Модель эффективности инвестиций в информационную безопасность предприятия

10 
Рисунок 3 – Пользовательский интерфейс программного комплекса (экранная копия) 
Программный 
комплекс 
исследования 
модели 
эффективности 
инвестиций 
в 
информационную безопасность предприятия состоит из пользовательского интерфейса, который 
включает в себя три окна, взаимодействующих между собой. 
Экспериментальное исследование программного комплекса, реализующего модель 
эффективности инвестиций в информационную безопасность, включает несколько этапов: 
1) 
определение средств исследования; 
2) 
формирование гипотез экспериментального исследования; 
3) 
проектирование методики проведения эксперимента; 
4) 
проведение экспериментального исследования; 
5) 
обобщение и анализ полученных результатов. 
К основным средствам исследования относятся: область, объект, инструмент исследования. 
К вспомогательным средствам исследования относятся: АРМ, ОС, пользователь. 
Областью исследования является информационная безопасность, а также её экономические 
аспекты. Объектом исследования выступают методы, влияющие на эффективность инвестиций в 
информационную 
безопасность. 
В 
качестве 
инструмента 
исследования 
используется 
разработанный программный комплекс «model ПЭИвИБ», реализующий модель, эффективности 
инвестиций в информационную безопасность предприятия. 
Автоматизированное 
рабочее 
место 
(АРМ) 
должно 
удовлетворять 
следующим 
требованиям: процессор не ниже: Intel Pentium (R) Dual – Core, 2,29 ГГц, 1,96 ГБ ОЗУ. 
Операционная система (ОС) – на базе технологий Windows NT и удовлетворять требованию 
– не ниже MS Windows XP SP3. 
В качестве пользователя выступает лицо, являющееся специалистом информационной 
безопасности (или системного аналитика в области оценки эффективности инвестиций в 
информационной безопасности). 

11 
Для проведения более детального анализа функционирования программного комплекса 
сформулируем гипотезы, на которые будем опираться, с целью сравнения полученных 
результатов. Введём понятие статистической гипотезы. 
Пусть в статистическом эксперименте доступна наблюдению случайная величина X, 
распределение которой P известно полностью или частично. Тогда любое утверждение, 
касающееся P, называется статистической гипотезой [7]. 
Статистическая гипотеза, однозначно определяющая распределение P, то есть H:{P = 
}, 
где 
– закон распределения, называется простой [7]. 
Статистическая гипотеза, утверждающая принадлежность распределения P к некоторому 
семейству распределений, то есть вида H: {Pєρ}, где ρ – семейство распределений, называется 
сложной [7]. 
Для подведения итогов экспериментального исследования сформулируем нулевую и 
альтернативную гипотезы и укажем уровень значимости. 
Под нулевой гипотезой 
понимается гипотеза об отсутствии различий в сопоставляемых 
значениях признака [7]. 
Под альтернативной гипотезой 
понимается гипотеза о значимости различий 
(экспериментальная гипотеза) [7]. 
Уровень значимости - это вероятность того, что мы сочли различия существенными, в то 
время как они на самом деле случайны. Уровень значимости показывает степень достоверности 
выявленных различий между выборками, т.е. показывает, насколько мы можем доверять тому, что 
различия действительно есть [7]. 
Однако для более детального анализа уровня значимости будет недостаточно. В связи с 
этим, охарактеризуем критическую область и область принятия гипотез. 
Область принятия гипотез характеризуется 
крит
(критическое значение) – граничное 
значение 
критерия. 
Определим 
крит
. 
Согласно 
открытым 
статистическим 
данным 
инвестирование признаётся эффективным, если прибыль составляет от 40% до 100% [7]. 
Так в качестве уровня значимости примем 50%, который отображает формула (25): 
крит
= 0,5 (25). 
Уровнем значимости 
набл
, применимым к области инвестирования деятельности, 
направленной 
на 
обеспечение 
информационной 
безопасности 
предприятия 
выступает 
математическое ожидание μ, которое отображает следующая формула: 
μ = 
̅ (26), 
где 
̅ - среднее значение коэффициентов, которое рассчитывается по формуле (27). 
̅ =
1
(27), 
где – i-е значения коэффициентов [7]. 
: эффективность инвестиций в информационную безопасность не повышается с течением 
времени при условии, что существует оценка значимости информационных активов.
: эффективность инвестиций в информационную безопасность повышается с течением 
времени при условии, что существует оценка значимости информационных активов. 
Результаты экспериментального исследования разработанного программного комплекса на 
основе модели эффективности инвестиций в информационную безопасность предприятия, а также 
входные данные, вводимые пользователем, представлены в таблице 3. 
Таблица 3 – Результаты экспериментального исследования 
№ испытания 
Название 
показателя/обозначен
ие 
Входные данные 
Результативные данные 
1) 
2) 
3) 
4) 
5) 
1 
Параметр 
оценки 
информационного 
Стоимость 
ИР, руб. 
Эксплуатаци
онный 
Значимость 
информационного актива, 

