Поэтому будущие поступления денежных средств (снижение ущерба) должны быть дисконтированы, то есть приведены к текущей стоимости. Для этого применяют ставку дисконтирования, величина которой отражает риски, связанные с обесцениванием денег из-за инфляции и с возможностью неудачи инвестиционного проекта, который может не принести ожидаемого эффекта. Другими словами, чем выше риски, связанные с проектом, тем больше значение ставки дисконтирования. Эта ставка также отражает общий уровень стоимости кредита для инвестиций.
Нередко ставка дисконтирования определяется показателем средневзвешенной стоимости капитала (Weighted Average Cost of Capital – WACC). Это средняя норма дохода на вложенный капитал, которую приходится выплачивать за его использование. Обычно WACC рассматривается как минимальная норма отдачи, которая должна быть обеспечена инвестиционным проектом.
Непосредственно для оценки эффективности инвестиций используют показатель чистой текущей стоимости (Net Present Value – NPV). По сути, это текущая стоимость будущих денежных потоков инвестиционного проекта с учетом дисконтирования и за вычетом инвестиций. Этот показатель рассчитывается по следующей формуле:
(1)
где 
– чистый денежный поток для i-го периода$
– начальные инвестиции$
n – ставка дисконтирования (стоимость капитала, привлеченного для инвестиционного проекта).
При значении NPV большем или равном нулю, считается, что вложение капитала эффективно. При сравнении нескольких проектов принимается тот из них, который имеет большее значение NPV, если только оно положительное.
Предположим, некой компании требуется оценить проект по защите одного из сегментов сети своей информационной системы при помощи системы обнаружения вторжений (IDS). Допустим, известна величина риска, исчисляемая в денежном выражении (20000 долл. за год), которая учитывает потери от реализации тех или иных атак и вероятности их осуществления. Также известно, что величина риска после внедрения IDS сократится на 70%. Стоимость IDS составляет 15000 долл. Ставку дисконтирования возьмем среднюю для ИТ рынка – 30 %. Подробнее потоки денежных средств по данному проекту представлены в таблице 6.
Таблица 6
Периоды | Первонач. инвестиции | Выгоды (размер риска) | Размер остаточного риска | Стоимость годовой поддержки | Затраты на администрирование и инфраструктуру | Итог |
0 | -15000,0 | -15000,0 | ||||
1 | 20000,0 | -6000,0 | -2000,0 | -5400,0 | 6600,0 | |
2 | 20000,0 | -6000,0 | -2000,0 | -5400,0 | 6600,0 | |
3 | 20000,0 | -6000,0 | -2000,0 | -5400,0 | 6600,0 |
Если на основе данных, представленных в таблице 6, рассчитать показатель ROI, то получится, что внедрение IDS в данном случае даст экономический эффект, на 39% превышающий вложения. При анализе этого проекта с учетом стоимости капитала мы имеем следующий результат, инвестирование в этот проект не будет эффективным, так как значение NPV будет отрицательным (3014).
Кроме того, можно рассчитать внутренний коэффициент отдачи (Internal Rate of Return – IRR). Для этого необходимо найти такую ставку дисконтирования, при которой значение NPV будет равно нулю. В данном случае получим значение IRR равное 15%. Это значение имеет конкретный экономический смысл дисконтированной точки безубыточности. В этой точке дисконтированный поток затрат равен дисконтированному потоку доходов. Данный показатель также позволяет определить целесообразность вложения средств.
В рассматриваемом примере инвестиции в проект нецелесообразны, так как мы получили значение IRR меньше заданной ставки дисконтирования (30%).
Очевидно, что для оценки эффективности инвестиций в создание СЗИ недостаточно лишь определения показателей. Необходимо еще учесть риски, связанные с реализацией того или иного проекта. Это могут быть риски, связанные с конкретными поставщиками средств защиты информации, или риски, связанные с компетентностью и опытом команды внедрения.
