XVIII Международная студенческая научная конференция Студенческий научный форум - 2026

Постановка проблемы

Задачи исследования:

1. Классифицировать существующие методы оценки экономической эффективности ИБ‑инвестиций по критериям:

   • тип измеряемых выгод (материальные/нематериальные);

   • горизонт планирования;

   • требуемые входные данные.

2. Сопоставить методы с этапами процесса управления рисками (идентификация, анализ, реагирование, мониторинг).

Анализ последних исследований и публикаций

Современные исследования в области экономики кибербезопасности фокусируются на:

• Квантификации рисков. Работы 2023–2025 гг. развивают модели вероятностной оценки ущерба (FAIR, Cyber Value at Risk), включая каскадные эффекты и репутационные потери. Активно внедряются ML‑методы для прогнозирования частоты инцидентов.

• ROI‑метрики для ИБ. Публикуются адаптации классических финансовых показателей (NPV, IRR) под специфику ИБ‑проектов, где выгоды носят отсроченный и неденежный характер. Обсуждается проблема «тёмной материи» ИБ‑инвестиций (неучтённые косвенные эффекты).

• Регуляторное влияние. Исследования оценивают затраты на соответствие GDPR, NIS2, ФЗ‑152 и др., а также экономический эффект от штрафов за нарушения.

Формулировка целей статьи

Основная цель — создать методологическую базу для обоснованного распределения инвестиций в кибербезопасность на основе риск‑ориентированного подхода.

Основная часть

По данным исследования Gartner кибербезопасность и информационная безопасность занимает первое место в списке запланированных инвестиций на 2022 год, 66% респондентов ожидают увеличения инвестиций в эту сферу. [1]

Исследования Accenture свидетельствуют о том, что бюджеты безопасности увеличиваются, более 82% респондентов сказали, что бюджет увеличился в течение 2021 года. Бюджеты на безопасность составляют до 15% от общих расходов на ИТ, что на 5% пунктов больше, чем расходы в 2020 году. На рисунке 1.1 изображены данные по увеличению расходов на кибербезопасность в 2021 году по сравнению с 2020 годом. [2]

Рисунок 1 - Увеличение расходов на кибербезопасность в 2021 году по сравнению с 2020 г.

По данным Accenture в течение 2021 года на одну компании было в среднем 270 атак, что на 31% больше, чем в 2020 году. На рисунке 1.2 изображены данные по увеличению атак в 2021 году по сравнению с 2020 годом. [2]

Рисунок 2 - Увеличение среднего количества атак в 2021 году по сравнению с 2020 г.

Из-за того, что последствия от определенных атак приводят к значительным репутационным и финансовый ущерб, организация должна инвестировать в кибербезопасность, что позволит избежать определенных киберугроз или потенциально минимизировать последствия успешной реализации киберугроз.

Из-за определенных технических и экономических факторов организации не могут обеспечить совершенный уровень безопасности. Организации обычно планируют ежегодный ограниченный бюджет по кибербезопасности, поэтому перед уполномоченными лицами стоит трудная задача по эффективному распределению данного бюджета. Возникает задача по принятию решения о распределении бюджета по кибербезопасности.

В общем виде процесс принятия решений можно разделить на следующие этапы:

• Характеристика проблемы

• Определение альтернатив

• Определение критериев

• Выбор метода принятия решения

• Оценка альтернатив по критериям

• Проверка решения на соответствие поставленной проблеме [3]

Более подробно рассмотрим каждый из этапов.

Характеристика проблемы

Цель данного этапа – это четкое определение проблемы и описание целей. Лица, принимающие решения, должны согласовать этот вопрос между собой, и кратко и четко описать проблему: определить текущее состояние, цели и требования к решению.

Определение альтернатив

Цель данного этапа – это определение альтернативных решений поставленной проблемы. Каждое решение должно удовлетворять требованиям.

Определение критериев

Цель данного этапа – это выбор критериев, по которым будут оцениваться альтернативные решения. Если количество критериев довольно значительно, то есть смысл объединить их в группы.[3]

Выбор метода принятия решения

Существует много способов принятия решения. Выбор метода зависит от поставленной проблемы, количества альтернативных решений и критериев. Также существуют методы, являющие собой сочетание определенных методов.

Оценка альтернатив по критериям

Цель данного этапа – это оценка альтернативных решений по определенным критериям, с помощью выбранного метода.

Проверка решения на соответствие поставленной проблеме

Принятое решение обязательно следует проверять на соответствие поставленным целям и требованиям. Если решение не соответствует, следует пересмотреть альтернативные решения и критерии оценки данных решений.

