Инвестиции в информационную безопасность

Федеральное агентство по образованию Российской Федерации

Нижегородский государственный университет имени  Лобачевского

Финансовый  факультет

Дневное отделение

Специальность «Финансы и кредит» 
 
 
 
 

Курсовая  работа

по предмету «Информационные системы в экономике»

на тему: «Инвестиции в информационную безопасность» 
 
 
 
 
 
 
 
 
 
 
 
 

Нижний  Новгород

2011 г.

Содержание:

Введение  ……………………………………………………..……………………3

Глава 1. Теоретические основы инвестиций в информационную безопасность…………………………………………………………………….....5

1.1. Основные понятия информационной безопасности экономических систем ………………………………………………………….…..……………...5

1.2. Теоретические аспекты инвестирования ………………...…..……………13

1.3. Определение  инвестиций в информационную  безопасность………..…..16

Глава 2. Методы оценки эффективности инвестиций в информационную безопасность…………………………………………………………………...…19

2.1. Методы, не предполагающие дисконтирование денежных потоков...….19

2.2. Методы, основанные на использовании концепции дисконтирования....28

2.3. Программные продукты, применяемые для оценки эффективности инвестиций в информационную безопасность...................................................35

Глава 3. Оценка эффективности инвестиционного  проекта по обеспечению информационной безопасности компании. Проблемы оценки эффективности инвестиций………………..……………………………………………………...39

Заключение ………………………………………………………...….…………44

Список используемых источников………………..……………...…………….46

Приложение 1…………………………………………………………………….48

     Введение

     Экономический кризис 2008 года затронул и такую  важную составляющую ведения бизнеса как обеспечение его информационной безопасности. Глобальное сотрясение экономики способствовало не только усилению конкурентной борьбы, но и породило многочисленные страхи и неопределенность среди сотрудников компаний и, как следствие, привело к повышению риска утечки конфиденциальной информации.

     Инциденты информационной безопасности имеют  прямое влияние на прибыль компании. Именно поэтому необходимо понимать как обеспечить эффективную систему  информационной безопасности в современных условиях, постоянно контролировать возможные риски, и регулярно выполнять обязательные действия по защите информации. То есть проблема обеспечения информационной безопасности стала чрезвычайно актуальной.

     Важно отметить, что вложения в информационную безопасность нужно  рассматривать как инвестиции, поскольку они дают вполне ощутимый результат, способный компенсировать потраченные ресурсы. В настоящих условиях, когда бюджеты подвергаются самому серьезному пересмотру, как никогда важно грамотное обоснование инвестиций в информационную безопасность. И значение экономического анализа для планирования и осуществления инвестиционной деятельности трудно переоценить. При этом главным направлением анализа является определение показателей эффективности инвестиций, т.е. отдачи от  вложений, которые предусмотрены по проекту.  Актуальность темы данной работы заключается еще и в том, что оценка эффективности инвестиций  всегда является наиболее ответственным этапом принятия инвестиционного решения, от результатов которого в значительной мере зависит степень реализации цели инвестирования. В свою очередь, объективность и достоверность полученных результатов во многом обусловлены используемыми методами анализа.

     Таким образом, целью данной курсовой работы является изучение и исследование вопросов инвестирования в информационную безопасность.

     При этом конкретными задачами являются:

1. рассмотрение основных понятий информационной безопасности и ее основных составляющих;
2. рассмотрение теоретических основ инвестирования, а именно: понятия инвестиций, видов инвестиций, понятия инвестиционного проекта и его эффективности;
3. определение понятия инвестиций в информационную безопасность;
4. описание методов оценки эффективности инвестиций, не предполагающие использования концепции дисконтирования и основанные на использовании концепции дисконтирования;
5. описание существующих программных продуктов по оценке инвестиций в информационную безопасность;
6. оценка эффективность инвестиционного проекта ЗАО «ФрантМиг»  по обеспечению информационной безопасности одного из сегментов сети.

       Предметом исследования являются вопросы, связанные  с инвестициями в информационную безопасность. Объектом исследования, в свою очередь, стал инвестиционный проект компании ЗАО «ФрантМиг»  по защите одного из сегментов сети информационной системы при помощи системы обнаружения вторжений (IDS).

       Теоретическими  основами данной работы послужили учебно-методическая литература, статьи в периодических изданиях, посвященные вопросам инвестирования в информационную безопасность, материалы справочного характера, информация, полученная автором в процессе исследовательской деятельности.

       Работа  состоит из введения, где реализуется постановка цели и задач исследования, трех глав, заключения, содержащего краткие выводы по работе, а также списка использованных источников и литературы.

Глава 1.  Теоретические  основы инвестиций в информационную безопасность

1.1. Основные понятия информационной безопасности экономических систем

     Современный этап информатизации характеризуется наличием большого числа угроз безопасности информации. Безопасность  проявляется  как невозможность  нанесения  вреда функционированию и свойствам объекта, либо его структурным составляющим. Под угрозой безопасности информации следует понимать события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств [8].

     Среди угроз безопасности информации следует выделять как один из видов угроз случайные, или непреднамеренные. Их источником могут быть выход из строя аппаратных средств, неправильные действия работников информационные системы (ИС) или ее пользователей, непреднамеренные ошибки в программном обеспечении и т.д. Такие угрозы тоже следует держать во внимании, т.к. ущерб от них может быть значительным [8]. Однако, как правило, наибольшее внимание уделяется угрозам умышленным, которые в отличие от случайных преследуют цель нанесения ущерба управляемой системе или пользователям. Это делается нередко ради получения личной выгоды.

     Появляется  необходимость обеспечения информационной безопасности. В наиболее общем виде информационная безопасность может быть определена как невозможность нанесения вреда свойствам объекта безопасности, обусловливаемым информацией и информационной инфраструктурой.

       Информационная безопасность включает:

      -состояние защищенности информационного пространства, обеспечивающее его формирование и развитие в интересах граждан, организаций и государства;

     -состояние инфраструктуры, при котором информация используется строго по назначению и не оказывает негативного воздействия на систему при ее использовании;

     -состояние информации, при котором исключается или существенно затрудняется нарушение таких ее свойств, как конфиденциальность, целостность и доступность;

     -экономическую составляющую (структуры управления в экономической сфере, включая системы сбора, накопления и обработки информации в интересах управления производственными структурами, системы общеэкономического анализа и прогнозирования хозяйственного развития, системы управления и координации в промышленности и на транспорте, системы управления энергосистем, централизованного снабжения, системы принятия решения и координации действий в чрезвычайных ситуациях, информационные и телекоммуникационные системы);

     -финансовую составляющую (информационные сети и базы данных банков и банковских объединений, системы финансового обмена и финансовых расчетов) [8].

     Обеспечение информационной безопасности должно начинаться с выявления субъектов отношений, связанных с использованием информационных систем. Спектр их интересов может быть разделен на следующие основные категории: доступность (возможность за приемлемое время получить требуемую информационную услугу), целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения), конфиденциальность (защита от несанкционированного ознакомления).

     Понятие информационной безопасности в узком  смысле этого слова подразумевает:

     -надежность работы компьютера;

     -сохранность ценных данных;

     -защиту информации от внесения в нее изменений неуполномоченными лицами;

     -сохранение тайны переписки в электронной связи.

     Объектом  информационной безопасности может  быть коммерческое предприятие. Тогда  содержание «информационной безопасности» будет заключаться в защищенности интересов собственника данного предприятия, удовлетворяемых с помощью информации, либо связанных с защитой от несанкционированного доступа тех сведений, которые представляются собственнику достаточно важными. На предприятии к объектам информационной безопасности относят:

     - информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне, и конфиденциальную информацию, представленную в виде информационных массивов и баз данных;

     - средства и системы информатизации - средства вычислительной и организационной техники, сети и системы, общесистемное и прикладное программное обеспечение, автоматизированные системы управления предприятиями, системы связи и передачи данных, технические средства сбора, регистрации, передачи, обработки и отображения информации, а также их информативные физические поля.

     Защита  информации - комплекс мероприятий, направленных на обеспечение важнейших аспектов информационной безопасности: целостности, доступности и, если нужно, конфиденциальности информации ресурсов, используемых для ввода, хранения, обработки и передачи данных.

     Существует  два принципиальных подхода к защите информации:

     1. Фрагментарный. Данный подход ориентируется на противодействие строго определенным угрозам при определенных условиях (например, специализированные антивирусные средства, отдельные средства регистрации и управления, автономные средства шифрования и т.д.).

     Достоинством  фрагментарного подхода является его высокая избирательность относительно конкретной угрозы. Недостатком - локальность действия, т.е. фрагментарные меры защиты обеспечивают эффективную защиту конкретных объектов от конкретной угрозы. Но не более того.

     2. Комплексный. Данный подход получил широкое распространение вследствие недостатков, присущих фрагментарному. Он объединяет разнородные меры противодействия угрозам и традиционно рассматривается в виде трех дополняющих друг друга направлений. Организация защищенной среды обработки информации позволяет в рамках существующей политики безопасности обеспечить соответствующий уровень безопасности системы. Недостатком данного подхода является высокая чувствительность к ошибкам установки и настройки средств защиты, сложность управления.

     Методами  обеспечения защиты информации на предприятии являются следующие:

     1.Препятствие - метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.п.).

     2.Управление доступом - метод защиты информации регулированием использования всех ресурсов автоматизированной информационной системы предприятия. Управление доступом включает следующие функции защиты:

     -идентификацию пользователей, персонала и ресурсов информационной системы (присвоение каждому объекту персонального идентификатора);

     -аутентификацию (установления подлинности) объекта или субъекта по предъявленному им идентификатору;

     -проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

     -регистрацию обращений к защищаемым ресурсам;

     -реагирование (сигнализация, отключение, задержка работ, отказ в запросе при попытках несанкционированных действий).

     3.Маскировка - метод защиты информации в автоматизированной информационной системе предприятия путем ее криптографического закрытия.

     4.Регламентация - метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи информации, при которых возможность несанкционированного доступа к ней сводилась бы к минимуму.

     5.Принуждение - метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной и уголовной ответственности.

     6.Побуждение - метод защиты информации, который побуждает пользователей и персонал системы не нарушать установленные правила за счет соблюдения сложившихся моральных и этических норм [8].

     Указанные выше методы обеспечения информационной безопасности реализуются с помощью следующих основных средств: физических, аппаратных, программных, аппаратно-программных, криптографических, организационных, законодательных и морально-этических.

     Физические  средства защиты предназначены для внешней охраны территории объектов, защиты компонентов автоматизированной информационной системы предприятия и реализуются в виде автономных устройств и систем.

     Аппаратные  средства защиты - это электронные, электромеханические и другие устройства, непосредственно встроенные в блоки автоматизированной информационной системы или оформленные в виде самостоятельных устройств и сопрягающиеся с этими блоками. Они предназначены для внутренней защиты структурных элементов средств и систем вычислительной техники: терминалов, процессоров, периферийного оборудования, линий связи и т.д.

     Программные средства защиты предназначены для выполнения логических и интеллектуальных функций защиты и включаются либо в состав программного обеспечения автоматизированной информационной системы, либо в состав средств, комплексов и систем аппаратуры контроля.

     Программные средства защиты информации являются наиболее распространенным видом защиты, обладая следующими положительными свойствами: универсальностью, гибкостью, простотой реализации, возможностью изменения и развития. Данное обстоятельство делает их одновременно и самыми уязвимыми элементами защиты информационной системы предприятия.

     Аппаратно-программные  средства защиты - средства, в которых программные (микропрограммные) и аппаратные части полностью взаимосвязаны и неразделимы.

     Криптографические средства - средства защиты с помощью преобразования информации (шифрование).

     Организационные средства - организационно-технические и организационно-правовые мероприятия по регламентации поведения персонала.

     Законодательные средства - правовые акты страны, которые регламентируют правила использования, обработки и передачи информации ограниченного доступа и которые устанавливают меры ответственности за нарушение этих правил.

     Морально-этические  средства - нормы, традиции в обществе, например, Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ в США [8].

     Все рассмотренные средства защиты разделены на формальные (выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека) и «неформальные» (определяемые целенаправленной деятельностью человека или регламентирующие эту деятельность).

     Организованная  совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз, называется системой защиты информации (СЗИ).

     С позиций системного подхода к  защите информации предъявляются определенные требования:

     -обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявления ее узких и слабых мест и противоправных действий;

     -безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты  всех структурных элементах экономической системы и на всех этапах технологического цикла обработки информации;

     -планирование безопасности информации осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции;

     -защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;

     -методы и средства защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам;

     -эффективность защиты информации означает, что затраты на ее осуществление не должны быть больше возможных потерь от реализации информационных угроз;

     -четкость определения полномочий и прав пользователей на доступ к определенным видам информации;

     -предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;

     -сведение к минимуму числа общих для нескольких пользователей средств защиты;

     -учет случаев и попыток несанкционированного доступа к конфиденциальной информации; обеспечение степени конфиденциальной информации;

     -обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя.

     Таким образом, мы рассмотрели основные понятия, касающиеся информационной безопасности в экономических системах. Следующим вопросом является рассмотрение теоретических основ инвестирования. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

1.2. Теоретические аспекты инвестирования

     Инвестиции - средства (денежные  средства,  ценные  бумаги,  иное имущество, в том числе имущественные права, имеющие денежную оценку), вкладываемые в объекты предпринимательской и (или) иной деятельности с целью получения прибыли и (или) достижения иного полезного эффекта.

     Инвестиции  различаются между собой по нескольким признакам:

     1.По объектам вложения капитала:

     - Реальные инвестиции – вложения денег в реальные материальные и нематериальные активы (основной и оборотный капитал, интеллектуальную собственность).

     - Портфельные инвестиции – вложения денег в различные финансовые инструменты (ценные бумаги, банковские депозиты, валюту, драгоценные металлы и камни).

     2.По характеру участия в инвестировании:

     - Прямые инвестиции – непосредственно участие самого инвестора в выборе объекта инвестирования для вложения средств.

     - Косвенные инвестиции – когда вложение средств опосредовано другими лицами (инвестиционными фирмами и компаниями, паевыми инвестиционными фондами, другими финансовыми учреждениями).

     3.По периоду инвестирования:

     - Краткосрочные инвестиции – вложения капитала на отрезок времени менее 1 года.

     - Среднесрочные инвестиции – вложения капитала на период от 1 до 5 лет.

     - Долгосрочные инвестиции – вложения капитала на срок свыше 5 лет.

     4.По формам собственности:

     -Частные инвестиции – вложения средств, осуществляемые гражданами и частными организациями (фирмами и компаниями).

     -Государственные инвестиции – вложения, которые производятся центральными и местными органами власти и управления за счёт бюджетных, внебюджетных и заёмных средств, а также унитарными предприятиями, учреждениями и организациями путём мобилизации собственных финансовых источников.

     -Смешанные инвестиции – долевое вложение средств при участии государства, регионов, муниципальных образований, а также юридических и физических лиц.

     -Иностранные инвестиции – вложения, осуществляемые иностранными государствами, физическими и юридическими лицами.

     -Совместные инвестиции – вложения, осуществляемые субъектами данной страны и иностранных государств.

     Инвестиционная  деятельность - вложение инвестиций и осуществление практических действий в целях получения прибыли и (или) достижения иного полезного эффекта.

     Комплекс  взаимосвязанных мероприятий, направленных на достижение определенных целей в специальной экономической литературе рассматривается как инвестиционный проект.

     В частности,  под инвестиционным проектом понимается план вложения капитала в конкретные объекты предпринимательской деятельности с целью последующего получения прибыли, достаточной по размеру для удовлетворения требований инвестора.

     По  своему содержанию такой план включает систему технико-технологических, организационных, расчетно-финансовых и правовых, целенаправленно подготовленных материалов, необходимых для формирования и последующего функционирования объекта предпринимательской деятельности. С помощью инвестиционного проекта решается важная задача по выяснению и обоснованию технической возможности и экономической целесообразности создания объекта предпринимательской деятельности.

     Эффективность инвестиционного проекта – показатель, отражающий соответствие проекта целям и интересам его участников.

     С точки зрения законодательства, оценка эффективности инвестиционных проектов не является обязательной, однако каждый инвестор заинтересован в том, чтобы обезопасить себя от потери вложенных средств и получить достаточную для компенсации рисков прибыль [5].

     Определение приемлемого для инвестора уровня экономической эффективности инвестиций является наиболее сложной областью экономических расчетов, связанной  с разработкой ТЭО, так как  здесь надо свести воедино все  множество факторов различных интересов потенциальных инвесторов, учесть трудно предсказуемые изменения во внешней среде по отношению к проекту, а также системы налогообложения в условиях нестабильной экономики. Все это многократно усложняется в связи с тем, что оценка эффективности должна базироваться на соответствующей информации за весьма длительный расчетный период. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

1.3. Определение инвестиций  в информационную  безопасность

     Реалии  современного бизнеса таковы, что  в условиях агрессивной рыночной среды практически любая компания постоянно сосредоточена на поддержании своей конкурентоспособности [13]. Очевидно, что основным инструментом поддержания конкурентоспособности компании является стратегическое бизнес-планирование, направленное на развитие ее адаптивности и повышение устойчивости к воздействию рыночной среды.

     В этих условиях особую важность приобретают  качество и эффективность информационной системы, которые влияют на конечные финансовые показатели опосредованно, через качество бизнес-процессов. Проигрывают те компании, где финансирование защиты информации ведется по остаточному принципу.