Методы экономического анализа для расчета на малом предприятии

Размещено на http://www.allbest.ru/

СОДЕРЖАНИЕ

Введение

1. Основные методы оценки экономической эффективности в сфере информационной безопасности

1.1 Подходы к экономической оценке СЗИ

1.2 Методы оценки инвестиционных проектов

1.3 Сравнительная характеристика методов оценки экономической эффективности в сфере ИБ

1.4 Обзор финансовых методов оценки эффективности СЗИ

1.5 Обзор частных методик экономического анализа в ИБ

2. Описание объекта исследования

2.1 Описание предприятия и средств защиты предприятия

2.2 Оценка активов предприятия

2.3 Расчет уровня ожидаемых потерь без использования СЗИ

2.4 Расчет уровня ожидаемых потерь с использованием СЗИ

3. Расчет экономической эффективности СЗИ на основе финансовых оценок

3.1 Период окупаемости

3.2 Совокупная стоимость владения

3.3 Отдача инвестиций

3.4 Чистый дисконтированный доход

3.5 Анализ результатов

Заключение

Список использованных источников



ВВЕДЕНИЕ

В настоящее время, все большую роль в процессе функционирования организации занимает процесс защиты информации. При возникновении инцидентов с нарушением информационной безопасности (ИБ), организации могут понести значительные потери, как материальные, так и репутационные. Чтобы избежать возникновения рисков утечки информации в структуру предприятия внедряются системы защиты информации, которые в совокупности включают в себя различные технологии и организацию функционирования этой системы. И главная задача специалиста ИБ - доказать эффективность такой системы и показать руководству компании целесообразность вложения средств. Одним из вариантов решения этой задачи является использование специальных методов экономического анализа методов, но, применительно к информационной безопасности, при выборе варианта расчета, возникает ряд сложностей:

- невозможно дать точную оценку информационным ресурсам в денежном выражении, а также спрогнозировать вероятный ущерб;

- некоторые аспекты информационной безопасности носят вероятностный характер и не поддаются количественному измерению;

- методы оценки экономической эффективности внедренных мер по обеспечению ИБ опираются, в первую очередь, на использование статистики успешной реализации угроз, но доступ к такой информации значительно затруднен из-за ряда причин, в частности, организации обычно не разглашают информацию об утечках, желая сохранить собственную репутацию.

Эти факторы оставляют вопрос оценки экономической эффективности проектов в информационной безопасности открытым и дают обширную почву для дальнейших исследований в этой области.

Объектом исследования магистерской диссертации является комплекс средств защиты информации (СЗИ) на предприятии ООО “Детали машин”.

Целью магистерской диссертации является провести сравнительный анализ и исследование совокупности методов экономического анализа для расчета на малом предприятии.

Задачи, решаемые в ходе написания магистерской диссертации:

- рассмотреть подходы к оценке экономической эффективности СЗИ;

- рассмотреть частные методики, применяемые при оценке проектов в сфере информационной безопасности;

- сделать обзор существующих методов оценки эффективности СЗИ и привести их сравнительную характеристику;

- провести расчет экономической эффективности СЗИ на малом предприятии с использованием финансовых методов;

- разработать методические рекомендации по применению методов расчета экономической эффективности для малых предприятий.

В первой главе работы рассмотрены существующие методы экономического анализа, адаптированные для сферы информационной безопасности, проведен обзор частных методик, разработанных на их основе. Выбрана группа финансовых методов, по которой проведен подробный критериальный анализ с целью определения оптимального варианта расчета в сфере ИБ. информационный безопасность окупаемость инвестиция

Во второй главе подробно описан объект исследования, комплекс имеющихся на предприятии СЗИ. Проведена оценка активов и базовых рисков ИБ. На их основе рассчитан уровень ожидаемых потерь с использованием СЗИ на предприятии и без.

В третьей главе проведен расчет по рассмотренным ранее финансовым методам, а также подробно проанализирован результат. На его основе сформулированы рекомендации по использованию методов оценки экономической эффективности СЗИ для малых предприятий.



1. ОСНОВНЫЕ МЕТОДЫ ОЦЕНКИ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ В ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

1.1 Подходы к экономической оценке эффективности систем защиты информации

В настоящее время, все большую роль в процессе функционирования организации занимают процессы защиты информации. Очевидно, что ни один проект в современном мире не может быть принят к исполнению без экономического обоснования инвестиций в него. Сложность задач экономического анализа, практически во всех областях деятельности, обусловлена тем, что многие ключевые параметры экономических моделей невозможно оценить с высокой степенью достоверности, поскольку они носят вероятностный характер. Особенно это касается информационной безопасности, где формализации поддаются далеко не все параметры, а вероятностный характер носят не только потенциальные угрозы и уязвимости системы, но и стоимость ущерба от реализации этих угроз, а оценка риска может производиться не на количественном, а на качественном уровне. Трудность оценки экономической эффективности систем обеспечения ИБ связана и с такими объективными причинами, как [1]:

- быстрое развитие информационных технологий, методов и средств, используемых как для защиты, так и для атак;

- невозможность достоверно предугадать все возможные сценарии атак на информационные системы и модели поведения атакующих;

- невозможность дать достаточно точную оценку стоимости информационных ресурсов, а также оценить последствия различных нарушений в денежном выражении.

Обосновать необходимость СЗИ на предприятии достаточно сложно. Специалист отдела ИБ при этом может руководствоваться необходимостью соответствия требованиям определенных стандартов и нормативно-правовых актов в сфере обработки информации, в частности при использовании риск-ориентированного подхода, а также предупреждать о возможных потерях в случае реализации той или иной угрозы. Пожалуй, самый сложный путь - экономически обосновать необходимость внедрения системы защиты информации на предприятии. При этом, необходимо знать изнутри все процессы функционирования предприятия и иметь возможность показать “на цифрах” экономическую целесообразность проекта.

Утечки информации на предприятии неминуемо ведут к финансовым потерям в организации. Так в отчете Annual Cybersecurity Report Cisco за 2017 год выявлена финансовая степень влияния успешно реализованных атак на предприятия различного типа - от малых до крупных. Наибольший ущерб, согласно исследованиям, был нанесен операционным и финансовым системам. Это негативно повлияло на репутацию и привело к представленным ниже последствиям:

- количество заказов у 22% пострадавших от таких атак организаций уменьшилось, у более чем трети организаций (40%) клиентская база сократилась на 20%;

- как следствие из первого пункта, у 29% организаций уменьшились доходы (у 38% из них они уменьшились более чем на 20%);

- 23% организаций признали то, что упустили реальную выгоду, а 42% из них потеряли более 20% выручки [2].

При этом, чтобы защититься от неприятных последствий, многие организации вкладывают все больше средств в информационную безопасность. По данным TAdvaser, уровень затрат на защиту информации с каждый годом только растет - на графике представлена динамика объема рынка с 2014 по 2017 год [3].



Рисунок 1.1 - Затраты на информационную безопасность с 2014 по 2017 год

Как правило, затраты на ИБ в зависимости от сферы функционирования предприятия достаточно разнятся. Согласно отчету компании Wisegate, проведенному в 2013 году, в общем затраты на информационную безопасность составляют около 7,5% бюджета компании, выделяемого на информационные технологии (ИТ). Среди организаций, в которых проводились исследования, наибольший вклад в информационную безопасность вносят финансовые организации ( 10,4%) и наименьшая доля вложений в ИБ относительно расходов на ИТ была выявлена в государственных учреждениях. Уровень затрат компаний в зависимости от сферы деятельности предприятия представлен на рисунке 1.2.



-

Рисунок 1.2 - Процентное соотношение вклада в ИБ относительно вложений в ИТ

Данное исследование лишь попытка обобщить данные о вложениях в информационную безопасность. Затраты на ИБ хоть и связаны с ИТ, но также и включают другие мероприятия: расследование инцидентов ИБ, контроль за выполнением требований законодательства, лицензирование, сертифицирование и многое другое. Поэтому зачастую бюджет, выделяемый на защиту информации занимает отдельное место в затратах предприятия [2].

Тем не менее, на основе данных исследований можно сделать вывод, что вклад компаний в информационную безопасность невелик и обеспечивает лишь минимальный уровень защиты информации на предприятиях, чаще задаваемый требованиями нормативно правовых документов.

Это отражает один из популярных подходов к оценке экономической эффективности СЗИ - проверка соответствия уровня защищенности ИС заданным требованиям. В данном случае задается критерий достижения некоторого уровня информационной безопасности - критерий экономической эффективности, определяющий минимальные суммарные затраты на выполнение поставленных функциональных требований:

--(1.1)

Где c_i - затраты на i-е средство защиты.

Данный подход достаточно прост в применении, но требует определения нижнего порога защищенности и не применим при отсутствии требований к СЗИ. При таком подходе нельзя определить оптимальный уровень защищенности ИС.

Второй подход к выбору и оценке экономической эффективности СЗИ основывается на следующих предположениях [5]:

- абсолютно непреодолимую защиту создать невозможно;

- необходимо соблюдать баланс между затратами на защиту и получаемым эффектом, в том числе и экономическим, заключающимся в снижении потерь от нарушений безопасности;

- стоимость средств защиты не должна превышать стоимости защищаемых активов (на практике это 10-20% стоимости активов).

Таким образом , применение даже минимального количества средств защиты резко снижает общий ущерб - следует из зависимости. Но чрезмерное наличие дорогостоящих средств не является оптимальным, так как требует большого количества затрат и стоимость такой системы в конечном счете может намного превышать стоимость самих активов [6].

Поэтому, главной задача - найти эффективное решение с наименьшим ущербом. Данный подход представлен на рисунке 1.3.



Рисунок 1.3 - Поиск эффективного решения при построении СЗИ

При данном подходе специалистом оценивается размер ожидаемых потерь от инцидентов, связанных с информационной безопасностью. Далее на основе информации о внедрении средств защиты информации делается вывод о том, как внедрение данных средств повлияет на размер ущерба и насколько позволить снизить существующие риски [22].

Для расчета эффективности таких проектов используют ряд оценок экономической эффективности.

1.2 Методы оценки инвестиционных проектов

Экономическая оценка эффективности проекта - построенная экономико-математическая модель, главными элементами которой являются материальные и нематериальные потоки, которые формируют итоговую прибыть от реализации данного проекта [7]. Применительно к сфере информационной безопасности, главными критериями в данной модели являются затраты на покупку, внедрение и сопровождение системы, обеспечивающей информационную безопасность, оценка риска и ожидаемые потери от реализации той или иной угрозы информационной безопасности, стоимость мер для снижения уровня риска информационным ресурсам. Способы оценки экономической привлекательности проектов подразделяют на три большие группы методов, представленных на рисунке 1.4.

Рисунок 1.4 -Методы оценки экономической эффективности проектов

В эти три категории, в свою очередь, входят целые группы методов, каждый из которых имеет свои отличительные особенности.

Финансовые методы оценки экономической эффективности мероприятий по обеспечению информационной безопасности - наиболее распространенная группа методов, предназначенная, в первую очередь, для анализа финансовых инвестиционных инструментов. Данная группа включает в себя ряд методов, приведенных ниже. 1. ROI (Return on Investment - коэффициент рентабельности инвестиций) - метод, позволяющий оценить прибыль и возможные потери от внедрения системы ИБ. В общем случае ROI рассчитывается по формуле:

(1.2)



Адаптированный вариант, который нашел применение в сфере информационной безопасности, требует введения дополнительного критерия - roi или ROSI, который рассчитывается по формуле:

(1.3)

Где roi - показатель изменения ROI с учетом затрат на ИБ.

Таким образом, показатель ROI, с учетом затрат на информационную безопасность будет рассчитываться по формуле:

(1.4)

Где ROIold - ROI до внесения изменений в систему информационной безопасности;

Инвестицииold - уже сделанные инвестиции; ДИнвестиции - планируемые инвестиции.

Подсчитав все критерии, можно сделать вывод относительно изменения эффективности компании:

- если roi < 0, то эффективность проекта отрицательна;

- если ROI > roi>0, то внедрение проекта приведет к уменьшению общего ROI;

- если roi>ROI, то внедрение проекта приведет к увеличению общего ROI в компании.

Показатель ROI помогает оценить эффективность внедрения реализованного проекта, но не совсем подходит для расчета экономической эффективности систем информационной безопасности, так как такие системы не влияют напрямую на доход компании, а лишь увеличивают расходы и усложняю инфраструктуру предприятия [8].

2. NPV (Net Present Value - чистая приведенная стоимость) - метод для оценки ценности вкладываемых финансовых ресурсов при определенной ставке дисконтирования. Иначе говоря, NPV позволяет оценить ожидаемый объем денежных потоков (как положительных, так и отрицательных), что на начальном этапе помогает определить экономическую целесообразность проекта [9].

3. PP (Payback Period - период окупаемости) - метод, позволяющий определить временной промежуток, в который вернутся вложенные инвестиции. Чем длительнее срок, полученный в результате расчетов, тем менее инвестиционно-привлекательным является проект.

4. EVA (Economic Value Added - экономическая привлекательность проекта) - метод, позволяющий выбрать оптимальное решение при распределении инвестиций во внутренние и внешние проекты. Для каждой отдельно взятой организации при внедрении системы информационной безопасности помогает руководителю службы информационной безопасности принять решение - организовывать ли обеспечение ИБ на предприятии самостоятельно или привлечь сторонние организации к её созданию, основываясь на сопоставлении затрат [10] .

5. TCO (Total Cost of Ownership - совокупная стоимость владения) - одна из самых популярных и наиболее эффективных оценок экономической эффективности, применяемых в ИБ. Она позволяет рассчитать стоимость всего проекта по обеспечению информационной безопасности с учетом прямых и косвенных затрат. К прямым затратам в данном случае можно отнести расходы требуемые на начальном этапе проекта: закупка необходимого оборудования, работы по его установке и внедрению. Помимо прямых затрат, учитываются также и косвенные затраты понесенные предприятием уже в процессе реализации проекта, связанные с изменением рабочих процессов в результате его внедрения. К таким затратам могут относиться: перегрузки и простои системы, зависанием, обучение персонала особенностям эксплуатации системы и остальными затратами на поддержку системы [11]. Это является одним из главных преимуществ данной оценки, так как именно косвенные затраты вносят значительный вклад при оценке экономической эффективности системы ИБ и если их не учитывать в процессе анализа затрат, экономическая эффективность будет сведена к минимуму. Недостатком данной методики оценки экономической эффективности, является то, что она позволяет анализировать только затраты на систему ИБ и позволяет осуществить выбор одного из однотипных вариантов системы с идентичным функционалом. Поэтому в ходе обсуждения проекта необходимо руководствоваться не только ТСО, но и принимать во внимание другие параметры - управленческие, кадровые, технологические.

Приведенные выше методы помогают оценить финансовую составляющую реализации мер в сфере информационной безопасности. Они не требуют предварительной адаптации и подходят для любого типа предприятия. Но, так как ценность информации не всегда можно соотнести с уровнем затрат на обеспечение защиты этой информации, из-за сложности оценки самой информации, невозможно дать точную оценку уровню экономической эффективности системы информационной безопасности. Данная группа методов так же не учитывает ряд важных нефинансовых параметров, существенно влияющих на эффективности систем ИБ (уровень риска, вероятность успешной реализации угроз). Также все финансовые методы в качестве исходной информации опираются на критерии, которые зачастую отсутствуют у подразделений ИБ.

Вторая группа - качественные методы - группа методов, направленная на анализ и выработку управленческих решений в области информационной безопасности. Опишем самые основные из них.

1. IE (Information Economics - метод информационной экономики) - метод, направленный на анализ проекта и позволяющий ранжировать приоритеты предприятий в области информационной безопасности, учитывая при этом и нематериальные факторы (конкурентоспособность, снижение риска и т.д.).

2. TEI (Total Economic Impact - совокупный экономический эффект) - методика, разработанная компанией Giga Group, которая позволяет оценить эффективность систем защиты информации по трем критериям - гибкость, стоимость, преимущества. Она основана на взаимодействии экспертных оценок и других методик, таких как ROI, ROV.

3. REJ (Rapid Economic Justification - метод быстрого экономического обоснования) - разработанный компанией Microsoft метод, позволяющий проводить оценку бизнес-преимуществ в сравнении с ресурсными и капитальными затратами направленными на достижение этих преимуществ.

4.BSC (Balanced Scorecard - сбалансированная система показателей) - это управленческая и стратегическо-измерительная система, которая переводит миссию и стратегию организации в сбалансированный комплекс интегрированных рабочих показателей. [19] Он позволяет взвешенно оценить деятельность предприятия по четырем направлениям: финансы, заказчики, внутренние процессы и персонал (Рисунок 1.5)

Рисунок 1.5- Методология сбалансированной системы показателей

Такой подход позволяет уйти от финансовой оценки деятельности компании, что позволяет использовать её в таких областях, которые напрямую не влияют на уровень доходов предприятия, что характерно для информационной безопасности. Методика позволяет оценить как материальные, так и нематериальные активы. Главным преимуществом BSC является её всестороннее применение для оценки эффективности функционирования бизнес-процессов и в частном случае (в сфере ИБ) поможет формализовать процессы функционирования систем информационной безопасности. Тем не менее, рассматривать BSC только в рамках подразделения ИБ не представляется возможным - использование такого подхода к оценке эффективно только при использовании во всей организации.