12 
актива/Ia 
капитал, руб. единицы 
5500 
1200 
4 
12000 
250 
4 
24000 
7000 
3 
2600 
1000 
2 
14000 
8700 
1 
2 
Единичный риск/R 
Вероятност
ь 
реализации 
угрозы 
Величина 
ущерба 
от 
осуществлен
ия 
угрозы, 
руб. 
Риск, 
связанный 
с 
программно – технической 
реализацией СЗИ, руб. 
0,3 
4000 
1200 
0,6 
9000 
5400 
0,07 
2000 
140 
1) 
2) 
3) 
4) 
5) 
Субъективный 
риск/risk 
Общее 
количество 
рисков 
Число 
всех 
возможных 
рисков 
Риск, 
связанный 
с 
технологической 
реализацией СЗИ 
7 
10 
0,7 
2 
12 
0,025 
10 
11 
0,909 
Совокупный риск/
Субъектив
ный риск 
Единичный 
риск, руб. 
Риск, 
связанный 
с 
рыночной конъюнктурой, 
руб. 
0,6 
17000 
18000 
1 
8000 
9000 
0,25 
3400 
3450 
3 
Коэффициент 
рентабельности 
инвестиций/r 
Денеж
ный 
поток 
за 
t, 
руб. 
Доход 
от 
реализа
ции 
СЗИ, 
руб. 
Период 
времен
и 
t, 
дней 
За 12 дней: r = 0,12 
За 38 дней: r = 9,76 
1000 
20000 
10 
27000 
13000 
16 
12000 
24000 
12 
4 
Ранг 
процесса 
разработки СЗИ 
Коэффици
ент 
рентабель
ности 
Коэффициент 
дисконтирова
ния 
0,83 
9,76 
8 

13 
По данным, полученным в результате эксперимента, построим асимптотический показатель 
эффективности инвестиций в информационную безопасность. Асимптотический показатель 
эффективности инвестиций в информационную безопасность представлен на рисунке 4. 
Рисунок 4 – Асимптотический показатель эффективности инвестиций в информационную 
безопасность (экранная копия) 
Получим 
̅ для коэффициентов рентабельности инвестиций в информационную 
безопасность по различным временным периодам. Так как в качестве входных данных для расчёта 
коэффициента рентабельности инвестиций в информационную безопасность были выбраны два 
числа: 12 и 38 дней, то рассчитаем значения коэффициентов для этих дней соответственно. 
Результаты расчётов отображают формулы (28) и (29). 
Таким образом, получим следующее: 
̅ = (0,7 + 0,025 + 0,909 +0,12)/4 = 0,43 (28), 
̅ = (0,7 + 0,025 + 0,909 + 9,76)/4 = 2,84 (29). 
Следовательно, получим следующую пару 
набл
в виде (30) и (31): 
набл
= 
̅ = 0,43 (30), 
набл
= 
̅ = 2,84 (31). 
Сравним полученные результаты с установленным уровнем значимости: 
- 0,43 < 
крит
(32); 
- 2,84 > 
крит
(33). 
Согласно формуле (32) значение уровня значимости 
набл
меньше чем значение 
крит
, а 
согласно формуле (33) значение уровня значимости 
набл
больше чем значение 
крит
. 
Следовательно, на основании полученных данных можно сделать вывод, что нулевая гипотеза 
отвергается, а альтернативная гипотеза 
принимается. 
Таким образом, повышение эффективности инвестиций в информационную безопасность 
происходит с течением времени при условии, что существует оценка значимости 
информационных активов. 
Проанализируем полученные результаты. Прямая линия красного цвета (рисунок 4), 
показывает нам, что эффективные вложения на построение, реализацию и внедрения средств 

14 
защиты информации для достижения информационной безопасности предприятия начинаются от 
значения 6000 руб. и выше. Кроме того, активно прослеживается спад от 4000 руб. и ниже, 
пришедший на временной период 5. Спад наблюдался потому, что риск, связанный с рыночной 
конъюнктурой составил 3450 руб., а единичный риск 3400 руб., при субъективном риске 0,25 (то 
есть риску нарушения информационной безопасности были подвергнуты часть активов, 
подлежащих защите). А значение риска нарушения режима информационной безопасности 
предприятия отображается в виде стоимости 3450 руб., которая близка к значению 4000 руб.
Определим суммарную стоимость информационных ресурсов. В ходе экспериментального 
исследования программного комплекса, реализующего модель эффективности инвестиций в 
информационную безопасность, была оценена значимость пяти информационных ресурсов: 
 
планирование деятельности компании; 
 
картографические данные; 
 
персональные данные клиентов; 
 
расходы за неделю; 
 
доходы за неделю. 
Суммарную стоимость информационных ресурсов отображает формула (34): 
E = 5500 + 12000 + 24000 + 2600 + 14000 = 58100 (34). 
Таким образом, суммарная стоимость информационных ресурсов составляет 58100 руб. 
Суммарный капитал, вложенный в эксплуатацию информационных ресурсов, отображает 
следующая формула: 
Y = 1200 + 250 + 7000 + 1000 + 8700 = 18150 (35). 
Таким образом, суммарный капитал, вложенный в эксплуатацию информационных 
ресурсов, составляет 18150 руб. 
Чтобы получить количественное значение инвестирования, необходимо вычислить разницу 
A суммарной стоимости информационных ресурсов и суммарного капитала, вложенного в 
эксплуатацию этих информационных ресурсов в виде (36). 

Download 0,49 Mb.

Do'stlaringiz bilan baham: