Содержание1. Введение 3
2. Теоретические основы выбранных методов оценки эффективности вложений в КСЗИ 10
Общие положения 10
Приведенные стоимости и нормы доходности 14
Как рассчитать приведенную стоимость проекта 13
Оценка потоков денежных средств за несколько периодов 15
Бессрочная рента и аннуитет 16
Замечания о интервалах начисления сложного процента 19
Принятие инвестиционных решений по методу чистой приведенной стоимости 22
Сопоставление методов оценки эффективности инвестиций с использованием теории приведенной стоимости с иными методами 28
3. Практические проблемы планирования вложений в КСЗИ 32
Анализ чувствительности 32
Ограничения в анализе чувствительности 33
Анализ проекта при различных сценариях 34
Анализ безубыточности 37
Метод случайных чисел 41
Издержки моделирования 44
"Древо решений" и последующие решения 47
4. Организация инвестиционного процесса и последующая оценка его эффективности 50
Планирование вложений и утверждение проектов 50
Критерии, применяемые фирмами для оценки проектов 53
Обеспечение согласования прогнозов 55
Необходимость "стратегической подгонки" 58
Оценка результатов деятельности по реализации проектов 58
Контроль за осуществлением проектов 59
Постаудит 60
Особенности подхода к постаудиту при оценке проектов инвестиций в КСЗИ 61
5. Пример расчета эффективности вложений в защиту информации путем расчета чистой приведенной стоимости проекта и использования метода "древо решений" 62
Вычисление приведенной стоимости проекта 65
Анализ на основе метода "древо решений" 66
6. Заключение 71
7. Список использованной литературы 74
8. Приложение 1. 75ВведениеПо мере развития общества острота проблемы обеспечения защиты информации от различных угроз все более возрастает. Для этого есть целый ряд объективных причин.
Основная из них - особое положение в жизни общества систем обработки информации. Этим системам доверяют самую ответственную работу, от качества которой зависит жизнь и благосостояние многих людей. Примером тому могут служить ЭВМ, которые управляют технологическими процессами на предприятиях и атомных электростанциях, движением самолетов и поездов, с помощью которых выполняются финансовые операции и передают секретную информацию.
Сегодня проблема защиты информации становится еще более значительной в связи с развитием и распространением сетей ЭВМ. Распределенные системы и системы с удаленным доступом выдвинули на первый план вопрос защиты передаваемой и обрабатываемой информации.
Увеличение роли информации в современном обществе, а также доступность систем ее обработки привели к многочисленным попыткам вмешательства в работу государственных и коммерческих структур, как со злым умыслом, так и из "спортивного интереса". Многие из этих попыток имели успех и нанести значительный урон владельцам и законным пользователям информации и системам по ее обработке.
Поэтому понятным и естественным выглядит желание обезопасить себя, свою информацию, секреты организации от подобных угроз.
В немалой степени это касается различных коммерческих организаций, особенно тех, кто по роду своей деятельности хранит и обрабатывает ценную (в денежном выражении) информацию, затрагивающую к тому же интересы большого числа людей.
Известны различные варианты защиты информации - от охранника на входе до математически выверенных способов сокрытия информации от ознакомления. Кроме того, можно говорить о глобальной защите и ее отдельных аспектах: защите сетей, персональных компьютеров, баз данных, персонала и так далее…
Однако на начальной стадии создания КСЗИ, по рекомендациям авторитетных источников, необходимо дать четкий ответ на следующие вопросы:
" от чего надо защищать информацию?
" какую информацию надо защищать?
" как (при помощи каких методов и средств) надо защищать информацию?
Тем не менее, при подобном подходе зачастую в стороне остается такой важный, особенно применительно к коммерческим структурам, фактор, как экономическая целесообразность организации КСЗИ. Отсутствие экономического анализа вложений в организацию КСЗИ может привести к созданию громоздкой службы, которая, хотя и выполняет свои функции по обеспечению безопасности, тем не менее вызывает дискуссии о целесообразности своего существования, и возникает ощущение того, что система безопасности создана ради самой себя. Таким образом, соображения экономической целесообразности занимают важное место. Разумеется, в организациях, располагающих сведениями, составляющими государственную тайну, такой подход не практикуется. В настоящей работе затронут подход к созданию КСЗИ в системах, ставящих "во главу угла" экономические аспекты проблемы.
