Методы экономического анализа для расчета на малом предприятии
Методы оценки экономической эффективности в сфере информационной безопасности. Описание средств защиты предприятия ООО "Детали машин". Расчет уровней ожидаемых потерь. Определение периода окупаемости, отдачи инвестиций, чистого дисконтированного дохода.
Рубрика | Экономика и экономическая теория |
Вид | дипломная работа |
Язык | русский |
Дата добавления | 05.08.2018 |
Размер файла | 1,1 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Таблица 2.1 - Затраты предприятия на защиту информации
Мероприятие |
Стоимость, руб. |
Стоимость внедрения на расчетный период год, руб. |
|
Корпоративный антивирус на 20 рабочих мест |
40 000 стоимость годовой лицензии |
40 000 |
|
Аренда серверов в ЦОД |
35 000 в месяц |
420 000 |
|
Аналоговые камеры (6шт.) |
6 000 |
288 000 |
|
Цифровые камеры (4шт.) |
27 000 |
108 000 |
|
Видеорегистратор (4шт.) |
50 000 |
200 000 |
|
Жесткий диск (22шт.) |
5 000 |
110 000 |
|
Блок питания 4А(6шт.) |
2 000 |
12 000 |
|
Батарея для видеорегистратора(4шт.) |
25 000 |
100 000 |
|
Кабель (4км) |
20 р. за метр. |
80 000 |
|
Оплата труда охранника |
40 000 |
480 000 |
|
Сменные аккумуляторы на блоки питания (6шт.) |
1000 |
6 000 |
|
ПК |
30 000 |
30 000 |
|
Оборудование дверей СКУД(8шт.) |
30 000 |
320 000 |
|
ПК для СКУД |
30 000 |
30 000 |
|
ПО для СКУД |
30 000 |
30 000 |
|
Бесперебойный источник питания |
80 000 |
80 000 |
|
Итого |
2 334 000 |
Примечание: сведения получены согласно данным финансового отдела компании.
Косвенные расходы определяются суммой недополученной прибыли от простоя системы, расходами на заработную плату пользователей, которые не выполняют свои прямые обязанности из-за простоя и расходов на заработную плату сотрудников, устраняющих причины этого простоя. Недополученная прибыль определяется:
, (2.1)
где к - недополученная прибыль;
- ежегодная прибыль предприятия;
- общая численность работников;
- количество рабочих часов при 40-ка часовой рабочей неделе;
- суммарное время простоя в гол.
Ежегодная прибыль () предприятия составляет около 18,4 млн.руб. по данным налоговой отчетности. Общая численность работников - 48 человек, количество рабочих часов при 40-ка часовой рабочей неделе 1973 (на 2017 год). В среднем простои системы суммарной длительностью в час случаются ежемесячно (на основе мониторинга компанией). Суммарное время простоя в год = 12 часов. Устраняют неполадки в ИС отдел ИТ, состоящий из 3-х человек. Таким образом, получаем:
рублей
Так как текучесть кадров в организации высокая, отнесем также к косвенным затратам 2-х недельную стажировку сотрудника ИТ-отдела - 20 000 р., учитывая, что в среднем состав работников организации в год обновляется на одну треть, на основе аналитики кадрового отдела на протяжении 2-х лет. В косвенные расходы следует также включить стоимость обучения сотрудников правилам эксплуатации ИС и СЗИ на предприятии (в среднем час в месяц). Данное время работник тратит на обучение, а не занимается прямыми обязанностями, следовательно, это приводит к упущенной выгоде предприятия. Стоимость одного часа работы в среднем на предприятии 300 р/ч. Таким образом, на организацию (48 работников) такое обучение обойдется ежегодно:
В итоге, косвенные затраты составляют:
Полученные расчеты отражают все затраты организации на ИБ и необходимы для получения оценки общей эффективности СЗИ по выделенным ранее методам.
2.2 Оценка активов предприятия
На втором этапе необходимо подсчитать возможный ущерб от угроз нарушения ИБ. Для этого проведем оценку информационных активов предприятия, определим актуальные угрозы и оценим возможные потери в случае их реализации. Воспользуемся при этом методом ожидаемых потерь [20]. Этот подход базируется на вычислении потерь от нарушений политики безопасности, с которыми может столкнуться компания. Метод ожидаемых потерь основан на эмпирическом опыте организаций и сведений о вторжениях, о потерях от вирусов, об отражении сервисных нападений и т.д.
Выделим информационные активы организации. Их можно разделить следующим образом.
1. Информация о поставщиках - контактные данные поставщиков, информация о заводах-изготовителях, производственных мощностях, гарантийных сроках и т.д.
2. Финансовая информация - документы, характеризующие финансовое состояние и планы организации, различную бухгалтерскую документацию, информация о реальных ценах закупки и продажи.