В целом, качественные методы позволяют оценить уровень экономической эффективности систем защиты информации, учитывая нефинансовые параметры. Но полученные результаты достаточно субъективны, так как анализ проводится группой экспертов и многие параметры в рассмотренных выше методах не поддаются количественной оценке. Помимо этого, для проведения исследований с использованием одной из вышеперечисленных методологий, необходимо её внедрение во всю структуру предприятия при участии специалистов в данной области. Это намного усложняет процесс оценки.

Третья группа методов - вероятностные методы. Они позволяют определить экономическую эффективность, опираясь при этом на анализ статистических данных, на основе которых проводится прогнозирование успешности внедрения тех или иных мер. К самым широко известным методам относятся ROV (Real Options Valuation - метод реальных опционов) и AIE (Applied Information Economics - прикладная информационная экономика). Данная группа методов опирается на целый ряд дисциплин: теория игр, экономика, психология, анализ рисков и базируется на методе Монте-Карло. Рассмотренная группа методов не дает 100% точности в оценке, а лишь позволяет спрогнозировать различные сценарии с различными результатами от реализации оцениваемого проекта.

Такие подходы к расчету экономической эффективности систем защиты информации дают исчерпывающую количественную информацию об уровне эффективности, но проведение расчетов, согласно этим методам, достаточно сложный процесс, требующий большого количества статистических данных и измерений, касающихся сферы информационной безопасности. Это значительно затрудняет проведение расчетов, снижает их точность и делает их использование достаточно затратным.

1.3 Сравнительная характеристика методов оценки экономической эффективности в сфере ИБ

Рассмотренные выше методы созданы и применимы в первую очередь для инвестиционных проектов. Поэтому, при оценке проектов в сфере информационной безопасности, которая обладает рядом особенностей, используются адаптированные варианты этих методик. Каждая из них имеет как ряд преимуществ, так и ряд отличий и имеет разный уровень эффективности.

На основе проведенных исследований, была составлена сравнительная характеристика методов оценки экономической эффективности [5]. Она представлена в таблице 1.1 и отражает достоинства и недостатки всех перечисленных методов.

Таблица 1.1- Сравнительная характеристика методов оценки

Название метода	Достоинства	Недостатки
ROI	Указывает относительное превышение получаемой выгоды над первоначальными финансовыми вложениями.	Существенные затруднения возникают при попытке оценить чистую прибыль от реализации проекта ИБ.
TCO	Дает возможность получить адекватную информацию об уровне защищенности распределенной вычислительной среды и совокупной стоимости владения корпоративной СЗИ, а также сравнить подразделения службы ИБ компании, как между собой, так и с аналогичными компаниями отрасли.	Требует анализа большого объема данных и привлечения специалистов высокой квалификации.
NPV	Определяет четкие границы выбора и оценки инвестиционной привлекательности проекта. Дает возможность учета в формуле (ставке дисконтирования) дополнительных рисков по проекту. Использует ставки дисконтирования для отражения изменения стоимости денег во времени. Отвечает на главный вопрос - насколько поступления будут оправдывать затраты на ИБ, которые мы несем сегодня.	Трудность оценки для сложных инвестиционных проектов, которые включают в себя множество рисков. Сложность точного прогнозирования будущих денежных потоков. Отсутствие влияния нематериальных факторов на будущую доходность (нематериальные активы).
IRR	Возможность сравнения различных инвестиционных проектов между собой по степени привлекательности и эффективности использования капитала. Возможность сравнения различных инвестиционных проектов с разным горизонтом инвестирования.	На размер планируемых затрат влияет множество факторов риска, которые сложно объективно оценить. Неспособность отразить абсолютный размер полученных денежных средств от инвестиций.
Payback	Очевидность - чем будет меньше срок окупаемости, тем проект будет более привлекательным.	Не учитывает будущей стоимости денег.
EVA	Может применяться для оценки эффективности как отдельного проекта, так и в целом для оценки преобразований в инфраструктуре СЗИ.	Не отражает прогноз будущих денежных потоков. Показатель EVA определяется прибылью текущего года, что побуждает к осуществлению проектов с быстрой отдачей и окупаемостью и не благоприятствует проектам, с более поздней отдачей.
IE	Ориентирована на объективную оценку портфеля проектов и предусматривает направление ресурсов туда, где они приносят наибольшую выгоду. Позволяет ранжировать приоритеты компаний в области информационной безопасности, учитывая при этом и нематериальные факторы (конкурентоспособность, снижение риска и т.д.).	Эта методология не предназначена для управления проектами, поэтому предварительно руководителям информационных служб и служб безопасности необходимо пересмотреть существующие модели планирования и адаптировать их к процессу.
ROV	Зарекомендовал себя в качестве полезного метода в анализе стратегических решений. Возможность влиять на оцениваемые параметры по ходу проекта.	Весьма трудоемкий с точки зрения проведения анализа.
TEI	Совокупный экономический эффект не только измеряет затраты и снижение себестоимости, но и оценивает значимость технологии ИБ в контексте повышения эффективности общих бизнес-процессов. Оценивает эффективность систем защиты информации по трем критериям - гибкость, стоимость, преимущества.	Достаточно узкий спектр применения. Считается, что TEI можно эффективно использовать для анализа вариантов внедрения каких-либо определенных компонентов СЗИ компании.
REJ	Помогает найти общий язык IT-специалистам и службе безопасности компании, а также позволяет оценить вклад СЗИ в бизнес-результат компании.	Не может эффективно оценивать проекты преобразования инфраструктуры ИБ в целом.
BSС	Система стратегического управления компанией на основе измерения и оценки ключевых показателей, учитывающих все существенные аспекты ее деятельности (финансовые, производственные, маркетинговые и т. д.). Имеется дополнительная формализация показателей эффективности.	Необходимо иметь эффективную систему сбора и обработки информации, что достаточно трудоемко.
AIE	Определяются приоритеты проектных критериев еще до того, как рассматривается какой-либо проект ИБ, а также расставляются приоритеты бизнеса компании. Для дорогостоящих проектов методология AIE является удобным и статистически верным способом анализа рисков.	Для этой методологии характерен большой объем расчетов, а многие скептически относятся к сложным вычислениям.

