Инвестиции в информационную безопасность

     При NPV = 0 современная стоимость проекта равна по абсолютной величине инвестиций, следовательно, они окупаются. В общем случае, чем выше величина IRR, тем больше эффективность инвестиций. Величину IRR  сравнивают с заданной нормой дисконта i. При этом если IRR>i, то проект обеспечивает положительную NPV и доходность, равную IRR-i. Если IRR<i, затраты превышают доходы, и проект будет убыточным. Независимо от того, с чем сравнивается IRR, очевидно: проект принимается, если его IRR больше некоторой пороговой величины; поэтому при прочих равных условиях, как правило, большее значение IRR считается предпочтительным.

     Современные табличные процессоры позволяют  быстро и эффективно определить этот показатель путем использования  специальных функций. Однако если в  распоряжении аналитика нет специализированного  финансового калькулятора, применяется  метод последовательных итераций. Для этого с помощью таблиц выбираются два значения коэффициента дисконтирования k2<k1 таким образом, чтобы в интервале (k₁,k₂) функция NPV=f(i) меняла свое значение с "+" на "-" или. Далее применяют формулу

      , где

     k1 – ставка дисконтирования, при которой NPV принимает минимальное положительное значение (NPV1);

     k2 – ставка дисконтирования, при которой NPV принимает максимальное отрицательное значение (NPV2).

     Точность  вычислений обратно пропорциональна  длине интервала (k₁,k₂), а наилучшая аппроксимация с использованием табулированных значений достигается в случае, когда длина интервала минимальна (равна 1%).

     Обладая рядом положительных свойств:

     1) Показатель IRR, рассчитываемый в процентах, более удобен для применения в анализе, чем показатель NPV, т.к. относительные величины легче поддаются интерпретации;

     2)  Несет в себе информацию о приблизительной величине предела безопасности для проекта;

     В то же время критерий IRR имеет существенные недостатки:

     1.Нереалистичное  предположение о ставке реинвестирования. В отличие от NPV критерий внутренней нормы доходности неявно предполагает реинвестирование получаемых доходов по ставке IRR, что вряд ли осуществимо в реальной практике.

     2. В случае чередования притоков  денежных средств с оттоками, для одного проекта могут существовать несколько значений IRR.

     Дисконтированный  срок окупаемости  инвестиций (Discounted Payback Period - DPP)

     Некоторые специалисты при расчете показателя срока окупаемости инвестиций (PP) рекомендуют учитывать временной аспект. Таким образом, определяется момент, когда дисконтированные денежные потоки доходов сравняются с дисконтированными денежными потоками затрат. Очевидно, что в случае дисконтирования срок окупаемости увеличивается.

     Положительными  сторонами метода DPP, является то, что он как и критерий PP позволяет судить о ликвидности и рискованности проекта. Кроме того, критерий DPP учитывает возможность реинвестирования доходов и временную стоимость денег. Недостаток – игнорирует денежные поступления после истечения срока окупаемости проекта.

     Расчет  рассмотренных показателей полезно  дополнять проведением анализа  чувствительности и устойчивости. Анализ чувствительности проводится с целью учета и прогноза влияния изменения входных параметров инвестиционного проекта на результирующие показатели. Изменению подлежат уровень риска, например, увеличение на 10%, затраты на внедрение и обслуживание СИЗ, эффект от использования СИЗ и др. При изменении каждого фактора обычно рассчитывается изменение NPV по формуле: (NPV΄- NPV_исх)/ NPV_исх. По проценту изменения NPV характеризуется чувствительность проекта по каждому фактору.

     Анализ  устойчивости инвестиций может осуществляться несколькими методами. Наиболее точным методом является расчет предельных значений параметров проекта. Могут рассматриваться предельные интегральные уровни (λ), расчет которых осуществляется при решении уравнения:

         

     После определения λ рассчитывается запас финансовой прочности φ:

φ = (1 –  λ)*100%. Если запас финансовой прочности небольшой, то проект является финансово неустойчивым.

     Как и для любых других инвестиционных проектов, при оценке эффективности  инвестиций в информационную безопасность проводят оценку их безубыточности, а  также сценарный анализ для учета  количественных характеристик неопределенности.

     В следующей главе мы рассмотрим, как изученные методы оценки применяются на практике при определении эффективности инвестиционных проектов в информационную безопасность компании. 
 

 

     

     2.3.Программые  продукты, применяемые  для оценки эффективности инвестиций в информационную безопасность

     Первым  шагом при определении оптимальной  информационной защиты является определение существующего уровня защищенности. Другой актуальной проблемой является проблема формирования бюджета на информационную безопасность. Сколько денег компании необходимо тратить на защиту своих информационных ресурсов - как оценить затраты? Как оптимизировать и минимизировать эти затраты? Как доказать и добиться максимальной эффективности вложений? Данные проблемы сложно решить без привлечения сторонних специалистов, так как для ответов на них необходимо провести полноценный анализ рисков. Оптимизировать расходы на информационную безопасность и сформировать требуемый бюджет помогает программный комплекс "ГРИФ".

     Основная задача системы ГРИФ - дать возможность ИТ менеджеру самостоятельно (без привлечения сторонних экспертов) оценить уровень рисков в информационной системе, оценить эффективность существующей практики по обеспечению безопасности компании и иметь возможность доказательно (в цифрах) убедить ТОП-менеджмент компании в необходимости инвестиций в сферу информационной безопасности компании.

