Инвестиции в информационную безопасность

"justify">       Threat - вероятность осуществления атак в данном случае составляет около 90 %. Vulnerability - показатель наличия в сети уязвимостей – имеет значение 1 (высокая степень уязвимости). Величина Losses -  потерь, к которым может привести та или иная атака – составляет 25000 долл.

     Таким образом, величина риска составит:

     Risk =0,9*1*25000 долл.=22500 долл.

     Известно, что величина риска после внедрения IDS сократится на 70%.

     То  есть размер остаточного риска составит 6750 долл. 

     Экономический эффект от вложений в информационную безопасность можно рассчитать следующим образом:

     ЭЭ = Income + Risk + AddLosses,

      Income - изменение доходов в результате  внедрения системы защиты- в данном случае не предусмотрено.

       AddLosses - потери, связанные с отсутствием системы защиты, такие, как снижение производительности администратора безопасности, потери времени на поиск информации об уязвимостях и атаках, - составит 2000 долл.

     Таким образом экономический эффект от внедрения системы:

     ЭЭ=22500+2000=24500 долл. 

     Для удобства расчета эффективности  инвестиций необходимо объединить даны в таблицу:

 

     Совокупная  стоимость владения (ТСО) рассчитывается как сумма строк 1,4,5 таблицы. Для данного проекта она составляет 36000 долл.

     Рентабельность инвестиций  в информационную  безопасность

     ROSI = 24500/15000 =1,63, то есть внедрение IDS в данном случае даст экономический эффект, на 63% превышающий вложения. Это очень высокий показатель, свидетельствующий о высокой эффективности вложений. Однако необходима комплексная оценка проекта. 

     Простой срок окупаемости проекта

     Необходимо  вычислить количество лет, необходимых для полного возмещения первоначальных затрат, т.е. определить момент, когда денежный поток доходов сравняется с суммой денежных потоков затрат в соответствии с алгоритмом для расчета точного срока окупаемости проекта.

     Накопленный денежный поток принимает положительное значение во 2 году, значит:

     РР  для данного проекта будет = 1+4250/10750=1,4года, то есть через 1 год и почти 5 месяцев проект окупится.

     Поскольку информационные системы с течением времени подвергаются постоянным изменениям, появляются новые угрозы и уязвимости, а кроме того во времени деньги имеют разную ценность, для анализа эффективности инвестиций в информационную безопасность нужно рассмотреть возможность применения системы динамических показателей, основанных на концепции  дисконтирования потоков денежных средств.

     Чистая  приведенная стоимость

     Этот  критерий оценки инвестиций основан на сопоставлении величины инвестиционных затрат  и общей суммы скорректированных во времени будущих денежных поступлений, (в данном случае – уменьшение размера ущерба в результате реализации угроз информационной безопасности).

     С помощью данных, представленных в таблице NPV можно определить как накопленное дисконтированное сальдо денежных потоков в 2014 году (последний год реализации проекта), то есть 4523,21 долл.

     Чистая современная стоимость потока платежей имеет положительный знак (NPV > 0), это означает, что в течение своей экономической жизни проект возместит инвестиции, обеспечит эффективность вложений в информационную безопасность согласно заданному стандарту i=30%.

     Индекс  доходности дисконтированных инвестиций (индекс рентабельности)

     PI=19523,22/15000=1,3

     PI превышает 1, это свидетельствует об эффективности проекта.

     Расчет  внутренней нормы  доходности:

     Методом подбора установлено: при к1=0,5 NPV=129,63, при к2=0,51 NPV=-43,77.

     IRR = 0,5+129,63*(0,51-0,5)/(129,63+43,77) = 0,5075 = 50,75%

     Так как IRR больше i=30%, то проект приемлем.

     Срок  окупаемости инвестиций с учетом дисконтирования:

     РР=2+369,82/4893,04=2,08 года или 2 года и почти 1 месяц.

     То  есть первоначальные инвестиции возместятся  в течение срока экономического жизненного цикла инвестиционного проекта. Следует обратить внимание на довольно большую разницу между данными показателями с учетом дисконтирования и без (больше 8 месяцев).

     Очевидно, что для оценки эффективности  инвестиций в создание СЗИ недостаточно лишь определения показателей. Необходимо еще учесть риски, связанные с реализацией того или иного проекта. Это могут быть риски, связанные с конкретными поставщиками средств защиты информации, или риски, связанные с компетентностью и опытом команды внедрения.