3. Клиентская база - контактные данные клиентов, информация о размещении, объемах закупок и т.д.
4. Договорная документация - условия, на основе которых осуществляется сотрудничество.
5. Техническое оборудование и ПО.
Проведем оценку возможных затрат в случае потери, изменения, копирования или уничтожения одного из активов. Данные представлены в таблице 2.2.
2.3 Расчет уровня ожидаемых потерь без использования СЗИ
Для оценки общего уровня ожидаемых потерь необходимо оценить вероятность реализации угроз на предприятии. Таблица вероятности реализации угроз с соответствующей частотой приведена в таблице 2.3.
Определим актуальные угрозы на предприятии и присвоим им соответствую вероятность реализации на основе таблицы 2.3. К актуальным угрозам на предприятии можно отнести:
- утечка информации за счет персонала;
- НСД с проникновением в помещение;
- съем информации с телефонной линии;
- съем информации за счет ПЭМИН;
- хищение носителей информации;
- атака на сетевую инфраструктуру;
Таблица 2.2 - Возможные потери информации на предприятии
Актив |
Возможные потери, руб. |
|
1. Информация о поставщиках - утечка информации о поставщиках грозит перехватом поставщиков конкурентами, потерей репутации и вынужденным поиском новых поставщиков |
2 000 000 |
|
2. Финансовая информация - документы, характеризующие финансовое состояние организации, планы по развитию, инвестициям и т.д. Утечка такой информации может существенно повлиять на отток клиентов |
1 500 000 |
|
3. Клиентская база - утечка клиентской базы приведет к потере части клиентов и репутации |
1 500 000 |
|
4. Договорная документация |
800 000 |
|
5. ПО, техническое оборудование |
2 000 000 |
|
Итого |
7 800 000 |
Примечание: сведения получены согласно данным финансового отдела компании
Исходя из списка актуальных угроз, строим модель угроз информационной безопасности, используя программный инструментарий Coras (Рисунок 2.1).
Таблица 2.3 - Вероятности угроз с соответствующей частотой событий
Описание |
Вероятность |
|
Редко |
0,01 |
|
Иногда |
0,2 |
|
Регулярно |
0,5 |
|
Часто |
0,9 |
Примечание: соотношение качественной и количественной оценки приведены в усредненном виде на основании результатов аудитов, проведенных в компаниях.
Рисунок 2.1 - Модель угроз
Для произведения расчетов по финансовым показателям, в частности для вычисления roi, необходим расчет ожидаемого уровня потерь с учетом функционирования СЗИ и без. Вычислим уровень ожидаемых потерь без использования СЗИ на предприятии, а также присвоим каждой угрозе соответствующий уровень вероятности её реализации.
Утечка информации за счет персонала: реализации данной угрозы не препятствуют никакие средства защиты информации, работник может беспрепятственно выходить в течение рабочего дня, выносить любые носители информации и произведенные действия вряд ли будут идентифицированы - присваиваем данной угрозе максимальную вероятность реализации 0,9.
НСД с проникновением в помещение: любой человек может беспрепятственно проникнуть на территорию предприятия и в само здание организации - присваиваем угрозе максимальную вероятность реализации 0,9.
Съем информации с телефонной линии: осуществляется с использованием специальных технических средств и требует определенной квалификации нарушителя. Для предприятия малого бизнеса реализаций данной угрозы маловероятна, но полностью исключать такую возможность не будем - присваиваем вероятность 0,2.
Съем информации за счет побочного электромагнитного излучения и наводок (ПЭМИН): осуществляется с использованием специальных технических средств и требует определенной квалификации нарушителя. К тому же, организация находится в обособленном здании, занимаемым только ею, что также уменьшает вероятность реализации данной угрозы - 0,2.
Хищение информации: нарушитель или работник организации может беспрепятственно похитить любой носитель информации, произвести копирование, внести изменения в определенные файлы или их уничтожить. Присваиваем данной угрозе максимальную вероятность реализации по приведенной выше шкале - 0,9.
Атака на сетевую инфраструктуру: сетевые ресурсы компании (сайт), серверы и другие сегменты сети могут подвергнуться атаке извне, так как все рабочие места подключены к глобальной сети интернет и не имеют никакой защиты - присваиваем максимальное значение по приведенной выше классификации - 0,9.
На основании проведенного анализа на предприятии присваиваем каждой угрозе степень вероятности её реализации. Соотношение угроза-вероятность представлена в таблице 2.4.