При выработке подходов к решению проблемы безопасности информации следует исходить из того, что конечной целью применения любых мер противодействия угрозам является защита владельца и законных пользователей информации от нанесения им материального или морального ущерба в результате случайных или преднамеренных воздействий на нее.
Информационная безопасность в целом предполагает создание препятствий для любого несанкционированного вмешательства в системы обработки информации, а также попыток хищения, модификации, выведения из строя или разрушения ее компонентов, то есть защиту всех компонентов системы: оборудования, программного обеспечения, данных и персонала.
Для нейтрализации всех упомянутых угроз необходимы значительные затраты. На начальном этапе важно тщательно рассмотреть объект защиты и средства, с помощью которых будет обеспечена безопасность. Система не должна быть избыточна, поскольку в этом случае очевидны неоправданные затраты материальных и человеческих ресурсов.
Критерием успеха в данном случае является стоимость. Поэтому анализируется любое решение, которое увеличивает стоимость фирмы. Можно утверждать, что хорошим инвестиционным решением является такое, в результате которого приобретаются активы, чья стоимость выше связанных с ними затрат - активы, увеличивающие стоимость активов фирмы.
В некоторых случаях оценить стоимость активов нетрудно - существование тех или иных рынков, как правило, полностью снимает проблему оценки. Однако в случае, когда темой обсуждения становится информация, зачастую выносится субъективное решение о ее стоимости.
Подобный подход может иметь негативные последствия. Компании всегда ищут те активы, которые представляют для них большую ценность, чем для других. Как показала практика, не следует соперничать за ресурс, если для фирмы он менее ценен, чем для ее оппонента.
Любое вложение активов организации должно иметь под собой четкое обоснование. Даже если риск проекта поддается диверсификации, все равно следует причины, из-за которых предприятие может потерпеть неудачу. Только выяснив это, следует принимать решение о вложении средств в какое - либо начинание.
Приступая к анализу деятельности службы безопасности (вообще и службы информационной безопасности конкретно), отметим, что в приводимых рассуждениях изначально приняты следующие условия:
1. Создаваемые подразделения рассматриваются как самостоятельные службы, в основу создания которых заложены самостоятельные проекты.
2. Услуги указанных структур не предполагается использовать в сторонних организациях, то есть оказание услуг по обеспечению безопасности не является профильной деятельностью предприятия, КСЗИ обеспечивает информационную безопасность только той фирмы, подразделением которой она является.
3. Информация классифицирована как описательная и аналитическая; при этом следует различать экономическую (в том числе ту, обладание которой обеспечивает конкурентное преимущество) и текущую информацию общего характера.
В первой части настоящей работы рассмотрены четыре распространенных метода оценки эффективности инвестиций. Универсальность этих методов, по мнению автора, позволяют применить их для анализа инвестиций в КСЗИ. Это:
1. Метод оценки путем расчета чистой приведенной стоимости проекта. Основная предпосылка метода заключается в том, что денежные средства, которыми компания владеет сегодня, имеют реальную стоимость большую, чем та же номинальная сумма по прошествии некоторого времени.
2. Метод, получивший название "Анализ чувствительности". Этот метод является наиболее простым из методов, позволяющих определить потенциальные угрозы успеху проектов. При проведении анализа чувствительности рассматривается по очереди каждый фактор, влияющий на успех проекта, и оценивается, на сколько изменяется чистая приведенная стоимость проекта в зависимости от самых пессимистических и самых оптимистических предположений относительно этой переменной.