     Кроме того, полезно проводить анализ чувствительности полученных показателей. Например, в рассмотренном примере уменьшение исходного значения риска всего на 10% приведет к получению отрицательного значения NPV, а значит неприемлемости проекта как заведомо убыточного. А если учесть, что риск – это вероятностная величина, то погрешность в 10% вполне допустима. Так же можно проанализировать чувствительность полученных результатов и к другим исходным данным, например к затратам на администрирование.

     Не  следует забывать и о том, что  далеко не весь ущерб от реализации угроз информационной безопасности можно однозначно выразить в денежном исчислении. Например, причинение урона интеллектуальной собственности компании может привести к таким последствиям, как потеря позиций на рынке, потеря постоянных и временных конкурентных преимуществ или снижение стоимости торговой марки. Поэтому нередко даже при наличии рассчитанных показателей ROI и ТСО решение о создании СЗИ принимается на основе качественной оценки возможных эффектов.

     Кроме того, сложно себе представить расчет показателей эффективности инвестиций, например, для такого проекта, как  сертификация СЗИ на соответствие стандарту ISO 17799.

     Такие дополнительные способы анализа  сделают полученные результаты оценки более полезными и понятными.

     Любой метод оценки эффективности инвестиций в информационную безопасность является всего лишь набором математических формул и логических выкладок, корректность применения которых – только вопрос обоснования. Поэтому качество информации, необходимой для принятия решения о целесообразности инвестиций, в первую очередь, будет зависеть от исходных данных, на основе которых производились вычисления. Уязвимым местом в любой методике расчета является именно сбор и обработка первичных данных, их качество и достоверность.

     Кроме того, четкое понимание целей, ради которых создается СЗИ, и непосредственное участие постановщика этих целей  в процессе принятия решений также  является залогом высокого качества и точности оценки эффективности инвестиций в информационную безопасность. Такой подход гарантирует, что система защиты информации не будет являться искусственным дополнением к уже внедренной системе управления, а будет изначально спроектирована как важнейший элемент, поддерживающий основные бизнес-процессы компании.

     В настоящее время IT компании разрабатывают системы, помогающие специалистам службы информационной безопасности принимать оперативные и стратегические решения по обеспечению защищенности информационных ресурсов, планировать и внедрять наиболее совершенные и эффективные контрмеры. К такие системам, например, относится Digital Security Office 2006, которая включает систему ГРИФ, рассмотренную ранее.

     Заключение

     Инвестирование в информационную безопасность представляет собой один из наиболее важных аспектов деятельности любой динамично развивающейся коммерческой организации, поскольку адекватная защита информационных ресурсов компании является сегодня обязательным требованием бизнеса.

     Для планирования и осуществления инвестиционной деятельности особую важность имеет  оценка эффективности инвестиционного  проекта. При этом значительную роль играет правильный выбор методики такой оценки.

     В этой связи в работе поставлены и  решены следующие задачи:

-рассмотрены существующие угрозы информационной безопасности;

-дано понятие информационной безопасности и раскрыто ее содержание;

-описаны методы и средства защиты информации;

-рассмотрены теоретические основы инвестирования, а именно: понятие инвестиций, виды инвестиций, понятие инвестиционного проекта и его эффективности;

-определено понятие инвестиций в информационную безопасность;

-рассмотрены  основные методы оценки эффективности  инвестиций в информационную  безопасность, которые делятся на 2 вида:

     1)Методы, не предполагающие использования  концепции дисконтирования. К  ним относятся:

        -совокупная стоимость  владения;

       - простая рентабельность инвестиций;

       - простой срок окупаемости инвестиций.

     2)Методы, основанные на использовании концепции дисконтирования:

         - чистая текущая  стоимость;

         - индекс доходности  дисконтированных инвестиций;

         - внутренняя норма  доходности;

         - срок окупаемости  инвестиций с учетом дисконтирования.

-выделены  преимущества и недостатки каждого  метода.

-рассмотрена автоматизированная система "ГРИФ", позволяющая оценить уровень рисков в информационной системе, оценить эффективность существующей практики по обеспечению безопасности компании и обосновать необходимость инвестиций в сферу информационной безопасности компании.

       Кроме того, произведена оценка эффективности инвестиционного проекта ЗАО «Концерн «Термаль»  по защите одного из сегментов сети информационной системы при помощи системы обнаружения вторжений (IDS).

     Оценка  эффективности рассмотренного проекта показала:

     Экономический эффект от внедрения системы составил 24500 долл. Совокупная стоимость владения системой  = 36000 долл.

     Проект  имеет высокую рентабельность инвестиций (163%), это значит, что внедрение IDS даст экономический эффект, на 63% превышающий вложения.

     Проект  окупится через год и 5 месяцев, согласно методу РР. Окупаемость наступит через 2 года и 1 месяц согласно методу DPP.