Рус Eng Cn Перевести страницу на:  
Please select your language to translate the article


You can just close the window to don't translate
Библиотека
ваш профиль

Вернуться к содержанию

Финансы и управление
Правильная ссылка на статью:

Экономическая оценка конфиденциальной информации организации

Раимов Артем Владимирович

кандидат экономических наук

аспирант, кафедра математических методов в экономике, Российский экономический университет им. Г.В. Плеханова

143044, Россия, Московская область, пос. Сидоровское, ул. Западная, 262

Raimov Artem Vladimirovich

PhD in Economics

post-graduate student of the Department of Mathematical Methods in Economics at Plekhanov Russian University of Economics

143044, Russia, Moscow Region, settlement Sidorovskoe, str. Zapadnaya, 262

raimovav@gmail.com

DOI:

10.7256/2409-7802.2017.1.22302

Дата направления статьи в редакцию:

14-03-2017


Дата публикации:

27-03-2017


Аннотация: Предметом исследования является математико-экономический инструментарий для количественной оценки экономических и финансовых последствий в следствие утраты конфиденциальной информации предприятия. Хорошие специалисты по информационной безопасности способны произвести качественный анализ и оценку значимости информации, но никак не количественную, которая отражается в финансовых и экономических эквивалентах. Таким образом, проблема в количественной оценке стоимости информации при анализе риска нарушения информационной безопасности является актуальной. В статье приведены различные виды стоимости информационного ресурса. Так же приведен способ определения полной стоимости информационного актива организации и оценки средневзвешенной стоимости информации. В качестве примера было взято конструкторское бюро планирующее начать разработку нового технического агрегата. Итогом данного исследования является результаты количественной оценки стоимости конфиденциальной информации, а именно информационного актива конструкторского бюро, выраженные в денежном эквиваленте. Научная новизна данной работы заключается в излагаемом методе, который дает возможность осуществить перевод качественную оценку в количественную без значимых требований. Основной вывод данной статьи заключается в том что, когда идет сбор информационного актива, а также его обработка, необходимо соблюдать баланс между качеством информации и ее объемом с одной стороны и ее стоимостью с другой.


Ключевые слова:

Стоимость, Виды стоимости, Оценки стоимости, Количественная оценка, Информация, Информационная безопасность, Информационный ресурс, Информационный актив, Конфиденциальность, Защита информации

Abstract: The subject of the research is the mathematical-and-statistical tools that are used in the process of quantitative evaluation of economic and financial consequences of the loss of corporate confidential information. Experts in information security can carry out a qualitative analysis and evaluation of the importance of such information but they cannot do the quantitative evaluation that has financial and economic equivalents. Thus, quantitative evaluation of the information value when analyzing the risk of an information security incident is a very nettlesome problem. In this article Raimov describes different types of the information resource value. He also offers a method to define the full value of the corporate information asset and evaluate the weighted average cost of information. As an example, the author analyzes a development laboratory planning to develop a new plant. The result of the research is the quantitative evaluation of the confidential information value, in particular, information asset of the aforesaid development laboratory in a monetary equivalent. The scientific novelty of the research is caused by the fact that the author offersh is own method that allows to transfer the qualitative evaluation into quantitative without any particular requirements. The main conclusion of the research is that in the process of collecting the information asset, it is necessary to keep a balance between the quality and amound of information on the one hand and the value of information on the other hand.   


Keywords:

cost, types of value, estimates of value, quantification, information, information security, information resource, information asset, confidentiality, information protection

В современном мире информация и уровень осведомленности в различных направлениях играют значимую роль в успешной жизнедеятельности организации. Наличие нужной информации напрямую влияет на финансовые и экономические решения, которые в свою очередь отражаются в результатах деятельности организации. Конфиденциальность определенного рода информации связанной с деятельностью организации зачастую является необходимостью, поскольку от нее зависит значимая доля прибыли и жизнь самой организации.

Поскольку у информации в нынешнее время очень большая значимость, информационная безопасность развивается, но не существует такого метода защиты, который всецело и полностью защищает от всевозможных угроз. Любая защита – это усложнение или ограничение доступа, а не полное изолирование от источников угроз. Хорошие специалисты по информационной безопасности способны произвести качественный анализ и оценку значимости информации, но никак не количественную, которая отражается в финансовых и экономических эквивалентах. Но данного рода задача не является для данных специалистов обязанностью, поскольку они должны осуществлять безопасность того, что посчитали нужными органы управления организации. Экономическая и финансовая ценность информации должна определяться специалистами с подходящей компетенцией для данного рода оценки.

Информация во все времена выступает в роли определенного ресурса, как древесина, нефть, золото и т.д. В силу данного обстоятельства у информационного ресурса есть свои виды стоимости:

Потребительская стоимость

Рыночная стоимость

Арендная стоимость

Инвестиционная стоимость

Стоимость на создание

Ликвидационная стоимость

Стоимость воспроизводства

Стоимость замещения

Восстановительная стоимость

Эффективная стоимость

Страховая стоимость

Учитывая все выше сказанное, оценка стоимости информации, при анализе рисков при нарушении информационной безопасности, результаты которой будут выражены в денежном эквиваленте является необходимой, для полной оценки потенциальных угроз.

Особенность в реализации данного метода, заключается в следующем:

Учитывая уровни важности информации, которые им присвоила организация, необходимо идентифицировать информационные активы, с уточнением области сети, в котором они обрабатываются.

Организация определяет уровни важности различным информационным ресурсам и в следствии этого производится идентификация информационных активов, с определением области, в которой они будут обрабатываться.

Для любого информационного ресурса устанавливается список возможных видов последствий, которые возможны в случае нарушения его защиты.

Обозначаются значения входных параметров:

-количество информационных объектов, обрабатываемых в области сети ;

-количество предполагаемых форм последствий нарушения правил ИБ для информационных ресурсов области сети ;

Задаются функции принадлежности входных лингвистических параметров:

-нечеткая ЛП, соответствующая входной параметров ;

- нечеткая ЛП, соответствующая входной параметров ;

Определяются продукционные правила, дающие возможности показать опыт специалиста в формализованном виде и отображающие влияние значений входных параметров на значимость информационных активов сегмента сети.

Определяются продукционные правила, позволяющие представить опыт эксперта в формализованном виде и отражающие влияние значений входных параметров на ценность информационного ресурса сегмента сети.

Определяются функции принадлежности выходных ЛП «ценность информационного ресурса» для активов всех уровней критичности. Область определения переменных: (0,1)

В соответствии с продукционными правилами, значениями входных ЛП определяются нечеткие значения выходных лингвистических переменных «ценность информационного ресурса» .

После дефаззификации — отображения нечеткой ЛП в (четкое) значение выходной переменной — осуществляется нормализация полученных параметров и вычисляются относительные стоимости информационного ресурса, обрабатываемых в областях сети организации:

где -ценность всевозможных обрабатываемых информационных ресурсов т.е.

,, относительные стоимости информационных ресурсов обрабатываемых ,соответственно.

На рис.1 отображена схема нечеткого вывода применительно к решению проблемы оценки стоимости информационных активов при анализе рисков нарушения ИБ.

«Проблемы информационной безопасности в системе высшей школы»

.jpg

Рис .1. Система нечеткого вывода.

Алгоритм, приведеный выше, апробирован с целью анализа его функциональности.

Определение полной стоимости информационного актива.

Рассмотрим определяющие стоимость первоначальные факторы:

Согласно методологии оценки интеллектуальной собственности, информация является не материальным активом, согласно этому подобного рода оценка может опираться на доходный или затратный подход. Использование сравнительного подхода затруднительно в связи с тем, что подобные объекты оценки оригинальными и зачастую не имеют аналогов.[1] В связи с этим можно сказать, что минимальная рыночная стоимость информационного актива или ресурса – это цена, которая состоит из затрат на его создание, т.е., как общий объем вложенных средств обладателем, на получение информационного актива.

Рыночная стоимость (минимальная) = Стоимость затрат на создание.

Иные два фактора, формирующие стоимость информационного актива, непосредственно связаны с воздействием данного ресурса на практическую деятельность предприятия.

Если информация качественного характера о вашей деятельности будет утрачена, то вы можете понести значительный ущерб. Его размерность зависит от различного рода факторов:

· какого типа информация продается

· точность описываемой деятельности определенной организации

· переманивание клиентов

В данном случае факторы, которые несут убытки отображаются в виде:

· шантаж,

· переманивание клиентов или посредников,

· опубликование компромата,

· кража проектов,

· уде­шевление стратегических планов и т.д.

Представленные факторы могут отрицательно сказываться на объемах реализации продуктов или услуг,что повлечет за собой значительные ущербы.

Так же значимым критерием формированием стоимости информационного актива –недополученная прибыль. Можно привести в качестве примера утрату стратегически важной информации, в данном случае конкуренты имеют возможность опередить и реализовать намеченные планы раньше вас. Информация, которая может каким-либо образом скомпрометировать может спровоцировать утечку клиентов. Различные проверки в данный период и остановка различных процессов связанных с жизненным циклом организации, повлекут снижение получаемых доходов. Полная стоимость информационного актива определяется, как сумма оценки выраженная в денежном эквиваленте, перечисленных и описанных трех факторов:

Полная стоимость информации = Недополученная прибыль+Рыночная стоимость + Возможный ущерб

Энтропийный (вероятностный) подход в оценке стоимости информационного актива в условиях неопределенности.

В первую очередь необходимо определить понятие предельной стоимости информационного актива для организации – стоимость, при которой финансовая выгода организации, приобретающей информационный актив, равна нулю.

Рассчитать предельную стоимость информации для покупателя можно на следующем примере:

Предположим, что конструкторское бюро на разработку нового технического агрегата запланировало выделить $250 000(обозначим как ) в течении 1 года. Размер бюджета на разработку взят для демонстрации методики. Для оценки с более точными показателями, необходимо учитывать в качестве денежное выражение всех используемых ресурсов.

Для того, чтобы произвести количественного анализа и оценку степени неопределенности, будем использовать поня­тие энтропии () как меры неопределенности.

Рассмотрим два варианта:

· конструкторское бюро сталкивается с альтернативой - затратить бюджет () непосредст­венно на разработку или

· конструкторское бюро решает всю сумму общего бюджета положить в банк под процент (ставку банковского процента определим как -15% годовых).

Если конструкторское бюро решает положить деньги () в банк, то через год оно получает сумму, в размере *(1 + ). Данное событие характеризуется фактически нулевой неопреде­ленностью, и энтропию события можно принять за величину равную нулю ( = 0).

Если же конструкторское бюро решает вложить деньги в разработку нового технического агрегата, оно планирует получить вернуть вложенные деньги в виде поступления выручки. Очевидно, что еще до начала разработки, у руководства конструкторского бюро представляет размер планируемой выручке (APR). В качестве показателя (APR) возьмем суммарную выручку за проект в размере $350 000. Данное решение характеризуется энтропией большей нуля, поскольку возможно несколько возможных исходов развития ситуации. Рассмотрим следующие варианты развитие ситуации, когда возможная выручка может попасть в один из следующих диапазонов, представ­ленных в табл.1.

Таблица 1

Зависимость характера ситуации от величины выручки

Величина выручки

Характер ситуации

$0 ... $250 000 (I)

ситуация чистого убытка

$250 000 ... $287 500 (I ... I x (1 + Br))

ситуация полного возврата I, но при этом прибыль меньше, чем проценты в банке

$287 500 ... $350 000 (I x (1 + Br) ... APR)

ситуация, когда прибыль превышает проценты по банку и соответствует APR

Диапазоны образуют спектр исходов. Каждому диапазону соответствует своя вероятность.

Поскольку мы не располагаем опытной информацией, мы определяем вероятности спектра априорно (табл. 2).

Таблица 2

Расчет вероятностей полос спектра

Спектр

Вероятности полосы спектра (pi)

0 ... 250 000 (=I)

250 000 / 350 000 = 0,71

250 000 ... 287 500 (I x (1+Br) =)

(287 500 – 250 000) / 350000 = 0,11

287 500 ... 350 000 (APR=)

(350 000 – 287 500) / 350 000 = 0,18

Определив вероятности спектра, определим энтропию для данного ре­шения. Для расчета используем формулу Шеннона:

где - оценочное значение вероятности «полосы спектра» из табл. 2. В на­шем примере составит:

На нашем примере, высчитав величину , мы имеем возможность выяснить степень неопределенности принятия решения в тот момент, когда решение основывается на информации полученной при разработке ТТХ, т.е., значение энтропии после разработки ().

В этих целях необходимо использовать коэффициент уровня доверительности результатов разработки (). В оценке () степень неопределенности принятия решения, основывающиеся на полученной информации в следствии разработки, включен факт, что случайные выборки, которые используются в значимом количестве подобного рода исследованиях, дают возможность производить оценку точности результатов, как очень близкие к истинному значению. Уровень доверительности () в рассматриваемом случае, как значимая характеристика точности информации, которая будет получена после разработки.

При разработке плана проектных работ определяется уровень доверительности результатов. Таким образом, если конструкторское бюро начинает разработку, уровень доверительности результатов (t) во время разработки может составить, например 0,95, что соответствует предположению, что значение показателей возможного спроса будет 95% -й вероятности находится в пределах, которые заранее определены.

Тогда расчетное значение энтропии после проведения разработки составит:

(4)

где - уровень доверительности результатов разработки - в нашем примере равен 0,95. Согласно формуле производим вычисление, в результате чего находим = 0,29.

Определив и s мы подошли к возможности получения оценки пре­дельной стоимости ТТХ, необходимой для принятия бизнес-решения.

Определим понятие предельной стоимости “тактикотехнической характеристики”. Пре­дельная стоимость ТТХ - эго величина, при которой эконо­мическая выгода конструкторского бюро (покупателя), приобретающего информацию, равна нулю. Обозначим предельную стоимость ТТХ как . Выбранный показатель будет далее использован для того, чтобы определить равновесие ценового оптиума.

Взяв во внимание, что стоимость информационного актива для покупателя будет значимей, с понижением степени неопределенности принятия решения на основе данной информации, возможно представить взаимосвязь между предполагаемой стоимостью информационного актива (такой, какой она должна быть, по мнению покупателей) и величиной энтропии уравнением типа . В основе модели лежит линейная функция, поскольку:

· для определения ее типа возможно определить две крайние точки

· линейная зависимость является наиболее простым типом связи.

Первая точка – стоимость информационного актива, обеспечивающий нулевую энтропию ( = 0), - определим ее как . Далее присвоим величин, равную где – ожидаемый объем инвестиций в проект (в нашем примере бюджет конструкторского бюро), Br- ставка бан­ковского процента. Данный объем соответствует ситуации, когда конструкторское бюро имеет альтернативу –потратить весь бюджет непосредственно на разработку () или положить всю сумму в банк. На основе предоставленной информации может быть принято решение о начале разработки (положительный прогноз), так и об отказе от нее внесение средств в банк (отрицательный прогноз), то в случае отрицательного прогноза максимальная стоимость информационного актива должна ровняться величине, при которой разность между ожидаемым объемом инвестиции по проекту (размером риска) и стоимостью информационного актива должна равняться величине, при которой разность между планируемым объемом инвестиций по разработке (суммой риска) и ценной информационного актива будет компенсирована ставкой банковского процента. Излагаемое означает, что если заплатив за информационный актив прогноз будет отрицательный, покупатель разместить оставшиеся средства в банке и компенсирует затраты до начального уровня .

Вторая точка – соответствует уровню неопределенности без получения информационного актива (), т.е. ситуации с = 0.

Данным образом, идея нахождения предельной стоимости ТТХ () сводится к решению уравнения по формуле

Коэффициенты получают из системы линейных уравнений (5):

;при = 0; (5)

В рассматриваемом примере значения коэффициентов составят:

В связи с этим, предельная стоимость ТТХ составит = -*0,29+32608,7 = $24385,6. Другими словами, конструкторскому бюро выгодно приобрести ТТХ по любой цене, которая не превышает полученную в результате расчета суммы в $24385,6. Если продавец информационного актива представит возможность ее приобретения за $13000 (оценка стоимости информации продавцом), то выгода покупателя, в излагаемом примере, составит $11385,5 = $24385,6-$13000).

Необходимо отметить, что излагаемый подход дает возможность осуществить перевод качественного анализа в количественный без значимых требований к точности такого перехода.

В тот момент, когда идет сбор информационного актива, а также его обработка по различным аспектам, необходимо стремиться к достижению оптимального соотношения между качеством информации и ее объемом с одной стороны и ее стоимостью с другой.

Это означает, что зачастую целесообразно с экономической точки зрения работать с неполным информационным активом в силу ограничения времени для сбора и ее стоимости. Для этого необходимо рассчитать возможные потери в результате неполноты информационного актива в необходимы временной интервал.

Оценка средневзвешенной стоимости информации.

В работе [2, с. 343] дается утверждение, что «стоимость полной информации рассчитывается, как разница между ожидаемой стоимостью какого-нибудь приобретения, когда имеется полная информация, и ожидаемой стоимостью, когда информация не­полная». Данное утверждение не отражает всю картину целиком, так как рассчитывается размер не стоимости информационного актива, а выигрыш в денежном эквиваленте о реализации проекта за счет дополнительной информации.[3]

Разберем пример, когда КБ стоит перед выбором приобрести определенного рода информацию о наработках по проекту за 20000 руб. или приобрести полный пакет информации для реализации проекта за 64000 руб. Однако КБ имеет возможность перепродать два данных вида информационного ресурса, по единой цене 100000 руб.. КБ не знает будет ли на нее спрос. Однако вероятность продажи составит 50 на 50 т.е., коэффициент будет равен 0,5 для продажи информации с наработками и для полного пакета информации. Прибыль от информации с наработками составит 10 0000 – 20 000 = 80 000, прибыль от полного пакета документа составит 100 000 – 64 000 = 36 000.; средняя ожидаемая прибыль 80 000 х 0,5 + 36 000 х 0,5 = 40 000 + 18 000 = 58 000

Ожидаемая стоимость информационного ресурса при условии определенности равен 58 000 руб., а ожидаемая стоимость информационного ресурса при неопреде­ленности (полный пакет информации) – 36 000 х 0,5 = 18 000 руб., и тогда стоимость полной информации равна: 58 000 - 18 000 = 40 000 руб.[3]

Библиография
1.
2.
3.
References
1.
2.
3.