Существует много методов и подходов, которые используются для оценки инвестиций и принятия решений о распределении бюджета. D. Schatz и R. Bashroush сделали обзор ключевых подходов подробно рассмотрев 25 различных работ по данной тематике, были описаны используемые подходы, их ключевые элементы, преимущества и недостатки.[4]

Также на основе рассмотренных работ были выделены следующие категории методов и подходов к оценке инвестиций:

• AHP (The Analytic Hierarchy Process) - метод анализа иерархий (МАИ), это метод, при котором происходит декомпозиция проблемы: определение цели, критериев оценки и альтернатив, и проводится оценка альтернатив по определенным критериям с помощью попарных сравнений.

• DSS (Decision Support Systems) – системы поддержки принятия решений, это структурированный процесс, помогающий принимать решения более эффективно.

• Game Theory – теория игр, помогающая смоделировать ситуацию (например противодействия «злоумышленник-защитник») и предусмотреть последствия для оптимального принятия решения в условиях конкуренции или конфликта.

• NPV (Net Present Value) – чистая текущая стоимость, используемая для предсказания доходности инвестиции, в общем виде она определяется, как разница стоимости ожидаемых денежных потоков, на сегодня и стоимости инвестиций, на сегодня.

• ROA (Return on Attack) – рентабельность атаки – это расширение ROI, где рассчитывается рентабельность инвестиций злоумышленника, его выгода и расходы.

• ROI (Return on Investment) - рентабельность инвестиций, рассчитывается рентабельность инвестиций, помогающая оценить на сколько выгоден тот или иной денежный вклад.

• ROI, NPV – комбинация рентабельности инвестиций и чистой текущей стоимости.

• ROT (Real Options Theory) – теория реальных опционов, помогающая количественно оценить уровень гибкости, свойственной процессу принятия решений.

• UM (Utility maximization) – максимизация полезности, концепция в которой субъект пытается извлечь наибольшую выгоду из инвестиций. [4]

Более подробно рассмотрим некоторые из исследований и работ.

В частности, в работе «Evaluating Information Security Investments Using the ANALYTIC HIERARCHY PROCESS» используется МАИ для оценки инвестиций в информационную безопасность. Они отмечают, что МАИ является полезным инструментом, помогающим организации в принятии инвестиционных решений. Но при использовании данного метода важно и лицо, принимающее решение, поскольку именно он определяет критерии, подкритерии и оценивает. [5]

В работе «MeasuringtheRisk-BasedValueofITSecuritySolutions» рассматривается подход RROI (Risk-basedreturnoninvestment) для определения затрат и преимуществ решений по информационной безопасности. Данный метод подходит для определения суммы инвестиций и определяет, что важным критерием при оценке ИТ-решений является польза от инвестиции посредством уменьшения ожидаемых потерь или риска. [6]

В работе «An economic modelling approach to information security risk management» представлен подход, позволяющий осуществлять экономическое моделирование процесса управления рисками информационной безопасности. Вданномподходеиспользуютсяоценкарисков, расчет ROSI (Return on Security Investment), NPV и IRR (Internal Rate of Return). [7]

Большое количество работ по теме оценки инвестиций в информационную и кибербезопасность свидетельствует об актуальности данной проблемы. Среди рассматриваемых работ многие модели для оценки инвестиций базировались на оценке рисков киберугроз. Оценка рисков помогает понять текущие киберугрозы и эффективно распределить инвестиции на улучшение кибербезопасности и минимизацию рисков киберугроз в ИС.

Выводы

Обоснованная оценка инвестиций в кибербезопасность возможна только при тесной связке финансовых метрик с процессами управления рисками. Предложенные методы и рекомендации позволяют:

• повышать прозрачность бюджетирования ИБ;

• аргументировать приоритеты защиты перед руководством;

• адаптировать стратегии под эволюцию угроз.
  Дальнейшая работа должна фокусироваться на автоматизации расчётов и создании открытых баз данных по стоимости инцидентов.

Список литературы

1. Gartner Survey of Over 2,000 CIOs Reveals the Need for Enterprises to Embrace Business Composability in 2022, STAMFORD, Conn. Октябрь 18, 2021 [Электронный ресурс]

2. FÜLÖP, János. Introduction to decision making methods. [Текст] / J. Fülöp // BDEI-3 workshop, Washington – 2005 – C. 1-15.

3. Schatz, D., Bashroush, R. Economical valuation for information security investment: systematic literature review [Текст] / D. Schatz, R. Bashroush // Inf Syst Front 19 - 2017 - C.1205-1228

4. Bodin, LD, Gordon, LA и Loeb, MP Evaluating Information Security Investments Спомощью ANALYTIC HIERARCHY PROCESS [Текст] / LD Bodin, LA Gordon, MP Loeb // Communications of the ACM, 48(2), — 2005 —C. 79-83

5. Arora, A., Hall, D., Piato, CA, Ramsey, D. and Telang, R. (2004). 35-42.

6. Bojanc, R. and Jerman-Blažič, B. An economic modelling approach to information security risk management [Текст] / R. Bojanc, B. Jerman-Blažič // International Journal of Information Management, 28(5), 2008 C. 413–422.