Таблица 2.4 - Угроза и вероятность её реализации
Угроза |
Вероятность реализации |
|
Утечка информации за счет персонала |
0,9 |
|
НСД с проникновением в помещение |
0,9 |
|
Съем информации с телефонной линии |
0,2 |
|
Съем информации за счет ПЭМИН |
0,01 |
|
Хищение носителей информации |
0,9 |
|
Атака на сетевую инфраструктуру |
0,9 |
Рассчитаем ожидаемые потери компании в случае реализации каждой угрозы. Для этого построим граф актив - угроза (Рисунок 2.2) и последовательно произведем расчеты для каждой из них (Таблица 2.5-2.10).
Рисунок 2.2 - Граф угроза-актив
Таблица 2.5 - Потери компании при утечке информации за счет персонала
Угроза |
Актив |
Возможные потери, руб. |
|
Утечка информации за счет персонала |
Информация о поставщиках |
2 000 000 |
|
Финансовая информация |
1 500 000 |
||
ПО, ТО |
1 500 000 |
||
Клиентская база |
800 000 |
||
Договорная документация |
2 000 000 |
||
Итого |
7 800 000 |
Таблица 2.6 - Потери компании при утечке информации при НДС с проникновением в помещение
Угроза |
Актив |
Возможные потери, руб. |
|
НДС с проникновением в помещение |
Информация о поставщиках |
2 000 000 |
|
Финансовая информация |
1 500 000 |
||
ПО, ТО |
1 500 000 |
||
Клиентская база |
800 000 |
||
Договорная документация |
2 000 000 |
||
Итого |
7 800 000 |
Таблица 2.7 - Потери компании при съеме информации с телефонной линии
Угроза |
Актив |
Возможные потери, руб. |
|
Съем информации с телефонной линии |
Информация о поставщиках |
2 000 000 |
|
Финансовая информация |
1 500 000 |
||
Договорная документация |
2 000 000 |
||
Клиентская база |
800 000 |
||
Итого |
5 8000 |
Таблица 2.8 - Потери компании при съеме информации за счет ПЭМИН
Угроза |
Актив |
Возможные потери, руб. |
|
Съем информации за счет ПЭМИН |
Информация о поставщиках |
2 000 000 |
|
Финансовая информация |
1 500 000 |
||
Договорная документация |
2 000 000 |
||
Клиентская база |
800 000 |
||
Итого |
5 8000 |
Таблица 2.9 - Потери компании в результате хищения информации
Угроза |
Актив |
Возможные потери, руб. |
|
Хищение носителей информации |
Информация о поставщиках |
2 000 000 |
|
Финансовая информация |
1 500 000 |
||
ПО, ТО |
1 500 000 |
||
Клиентская база |
800 000 |
||
Договорная документация |
2 000 000 |
||
Итого |
7 800 000 |
Таблица 2.10 - Потери компании в результате атаки на сетевую инфраструктуру
Угроза |
Актив |
Возможные потери, руб. |
|
Атака на сетевую инфраструктуру |
Информация о поставщиках |
2 000 000 |
|
Финансовая информация |
1 500 000 |
||
ПО, ТО |
1 500 000 |
||
Клиентская база |
800 000 |
||
Договорная документация |
2 000 000 |
||
Итого |
7 800 000 |
На основе таблиц 2.5-2.10 и таблицы 2.4 рассчитаем ожидаемые потери компании от реализации приведенных угроз как произведение общих потерь компании на вероятность реализации в случае возникновения каждой угрозы. Результаты представлены в таблице 2.11.
Таблица 2.11 - Уровень ожидаемых потерь
Потенциальная угроза |
Уровень вероятности |
Потери, руб. |
Уровень ожидаемых потерь, руб. |
|
Утечка информации за счет персонала |
0,9 |
7 800 000 |
7 020 000 |
|
НСД с проникновением в помещение |
0,9 |
7 800 000 |
7 020 000 |
|
Съем информации с телефонной линии |
0,2 |
5 800 000 |
1 160 000 |
|
Съем информации за счет ПЭМИН |
0,01 |
5 800 000 |
58 000 |
|
Хищение носителей информации |
0,9 |
7 800 000 |
7 020 000 |
|
Атака на сетевую инфраструктуру |
0,9 |
7 800 000 |
7 020 000 |
|
Итого |
29 298 000 |
Итого, 29 298 000 руб. - возможные потери в случае реализации всех выделенных угроз. На следующем этапе рассчитаем ожидаемые потери после внедрения СЗИ.
2.4 Расчет уровня ожидаемых потерь при внедрении СЗИ
Рассчитанные выше результаты об уровне потерь не учитывают работу функционирующих средств защиты на предприятии. Этот комплекс средств позволят снизить вероятность реализации угроз и таким образом, в конечном счете, изменится и уровень ожидаемых потерь. Функционирующие СЗИ наглядно продемонстрированы на рисунке 2.3. Для построения модели угроз со средствами противодействие используем программный инструментарий Coras.
Рисунок 2.3 - Модель угроз с использованием СЗИ
Таким образом, составим новую таблицу с угрозами и вероятностью их реализации. Утечка информации за счет персонала: реализацию данной угрозы после внедрения СКУД и системы видеонаблюдения, а также парольной защиты рабочих мест сложнее, данные действия персонала можно отследить. Но проведенные мероприятия не исключают полностью реализацию угрозы - присваиваем данной угрозе среднюю оценку - 0,5. НСД с проникновением в помещение: НСД в помещение полностью исключено - СКУД позволяет ограничить доступ в разного рода помещения предприятия лишь ограниченному кругу лиц, имеющих специальные “ключи” настроенные индивидуально на каждого работника предприятия - 0,01 Съем информации по телефонной линии: осуществляется с использованием специальных технических средств и требует определенной квалификации нарушителя. Для предприятия малого бизнеса реализаций данной угрозы маловероятна, но полностью исключать такую возможность не будем, при этом никаких средств противодействия внедрено не было - присваиваем вероятность 0,2. Съем информации за счет ПЭМИН: также осуществляется с использованием специальных технических средств и требует определенной квалификации нарушителя. К тому же, организация находится в обособленном здании, занимаемым только ею, что также уменьшает вероятность реализации данной угрозы, при этом никаких средств противодействия внедрено не было - 0,2.
Хищение информации: нарушитель или работник организации может похитить носитель информации, произвести копирование или внести изменение в информацию, но сделать это будет затруднительно, так как помещение оборудовано системой видеонаблюдения (для сотрудника организации) и СКУД обеспечивает защиту от проникновения в помещение нарушителей . Присваиваем данной среднюю оценку - 0,5.
Атака на сетевую инфраструктуру: сервер компании находится в полностью защищенном от угроз помещении (описано выше), каждый ПК обеспечен антивирусной защитой - присваиваем угрозе вероятность реализации ниже средней - 0,2. В итоге, внедренные средства позволили снизить вероятность реализации угрозы до допустимых значений. Перечень угроз с соответствующей вероятностью реализации после внедрения СЗИ представлены в таблице 2.12.
Таблица 2.12 - Перечень угроз и вероятность их реализации после внедрения СЗИ
Угроза |
Вероятность реализации |
|
Утечка информации за счет персонала |
0,5 |
|
НСД с проникновением в помещение |
0,01 |
|
Съем информации с телефонной линии |
0,2 |
|
Съем информации за счет ПЭМИН |
0,01 |
|
Хищение носителей информации |
0,5 |
|
Атака на сетевую инфраструктуру |
0,2 |
На основе данных таблиц 2.5-2.10 и таблицы 2.12, рассчитаем уровень потерь в случае реализации угроз после внедрения СЗИ на предприятии. Данные расчеты представлены в таблице 13.
Таблица 2.13 - Уровень ожидаемых потерь после внедрения СЗИ на предприятии
Потенциальная угроза |
Уровень вероятности |
Потери, руб. |
Уровень ожидаемых потерь, руб. |
|
Утечка информации за счет персонала |
0,5 |
7 800 000 |
3 900 000 |
|
НСД с проникновением в помещение |
0,01 |
7 800 000 |
78 000 |
|
Съем информации с телефонной линии |
0,2 |
5 800 000 |
1 160 000 |
|
Съем информации за счет ПЭМИН |
0,2 |
5 800 000 |
1 160 000 |
|
Хищение носителей информации |
0,5 |
7 800 000 |
3 900 000 |
|
Атака на сетевую инфраструктуру |
0,2 |
7 800 000 |
1 560 000 |
|
Итого |
11 758 000 |
Внедренная СЗИ позволяется избежать ряда угроз и снизить вероятность их реализации, что наглядно демонстрирует расчет, приведенный в таблице 2.13. Полученное значение уровня ожидаемых потерь с использованием СЗИ позволит рассчитать, насколько вложенные в защиту информации средства эффективны.
3. РАСЧЕТ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ СЗИ НА ОСНОВЕ ФИНАНСОВЫХ ОЦЕНОК
На основе полученных данных рассчитаем экономическую эффективность СЗИ на описанном предприятии по показателям, приведенным в таблице 1.2.
3.1 Период окупаемости
Рассчитаем приход по проекту. Приход по проекту в данном случае это то, каких угроз удалось избежать в денежном выражении - уровень ожидаемых потерь:
в данном случае является затратами на СЗИ = 2 334 000 рублей. Рассчитаем период окупаемости:
3.2 Совокупная стоимость владения
Данные о прямых и косвенных затратах подсчитаны в предыдущей главе, совокупная стоимость владения при этом:
--
3.3 Отдача инвестиций (Roi)
Чтобы оценить эффективность вложений в информационную безопасность по методу отдачи инвестиций необходимо рассчитать Roi до внедрения описанной СЗИ и после внедрения.
