Бабенко Алексей Александрович. Модель эффективности
advertisement
МОДЕЛЬ ЭФФЕКТИВНОСТИ ИНВЕСТИЦИЙ В ИНФОРМАЦИОННУЮ
БЕЗОПАСНОСТЬ ПРЕДПРИЯТИЯ
Жаринова Светлана Сергеевна
Бабенко Алексей Александрович
На современном этапе развития экономической и информационной сфер предприятий
наблюдается стоимость информационного актива. Это обусловлено тем, что активы стали
содержать информацию не только конфиденциального характера, но и коммерческую тайну. В
связи с этим перед организациями стоит задача защиты информации для обеспечения
непрерывности функционирования бизнес-процессов.
Целью исследования является повышение эффективности инвестиций в информационную
безопасность. Для достижения цели необходимо последовательно решить следующие задачи:
анализ подходов к оценке затрат в информационную безопасность предприятия; определение
специфики российского подхода к оценке затрат в информационную безопасность предприятия;
разработка модели, повышающей эффективность инвестиций в информационную безопасность
предприятия. В результате исследования было установлено, что задача оценки эффективности
инвестиций в информационную безопасность предприятий ещё не решена. В работе предложена
новая методология, основанная на формализованной модели, повышающей эффективность
инвестиций в информационную безопасность предприятия. Информационную базу исследования
составили открытые статистические данные операций инвестирования в информационную
безопасность и оценка их эффективности. Результаты экспериментального исследования показали,
что предложенная модель позволяет повысить эффективность инвестиций в информационную
безопасность предприятия.
эффективность инвестиций, оценка затрат, информационная безопасность.
Непрерывный оборот информационного актива, связь между информационными
ресурсами, эффективное функционирование информационных систем, в которых они
обрабатываются, влияют на конечные финансовые показатели компании. При выборе стратегии
управления компанией необходимо учесть затраты на построение системы защиты и её
дальнейшего усовершенствования. На данном этапе работ возникает ряд трудностей от оценки
значимости информационного актива до определения составных инвестиций необходимых для
выстраивания системы защиты высокого уровня.
Под активом будем понимать что-либо, что имеет ценность для организации [3]. Под
информационным активом – знания или данные, которые имеют значения для организации [3].
Обеспечение информационной безопасности предприятия в современном мире является
сложным и специфическим процессом, подверженным воздействию множества внешних и
внутренних факторов. Один из основополагающих факторов осуществления процессов
построения, организации и реализации информационной безопасности предприятия, является
инвестирование. Стратегию системы защиты высокого уровня возможно построить только в том
случае, если провести предварительный анализ инвестиций и оценить эффективность затрат в
информационную безопасность.
При принятии решения об инвестировании деятельности, направленной на построение
систем защиты информации, необходимо использовать специальную методологию, позволяющую
произвести эффективные затраты на реализацию информационной безопасности предприятия.
Однако не все подходы к оценке затрат в информационную безопасность предприятия
распределяют денежные ресурсы так, что инвестирование средств на ее построение является
эффективным. Согласно статистическим данным затраты на обеспечение режима
информационной безопасности составляют 30% от всех затрат предприятия на информационные
системы, а стоимость системы защиты информационной безопасности предприятия должна
составлять примерно 20% от стоимости информационного ресурса предприятия [1]. Однако всего
1
лишь 10% предприятий осуществляют эффективное инвестирование информационной
безопасности, 40% – подвергаются большим количествам рисков нарушения информационной
безопасности [2].
Таким образом, проблема эффективного инвестирования информационной безопасности
предприятия ещё не решена, что подтверждается анализом опубликованных работ и
существующих подходов. Результаты анализа показывают, что открытыми являются такие
вопросы, как оценка эффективности инвестиций в информационную безопасность, адаптация
данной оценки к реальному времени, принятие решений об организации инвестиционного оборота
предприятия в условиях недостатка статистических данных и параметрических оценок,
сопоставление оценок возможных рисков новым угрозам нарушения информационной
безопасности.
Проблема эффективности инвестиций в информационную безопасность актуализируется
тем, что существующие подходы к оценке затрат в информационную безопасность предприятия
ориентированы на децентрализованный документооборот, который является специфичным для
России. Также не все подходы к оценке затрат в информационную безопасность предприятия
способны обеспечить повышение эффективности инвестиций в информационную безопасность
предприятия.
Проблемам оценки эффективности инвестиций в информационную безопасность
предприятия посвящены работы В.А. Белецкого, В.Н. Ясенева, С.А. Петренко, С.В. Симонова,
М.А. Амшина, Е.З. Зиндер.
Подавляющее большинство работ ориентировано на оценку рисков нарушения
информационной безопасности предприятия, крайне редко рассматривается вопрос комплексной
оценки эффективности инвестиций в информационную безопасность предприятия.
В настоящее время выделяют следующие подходы к оценке затрат в информационную
безопасность: CCB, NPV, рентабельность инвестиций в информационную безопасность. В основе
каждого подхода лежит уникальная математическая модель оценки инвестиций.
Модель оценки инвестиций – математический аппарат, который определяет сферу оценки,
отражающую контекст оценки инвестиций в рамках критерия оценки инвестиций [3].
Так, в основе подхода CCB лежит модель DCF, NPV содержит модель оценки инвестиций
NPV с эквивалентным аннуитетом, а рентабельность инвестиций в информационную безопасность
базируется на модели PI.
Анализ подходов к оценке затрат в информационную безопасность предприятия показал,
что эти подходы ограничиваются лишь оценкой чистой приведённой стоимости информационного
актива и оценкой рисков нарушения информационной безопасности предприятия. Основным
минусом данных подходов является то, что достижение эффективности инвестиций в
информационную безопасность можно добиться, если использовать их комбинированно. Анализ
подходов к оценке затрат в информационную безопасность описан в таблице 1.
Таблица 1 - Анализ подходов к оценке затрат в информационную безопасность
№ Название
подхода
1 CCB
Модель
Показатели оценок
Преимущества
Недостатки
DCF
TCO
ROI
-комплексная оценка
затрат;
- оценка затрат на всех
этапах ЖЦ СЗИ и бизнес –
процессов организации
2
PI
Pi
- соответствие
общепринятым методам
бухучета и, как следствие,
доступность исходной
- ROI является
статичным, не
учитывающим
изменение
ситуации во
времени
- не учитывается
стоимость денег
во времени;
-неаддитивность
Рентабель
ность
инвестици
йв
2
информац
ионную
безопаснос
ть
3
NPV
информации;
- быстрота получения
оценки
NPV с
эквивале
нтным
EA
аннуите NPV
том
- учитывается
альтернативная стоимость
используемых ресурсов;
- оценка инвестиционных
проектов проводится с
позиции инвестора и не
зависит от учетной
политики
(рентабельность
проекта не равна
сумме величин
рентабельности
его этапов)
- некоторые из
используемых
ресурсов трудно
оценить в
денежном
выражении;
- привязка к
повышению
акционерной
стоимости фирмы
В связи с тем, что проанализированные подходы к оценке затрат в информационную
безопасность ориентированы на западные компании, определим специфику российского подхода к
оценке затрат в информационную безопасность предприятия. Специфика российского подхода к
оценке затрат в информационную безопасность (рисунок 1) сводится к расчёту рисков нарушения
информационной безопасности, на основе которого даётся оценка о непрерывности
функционирования информационных процессов предприятия и коэффициента внутренней нормы
рентабельности инвестиций.
Проведение аудита
информационной
безопасности
Идентификация рисков
Определение допустимых
уровней рисков
Оценка рисков
=
( ) ,
Расчёт коэффициента IRR –
внутренней нормы
рентабельности
где ( ) – вероятность реализации
злоумышленником угрозы
– величина ущерба от
нанесённой угрозы i = 1,2, .. , n
Рисунок 1 – Специфика российского подхода к оценке затрат в информационную безопасность
Информационный риск – потенциальная угроза эксплуатации уязвимости актива или
группы ценных свойств, вызывая, вред организации [3].
При использовании специфики российского подхода к оценке затрат в информационную
безопасность предприятия компании, на практике, определяют различные уровни рисков:
допустимый, критический, недопустимый, стабильный. Определение допустимого уровня рисков
3
при использовании российского подхода производится исходя из показателей: недолговечность
информационного актива, доказуемая безопасность, обоснование стоимости информационного
ресурса. Оценка коэффициента внутренней нормы рентабельности инвестиций позволяет
разграничивать риски по уровням, и исключать те, которые не вошли в допустимый уровень
рисков. [4].
В связи с тем, что основным показателем российского подхода к оценке затрат в
информационную безопасность является оценка информационных рисков, проведём анализ
рисков (таблица 2). В результате анализа рисков нарушения информационной безопасности было
выделено три вида рисков. Оценки каждого риска различны. Поэтому в зависимости от категории
рисков, оценка риска нарушения информационной безопасность в рамках предложенной модели
будет определяться по-разному.