Кроме того, полезно проводить анализ чувствительности полученных показателей. Например, в рассмотренном примере увеличение исходного значения риска всего на 12% приведет к получению положительного значения NPV и увеличению ROI на 8%. А если учесть, что риск – это вероятностная величина, то погрешность в 12% вполне допустима. Так же можно проанализировать чувствительность полученных результатов и к другим исходным данным, например к затратам на администрирование.
Не следует забывать и о том, что далеко не весь ущерб от реализации угроз ИБ можно однозначно выразить в денежном исчислении. Например, причинение урона интеллектуальной собственности компании может привести к таким последствиям, как потеря позиций на рынке, потеря постоянных и временных конкурентных преимуществ или снижение стоимости торговой марки. Поэтому нередко даже при наличии рассчитанных показателей ROI и ТСО решение о создании СЗИ принимается на основе качественной оценки возможных эффектов.
Любой метод оценки эффективности инвестиций в ИБ является всего лишь набором математических формул и логических выкладок, корректность применения которых – только вопрос обоснования. Поэтому качество информации, необходимой для принятия решения о целесообразности инвестиций, в первую очередь, будет зависеть от исходных данных, на основе которых производились вычисления. Уязвимым местом в любой методике расчета является именно сбор и обработка первичных данных, их качество и достоверность.
Кроме того, четкое понимание целей, ради которых создается СЗИ, и непосредственное участие постановщика этих целей в процессе принятия решений также является залогом высокого качества и точности оценки эффективности инвестиций в ИБ. Такой подход гарантирует, что система защиты информации не будет являться искусственным дополнением к уже внедренной системе управления, а будет изначально спроектирована как важнейший элемент, поддерживающий основные бизнес-процессы компании.
Глава 5 Информационная безопасность отдельных экономических систем
5.1 Обеспечение информационной безопасности автоматизированных банковских систем (АБС)
Банки играют огромную роль в экономической жизни общества, их часто называют кровеносной системой экономики. Благодаря своей специфической роли, со времени своего появления они всегда притягивали преступников. К 90-м годам XX века банки перешли к компьютерной обработке информации, что значительно повысило производительность труда, ускорило расчеты и привело к появлению новых услуг. Однако компьютерные системы, без которых в настоящее время не может обойтись ни один банк, являются также источником совершенно новых угроз, неизвестных ранее. Большинство из них обусловлены новыми информационными технологиями и не являются специфическими исключительно для банков.
В условиях финансовых кризисов первоочередное внимание в работе банков уделяется вопросам, влияющим на повышение их конкурентоспособности, одним из важнейших аспектов этой проблемы является повышение уровня безопасности операций, выполняемых банком. При современных технологиях автоматизации увеличивается объем информации, обрабатываемой в электронном виде, что ведет к снижению общего уровня безопасности в работе банка. Решение этой проблемы во многом зависит от технологий, используемых конкретным банком, иными словами – от автоматизированной банковской системы.
Компьютеризация банковской деятельности позволила значительно повысить производительность труда сотрудников банка, внедрить новые финансовые продукты и технологии. Однако прогресс в технике преступлений шел не менее быстрыми темпами, чем развитие банковских технологий. В настоящее время свыше 90% всех преступлений связано с использованием автоматизированных систем обработки информации банка. Следовательно, при создании и модернизации АБС необходимо уделять пристальное внимание обеспечению ее безопасности.
Именно эта проблема является сейчас наиболее актуальной и наименее исследованной. Если в обеспечении физической и классической информационной безопасности давно уже выработаны устоявшиеся подходы (хотя развитие происходит и здесь), то в связи с частыми радикальными изменениями в компьютерных технологиях методы безопасности АБС требуют постоянного обновления. Как показывает практика, не существует сложных компьютерных систем, не содержащих ошибок. А поскольку идеология построения крупных АБС регулярно меняется, то исправления найденных ошибок и «дыр» в системах безопасности хватает ненадолго, так как новая компьютерная система приносит новые проблемы и новые ошибки, заставляет по-новому перестраивать систему безопасности.
Во многие банковские системы заложена идеология и схема бизнес-процессов многофилиального банка, имеющего, в том числе, структурные подразделения в различных регионах. Возможность работы в режиме удаленного доступа предъявляет дополнительные требования к защитным механизмам. А высокая степень интегрированности информации в комбинации с уникальными возможностями адаптации системы к самым разным сетевым операционным системам делает проблему информационной безопасности банка чрезвычайно актуальной.
Безопасность информации напрямую влияет на уровень рентабельности, ибо потери, связанные с ее нарушением, могут свести на нет все достижения эффективного управления. При этом, как правило, чем более совершенна система управления банком, тем опаснее утечки информации.
Современные АБС – это сложные, структурированные, территориально распределенные сети. Как правило, они строятся на основе передовых технологий и программных средств, которые в силу своей универсальности не обладают достаточной защищенностью.
Особенно актуальна данная проблема в России. В западных банках программное обеспечение (ПО) разрабатывается конкретно под каждый банк, и устройство АБС во многом является коммерческой тайной. В России получили распространение «стандартные» банковские пакеты, информация о которых широко известна, что облегчает несанкционированный доступ в банковские компьютерные системы. Причем, во-первых, надежность «стандартного» ПО ниже из-за того, что разработчик не всегда хорошо представляет конкретные условия, в которых этому ПО придется работать, а, во-вторых, некоторые российские банковские пакеты не удовлетворяли условиям безопасности. Например, ранние версии самого популярного российского банковского пакета требовали наличия дисковода у персонального компьютера и использовали ключевую дискету как инструмент обеспечения безопасности. Такое решение. Во-первых, технически ненадежно, а, во-вторых, одно из требований безопасности АБС – закрытие дисководов и портов ввода-вывода в компьютерах сотрудников, не работающих с внешними данными.
Доступность средств вычислительной техники привела к распространению компьютерной грамотности в широких слоях населения. Это, в свою очередь, вызвало многочисленные попытки вмешательства в работу государственных и коммерческих, в частности банковских, систем, как со злым умыслом, так и из чисто «спортивного интереса». Многие из этих попыток имели успех и нанесли значительный урон владельцам информации и вычислительных систем.
Современный банк трудно представить себе без автоматизированной информационной системы. Компьютер на столе банковского служащего давно превратился в привычный и необходимый инструмент. Связь компьютеров между собой и более мощными компьютерами, а также с ЭВМ других банков – также необходимое условия успешной деятельности банка – слишком велико количество операций, которые необходимо выполнять в течение короткого периода времени.
Уровень оснащенности средствами автоматизации играет немаловажную роль в деятельности банка и, следовательно, напрямую отражается на его положении и доходах. Усиление конкуренции между банками приводит к необходимости сокращения времени на производство расчетов, увеличения номенклатуры и повышения качества предоставляемых услуг.
Чем меньше времени будут занимать расчеты между банком и клиентом. Тем выше станет оборот банка и, следовательно, прибыль. Кроме того. Банк более оперативно сможет реагировать на изменение финансовой ситуации. Разнообразие услуг банка (в первую очередь это относится к возможности безналичных расчетов между банком и его клиентами с использованием пластиковых карт) может существенно увеличить число его клиентов и, как следствие, повысит прибыль.
В то же время АБС становится одним из наиболее уязвимых мест во всей организации, притягивающим злоумышленников как извне, так и из числа сотрудников самого банка. Для подтверждения этого тезиса можно привести несколько фактов:
· Потери банков и других финансовых организаций от воздействия на их системы обработки информации составляют около $ 3 млрд. в год.
· Объем потерь, связанных с использованием пластиковых карточек, оценивается в $ 2 млрд. в год, что составляет 0,03-2% от общего объема платежей в зависимости от используемой системы.
· Средняя величина ущерба от банковской кражи с применением электронных средств составляет около $ 9000.
· Один из самых громких скандалов связан с попыткой семерых человек украсть $ 700 млн. в первом национальном банке, Чикаго. Она была предотвращена ФБР.
· 27 млн. фунтов стерлингов были украдены из Лондонского отделения Union Bank of Switzerland.
· DM 5 млн. украдены из Chase Bank (Франкфурт). Служащий перевел деньги в банк Гонконга – они были взяты с большого количества счетов (атака «салями»). Кража оказалась успешной.
· $ 3 млн. – банк Стокгольма. Кража была совершена с использованием привилегированного положения нескольких служащих в информационной системе банка и также оказалась успешной.
Чтобы обезопасить себя и своих клиентов, большинство банков предпринимают необходимые меры защиты, в числе которых защита АБС занимает не последнее место. При этом необходимо учитывать, что защита АБС – дорогостоящее и сложное мероприятие. Так, например, Barclays Bank тратит на защиту своей автоматизированной системы около $ 20 млн. ежегодно.
Datapro Information Services Group провела почтовый опрос среди случайно выбранных менеджеров информационных систем. Целью опроса явилось выяснение состояния дел в области защиты. Было получено 1153 анкеты, на основе которых получены приводимые ниже результаты:
· около 25% всех нарушений составляют стихийные бедствия;
· около половины систем испытывали внезапные перерывы электропитания или связи, причины которых носили искусственный характер;
· около 3% систем испытывали внешние нарушения (проникновение в систему организации);
· 70-75% – внутренние нарушения, из них:
– 10% совершены обиженными и недовольными служащими-пользователями АБС банка;
– 10% – совершены из корыстных побуждений персоналом системы;
– 50-55% – результат неумышленных ошибок персонала и/или пользователей системы в результате небрежности, халатности или некомпетентности.
Эти данные свидетельствуют о том, что чаще всего происходят не такие нарушения, как нападения хакеров или кража компьютеров с ценной информацией, а самые обыкновенные, проистекающие из повседневной деятельности. В то же время именно умышленные атаки на компьютерные системы приносят наибольший единовременный ущерб, а меры защиты о них наиболее сложны и дорогостоящи. В этой связи проблема оптимизации защиты АБС является наиболее актуальной в сфере информационной безопасности банков.
Встроенные механизмы разграничения доступа в сетевых ОС при систематическом администрировании и строгом разграничении доступа к информационным ресурсам (что бывает далеко не всегда) позволяют достаточно надежно защитить данные, хранимые на серверах. Практически все операционные системы содержат минимальный набор защитных механизмов и для локальных рабочих мест.
Классические угрозы безопасности информации в АБС – это вывод системы из строя, отказ в обслуживании и компрометация или подмена данных. И эти угрозы слишком реальны.
По сведениям Национального центра данных о преступности, связанной с ЭВМ (Лос-Анджелес, США), компьютерные правонарушения наиболее часто совершаются программистами, студентами и операторами ввода исходных данных. В табл.7 указаны основные типы и субъекты угроз для компьютерных систем.
Таблица 7
Типы и субъекты угроз
Тип угроз | Оператор | Руководитель | Программист | Инженер (техник) | Пользователь | Конкурент |
Изменение кодов | + | + | ||||
Копирование файлов | + | + | ||||
Уничтожение файлов | + | + | + | + | + | |
Присвоение программ | + | + | + | |||
Шпионаж | + | + | + | + | ||
Установка подслушивания | + | + | + | |||
Саботаж | + | + | + | + | ||
Продажа данных | + | + | + | + | ||
Воровство | + | + | + | + |
Субъектов компьютерных преступлений с точки зрения профессиональной подготовленности принято подразделять на лиц, совершающих преступления:
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