Таким образом, ROIold:
(3.1)
Где - результат внедрения показателя до внедрения СЗИ;
- доходы до внедрения СЗИ;
- расходы на ИБ до внедрения СЗИ;
- инвестиции в ИБ до внедрения СЗИ.
Доходы компании до внедрения СЗИ составляют общий доход предприятия минус уровень ожидаемых потерь. Общий доход предприятия оценивается 18 400 000 рублей (по данным финансовой отчетности). Уровень ожидаемых потерь согласно таблице 5 составляет 29 288 000 рублей. Расходы до внедрения СЗИ составляли только расходы по зарплате охранника, который осуществлял пропуск на въезд-выезд на территорию - 480 000 рублей в год ( из расчета 40 000 рублей в месяц). Таким образом:
Рассчитаем roi - показатель изменения ROI с учетом затрат на ИБ:
(3.2)
Где - результат внедрения после внедрения СЗИ;
- доходы после внедрения СЗИ;
- расходы на ИБ после внедрения СЗИ;
- инвестиции в ИБ после внедрения СЗИ.
Внедрение СЗИ на предприятии позволит снизить уровень ожидаемых потерь до 9 636 000 при затратах на СЗИ 2 334 000 рублей. Таким образом:
Рассчитаем изменение общего ROI:
(3.3)
Подставив значения получаем:
3.4 Чистый дисконтированный доход
Показатель рассчитывается по формуле:
(3.4)
Где - денежный поток в период времени t;
r - ставка дисконтирования;
t - период времени, по которому учитывается ;
n - количество периодов времени.
Рассчитаем приход по проекту. Приход по проекту в данном случае это то, каких угроз удалось избежать в денежном выражении - уровень ожидаемых потерь:
При этом ставка дисконтирования рассчитывается как безрисковая ставка (s = 7% по данным на 2017 год) умножить на коэффициент 1,5:
Зная ставку дисконтирования, находим коэффициент дисконтирования с помощью таблицы 3.2 [21].
Таблица 3.2 - Значения коэффициентов дисконтирования
Согласно таблице, коэффициент дисконтирования равен 0,9, следовательно, согласно формуле 3.2:
Общие результаты по расчетам представлены в таблице 3.3.
Таблица 3.3 - Результаты расчетов экономических показателей
roi |
PP, год |
NPV, рубл. |
TCO,рубл. |
|
2,75 |
13 055 555 |
3.5 Анализ результатов
Интерпретация полученных результатов позволяет сделать следующие выводы.
Период окупаемость, согласно расчетам, составил 0,25 года - отличный результат для инвестиционного проекта. Но при вложениях в информационную безопасность не совсем правильно говорить об окупаемости, потому что СЗИ не приносить прямой прибыли. Данный показатель рассчитан при условии, что организация всё-таки понесет ущерб от реализации угроз на полную сумму рублей. Но реализация всех угроз одновременно маловероятна и приведенная цифра 0,25 года отражает минимальный период окупаемости - этот результат лишь предположение. Можно сделать вывод о том, что данная оценка не дает исчерпывающего понимания об экономической эффективности проекта СЗИ.
Окупаемость инвестиций (roi) показывает уровень доходности проекта в процентном отношении. По данному показателю можно сказать, эффективен или нет данный проект с экономической точки зрения. Внедренная СЗИ на рассмотренном выше предприятии считается эффективной и по сравнению с периодом окупаемости данный метод оценки позволяет детально отследить из чего складываются вычисления.
В случае с нашей компанией внедрение проекта приведет к уменьшению общего ROI, при этом эффективность проекта имеет положительное значение. При внедрении проекта автоматизации или, к примеру, проекта по улучшению инфраструктуры предприятия, проект бы вряд ли утвердили, так как он ведет к снижению общей эффективности компании. Но проекты по информационной безопасности зачастую “утяжеляют” систему, усложняют инфраструктуру и вряд ли приведут повышению общего ROI. В данном случае положительный показатель roi для сферы ИБ показывает экономическую эффективность проекта, но данных сведений недостаточно для полного обоснования проекта.
Чистая приведенная стоимость показывает величину денежных средств, которые можно получить от проекта после того как денежные притоки окупят его первоначальные затраты и денежные оттоки, связанные с осуществлением проекта. В сравнении с РР и roi данный показатель можно назвать более объективным, так как он учитывает изменение стоимости денег, благодаря включению в расчет коэффициента дисконтирования, дает более убедительную количественную оценку инвестиций и тем самым приводит к большей результативности. Расчеты по такой методике более подробны, что дает понимание в получении каждого из критериев. По СЗИ рассмотренного предприятия значение NPV 19 488 888 - прибыль от проекта, которую можно получить. Но здесь такой же недостаток как PP - реальную прибыль проект не принесет. Если окажется, что ни одна из угроз не будет реализована, прибыль от проекта окажется отрицательной.