Таблица 2 – Анализ рисков нарушения информационной безопасности.
Вид риска (Обозначение)
Риск, связанный с
программно – технической
реализацией системы защиты
( ).
Причина возникновения риска
Возникает из – за
невозможности реализации
100% - ой надёжности и
отказоустойчивости.
Риск, связанный с
технологической
реализацией системы защиты
при внедрении на
предприятие ( )
Риск, обусловленный
рыночной конъюнктурой
( ).
Отсталость технического или
программного обеспечения.
Нерентабельность проекта
построения СЗИ.
Низкий объём продаж.
Разрешимость риска
1.
Более эффективно
проработать структуры и
принципы управления
системой защиты.
2.
Проведение системного
анализа состояния системы
защиты.
1. Наладить мощность
технических и программных
средств.
2. Снизить функциональную
ёмкость системы защиты.
Увеличивать
ориентированность на
потребителей.
Представление информационной безопасности как информационного процесса, а не
продукта, даёт возможность интерпретировать безопасность информационных активов как
многофункциональный процесс управления рисками нарушения режима безопасности
организации. В результате управления рисками можно достичь баланса информационных рисков
для деятельности компании, снижая потенциальные угрозы, направленные на вычислительные
средства, обрабатывающие информационные ресурсы. Результатами баланса рисков
информационных активов является выбор эффективного метода управления, который позволяет
максимально точно определить параметры безопасности информационного продукта, и получение
максимальной прибыли от вложенных средств на построение системы защиты информации [4].
Таким образом, российский подход к оценке затрат в информационную безопасность
предоставляет оценку информационных рисков в виде расчёта суммы рисков, присущих
определённой информационной системе и системе информационной безопасности, с учётом не
только внутренних и внешних факторов, но и определённых условий, присущих системе.
В качестве решения проблемы повышения эффективности инвестиций в информационную
безопасность предприятия мы предлагаем новую методологию к оценке затрат в информационную
безопасность, которая основана на применении формализованной модели, получающей
интегральный критерий эффективности инвестиций в информационную безопасность, и
способной повысить эффективность инвестиций в информационную безопасность предприятия.
Данная модель реализована в виде программного комплекса.
Предложенная модель получает интегральный критерий оценки эффективности инвестиций
в информационную безопасность, который состоит из следующих параметров:
4
значимость информационного актива;
признак эффективности затрат;
единичный риск;
субъективный риск;
совокупный риск;
ранг процесса разработки системы защиты информации;
приведённая стоимость денежного потока;
коэффициент рентабельности инвестиций в информационную безопасность;
степень риска в единицу среднего дохода;
оценка дохода от использования системы защиты информации.
Значимость информационного актива можно оценить по следующей формуле:
= (1),
где – стоимость информационного ресурса,
– капитал, вложенный в эксплуатацию этого информационного ресурса [5].
Признак эффективности затрат ∆ можно оценить по формуле:
∆ = (2),
где – ожидаемый экономический эффект,
– расходы на разработку системы защиты информации.
Единичный риск нарушения информационной безопасности предприятия R оценивается
исходя из формулы:
Ri = piui (3),
где pi – вероятность реализации i-ой угрозы нарушения информационной безопасности,
ui – ущерб, нанесённый осуществлённой i-ой угрозой.
Субъективный риск risk определяется:
risk = (4),
где - общее количество рисков,
– число всех возможных рисков.
Совокупный риск Q оценивается по формуле:
=∑
+
(5),
где n – количество угроз нарушения информационной безопасности предприятия.
Затраты на разработку системы защиты информации предприятия определяются рангом.
Оценка ранга разработки системы защиты информации предприятия rang производится по
следующей формуле:
∗
rang =
(6),
где
– ожидаемая прибыль от внедрения системы защиты информации предприятия,
- вероятность успеха использования СЗИ,
– расходы на разработку, внедрение и поддержания уровня защищённости СЗИ.
Приведённая стоимость денежного потока d оценивается по формуле:
d = D+ W (7),
где D – коэффициент дисконтирования,
- инвестиционные затраты на проект построения и внедрения СЗИ,
W – доходы, полученные от эксплуатации СЗИ.
Коэффициент рентабельности инвестиций в ИБ r вычисляется по формуле:
=
(1 + )
где t – начало временного периода,
- денежный поток в период времени t,
5
(8),
k – доход от реализации проекта,
T – конец временного периода.