3. Метод случайных чисел, известный также как "модель Монте-Карло", Суть метода в анализе некоторого случайного "выпадения" различных комбинаций параметров из заранее выбранного массива. Метод позволяет провести разносторонний анализ влияния на проект различных комбинаций большого количества переменных, рассмотрев их комбинации. Для реализации этого метода следует построить полную финансовую модель проекта и определить вероятностное распределение каждого составляющего потока денежных средств. Затем с помощью компьютера выбирают наугад значение каждой из этих составляющих и вычисляют возможные результирующие потоки денежных средств. После того, как эта операция будет выполнена достаточно большое количество раз, определяются параметры ожидаемого потока денежных средств для каждого года и разброс значений возможных потоков денежных средств.
4. Метод "Древо решений". Метод основан на определении основных изменений, которые могут произойти с проектом с учетом основных взаимосвязей, которые возможно выявить. Метод позволяет корректировать инвестиционные решения по ходу реализации проекта, продвигаясь от будущего к настоящему, определить, какие действия необходимо предпринять в каждом конкретном случае. Это позволит оценить, насколько изменится стоимость проекта за счет возможности приспосабливаться к изменяющимся условиям.
Говоря об эффективности инвестиций в КСЗИ, которая напрямую зависит от стоимости и значимости защищаемой информации, необходимо учитывать фактор изменчивости, присутствующий при оценке стоимости информации. При реализации проекта возникает необходимость оперативного вмешательства в проект при изменении внешних условий.
Ценность рассматриваемых методов заключается в том, что они позволяют проводить всесторонний анализ потоков денежных средств; они помогают оценить последствия неожиданных изменений и выявить возможности для изменения проекта.
Во второй части дипломной работы рассмотрено практическое применение метода анализа проектов путем вычисления приведенной стоимости и метода "дерево решений". Строго говоря, нельзя рассматривать "дерево решений" отдельно от метода чистой приведенной стоимости, поскольку при анализе потоков денежных средств, поступающих в течение нескольких периодов, вычисление приведенной стоимости обязательно, если необходим точный анализ проекта. Таким образом, при анализе проекта с помощью построения "дерева решений" использованы некоторые результаты анализа проекта с помощью вычисления приведенной стоимости. Метод "дерево решений" выбран потому, что:
1. Позволяет учитывать влияние внешних факторов на ход проекта что, как уже было сказано выше, особенно важно при анализе инвестиций в КСЗИ.
2. Позволяет получить достаточно точные результаты без громоздких выкладок
Многие ранние статьи о моделировании и методе "дерево решений" были написаны до того, как было четко определено, как ввести риск в расчеты чистой приведенной стоимости. Их авторы полагали, что эти методы позволят принимать инвестиционные решения, не оценивая альтернативные издержки капиталовложений и не вычисляя чистую приведенную стоимость. Теперь известно, что моделирование и анализ решений не могут заменить необходимости вычисления чистой приведенной стоимости.
При разработке теоретической части дипломной работы в основном использованы зарубежные публикации по анализу инвестиций, корпоративным финансам, а также по защите информации.
В изученной при написании настоящей работы литературе не встречается упоминание о применении указанных способов оценки эффективности инвестиций к решению рассматриваемых проблем. Однако универсальность упомянутых выше методов, а также возможность с их помощью оценивать изменения ситуаций и корректировать ход проекта делают их весьма привлекательными для применения при анализе экономической эффективности инвестиций в КСЗИ.Литература1. U. E. Reinhard. Break - Even Analysis for Lockheed Tristar: An applications of Financial Theory// Journal of Finance. 28:
821-838; Сентябрь. 1973
2. R. W. Scapens and J. T. Sale. Performance Measurement and Formal Capital Expenditure Controls in Divisional and Companies// Journal of Business Finance and Accounting. 8. 389-420; Осень 1981г.
3. J. L. Bower. Managing the Resources Allocation Process. Division of Research, Graduate School of Business Administration// Harvard University, Boston, 1970.
4. В. Гайкович, А. Першин. Безопасность электронных банковских систем// -М. "Единая Европа"; 1993,
5. Р. Брейли, С. Майерс. Принципы корпоративных финансов// Пер. с англ. -М. "Олимп-Бизнес", 1997
6. Д. Вакка. Секреты безопасности в Интернет// -К. "Диалектика", 1997"
|
|
