120. Методология оценки эффективности инвестиций в защиту информации.
На выходе:
Когда окупится система
Какие доходы будет приносить в рассматриваемый период времени (малая до 3 лет, средняя от 3-5, крупная 5-7 лет)
Наиболее распространённые методы:
Метод ожидаемых потерь – оцениваются величины возможного ущерба и сравниваются с инвестициями в безопасность. В основе – эмпирический опыт защиты информации. На основании этого метода определяются ежегодные сбережения, которые получит организация в случае внедрения КСЗИ:
AS = ALE * E – AC, где
АS – ежегодные сбережения
ALE – показатель ожидаемых потерь
E – расчётная функциональная эффективность
AС – ежегодные затраты на КСЗИ
Метод оценки свойств КСЗИ – позволяет оценивать влияние среды на эффективность информационной безопасности.
Метод дерева ошибок – позволяет раскрыть уязвимости и предпринять шаги к их устранению
Метод оценки возврата инвестиций в безопасность (ROSI): строится таблица угроз и рисков (TRA); применительно к рассматриваемому примеру (оценка затрат) таблица может иметь следующий вид:
№ |
Актив |
Потенциальные угрозы |
Вероятность |
Последствия |
Частота проявления |
Потери |
ALE |
1 |
Интернет-канал |
Разрушение ключевой инфраструктуры |
Незначительная |
Серьёзные |
0.05 |
300 |
150 |
Отказ системы ОКД |
Средняя |
Существенные |
2 |
150 |
300 |
||
Нарушения конфиденциальности |
Низкая |
Серьёзные |
1 |
3000 |
3000 |
||
Повреждения аппаратных средств |
Очень низкая |
Угрожающие |
0.6 |
|
|
||
Неправильное построение инфраструктуры |
Низкая |
Существенные |
1 |
|
|
||
Атака на сетевую инфраструктуру |
Очень низкая |
Существенные |
0.6 |
|
|
||
Отказ DNS |
Низкая |
Угрожающие |
0.05 |
|
|
||
2 |
Система электронной почты |
Атака на электронную почту |
Очень высокая |
|
36 |
|
|
3 |
Бизнес-процессы |
Проблема выводы на печать |
Высокая |
|
12 |
|
|
|
|
Проблема чтения и сохранения |
Высокая |
|
12 |
|
|
|
|
Нарушение работы бизнес-приложений |
Средняя |
|
2 |
|
|
Про преобразование вероятности в частоту проявления:
Незначительная – вряд ли угроза вообще случится; 0.05
Очень низкая – бывает два-три раза за 5 лет; 0.6
Низкая – не чаще чем раз в год; 1
Средняя – не чаще чем пару раз в год; 2
Высокий – каждый месяц; 12
Очень высокий – несколько раз в месяц; 36
Экстремальный – shit happens every day; 365
Про преобразование последствий в стоимость:
Несущественная – нет последствий; 0
Низкая – незначительные затраты; 15
Средняя – определённый материальный + моральный ущерб; 150
Угрожающая – потеря репутации, конфиденциальной информации; 1500
Серьёзная – потеря клиентов; 3000
Критическая – нарушение функционирования предприятия; 7500
Анализ возврата инвестиций для рассматриваемого проекта (обоснование инвестиций)
Спервоначалу определяются планируемые затраты на внедрение проекта (эти ваши инвестиции) и по статьям заносятся (куда бы вы думали, блин!) в ещё одну таблицу:
№ |
Статьи затрат |
Стоимость |
1 |
Покупка лицензий |
2400 |
2 |
Затраты на проектирование |
400 |
3 |
Техническая поддержка |
800 |
При оценке инвестиций оценивается
инвестиция срок окупаемости
проекта. В рассматриваемом примере –
КСЗИ среднего предприятия – срок
окупаемости не должен превышать 3-5 лет.
Для оценки периода окупаемости проекта введём следующие исходные данные:
Cвн – затраты на внедрение
Cл – затраты на лицензию
Cпр – затраты на проектирование
Ci – затраты на техподдержку (по годам)
TCOт – текущий показатель ТСО
ТСОФ – фактический показатель ТСО
AS – ежегодные сбережения; AS = ALE * E – AC
CF – денежный поток
Cвн = Cл + Cпр +Σ Ci
В = TCOт – ТСОФ
Чистая приведённая стоимость затрат рассчитывается применительно для затратной и доходной части
NPVi =
NPVд = 
CFзатраты – ежегодный денежный поток затрат на внедрение
CFi – выгоды от оптимизации плюс выгоды от внедрения КСЗИ
С учётом изложенного рассчитывается и строится следующая таблица оценки возврата инвестиций:
Показатели |
Начальные затраты |
1 год |
2 год |
3 год |
Общие затраты |
Затраты на внедрение |
2400 |
370 |
700 |
700 |
4270 |
Накопленные затраты внедрения |
2400 |
2700 |
3400 |
4200 |
|
NPV |
3700 |
|
|
|
|
ТСОт |
0 |
26800 |
26800 |
26800 |
80000 |
Целевой показатель |
0 |
19800 |
19800 |
19800 |
60000 |
TCOФ |
0 |
25000 |
21300 |
19800 |
- |
B |
0 |
1800 |
5000 |
6000 |
12800 |
ALE |
0 |
|
|
|
90000 |
E |
- |
0.85 |
0.85 |
0.85 |
|
AS |
- |
50 |
3300 |
5300 |
|
CFДОХ |
|
1300 |
7800 |
11800 |
|
Накопленный денежный поток |
-2400 |
-1300 |
5800 |
16900 |
|
NPVдох |
10600 |
|
|
|
|
|
|
|
|
|
|
На основании полученных расходов производится анализ доходной части проекта на рассматриваемом периоде (3 года) и строится (офигеть, не таблица!) обобщённый график для доклада руководству.
Выводы по построенному графику:
1.6 года – точка безубыточности (вывод на самоокупаемость)
Доход отсутствует до 1.2 года
По истечении 3 лет доход составит порядка 16900
В целом проект экономически выгоден так как суммарный доход превышает суммарные затраты почти в 3 раза.