И, наконец, методика, обладающая максимальной оценкой, согласно анализу методов, приведенному в 1-ой главе - TCO. Расчет позволил получить исчерпывающую оценку в денежном выражении. Но отсюда вытекает и недостаток - ТСО не учитывает риски от потери информации, как в рассмотренных ранее методах, что нельзя исключать в сфере информационной безопасности. По проекту удалось подсчитать прямые и косвенные затраты, соотнести их с прибылью предприятия: стоимость СЗИ не завышена чрезмерно ( составляет не более 12% от годового дохода предприятия). В работе было рассчитано ТСО уже работающей системы компании, но такая оценка также эффективна на этапе выбора проекта - она позволяет выбрать наилучшее решение среди предлагаемых вариантов. Рассчитав экономическую эффективность СЗИ на предприятии по четырем методикам можно сделать вывод, что по отдельности, ни одна методика не ответит в отдельности на вопрос об эффективности функционирующей системы. PP дает предположительный результат, который легко опровергнуть при изменении уровня ожидаемых потерь и исключительно на основе данного показателя выносить решение по СЗИ нельзя. Тем не менее, согласно проведенным расчетам, проект является экономически эффективным, даже если прослеживать динамику уменьшения уровня ожидаемых потерь.
roi показывает эффективность в сравнении с работой предприятия до внедрения - расчеты показывают что внедрение СЗИ не привело к повышению общего результата по показателю, но отдельно показатель roi>0, что демонстрирует экономическую эффективность проекта, согласно теории.
NPV по проекту также дает положительное значение, которое говорит об эффективности системы, но данный показатель также сильно привязан к изменению уровня ожидаемых потерь, который носит предположительный характер.
ТСО позволяет проконтролировать затраты - на этапе выбора средств защиты информации, финансовым отделом проводилась работа по оценке совокупной стоимости владения и был выбран проект с наименьшей стоимостью, который позволил снизить вероятность реализации самых существенных угроз. Сравним полученные результаты с анализом финансовых методов, представленных в 1 главе по критерия приведенным в таблице 1.4. Максимальная оценка по критерию “универсальность” ТСО оправдана - при расчете для малого предприятия данные о затратах были получены у финансового отдела, что не составляет труда и также легко применимо для других отделов. Максимальный показатель по значению “количественная оценка” также объективен, так как это единственный показатель, который в полной мере отразил полные затраты именно в количественном, а не ином выражении. Но отсюда и минимальная оценка по критерию результативности - выраженный в комплексных затратах показатель не дает представление о об эффективности системы, а лишь позволяет сравнить с аналогичными системами или соотнести со стоимостью всей информации и прибылью компании, что отдельно. Если высчитывать на предприятии исключительно ТСО, это поможет нам распланировать затраты, но не поможет ответить на вопрос целесообразны ли эти затраты будут для организации. С помощью NPV мы получили реальное значение прибыли, которую получит компания с внедрением СЗИ. Результат, с учетом коэффициента рентабельности, получился больше, нежели при первоначальных расчетах (13 055 555 рублей против 11 758 000 рублей). Но эти цифры необъективны, так как прибыль складывается из общей суммы ожидаемых потерь, которые удастся избежать при внедрении СЗИ. Исходные данные рассчитывалась на основе стоимости информационных ресурсов и вероятности реализации угроз, что является достаточно трудоемким процессом. Расчет roi получился наиболее сложным для интерпретации. Доказана эффективность системы (roi>0), но при этом общий ROI предприятия снижается. Итог не совсем однозначен, расчеты не дают полной ясности (критерий прозрачность расчета). На основе только расчетов по этой методике руководству обосновать необходимость внедрения СЗИ не представляется возможным.
Результат расчета PP дает не совсем объективный результат, как было сказано ранее - ожидаемые потери величина, основанная на предполагаемой величине потерь. Но методика достаточно универсальна - применить её можно как для отдельных сегментов, так и для всей комплексной СЗИ, используя расчеты уровня ожидаемых потерь при реализации разных угроз.
При оценке экономической эффективности СЗИ на малых предприятиях не обязательно использовать все приведенные выше методы. Достаточно комбинации двух из них, к примеру, roi и TCO. ТСО даст количественную оценку - затраты, которые руководитель сможет внести в рассчитываемый бюджет организации. Roi позволит учесть в расчетах риски и сделать предположения об уровне ожидаемых потерь и наглядно показать экономическую привлекательность проекта. ТСО и roi совместно дают максимальные показатели по критериям результативность, учет риска, количественная оценка инвестиций и универсальность методики.
ЗАКЛЮЧЕНИЕ
В работе были представлены основные методы, применяемые для расчета экономической эффективности СЗИ на предприятиях разного типа. В результате проведенного анализа была выделена группа финансовых методов, как наиболее эффективных при расчете на малом предприятии. На основе критериального анализа результатов по каждому методу были предложены рекомендации по их применению. Наибольший эффект при расчете достигается при использовании комбинации методов ТСО и roi. TCO позволяет учесть все затраты, в том числе и скрытые, что является ключевым моментом для планирования расходов на предприятии, а roi дает помогает учесть возможные риски и продемонстрировать экономическую привлекательность проекта. Данные показатели дают количественную оценку, что также является их преимуществом, по сравнению с другими группами методов.
В диссертационном исследовании выделены следующие основные результаты и выводы:
- рассмотрены подходы к оценке экономической эффективности СЗИ и проведен их детальный анализ;
- рассмотрены частные методики оценки эффективности вложений в ИБ, которые находят применение в компаниях различного типа;
- на основе анализа, приведена сравнительная характеристика рассмотренных методов и выделена группа наиболее эффективных;
- подробно описан объект исследования и проведен анализ рисков на предприятии;
- произведен расчет экономической эффективности СЗИ на малом предприятии с использованием финансовых методов;
- предложены методические рекомендации по применению методов расчета для малых предприятий.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1. Ажмухамедов И. М., Ханжина Т. Б. Оценка экономической эффективности мер по обеспечению информационной безопасности // Вестник Астраханского государственного технического университета. Серия: Экономика - 2011. - №1. - С. 185-190.
2. Исследование уровня информационной безопасности в российских компаниях - URL: https://searchinform.ru/research/2017/ (Дата обращения 22.02. 2018).
3. Информационная безопасность (рынок России) - URL: http://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D0%B0%D1%8F_%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D1%8C_(%D1%80%D1%8B%D0%BD%D0%BE%D0%BA_%D0%A0%D0%BE%D1%81%D1%81%D0%B8%D0%B8) (Дата обращения 25.12. 2017).
4. Каким должен быть процент на ИБ от ИТ-бюджета? - URL: http://lukatsky.blogspot.ru/2016/03/blog-post_22.html (Дата обращения 03.12.2017)
5. Баранова Е. К., Бабаш А. В. Информационная безопасность и защита информации / Третье издание, переработанное и дополненное. М. : ИНФРА-М, РИОР, 2016. - 322 с.
6. Антонова Е. К., Баранова Е. К., Бабаш А. В. Особенности оценки экономической эффективности системы защиты информации // В кн.: Материалы 26-й научно-практической конференции “Методы и технические средства обеспечения безопасности информации”. 26-29 июня 2017. СПб. : Федеральное государственное автономное образовательное учреждение высшего образования "Санкт-Петербургский политехнический университет Петра Великого", 2017. С. 68-77
7. Богаткина Ю.Г., Пономарева И.А., Еремин Н.А. Применение информационных технологий для экономической оценки нефтегазовых инвестиционных проектов / М: МАКС Пресс, 2016.- 148 с.
8. Планирование затрат на информационную безопасность. - URL https://www.anti-malware.ru/analytics/Technology_Analysis/economic_planning (Дата обращения 10.05.2018)
9. Чистая приведенная стоимость: что это такое, что собой представляет этот показатель. - URL: http://znaydelo.ru/biznes/chistaya-privedennaya-stoimost.html (Дата обращения 09.05.2018).
10.Измерение эффективности ИБ [Электронный курс] - URL http://lukatsky.blogspot.ru/2013/07/blog-post.html (Дата обращения 21.02.2018)
11. Хомяков К.Г., Каницкая Л.В. Оценка эффективности инвестиций в комплексные системы защиты информации компаний нефтегазового комплекса для принятия взвешенного инвестиционного решения // Фундаментальные исследования. - 2015. - № 2-23. - С. 5173-5177.
[12] Попова Е. В. Выбор варианта системы защиты информации по критерию обеспечения конкурентоспособности предприятия // Научно-технический вестник информационных технологий, механики и оптики. 2014. - № 2 . - С. 155--160.
13. Антонова Е. К., Баранова Е. К., Кондрина А. А. Сравнительный анализ методик оценки экономической эффективности проектов системы защиты информации в организации // В кн.: V Международная научно-практическая конференция “Управление информационной безопасностью в современном обществе” (30 мая -- 1 июня 2017 г.) : сб. науч. тр. М. : Издательский дом НИУ ВШЭ, 2017. С. 12-29.