Оценку степени риска в единицу среднего дохода CV можно получить следующим образом,
используя формулу:
( )
= ( ) (9),
где ( ) – среднеквадратическое отклонение затрат на реализацию системы защиты
информации предприятия,
( ) – математическое ожидание затрат на реализацию системы защиты информации
предприятия.
Доход D от использования СЗИ можно оценить по формуле:
=
(1 − д ) (10),
д−
где д – вероятность получения дохода,
(1 − д ) – вероятность получения убытков,
и
– единицы стоимости информационного актива.
Предложенная модель эффективности инвестиций в информационную безопасность
предприятия, базируется на дисконтировании будущих денежных поступлений и расходов [6].
Таким образом, данная модель способна учитывать изменение инвестиций в информационную
безопасность предприятия с течением времени.
Описательной характеристикой изменения инвестиционного потока является его
интенсивность l(t) – среднее число изменений, произошедших в потоке в единицу времени.
Интенсивность позволяет оценить интервалы времени ∆ [ ] между изменениями,
произошедшими в потоке, используя формулу:
∆ [ ] ( ) = ( ) (11),
где K – суммарное количество изменений инвестиций,
l(t) – интенсивность инвестиционного потока,
i;qє[1;n] – порядковые номера изменений,
i≥q.
Изменения процессов инвестирования в информационную безопасность предприятия
описываются в виде конечного автомата H, состояния которого описывает формула:
H = < ,value, П, > (12),
где – конечное состояние инвестиций,
value – значение изменений инвестиций,
П – функция переходов инвестиций из состояния k в состояние j,
- начальное состояние инвестиций.
Функция переходов инвестиций П из состояния k в состояние j оценивается по следующей
формуле:
П = ×value→ (13),
Оценку потенциального ущерба U информационного актива можно получить исходя из
формулы:
U = pjλT (14),
где pj – вероятность возникновения j – ой угрозы,
λ – воздействие угрозы нарушения ИБ на информационный актив,
T – ценность актива.
Таким образом, оценка общего ожидаемого ущерба OU состоит из потенциальных
ущербов. Эту оценку можно получить по следующей формуле:
(15).
=
Каждому параметру присваиваются весовые категории по правилу Фишберна. Данное
правило задаётся формулой:
6
где
= [2/(N-n+1)]/(N+1)N (16),
- весовой коэффициент Фишберна для критерия оценки эффективности инвестиций в
ИБ,
N – общее количество параметров интегрального критерия оценки эффективности
инвестиций в информационную безопасность предприятия,
n – порядковый номер параметра,
i = 1, 8.
Таким образом, формируется система весовых коэффициентов Фишберна Ф .
Ф
Условия, которым удовлетворяет система весовых коэффициентов Фишберна
,
задаются выражениями:
є[0;1] (17)
Ф
=
= 1 (18),
где i=1, .
В качестве оптимизационных параметров, которыми оперирует предложенная нами модель,
выступают совокупная стоимость затрат на ликвидацию последствий реализации угрозы и иных
причин вывода из строя СЗИ и суммарные выплаты источникам финансирования.
Оценка совокупной стоимости затрат M ликвидации последствий реализации угрозы и
иных причин вывода из строя СЗИ производится по формуле:
(19),
=
где Ci – стоимость i-ой меры,
m – общее число принятых мер.
Оценка суммарных выплат
источников финансирования формируется по следующей
формуле:
=
,
(20),
- суммарные выплаты j-ому источнику финансирования,
, – выплаты j-ому источнику финансирования,
i,j = 1,...,n,
n – число источников финансирования.
Предложенная модель эффективности инвестиций в информационную безопасность
предприятия решает задачу повышения эффективности инвестиций в информационную
безопасность предприятия путём минимизации затрат на информационную безопасность.
Минимизация затрат на информационную безопасность предприятия производится
оптимизационным процессом, который отражает следующая формула:
(
+
+. . +
) (21),
где – j-ый критерий оптимизации, j = 1..n,
n – количество критериев,
- признак использования j–ого источника финансирования,
1, если источник финансирования был использован
=
(22),
0, если источник финансирования не использовался
В рамках предложенной модели эффективности инвестиций в информационную
безопасность оцениваются следующие параметры – совокупная стоимость затрат ликвидации
последствий реализации угрозы, или иных причин вывода из строя систем защиты информации, и
суммарные выплаты источников финансирования, для того, чтобы определить допустимые уровни
рисков нарушения информационной безопасности предприятия. При этих двух параметров ущерб
где
7
U минимален, а затраты на информационную безопасность предприятия являются эффективными,
так как прибыль, полученная от внедрения СЗИ, больше чем вложенный капитал.