     Этапы работы системы:

     Первый  этап. На первом этапе определяется полный список информационных ресурсов, представляющих ценность для компании.

     Второй этап. На втором этапе осуществляется ввод в систему всех видов информации, представляющей ценность для компании. Введенные группы ценной информации должны быть размещены пользователем на ранее указанных на предыдущем этапе объектах хранения информации (серверах, рабочих станциях и т.д.). Заключительная фаза - указание ущерба по каждой группе ценной информации, расположенной на соответствующих ресурсах, по всем видам угроз.

     Третий этап. На третьем этапе вначале проходит определение всех видов пользовательских групп. Затем определяется, к каким группам информации на ресурсах имеет доступ каждая из групп пользователей. В заключение определяются виды (локальный и/или удаленный) и права (чтение, запись, удаление) доступа пользователей ко всем ресурсам, содержащих ценную информацию.

     Четвертый этап. На четвертом этапе требуется указать, какими средствами защиты информации защищена ценная информация на ресурсах и рабочие места групп пользователей. Также вводится информация о разовых затраты на приобретение всех применяющихся средств защиты информации и ежегодные затраты на их техническую поддержку, а также - ежегодные затраты на сопровождение системы информационной безопасности компании, куда включаются затраты на годовую зарплата персонала, занимающегося вопросами обеспечения ИБ; обучение персонала по информационной безопасности; услуги в области ИБ сторонних компаний; сертификация в области ИБ, и т.д.

     Пятый этап. На завершающем этапе пользователь должен ответить на список вопросов по политике безопасности, реализованной в системе, что позволяет оценить реальный уровень защищенности системы и детализировать оценки рисков. Этот этап необходим для получения достоверных оценок существующих в системе рисков. Применение средств информационной защиты не делает систему защищенной в случае их не адекватного использования и отсутствия комплексной политики безопасности, учитывающей все аспекты защиты информации, включая вопросы организации защиты, физической безопасности, безопасности персонала, непрерывности ведения бизнеса и т.д.

     По  окончанию ответов на вопросы  раздела "Политика безопасности" сформирована полная модель информационной системы с точки зрения информационной безопасности с учетом реального  выполнения требований комплексной  политики безопасности.

     Отчет представляет собой подробный, дающий полную картину возможного ущерба от инцидентов документ, готовый для  представления руководству компании:

     Отчет по системе состоит из 3 частей.

     Первая  часть отчета - "Информационные риски  ресурсов":

• Информационные риски ресурсов по информации и классу угроз
• Информационные риски ресурсов по классу угроз
• Информационные риски ресурсов суммарные риски по ресурсам
• Информационные риски системы по классу угроз

     Вторая  часть отчета - "Соотношение ущерба и риска":

• Ущерб по ресурсам по информации и классу угроз
• Ущерб по ресурсам суммарный ущерб по ресурсам
• Ущерб и Риск системы по классу угроз
• Ущерб и Риск системы
• Риск системы и затраты на обеспечение ИБ системы

     Третья  часть отчета - "Общий вывод о существующих рисках информационной системы":

• Максимальные значения риска и ущерба 
• Недостатки существующей политики безопасности

       Итоговая оценка "ГРИФ" основывается на целом наборе параметров, которые определяются защищенностью анализируемого объекта: анализируются как технологические аспекты защищенности согласно стандартам Good Practice, ISO 15408 и прочим, так и вопросы комплексной безопасности согласно стандарту ISO 17799.

     Система "ГРИФ" содержит модуль управления рисками, который позволяет проанализировать все причины того значения риска, который получается после обработки алгоритмом занесенных данных. Таким образом, зная причины, пользователь будет обладать всеми данными, необходимыми для реализации контрмер и, соответственно, снижения уровня риска. Благодаря расчету эффективности каждой возможной контрмеры, а также определению значения остаточного риска можно выбрать наиболее оптимальные мероприятия, которые позволят снизить риск до необходимого уровня с наименьшими затратами.

     Благодаря расширенному алгоритму "ГРИФ" может проанализировать не только информационные потоки, но и конкретные угрозы и уязвимости системы. При этом можно использовать встроенные в систему базы угроз и уязвимостей, для внедрения которых Digital Security, создатель системы "ГРИФ 2005", специально разработала классификацию угроз. Более того, последние версии системы имеют максимально гибкие настройки, позволяющие настроить проект так, что он полностью соответствовал особенностям конкретной компании. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

     Глава 3. Оценка эффективности  инвестиционного  проекта по обеспечению  информационной безопасности компании. Проблемы оценки эффективности инвестиций

     Компании ЗАО «Концерн «Термаль» требуется оценить проект по защите одного из сегментов сети своей информационной системы при помощи системы обнаружения вторжений (IDS).

     Начало  проекта – 2 января 2011 года. Продолжительность проекта 3 года. Инфляция по всем составляющим доходов и затрат принимается 0%. Ставка дисконтирования берется средняя для ИТ рынка 30 % годовых. Проект финансируется за счет нераспределенной прибыли прошлых лет.

     Стоимость IDS составляет 15000 долл. Стоимость годовой поддержки составляет 2500 долл. Затраты на администрирование и инфраструктуру 4500 долл. ежегодно.

     Необходимо  рассчитать величину риска в денежном выражении, которая учитывает потери от реализации тех или иных атак и вероятности их осуществления.

     Риск  вычисляется по следующей формуле:

     Risk = Threat * Vulnerability * Losses