Спонсор: Microsoft
Опубликован: 25.06.2010 | Доступ: свободный | Студентов: 1514 / 229 | Оценка: 4.32 / 4.18 | Длительность: 25:57:00
Самостоятельная работа 3:

Оценка экономической эффективности внедрения СЗИ методом дисконтирования денежных потоков

< Лекция 5 || Самостоятельная работа 3: 12 || Лекция 6 >
Аннотация: Рассматривается проект внедрения СЗИ в конкретной компании. Эффективность оценивается с использованием

Цель занятия

  • Изучить методику экономической оценки эффективности СЗИ
  • Выявить потенциальные проблемы и ограничения применения методики оценки эффективности СЗИ на базе дисконтирования денежных потоков

Описание ситуации

Компании требуется оценить проект по защите одного из сегментов сети своей информационной системы при помощи системы анализа защищенности "ИСК". Известна величина риска, исчисляемая в денежном выражении (205 000 р. за год), которая учитывает потери от реализации тех или иных атак и вероятности их осуществления. Также известно, что величина риска после внедрения разработанного программного комплекса сократится на 60%. Стоимость программного комплекса составляет 100 000,00 р. Подробнее потоки денежных средств по данному проекту представлены в таблице 8.1.

Таблица 8.1. Потоки денежных средств
Периоды 0 1 2 3
Первоначальные инвестиции - 100 000, 00
Выгоды (размер риска) 205 000, 00 205 000, 00 205 000, 00
Размер остаточного риска -82 000, 00 -82 000, 00 -82 000, 00
Стоимость годовой поддержки -50 000, 00 -50 000, 00 -50 000, 00
Затраты на администрирование -7500, 00 -7500, 00 -7500, 00
Итого: - 100 000, 00 60 500, 00 60 500, 00 60 500, 00

Описание методики

Как правило, затраты на информационную безопасность подразделяются на следующие категории:

  1. Затраты на формирование и поддержание звена управления системой защиты информации (организационные затраты).
  2. Затраты на контроль, т.е. на определение и подтверждение достигнутого уровня защищенности ресурсов предприятия.
  3. Внутренние затраты на ликвидацию последствий нарушения политики информационной безопасности (НПБ) - затраты, понесенные организацией в результате того, что требуемый уровень защищенности не был достигнут.
  4. Внешние затраты на ликвидацию последствий нарушения политики информационной безопасности - компенсация потерь при нарушениях политики безопасности в случаях, связанных с утечкой информации, потерей имиджа компании, утратой доверия партнеров и потребителей и т. п.
  5. Затраты на техническое обслуживание системы защиты информации и мероприятия по предотвращению нарушений политики безопасности предприятия (затраты на предупредительные мероприятия).

При этом обычно выделяют единовременные и систематические затраты. К единовременным относятся затраты на формирование политики безопасности предприятия: организационные затраты и затраты на приобретение и установку средств защиты. Классификация затрат условна, так как сбор, классификация и анализ затрат на информационную безопасность - внутренняя деятельность предприятий, и детальная разработка перечня зависят от особенностей конкретной организации.

Очевидно, что расходы на внедрение и поддержку программы принадлежат к категории затрат на контроль. Основной объем затрат составляет оплата труда персонала службы безопасности и прочего персонала предприятия, занятого проверками и испытаниями. Эти затраты могут быть определены весьма точно. Оставшиеся затраты в основном связаны со стоимостью конкретных специальных работ и услуг внешних организаций и материально-техническим обеспечением системы безопасности. Они могут быть определены напрямую.

В то же время, использование программы позволит своевременно выявлять уязвимости СЗИ, устранение которых приведет к снижению риска нарушения ИБ и, тем самым, к снижению внутренних и внешних затрат на компенсацию нарушений политики безопасности. Внутренние затраты сокращаются по таким статьям, как:

  • Восстановление баз данных и прочих информационных массивов.
  • Утилизация скомпрометированных ресурсов.
  • Проведение мероприятий по контролю достоверности данных, подвергшихся атаке на целостность.
  • По проведению расследований нарушений политики безопасности.

Внешние затраты на компенсацию нарушений политики безопасности связаны с тем, что были скомпрометированы коммерческие данные партнеров и персональные данные пользователей услуг предприятия. Затраты, связанные с восстановлением доверия, определяются таким же образом, как и в случае внутренних потерь. Существуют и другие затраты, которые определить достаточно сложно. В их числе такие затраты, как:

  • Потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно-технические достижения.
  • Потери от компрометации производимой предприятием продукции и снижения цен на нее.

При определении затрат на обеспечение ИБ необходимо помнить, что:

  • Затраты на приобретение и ввод в действие программно-технических средств могут быть получены из анализа накладных, записей в складской документации и т. п..
  • Выплаты персоналу могут быть взяты из ведомостей.
  • Объемы выплат заработной платы должны быть взяты с учетом реально затраченного времени на проведение работ по обеспечению информационной безопасности. Если только часть времени сотрудника затрачивается на деятельность по обеспечению информационной безопасности, то целесообразность оценки каждой из составляющих затрат его времени не должна подвергаться сомнению.

Целью любых инвестиций является увеличение притока денежных средств (в данном случае - уменьшение размера ущерба в результате реализации угроз ИБ) по сравнению с существующим. При оценке инвестиционного проекта необходимо рассмотреть все потоки денежных средств, связанные с реализацией данного проекта. Неденежные затраты (такие, например, как амортизация) и затраты, уже понесенные до принятия решения об инвестициях, рассматриваться не должны. При этом необходимо учитывать зависимость потока денежных средств от времени.

Поэтому будущие поступления денежных средств (снижение ущерба) должны быть дисконтированы, т.е. приведены к текущей стоимости. Для этого применяют ставку дисконтирования, величина которой отражает риски, связанные с обесцениванием денег из-за инфляции и с возможностью неудачи инвестиционного проекта, который может не принести ожидаемого эффекта. Другими словами, чем выше риски, связанные с проектом, тем больше значение ставки дисконтирования. Эта ставка также отражает общий уровень стоимости кредита для инвестиций.

К основным показателям, используемым для определения эффективности инвестиционного проекта, относятся:

  • Чистый дисконтированный доход ( NPV ),
  • Внутренняя норма доходности ( IRR ),
  • Индекс доходности ( PI ),
  • Срок окупаемости с учетом дисконтирования (Ток)

Методика использования дисконтированных показателей для определения экономической эффективности инвестиционного проекта

При оценке эффективности инвестиционного проекта соизмерение разновременных показателей осуществляется путем дисконтирования (приведения) их к ценности в начальном периоде. Для приведения разновременных затрат, результатов и эффекта используется норма дисконта (Е), равная приемлемой для инвестора норме дохода на каптал. Для дисконтирования разновременные затраты, результаты и эффект умножаются на коэффициент дисконтирования a_t, определяемый для постоянной нормы дисконта Е как

a_t = \frac {1}{(1+E)^t},

где a_t - номер шага расчета (t = 0, 1, 2…. T),

Т - горизонт расчета.

Величина NPV для постоянной нормы дисконта вычисляется по формуле:

NPV = \sum_{t=0}^T (R_t-З_t) \frac {1}{(1+E)^t},

где R_t - результаты, достигаемые на t-ом шаге расчета,

З_t - затраты, осуществляемые на t-ом шаге расчета,

Т - горизонт расчета.

Если NPV инвестиционного проекта (за расчетный период) положителен, проект является эффективным (при данной норме дисконта) и может рассматриваться вопрос об его принятии. Чем больше NPV, тем эффективнее проект.

На практике часто пользуются модифицированной формулой для определения NPV. Для этого из состава З_t исключаются капитальные вложения:

K= \sum_{t=0}^T K_t \frac {1}{(1+E)^t},

где K_t - капитальные вложения на t-ом шаге,

К - сумма дисконтированных капиталовложений

Тогда формула NPV записывается в в PIе:

NPV = \sum_{t=0}^T (R_t-З_t') \frac {1}{(1+E)^t}-K,
где

З_t' - затраты на t-ом шаге расчета при условии, что в них не входят капиталовложения.

Оценка экономического результата может быть произведена на основании экономического эффекта за расчетный период по формуле:

Э = \sum_{t=1}^{T^p} \frac {Д_t}{(1+Е_Н)^t}- \sum_{t=1}^{T^p} \frac {K_t}{(1+Е_Н)^t},

где Д_t - доход, получаемый от проекта в году t;

K_t - инвестиции в год t;

Е_Н - норма дисконта, характеризующая степень неравноценности разновременных затрат и результатов;

Тр - продолжительность расчетного периода;

t - номер года расчетного периода;

Индекс доходности представляет собой отношение суммы приведенных эффектов к величине капиталовложений.

PI = \frac {1}{K} \sum_{t=0}^T (R_t-З_t') \frac {1}{(1+E)^t}

PI тесно связан с NPV. Он строится из тех же элементов и его значение связано со значением NPV: если NPV положителен, то PI >1 и наоборот.

Если PI >1, проект эффективен,

Если PI<1, проект не эффективен.

Внутренняя норма доходности ( IRR ) представляет собой ту норму дисконта (Евн), при которой величина приведенных эффектов равно приведенным к капиталовложениям. Иными словами является решением уравнения:

\sum_{t=0}^T \frac {R_t - З_t'}{(1+Е_{ВН})^t} = \sum_{t=0}^T \frac {K_t}{(1+Е_{ВН})^t}

В случае, когда IRR равен или больше требуемой инвестором нормы дохода на капитал, инвестиции в данный проект оправданы, и может рассматриваться вопрос об его принятии. В противном случае инвестиции в данный проект нецелесообразны.

Срок окупаемости - период, начиная с которого первоначальные вложения и другие затраты, связанные с инвестиционным проектом, покрываются суммарными результатами его осуществления. Срок окупаемости рекомендуется определять с использованием дисконтирования.

< Лекция 5 || Самостоятельная работа 3: 12 || Лекция 6 >
Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Андрей Осипов
Андрей Осипов

Здравствуйте! Хотелось бы прояснить следующий вопрос: у МТИ приостановлена государственная аккредитация и когда будет восстановлена- неизвестно, а в диплом о профпереподготовке выдается на базе МТИ (как я понял). Как будет обстоять дело с получением диплома?

Вопрос важный и актуальный, потому что необходимо срочно пройти обучение и получить диплом и не хотелось бы тратить время и платить деньги зря (если диплом окажется недействительным и т.п.). Разъясните, пожалуйста, подробнее ситуацию.

Дмитрий Карачун
Дмитрий Карачун
Беларусь, Минск