Обобщив параметры, использующиеся в рамках модели эффективности инвестиций в
информационную безопасность предприятия, определим интегральный критерий эффективности
инвестиций в информационную безопасность, используя формулу:
(23),
=
где
- весовой коэффициент Фишберна для параметра оценки эффективности инвестиций
в информационную безопасность предприятия,
M - совокупная стоимость затрат ликвидации последствий реализации угрозы и иных
причин вывода из строя системы защиты информации предприятия.
Таким образом, модель эффективности инвестиций в информационную безопасность
предприятия, может находиться в разных состояниях S, которые можно описать в виде
следующего множества:
S = { , … , } (24),
где S – множество возможных состояний модели,
- начальное состояние модели,
– конечное состояние модели.
Разработанная модель эффективности инвестиций в информационную безопасность
предприятия отличается от других моделей, решающих схожие задачи, тем что:
является полностью формализованной;
ориентирована на использование в российских компаниях с централизованным
документооборотом;
производит комплексную оценку затрат на информационную безопасность
предприятия;
позволяет определить интервалы времени между изменениями инвестиций в
информационную безопасность предприятия;
повышает эффективности инвестиций в информационную безопасность
предприятия.
Таким образом, в ходе проведения исследования в области эффективности инвестиций в
информационную безопасность предприятия была получена качественно новая модель. Данная
модель была реализована в виде программного комплекса в среде разработки MS Visual C# 2010.
Графическое представление архитектуры программного комплекса для исследования
модели эффективности инвестиций в информационную безопасность предприятия отображает
рисунок 2.
Архитектура программного комплекса состоит из шести блоков. Основным блоком
является «Пользовательский интерфейс приложения», который позволяет пользователю вводить
входные данные, а также осуществлять функцию управления путём запуска и завершения
процессов. Другие четыре блока: «Модуль оценки рисков», «Модуль формирования
инвестиционного потока», «Модуль формирования системы весовых коэффициентов», «Модуль
оценки и оптимизации эффективности инвестиций в информационную безопасность» – это
программные модули. Также в архитектуру программного комплекса входит сервер баз данных.
Модуля оценки рисков производит многофакторную оценку рисков на основе атрибутов,
которыми являются параметры: единичный риск, субъективный риск, совокупный риск.
Анализирует риски, на основе анализа проводит их оценку и определяет степень риска в единицу
среднего дохода.
В модуле формирования инвестиционного потока пользователь вводит данные: ставка
дисконтирования, инвестиционные затраты на построение и внедрение системы защиты
информации, доход от средств, внедрённых на реализацию систем защиты информации. На основе
этих данных формируется инвестиционный поток, и фиксируются его изменения во времени.
8
Критерии оценки: K =
{ , ,…, }
Интегральный критерий
эффективности инвестиций в
ИБ: G=∑
M
Модуль оценки и
оптимизации эффективности
инвестиций в ИБ
Степень риска в единицу
( )
среднего дохода: CV = ( )
Модуль оценки рисков
Пользовательский
интерфейс
приложения
Модуль создания
системы весовых
коэффициентов
Модуль формирования
инвестиционного потока
Сервер баз
данных
Интенсивность
инвестиций: l(t)
Интервалы времени
между изменениями:
∆ [ ]= ( )
Параметр шкалы
Фишберна: ρ =
=
={2/(N-n+1)}/(N+1)N
Объекты: O =
{ ,…, }
Рисунок 2 – Архитектура программного комплекса, реализующего модель эффективности
инвестиций в информационную безопасность предприятия.
В модуле формирования системы весовых коэффициентов комбинируются параметры
оценки эффективности инвестиций в информационную безопасность. Для каждого параметра
присваивается весовой коэффициент Фишберна, согласно (16) и (17).
Модуль оценки и оптимизации эффективности инвестиций в информационную
безопасность считывает данные с каждого модуля, проводит их анализ, формирует интегральный
критерий эффективности инвестиций в информационную безопасность. Производит оптимизацию
критериев оценки в интегральный критерий эффективности инвестиций в информационную
безопасность.
На основе представленной архитектуры был разработан программный комплекс
(рисунок 3).
9
Рисунок 3 – Пользовательский интерфейс программного комплекса (экранная копия)
Программный комплекс исследования модели эффективности инвестиций в
информационную безопасность предприятия состоит из пользовательского интерфейса, который
включает в себя три окна, взаимодействующих между собой.
Экспериментальное исследование программного комплекса, реализующего модель
эффективности инвестиций в информационную безопасность, включает несколько этапов:
1)
определение средств исследования;
2)
формирование гипотез экспериментального исследования;
3)
проектирование методики проведения эксперимента;
4)
проведение экспериментального исследования;
5)
обобщение и анализ полученных результатов.
К основным средствам исследования относятся: область, объект, инструмент исследования.
К вспомогательным средствам исследования относятся: АРМ, ОС, пользователь.
Областью исследования является информационная безопасность, а также её экономические
аспекты. Объектом исследования выступают методы, влияющие на эффективность инвестиций в
информационную безопасность. В качестве инструмента исследования используется
разработанный программный комплекс «model ПЭИвИБ», реализующий модель, эффективности
инвестиций в информационную безопасность предприятия.
Автоматизированное рабочее место (АРМ) должно удовлетворять следующим
требованиям: процессор не ниже: Intel Pentium (R) Dual – Core, 2,29 ГГц, 1,96 ГБ ОЗУ.
Операционная система (ОС) – на базе технологий Windows NT и удовлетворять требованию
– не ниже MS Windows XP SP3.
В качестве пользователя выступает лицо, являющееся специалистом информационной
безопасности (или системного аналитика в области оценки эффективности инвестиций в
информационной безопасности).
10
Для проведения более детального анализа функционирования программного комплекса
сформулируем гипотезы, на которые будем опираться, с целью сравнения полученных
результатов. Введём понятие статистической гипотезы.
Пусть в статистическом эксперименте доступна наблюдению случайная величина X,
распределение которой P известно полностью или частично. Тогда любое утверждение,
касающееся P, называется статистической гипотезой [7].
Статистическая гипотеза, однозначно определяющая распределение P, то есть H:{P = },
где – закон распределения, называется простой [7].
Статистическая гипотеза, утверждающая принадлежность распределения P к некоторому
семейству распределений, то есть вида H: {Pєρ}, где ρ – семейство распределений, называется
сложной [7].
Для подведения итогов экспериментального исследования сформулируем нулевую и
альтернативную гипотезы и укажем уровень значимости.
Под нулевой гипотезой
понимается гипотеза об отсутствии различий в сопоставляемых
значениях признака [7].
Под альтернативной гипотезой
понимается гипотеза о значимости различий
(экспериментальная гипотеза) [7].
Уровень значимости - это вероятность того, что мы сочли различия существенными, в то
время как они на самом деле случайны. Уровень значимости показывает степень достоверности
выявленных различий между выборками, т.е. показывает, насколько мы можем доверять тому, что
различия действительно есть [7].
Однако для более детального анализа уровня значимости будет недостаточно. В связи с
этим, охарактеризуем критическую область и область принятия гипотез.
Область принятия гипотез характеризуется крит (критическое значение) – граничное
значение критерия. Определим
Согласно открытым статистическим данным
крит .
инвестирование признаётся эффективным, если прибыль составляет от 40% до 100% [7].
Так в качестве уровня значимости примем 50%, который отображает формула (25):
крит = 0,5 (25).
Уровнем значимости набл, применимым к области инвестирования деятельности,
направленной на обеспечение информационной безопасности предприятия выступает
математическое ожидание μ, которое отображает следующая формула:
μ = ̅ (26),
где ̅ - среднее значение коэффициентов, которое рассчитывается по формуле (27).
1
(27),
̅=
где – i-е значения коэффициентов [7].
: эффективность инвестиций в информационную безопасность не повышается с течением
времени при условии, что существует оценка значимости информационных активов.
: эффективность инвестиций в информационную безопасность повышается с течением
времени при условии, что существует оценка значимости информационных активов.
Результаты экспериментального исследования разработанного программного комплекса на
основе модели эффективности инвестиций в информационную безопасность предприятия, а также
входные данные, вводимые пользователем, представлены в таблице 3.
Таблица 3 – Результаты экспериментального исследования
№ испытания
Название
Входные данные
Результативные данные
показателя/обозначен
ие
1)
2)
3)
4)
5)
1
Параметр
оценки Стоимость Эксплуатаци Значимость
информационного
ИР, руб.
онный
информационного актива,
11
актива/Ia
2
1)
Единичный риск/R
2)
Субъективный
риск/risk
Совокупный риск/
3
Коэффициент
рентабельности
инвестиций/r
капитал, руб. единицы
5500
12000
24000
2600
14000
Вероятност
ь
реализации
угрозы
4
4
3
2
1
Риск,
связанный
с
программно – технической
реализацией СЗИ, руб.
0,3
0,6
0,07
3)
Общее
количество
рисков
1200
250
7000
1000
8700
Величина
ущерба
от
осуществлен
ия угрозы,
руб.
4000
9000
2000
4)
Число всех
возможных
рисков
7
10
0,7
2
10
12
11
0,025
0,909
Субъектив
ный риск
Единичный
риск, руб.
0,6
17000
Риск,
связанный
с
рыночной конъюнктурой,
руб.
18000
1
8000
9000
0,25
Денеж
ный
поток
за
t,
руб.
1000
27000
12000
4
3400
Доход
от
реализа
ции
СЗИ,
руб.
20000
13000
24000
Ранг
процесса Коэффици
разработки СЗИ
ент
рентабель
ности
9,76
12
1200
5400
140
5)
Риск,
связанный
технологической
реализацией СЗИ
3450
Период За 12 дней: r = 0,12
времен За 38 дней: r = 9,76
и
t,
дней
10
16
12
Коэффициент
дисконтирова 0,83
ния
8
с
По данным, полученным в результате эксперимента, построим асимптотический показатель
эффективности инвестиций в информационную безопасность. Асимптотический показатель
эффективности инвестиций в информационную безопасность представлен на рисунке 4.
Рисунок 4 – Асимптотический показатель эффективности инвестиций в информационную
безопасность (экранная копия)
Получим
̅ для коэффициентов рентабельности инвестиций в информационную
безопасность по различным временным периодам. Так как в качестве входных данных для расчёта
коэффициента рентабельности инвестиций в информационную безопасность были выбраны два
числа: 12 и 38 дней, то рассчитаем значения коэффициентов для этих дней соответственно.
Результаты расчётов отображают формулы (28) и (29).
Таким образом, получим следующее:
̅ = (0,7 + 0,025 + 0,909 +0,12)/4 = 0,43 (28),
̅ = (0,7 + 0,025 + 0,909 + 9,76)/4 = 2,84 (29).
Следовательно, получим следующую пару набл в виде (30) и (31):
набл = ̅ = 0,43 (30),
набл = ̅ = 2,84 (31).
Сравним полученные результаты с установленным уровнем значимости:
- 0,43 < крит (32);
- 2,84 > крит (33).
Согласно формуле (32) значение уровня значимости набл меньше чем значение крит , а
согласно формуле (33) значение уровня значимости набл больше чем значение крит .
Следовательно, на основании полученных данных можно сделать вывод, что нулевая гипотеза
отвергается, а альтернативная гипотеза
принимается.
Таким образом, повышение эффективности инвестиций в информационную безопасность
происходит с течением времени при условии, что существует оценка значимости
информационных активов.
Проанализируем полученные результаты. Прямая линия красного цвета (рисунок 4),
показывает нам, что эффективные вложения на построение, реализацию и внедрения средств
13
защиты информации для достижения информационной безопасности предприятия начинаются от
значения 6000 руб. и выше. Кроме того, активно прослеживается спад от 4000 руб. и ниже,
пришедший на временной период 5. Спад наблюдался потому, что риск, связанный с рыночной
конъюнктурой составил 3450 руб., а единичный риск 3400 руб., при субъективном риске 0,25 (то
есть риску нарушения информационной безопасности были подвергнуты
часть активов,
подлежащих защите). А значение риска нарушения режима информационной безопасности
предприятия отображается в виде стоимости 3450 руб., которая близка к значению 4000 руб.
Определим суммарную стоимость информационных ресурсов. В ходе экспериментального
исследования программного комплекса, реализующего модель эффективности инвестиций в
информационную безопасность, была оценена значимость пяти информационных ресурсов:
планирование деятельности компании;
картографические данные;
персональные данные клиентов;
расходы за неделю;
доходы за неделю.
Суммарную стоимость информационных ресурсов отображает формула (34):
E = 5500 + 12000 + 24000 + 2600 + 14000 = 58100 (34).
Таким образом, суммарная стоимость информационных ресурсов составляет 58100 руб.
Суммарный капитал, вложенный в эксплуатацию информационных ресурсов, отображает
следующая формула:
Y = 1200 + 250 + 7000 + 1000 + 8700 = 18150 (35).
Таким образом, суммарный капитал, вложенный в эксплуатацию информационных
ресурсов, составляет 18150 руб.
Чтобы получить количественное значение инвестирования, необходимо вычислить разницу
A суммарной стоимости информационных ресурсов и суммарного капитала, вложенного в
эксплуатацию этих информационных ресурсов в виде (36).
A = E – Y = 58100 – 18150 = 39950 (36).
