимаете на себя весь
риск, связанный с использованием данной информации». Упомянутые торговые марки и названия принадлежат их законным владельцам.


 http://www.slideshare.net/mkozloff/michael-kozloff-business-
development-2011


 http://www.slideshare.net/mkozloff/roi-7039990

 http://devbusiness.ru/mkozloff/about/