Следует отметить, что наибольший эффект достигается в результате взаимодействия двух или более методов оценки экономической эффективности из разных категорий, описанных выше. Такое “слияние” позволяет достичь максимально точной оценки уровня экономической эффективности мероприятий по информационной безопасности.

1.4 Обзор финансовых методов оценки эффективности СЗИ

На основе рассмотренных выше оценок можно сделать вывод, что наиболее эффективное применение в сфере информационной безопасности достигается с использованием группы финансовых методов. Это обусловлено тем, что в основе этой категории методов лежат финансовые показатели, которые дают возможность количественной оценки, а также такие показатели универсальны и могут рассчитываться без привязки к отдельной компании и не требуют привлечения высококвалифицированных специалистов. Оценка с использованием количественных методов более проста в реализации и расчетах, нежели качественные и вероятностные, поэтому требуют меньших затрат ресурсов, что также играет в их пользу.

Наибольшее применение в ИБ находят следующие финансовые методы [18]:

- PP (Payback Period, срок окупаемости - период времени, необходимый чтобы доходы, полученные в результате инвестиций, покрыли затраты на эти инвестиции);

- TCO (Total Cost of Ownership - совокупная стоимость владения);

- ROI (Return on Investment - отдача от инвестиций и ROSI - изменение ROI от инвестиций в информационную безопасность);

- NPV (Net Present Value - чистый дисконтированный доход).

Основные характеристики данных методов представлены в таблице 1.2.

Проведем анализ методов с целью выявить наиболее эффективный метод при оценке экономической эффективности в сфере ИБ, а также для дальнейшего применения при расчетах [13].

На первом этапе выберем критерии для сравнительного анализа и присвоим им соответствующие веса. За основу взяты девять параметров: универсальность, объективность показателя; доступность исходных данных, прозрачность расчета, наличие критерия результативности, возможность факторного анализа, количественная оценка инвестиций, учет риска, учет бюджетных ограничений. Веса критериев представлены Таблице 1.3 значениями от 1 до 5 и численно определены, исходя из сопоставления со значимостью остальных критериев. Значимость, в данном контексте, определена как качественная характеристика методики с позиции ее применения в организации.

Поясним суть и значимость каждого из критериев. Под универсальностью методики подразумевается возможность ее применения к проектам защиты информации независимо, прежде всего, от сути самого внедрения (будь то информационная технология, организационный аспект управления информационной безопасностью или физическое средство защиты). Также, не менее важным аспектом универсальности методики является возможность ее применения в разного рода компаниях независимо от отрасли, размера, цели компании и так далее. Поскольку обобщенная оценка методик предполагает результат в виде вывода относительно применимости методик в том или ином типе организации, данный критерий имеет максимальный по сравнению с остальными критериями вес 5.

Таблица 1.2 - Характеристики финансовых методов оценки экономической эффективности

Наименование показателя	Формула расчета
Срок окупаемости,	где IC (Invest Capital) - инвестиционный капитал, первоначальные затраты инвестора в объект вложения; CF (Cash Flow) - денежный поток, который создается объектом инвестиций, при этом здесь подразумевается чистый денежный поток (приход минус расход по проекту); i - период времени, по которому учитывается денежный поток ; n - количество периодов времени.
Совокупная стоимость владения, ТСО	где DE (Direct Expenses) - прямые расходы; IDC (Indirect Costs) - косвенные расходы.
Отдача от инвестиций,	где ДДоходы - изменение в доходах, обусловленное инвестициями в ИБ; ДРасходы - изменение в расходах, обусловленное инвестициями в ИБ; ДИнвестиции - инвестиции, сделанные в ИБ.
Чистый дисконтированный доход,	где - денежный поток в период времени t; r - ставка дисконтирования; t - период времени, по которому учитывается ; n - количество периодов времени.

Таблица 1.3 - Веса критериев сравнения методик оценки экономической эффективности СЗИ

Методика	Вес критерия (1-5)
Универсальность методики	5
Объективность показателя	4
Доступность исходных данных	3
Прозрачность расчета	4
Наличие критерия результативности	4
Возможность факторного анализа	5
Количественная оценка инвестиций	4
Учет риска	4
Учет бюджетных ограничений	3

Объективность показателя предполагает полноту отражения данных о системе защиты информации (в нашем случае стоимостных) в показателе. Чем более полно представлен и учтен объект методики, чем меньше субъективно определяемых критериев ключевого показателя, тем более объективна эта методика. Данному критерию присвоен вес 4.

Доступность исходных данных предполагает возможность доступа субъектов применения методики (чаще всего это сотрудники службы защиты информации или финансовые аналитики по проектам в области ИБ) к исходным данным, необходимым для расчетов. Кроме того, даже при максимальном уровне доступа, не все исходные данные можно получить из-за невозможности их расчета без предварительно обозначенных гипотез (например, в части распределения косвенных затрат по проекту). Ввиду некоторой субъективности самого критерия и его относительности в плане организации, ему присвоен вес 3.

Прозрачность расчета, как критерий сравнения методик, представляет собой возможность увидеть в результате расчета показателя, как формируются те или иные промежуточные итоги, из чего они складываются, как соотносятся с проектом, как их можно оценить в контексте общей управленческой отчетности. Данный критерий важен с позиции принятия решений руководством, так как без понимания того, как обоснована необходимость инвестирования в проект создания СЗИ, не возможно принятие корректного решения. Критерию присвоен вес 4.

Наличие критерия результативности предполагает возможность оценки итога путем его сопоставления с некоторой мерой, которая отражает результат. Причем, чем меньше зависимость этой самой меры от самой организации, тем выше оценка по данному критерию. Вес критерия составляет 4.

Возможность факторного анализа в чем-то пересекается с прозрачностью расчета в части понимания того, как показатель рассчитывается. Если его можно разложить на факторы, на него влияющие, существует возможность понимания влияния на итоговый результат. С точки зрения аналитики, это один из ключевых критериев, поэтому ему присвоен вес 5.

Количественная оценка инвестиций предполагает наличие результата в форме некоторой суммы, которую компания может инвестировать в проект защиты информации. Данный критерий зависит, в некотором смысле, от финансового положения самой организации, однако факт отражения суммы инвестиций является значительным плюсом для количественной методики, поэтому данному критерию присвоен вес 4.

Учет риска предполагает возможность корректировки показателя планируемых инвестиций на внутренние и внешние риски. Для количественных методик такой риск может быть выражен в виде некоторой процентной ставки, куда закладываются инфляционные ожидания, повышение ставки по кредитам в случае привлечения заемных источников финансирования. Кроме того, риск может быть представлен в виде различных сценариев, где учитываются наименее или наиболее вероятные ожидаемые денежные потоки. Данному критерию присвоен вес 4.

Критерий учета бюджетных ограничений не является необходимым для методики, но дает ей плюс. Например, сотрудники службы защиты информации при анализе проекта располагают изначально определенным максимумом инвестиций, которые они могут вложить в проект. Если такую функцию можно ввести в расчет, то значительно удобнее анализировать проект. Критерию присвоен вес 3.

По каждому критерию экспертно оценена каждая из четырех выбранных методик (шкала оценивания - от 1 до 10). В отношении каждой методики введена суммарная оценка, рассчитанная исходя из критериальных оценок с учетом взвешенных весов критериев. Итоговая оценка позволит сделать общие выводы относительно степени разработанности методик, а оценки по каждому критерию позволят сделать выводы относительно того, в какого типа компаниях данная методика наиболее удачно может быть применена.

Как уже указывалось, мы сравниваем четыре количественные методики - срок окупаемости, совокупная стоимость владения, отдача от инвестиций и чистый дисконтированный доход. Критериев для сравнения выбрано девять. Результаты оценивания методик и общие взвешенные оценки представлены в Таблице 1.4.

Таблица 1.4 - Оценка методик по критериям

Критерий	PP	TCO	ROI, ROSI	NPV
Универсальность методики	9	10	9	9
Объективность показателя	7	8	7	8
Доступность исходных данных	8	9	8	8
Прозрачность расчета	7	8	7	8
Наличие критерия результативности	8	7	9	9
Возможность факторного анализа	8	10	9	9
Количественная оценка инвестиций	8	10	8	9
Учет риска	9	8	9	9
Учет бюджетных ограничений	7	8	7	9
Итоговая оценка	7,94	8,75	8,19	8,69

Интерпретируя результаты сравнения методик оценки экономической эффективности проектов системы защиты информации в организации, можно сделать следующие выводы. Наибольшую, по сравнению с остальными, оценку получила методика ТСО. Действительно, это один из наиболее универсальных показателей не только оценки планируемых инвестиций в ИБ, но и контроля текущей стоимости владения информационными активами. Также данный показатель, согласно оценкам, является наилучшим в плане факторного анализа, что важно для принятия решения об изменении размера инвестиций. Важно и то, что показатель абсолютный, и он дает стоимостную оценку.

Следует отметить, что в отношении малого и среднего бизнеса данный показатель может быть применен фактически независимо от отрасли, к которой относится компания: сумма владения информационными активами будет показательна для руководства. Но в отношении малого бизнеса, если это не сектор информационных технологий и не информационный бизнес, стоимость владения не достаточно показательна без ее сравнения с другими оценками, либо сопоставления с доходами (в случае ИБ - с потенциальными потерями).

Второй метод - чистый дисконтированный доход. Он представляет разницу положительных и отрицательных денежных потоков, что может быть интерпретировано, как прибыль. Преимуществом показателя является учет бюджетных ограничений. Наиболее эффективен чистый дисконтированный доход, когда мы говорим о проекте внедрения СЗИ, нежели когда сопоставляем с активами предприятия. NPV можно вычислить как для определенного этапа проекта, так и для всего его жизненного цикла, приведя его стоимость к какому-либо периоду путем дисконтирования.

Следующий показатель - ROI или ROSI. Его преимущество, как относительного показателя, заключается в возможности сопоставления с доходами или потерями, что делает его эффективным для применения в малом бизнесе.

Идеально, когда при принятии решения в комплексе рассматриваются абсолютные и относительные показатели. Таким показательным сочетанием для СЗИ является пара показателей TCO и ROSI.

Важным критерием показателя отдачи инвестиций является наличие критерия результативности, что делает его практически применимым независимо от сферы бизнеса и размеров компании.

Говоря о сочетании абсолютного и относительного показателей, нельзя не отметить важность совместного использования и взаимозависимости показателей NPV и PP. Оба эти показателя применимы по отношению к проектам ИБ. Чистый дисконтированный доход по полному циклу учитывает притоки и оттоки денежных средств на каждом этапе этого цикла, а срок окупаемости, в случае с проектами СЗИ, и есть количество этих этапов. Кроме названного, срок окупаемости как относительный показатель, важен, поскольку в нем можно отразить корректировку на риск.

Таким образом, интерпретировав оценки показателей применительно к типу компаний и сопоставив их друг с другом, можно сделать вывод, что наиболее показательным, в любом случае, является сочетание использования методик с абсолютными и относительными результатами. Так, TCO и ROSI могут быть использованы, как инструменты и принятия решения об инвестировании, и контроля текущей стоимости.



1.5 Частные методики оценки эффективности СЗИ

В сфере оценки инвестиций в ИБ, на основе методов, рассмотренных выше, были сделаны попытки разработать методики, которые позволяли бы достигнуть оптимального результата в обосновании инвестиций в ИБ.

Методики, о которых пойдет речь, основаны на количественных методах и дают в итоге числовые результаты, которые дают наглядное представление о результатах внедрения и являются эффективным способом обосновать затраты на внедрение систем защиты информации.

При оценке эффективности одним из наиболее используемых методов является ранжирование нескольких комплексных СЗИ по определенным критериям. Использование и расчете нескольких критериев вызывает трудности в расчетах и в таких задачах прибегают к выделению одного доминирующего критерия, а остальные использую в качестве ограничений. Одним из вариантов является ранжирование на основе критерия конкурентоспособности предприятия [12].

Опишем задачу для введения понятия конкурентоспособности предприятия.

Пусть - вектор исходных числовых характеристик исследуемой системы. Условный эффект при изменении уровня ИБ при этом:

, (1.5)

где - величина ущерба до внедрения СЗИ в денежном выражении;

- величина ущерба в денежном выражении после внедрения СЗИ;

- коэффициент изменения конкурентоспособности предприятия.

Из формулы (1) очевидно, что для увеличения экономического эффекта необходимо минимизировать значение коэффициента



, (1.6)

где - оптимальное значение вектора;

- множество допустимых значений вектора.

При ограничении , где - затраты, допустимые для предприятия.

Таким образом, наиболее эффективное решение при построении СЗИ - решение, при котором достигается минимальное значение коэффициента с учетом допустимых затрат на информационную безопасности. В общем виде экономическая эффективности СЗИ рассчитывается как

, (1.7)

где - результаты от внедрения СЗИ;

- затраты на внедрение СЗИ.

Так как основным результатом внедрения СЗИ является уменьшение ущерба при реализации угроз, то = при использовании критерия обеспечения конкурентоспособности. Таким образом

(1.8)

При этом система считается экономически эффективной при значении

Также широко используются другие критерии обоснования затрат на информационную безопасность, в частности, критерий минимума среднего риска [15]:

(1.9)



При

(1.10)

где вероятность совершения компьютерных нарушений на одном месте пользователь компьютера в течение года

, (1.11)

где k - количество компьютерных нарушений на объекте информатизации в течение года;

- количество рабочих мест пользователей компьютеров;

средний ущерб от одного нарушения;

- допустимый уровень среднего риска для объекта информатизации заданной категории важности.

Для редких компьютерных нарушений , поэтому

(1.12)

При достаточном количестве информации о количестве компьютерных нарушений k, количестве рабочих мест пользователей N, затрат на защиту информации на одном рабочем месте З_ат можно найти коэффициенты зависимости от величины прямых затрат З_ат. Она представлена формулой 1.12:

(1.13)

В этом случае можно найти зависимость риска от величины прямых затрат на информационную безопасность.

Также на практике находит применение критерий минимума общих затрат

(1.14)

Где величина риска от последствий компьютерных нарушений и инцидентов. Она связана с прямыми затратами на создание и эксплуатацию средств защиты. При это вычисление этой зависимости достаточно трудоемко в виду разнообразия объектов информатизации.

Величина риска при этом рассчитывается

(1.15)

Где интенсивность потока проявления внешних факторов;

вероятность защиты информации, которая зависит от величины прямых затрат ;

средний ущерб от одного компьютерного нарушения, который зависит от величины .

Помимо критерия минимума общих затрат, достаточно распространена оценка на основе критерия максимума среднегодового предотвращенного ущерба:

(1.16)

Таким образом, имея достаточное количество исходных данных о нарушениях на объекте информатизации в определенный период времени (например год), можно получить количественные результаты о системе защиты информации, что позволит провести анализ затрат на информационную безопасность.

Ещё одним решением при обосновании экономической эффективности затрат на информационную безопасность является привлечение к оценке группы экспертов [14].

Для формализации данных в экспертных методах чаще всего используется шкала относительной значимости для сравнения двух качественных отношений. Применяют шкалу (от 1 до 9, например) и каждому качественному отношению присваивается значение в соответствии с этой шкалой. В качестве результатов обработки данных эксперты на первом этапе представляют:

- непосредственное описание по определенной шкале;

- через сравнения.

По причине того, что параметры, которые оценивают эксперты, достаточно разнородны, необходимо преобразовать качественные описания в количественные и нормировать количественные задания с учетом значимости.

В любой организации существует определенное количество угроз безопасности ( i= 1, …., n), которые характеризуются вероятностями возникновения (Pi ) и ущербом, наносимым каждой угрозой Ui. Задачей СЗИ является устранение всех этих угроз.

Полный ущерб, который наносится системе, можно представить следующим образом:

(1.17)

Полный риск наносимый системе:

(1.18)



Риск для защищенности системы зависит от вероятности P устранения i-ой угрозы:

(1.19)

Экономическая эффективность СЗИ через информационные риски рассчитывается следующим образом:

, (1. 20)

где устраненный риск;

стоимость системы защиты информации.

Через риски также можно выразить коэффициент защищенности системы:

(1.21)

При этом, для расчета экономической эффективности экспертам необходимо провести экспертизу:

- значимости и доступности уязвимостей;

- уровня воздействия каждой угрозы на информационную систему

- защищенности ресурсов и стоимости.

Этот процесс требует выполнения большого количества расчетов и привлечения квалифицированных экспертов.

Таким образом, частные методики, рассмотренные выше, в конечном итоге дают количественные показатели экономической эффективности СЗИ в компании. Но даже при всевозможных усреднениях оценок, мнение экспертов субъективно и привлечение большого количества квалифицированных кадров зачастую сложный процесс, требующий достаточных затрат, а оценка на основе определенных критериев требует большого количества исходных данных и достаточно сложна для расчетов при выборе более одного критерия. Поэтому при определении эффективности СЗИ методику расчета необходимо выбирать отдельно для каждой компании.

К выбору метода оценки инвестиции в ИБ необходимо подходить, основываясь на требованиях организации и её конкретных особенностях. Рассмотренные частные методики эффективны, но для использования их в расчетах необходим детальный анализ компании, в которой планируется их применение. Поэтому, в рассматриваемой компании, для расчета экономической эффективности будут использоваться не частные методики, а основные финансовые методы, как наиболее общие и универсальные для любой сферы применения.



2. ОПИСАНИЕ ОБЪЕКТА ИССЛЕДОВАНИЯ

2.1 Описание предприятия

Произведем расчет экономической эффективности СЗИ на предприятии ООО “Детали машин” с использованием основных финансовых методов, описанных в первой главе, и проведем детальный анализ полученных результатов. Использование данной группы методов обусловлено универсальностью их применения, как было сказано ранее, а также количественными результатами, позволяющими сделать выводы о реальной эффективности комплекса СЗИ.

Компания занимается оптовой продажей запчастей. Общее количество работников организации 48, включая работников офиса и работников склада. Такое предприятие можно отнести к малому (с численностью менее 100 человек). Компания занимает обособленное здание с охраняемым периметром. За периметром следит охранник на пункте охраны. Вход и въезд на территорию строго по пропускам.

Само здание оборудовано системой видеонаблюдения, которая включает оснащение всех территории 48-ю аналоговыми и 4-мя цифровыми камерами. Все камеры выведены на видеорегистраторы (всего 4 штуки, поддерживающие на вход 16 камер), на которых установлены специальные батареи, защищающие от перепадов напряжения и отключения электроэнергии. Видеорегистраторы содержат 22 жестких диска для хранения записанной информации за промежуток времени около 3-х месяцев. Помимо этого, в систему видеонаблюдения включены блоки питания по 4А (6 штук) и отдельное рабочее место. На прокладку всего оборудования ушло около 4 км кабеля. Система может функционировать без дополнительного вмешательства, необходимые затраты после внедрения - покупка сменных аккумуляторов на блоки питания и оплата труда охранника.

На предприятии внедрена система контроля и управления доступом (СКУД). На каждую дверь (всего 8 штук) остановлен комплекс средств состоящий из замка, считывателя и контроллера. Стоимость монтажа одной такой двери (по данным предоставленным финансовым отделом организации) - 30 000 рублей. Информация выводится на отдельном рабочем месте, с которого производится настройка всех необходимых параметров посредством специального программного обеспечения (ПО).

В организации также закуплен дополнительный источник электропитания, на случай перебоев с электричеством - ИБП EATON 9130. На всех окнах установлены жалюзи. Персональные рабочие места (20 штук) обеспечены парольной защитой. На всех персональных компьютерах (ПК) стоит корпоративный антивирусный пакет, который обеспечивает защиту клиентских рабочих станций и виртуальных систем от всех типов вредоносного программного обеспечения. Документация (договоры, накладные и др. финансовая отчетность и т.д.) также хранится в отдельной комнате, доступ к которой имеет ограниченное число сотрудников. В таблице 2.1 представлены подробные сведения о стоимости описанных выше мероприятий по защите информации.

Данные, используемые в компании, хранятся на пяти серверах, которые находятся в специальных центрах обработки данных (ЦОД) - помещении для размещения серверного и сетевого оборудования и подключения абонентов к каналам сети Интернет [16]. ЦОДы оснащены специальным оборудованием, обеспечивающим нормальное функционирование информационной и телекоммуникационной инфраструктуры: системы бесперебойного электропитания, на случай отключения электроснабжения, охранно-пожарная сигнализация и специальные средства нейтрализации пожара, системы кондиционирования, физическая защита от несанкционированного проникновения в помещение, системы резервирования данных. Описанные средства полностью обеспечивают защиту данных на серверах.

Подсчитаем общие затраты на внедрение средств защиты информации на предприятии. Общие сведения представлены в таблице 2.1.

Сумма прямых расходов на СЗИ на предприятии (DE) составляет 2 334 000 рублей. Описанные выше затраты относятся к прямым затратам на построение СЗИ. Они включают в себя капитальные компоненты затрат (ассоциируемые с фиксированными активами или “собственностью”) и трудозатраты, которые учитываются в категориях операций и административного управления. Сюда же относят затраты на услуги удаленных пользователей, аутсорсинг и др., связанные с поддержкой деятельности организации. Помимо прямых затрат немаловажную роль играют косвенные затраты [17]. К ним можно отнести простои и “зависания” информационной системы и СЗИ предприятия, затраты на операции и поддержку, которые не включены в прямые затраты. Такие затраты не отражены в начальном бюджете на информационную безопасность и выявляются в ходе анализа затрат при функционировании системы.

Информация о косвенных затратам понадобится в расчетах ТСО, поэтому отдельно рассчитаем косвенные затраты на СЗИ предприятия. Косвенные затраты рассчитаем по специальной методике [17]. Она позволит рассчитать стоимость простоев основного производственного персонала при внеплановых простоях ИС.