Таким образом, капитал A (формула 36) размером 39950 руб. был вложен в инвестирование
деятельности, направленной на построение системы защиты информации. Однако как только риск,
связанный с рыночной конъюнктурой, достиг значения 18000 руб., произошёл второй
инвестиционный спад.
Прямая, отображённая синим цветом (рисунок 4), показывает результаты оптимизации. В
результате совмещения этих прямых, мы видим, что они пересекаются в двух точках
и
(рисунок 4). Точка
соответствует критерию оптимизации суммарных выплат источников
финансирования, оценённому по формуле 20. Точка
соответствует критерию оптимизации
совокупной стоимости затрат М, оценённому по формуле 19.
Интегральный критерий эффективности инвестиций в информационную безопасность,
оценённый по формуле (23) составил 1400,1. Оптимизационный процесс показал, что рост
наблюдался потому, что средний риск составляет риск, связанный с рыночной конъюнктурой,
размером 9000 руб. Следовательно, этот риск можно определить как минимальный.
Также в результате оптимизации было выявлено, что вводя в инвестиционный оборот
капитал ниже 6000 руб., минимальным является риск, размером 2000 руб.
Экспертным путём было выявлено, что разработанная модель эффективности инвестиций в
информационную безопасность предприятия позволяет определить допустимые уровни риска
нарушения информационной безопасности, при которых прибыль, полученная от вложения
инвестиций, будет максимальной. В рассмотренном частном случае допустимыми уровнями риска
нарушения информационной безопасности являются значения 2000 руб. и 6000 руб.
Следовательно, разработанная модель эффективности инвестиций в информационную
безопасность предприятия позволяет повысить эффективности инвестирования деятельности,
направленную на построение, реализацию, внедрение и эксплуатацию системы информационной
безопасности.
14
Разработанная модель эффективности инвестиций в информационную безопасность
предприятия отличается от других моделей, решающих схожие задачи, тем что:
является полностью формализованной;
ориентирована на использование в российских компаниях с централизованным
документооборотом;
производит комплексную оценку затрат на информационную безопасность
предприятия;
позволяет определить интервалы времени между изменениями инвестиций в
информационную безопасность предприятия;
повышает эффективность инвестиций в информационную безопасность
предприятия.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. 1. Петренко С.А., Симонов С.В., Кислов Р.И. Информационная безопасность: экономические
аспекты
//URL:
http://www.jetinfo.ru/Sites/new/Uploads/2003_10.319A4A356B684F33A06E15C657633935.pdf (дата
обращения: 2.09.2013).
2. 2. Симонов С.В. Технологии и инструментарий для управления рисками //URL:
http://www.jetinfo.ru/Sites/new/Uploads/2003_2.319A4A356B684F33A06E15C657633935.pdf
(дата
обращения: 12.05.2013).
3. Андрианов В.В., Зефиров С.Л., Голованов В.Б., Голдуев Н.А., Обеспечение информационной
безопасности бизнеса. М: 2011.
4. Комлева Е.В., Баранов Д.В. Информационная безопасность как процесс управления рисками.
Кольский научный центр РАН, 2010.
5. 5. Чудин А. Методы оценки эффективности ИТ на этапе эксплуатации //URL:
https://www.google.ru/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CCkQFjAA&url=http%3
A%2F%2Fwww.spellabs.ru%2Fdownload%2Fitefficiency.pdf&ei=aW5ZUuuvLqi74ASHrYHgDg&usg=AFQjCNFpm8yjP4G6LAyLQio3WWDtGxhzG
A&sig2=9Fbzn1eoR5sUvWUeO7MvXQ&bvm=bv.53899372,d.bGE&cad=rjt
(дата
обращения:
18.04.2013).
6. 6. Боярко И. М., Гриценко Л. Л. Инвестиционный анализ. – К.: Центр учебной литературы,
2012 – 400 с.
7.Орлов А.И. Прикладная статистика. М: Издательство «Экзамен», 2004.
Жаринова Светлана Сергеевна – Волгоградский Государственный Университет, e-mail:
one1100on@gmail.com; г. Волгоград, пр. Университетский, 100; тел. 88442460368; кафедра
информационной безопасности; студент.
Бабенко Алексей Александрович – ВФ Академия труда и социальных отношений, e-mail:
ba_benko@mail.ru; г. Волгоград, ул. Ким, дом 6 корпус "Б"; тел. 8 (8442) 98-34-42; 8 (8442) 50-4103; Кафедра профсоюзного движения и общих гуманитарных дисциплин; к.п.н; доцент.
15