14. Голиков, Ю.А. Экономическая эффективность системы защиты информации :учеб.-метод. пособие. - Новосибирск : СГГА, 2012. - 41 с.
15. Шепитько Г.Е. Экономика защиты информации: учебное пособие. - М.: МФЮУ, 2011. - 64 с.
16. Дата-центр - URL: https://ru.wikipedia.org/wiki/%D0%94%D0%B0%D1%82%D0%B0-%D1%86%D0%B5%D0%BD%D1%82%D1%80 (Дата обращения 11.04.2018).
17 Филиппова И., Соколова А. Косвенные расходы при оценке ТСО // Директор Информационной службы. - 2008. - №10 - URL: https://www.osp.ru/cio/2008/10/5337671/ (Дата обращения 22.02.2018).
18 Зубарева Е.В., Васенёва В.А., Николаенко В.Г. Количественная оценка эффективности инвестиций в информационную безопасность предприятия. // Евразийский союз ученых. - М.: Изд-во ООО Международный образовательный центр - 2015. - №5(14) - С. 63-65.
19 А. Лукацкий. BSC и информационная безопасность // Директор информационной службы. - 2009. - №1.
20. Бирюков А.А. Окупаемость ИБ-систем. Какую прибыль может принести система ИБ // Интернет-журнал “Системный администратор” - 2011. - №10. - URL: http://samag.ru/blog/art/No_number/16 ( Дата обращения 27.02.2018)
21. Коэффициент дисконтирования - URL: https://utmagazine.ru/posts/11442-koefficient-diskontirovaniya (Дата обращения 27.02.2018)
22. Карпычев В.Ю. Экономический анализ нормативно-технического обеспечения информационной безопасности// Экономический анализ: теория и практика - 35 (242) - 2011
Размещено на Allbest.ru
Подобные документы
Понятие эффективности инвестиционного проекта и состав денежного потока. Расчет показателей эффективности проекта: чистого дохода; дисконтированного дохода; внутренней нормы доходности; индексов доходности затрат и инвестиций; срока окупаемости.
контрольная работа [64,5 K], добавлен 18.07.2010Методы расчётов для обоснования инвестиционного проекта. Определение наиболее привлекательного инвестиционного проекта по показателю чистого дисконтированного дохода. Определение индекса доходности и срока окупаемости проекта, оценка его устойчивости.
курсовая работа [122,3 K], добавлен 21.03.2013Смысл процесса дисконтирования и определение стоимости денежного потока в будущем. Расчет чистого приведенного дохода или чистой приведенной стоимости. Качественные, вероятностные, статистические методы оценки инвестиций в информационные технологии.
контрольная работа [93,3 K], добавлен 27.12.2014Понятие, виды и источники финансирования капитальных вложений. Содержание методов расчета срока окупаемости вложений и нормы прибыли на капитал. Оценка внутренней нормы доходности и рентабельности инвестиций дисконтированного периода окупаемости.
курсовая работа [262,9 K], добавлен 11.11.2010Расчет и оценка простых показателей эффективности инвестиционного проекта; определение дисконтированных показателей с учетом и без учета прогнозируемого уровня инфляции; расчет чистого дисконтированного дохода с использованием ожидаемых значений.
практическая работа [245,1 K], добавлен 26.04.2009Капиталообразующие, портфельные, косвенные инвестиции. Методы оценки эффективности инвестиционных проектов. Метод определения индекса рентабельности. Метод определение дисконтированного срока окупаемости. Расчет потребности в начальном капитале.
курсовая работа [588,5 K], добавлен 28.05.2015Современные формы и методы организации производства. Расчет основных параметров поточной линии, схема ее планирования. Оценка показателей эффективности проекта. Определение чистого дисконтированного дохода от производства и срока окупаемости проекта.
курсовая работа [1,1 M], добавлен 13.06.2014Показатель чистого дисконтированного дохода. Определение индекса доходности по отдельным проектам и их комбинациям, срока окупаемости проекта. Эффективность инвестиций в привилегированные акции. Оптимальное размещение инвестиций. Ставка дисконтирования.
контрольная работа [32,4 K], добавлен 25.01.2016Экономическая эффективность мероприятий по улучшению условий труда на предприятии ТПП "ЛУКОЙЛ-Ухтанефтегаз". Расчет капитальных вложений, эксплуатационных затрат, налога на имущество и прибыль, срока окупаемости, чистого дохода и дисконтирования.
курсовая работа [336,4 K], добавлен 30.04.2012Показатели экономической эффективности при технико-экономическом обосновании инженерных решений. Графическое определение дисконтированного срока окупаемости инвестиций. Расчет внутренней нормы доходности. Технико-экономическое обоснование проекта.
курсовая работа [266,7 K], добавлен 30.11.2015