Разработка псевдослучайной функции повышенной эффективности на основе конструкции расширенного каскада
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
?циент возврата инвестицийПонятный для финансистов показательОтсутствие методов расчета для СЗИ. Статичный показатель.Совокупная стоимость владенияОценивает целесообразность реализации проекта на основе затрат на различных этапах жизненного цикла системы.Не учитывает качество системы безопасности. Статичный показатель.Дисконтированные показатели эффективности инвестицийУчитывает все потоки денежных средств, связанные с реализацией проекта. Динамичный показательСложность расчета.
5.2 Применение методики дисконтирования денежных потоков для оценки эффективности инвестиций в средства криптографической защиты информации
Определим денежные потоки, связанные с использованием СКЗИ, за период t, где t = 0, 1, 2тАж, T - периоды, Т - горизонт расчета.
С защищаемой информацией связаны значения дохода от ее использования и ущерба от НСД в течение указанного промежутка времени t. Затраты на приобретение, установку и эксплуатацию СКЗИ могут быть определены очень точно. Пусть результаты оценки способности криптосистемы противостоять атакам показали, что в t-м периоде злоумышленник получит доступ к защищаемой информации с вероятностью Pt. Тогда математическое ожидание дохода Rt, связанного с использованием оцениваемой СКЗИ, вычисляется по формуле:
.(5.1)
На основании этих данных о притоках и оттоках денежных средств вычисляются финансово-экономические показатели эффективности инвестиций в криптосистему и делаются выводы о ее соответствии потребностям организации.
Как правило, затраты на информационную безопасность подразделяются на следующие категории:
-затраты на формирование и поддержание звена управления СЗИ (организационные затраты);
-затраты на контроль, т.е. на определение и подтверждение достигнутого уровня защищенности ресурсов предприятия;
-внутренние затраты на ликвидацию последствий нарушения политики информационной безопасности (НПБ) - затраты, понесенные организацией в результате того, что требуемый уровень защищенности не был достигнут;
-внешние затраты на ликвидацию последствий НПБ - компенсация потерь при нарушениях политики безопасности в случаях, связанных с утечкой информации, потерей имиджа компании, утратой доверия партнеров и потребителей и т. п.;
-затраты на техническое обслуживание СКЗИ и мероприятия по предотвращению НПБ предприятия (затраты на предупредительные мероприятия).
При этом обычно выделяют единовременные и систематические затраты. К единовременным относятся затраты на формирование политики безопасности предприятия: организационные затраты и затраты на приобретение и внедрение СКЗИ. Классификация затрат условна, так как сбор, классификация и анализ затрат на информационную безопасность - внутренняя деятельность предприятий, и детальная разработка перечня зависят от особенностей конкретной организации.
Использование СКЗИ позволяет снизить внутренние и внешние затрат на компенсацию НПБ. Внутренние затраты сокращаются по таким статьям, как:
-восстановление баз данных и прочих информационных массивов;
-утилизация скомпрометированных ресурсов;
-проведение мероприятий по контролю достоверности данных, подвергшихся атаке на целостность;
-по проведению расследований НПБ.
Внешние затраты на компенсацию НПБ связаны с тем, что были скомпрометированы коммерческие данные партнеров и персональные данные пользователей услуг предприятия. Затраты, связанные с восстановлением доверия, определяются таким же образом, как и в случае внутренних потерь. Существуют и другие затраты, которые определить достаточно сложно. В их числе такие затраты, как потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно-технические достижения и потери от компрометации производимой предприятием продукции и снижения цен на нее.
При определении затрат на обеспечение ИБ необходимо помнить, что:
-затраты на приобретение и ввод в действие программно-технических средств могут быть получены из анализа накладных, записей в складской документации и т. п.;
-выплаты персоналу могут быть взяты из ведомостей;
-объемы выплат заработной платы должны быть взяты с учетом реально затраченного времени на проведение работ по обеспечению информационной безопасности.
Целью любых инвестиций является увеличение притока денежных средств (в данном случае - уменьшение размера ущерба в результате реализации угроз ИБ) по сравнению с существующим. При оценке инвестиционного проекта необходимо рассмотреть все потоки денежных средств, связанные с реализацией данного проекта. Неденежные затраты (такие, например, как амортизация) и затраты, уже понесенные до принятия решения об инвестициях, рассматриваться не должны. При этом необходимо учитывать зависимость потока денежных средств от времени.
Поэтому будущие поступления денежных средств (снижение ущерба) должны быть дисконтированы, т.е. приведены к текущей стоимости. Для этого применяют ставку дисконтирования, величина которой отражает риски, связанные с обеiениванием денег из-за инфляции и с возможностью неудачи инвестиционного проекта, который может не принести ожидаемого эффекта. Другими словами, чем выше риски, связанные с проектом, тем больше значение ставки дисконтирования. Эта ставка также отражает общий уровень стоимости кредита для инвестиций.
К основным показателям, используемым для определения э