Приложение D (справочное). Примеры расчета экономических моделей

Приложение D
(справочное)

Примеры
расчета экономических моделей

D.1 Пример расчета экономической модели (вариант А)

Описание. Коммерческая организация сталкивается с растущим числом инцидентов ИБ, связанных с клиентами, в результате чего возникает необходимость в реализации требований стандарта ИСО/МЭК 27001. Отдел маркетинга направляет запрос о необходимости сертификации в соответствии с ИСО/МЭК 27001. Главный сотрудник по вопросам ИБ должен рассчитать экономическую модель реализации СМИБ в соответствии со стандартом ИСО/МЭК 27001 и включить в нее достаточно вводных данных, чтобы руководство запустило проект по реализации требований (см. ИСО/МЭК 27003).

Контекст. Сертификация производится в рамках всей организации.

В расчетах необходимо учесть, что технико-экономическое обоснование СМИБ будет оказывать долгосрочное воздействие на организацию. Расчет ценности и издержек может производиться на определенный предполагаемый период времени. В рамках упрощенного подхода решение о вложении средств принимается исходя из ситуации на момент принятия решения (например, 1 год), после чего производится сравнение с результатами за год без учета динамики. В качестве отправной точки для расчета экономической модели принимается второй вариант. Для учета фактора неопределенности используются минимальное и максимальное значения (диапазон значений). Далее по мере необходимости учитывается временное измерение.

Пункт	Факторы	Базовые (диапазон)	Относящиеся к ценности			Относящиеся к стоимости
Пункт	Факторы	Базовые (диапазон)	Направление	Косвенное влияние	Расширенное влияние	Направление	Косвенное влияние	Расширенное влияние
А	Годовой оборот	100 млн $	x	100 млн $ - 3 % = 3 млн $	x	x	x	x
В	Возможный рост продаж за год после сертификации	3 % (1 % - 5 %)	x	x	x	x	x	x
С	Срок инвестиции	10 лет	x	x	x	x	x	x
D	Стоимость проекта реализации СМИБ	( 20 %)	x	x	x	0,5 млн $	x	x
Е	Стоимость сертификации в рамках проекта	н/д	x	x	x	0,3 млн $	x	x
F	Потеря внутренней эффективности при реализации проекта	( 20 %)	x	x	x	x	Не оценивается ^*	x
G	Стоимость реализации средств управления СМИБ для сертификации в течение проекта	( 20 %)	x	x	x	0,3 млн $	0,2 млн $	x
Н	Годовая стоимость обслуживания СМИБ	x	x	x	x	0,1 млн $	x	x
I	Ежегодный прирост внутренней эффективности ^*	Не оценивается ^*	x	Не оценивается*	x	x	x	x
J	Экономия от проведения меньшего количества проверок ^*	Не оценивается ^*	Не оценивается ^*	Не оценивается ^*	x	x	x	x
K	Экономия от снижения рисков ^*	Не оценивается ^*	Не оценивается ^*	Не оценивается ^*	Не оценивается ^*	x	x	x
L	Экономия от выполнения требований ^*	Не оценивается ^*	Не оценивается ^*	Не оценивается ^*	Не оценивается ^*	x	x	x
М	Ценность имиджа/бренда ^*	Не оценивается ^*	x	x	Не оценивается ^*	x	x	x
N	Общая стоимость сертификации в годовом исчислении (за исключением первоначальной стоимости)	Не оценивается ^*	x	x	x	Не оценивается ^*	x	x
^* Эти (и прочие) затраты и (или) преимущества можно оценить в рамках экономической модели и включить в расчеты, если они могут оказать воздействие на практические аспекты принятия решения. Примечание - Результаты вычислений приводятся исключительно в целях иллюстрации и не относятся к какой-либо реальной ситуации.

Первичные расчеты по заключению основаны на оценочных значениях без указания диапазона возможных значений.

Заключение 1 БАЗА:

В течение года после сертификации расширенный показатель имеет следующее значение: 3,0 млн $

Затраты обобщаются в следующем виде: - 1,4 млн $

Сумма: + 1,6 млн $

Заключение 2 Диапазон значений:

Второй расчет по заключению сделан на базе расчетных значений с использованием диапазона от максимальных значений (max) до минимальных (min). Максимальные значения представляют собой наибольшую ценность и наименьшие затраты, а минимальные значения - наименьшую ценность и максимальные затраты. (Изменения из-за неопределенности диапазонов отражены в таблице выше.)

Мах: В течение года после сертификации расширенный показатель max имеет следующее значение: 5,00 млн $

Затраты по расчету 1 уменьшаются на 20 %: - 1,4 млн % = - 1,12 млн $

Сумма: + 3,88 млн $

Min: В течение года после сертификации расширенный минимальный показатель имеет следующее значение: 1,00 млн $

Затраты по расчету 1 увеличиваются на 20 %: - 1,4 млн % = - 2,35 млн $

Сумма: - 1,35 млн $

Заключение 2 показывает, что, несмотря на более позитивный экономический сценарий по сравнению с другим возможным, вероятна ситуация, когда экономическая модель может оказаться убыточной. Это указывает на необходимость дополнительного анализа. Следует сделать перерасчет значений min, возможно, с большим количеством оценочных значений по факторам, указанным в таблице. Это позволит проверить, смогут ли дополнительные показатели ценности и затрат изменить отрицательный экономический результат расчета.

В качестве отправной точки должен использоваться вероятностный анализ, поскольку именно он способен дать четкие указания на незначительную вероятность, что может быть отражено в качестве причины использования расчета 1 как основы экономической модели.

Такой анализ для несертифицированной организации мог бы стать предложенной отделом продаж и маркетинга альтернативой, указывающей на возможное падение продаж на 15 % в течение трех лет. Это имеет отношение к той части клиентов организации, которые уже задают вопросы о выполнении требований ИСО/МЭК 27001. [Падение на 15 % является очень большим (такое отрицательное значение оказывает положительное воздействие на мотивацию данной экономической модели), в сравнении с расчетами 1 и 2, а также показывает, что дополнительный анализ не приведет к существенным изменениям.]

Экономическую модель можно представить расчетом с альтернативным сценарием на базе вероятностного анализа.

D.2 Пример расчета частичной экономической модели (вариант Б)

Модель. Этот пример экономической модели относится к определенному активу, к которому могут применяться различные средства управления информационной безопасностью. В связи с этим данная модель имеет ограниченную область применения. В примере не учитываются затраты на средства управления, но учитываются издержки, связанные с неиспользованием средств управления, которые можно рассматривать как положительные значения для нейтрализации суммы расходов на средства управления на втором этапе. В рамках экономической модели принято решение о переходе на следующий этап для определения средств управления и связанных с ними затрат.

Информационный актив

База данных организации насчитывает 250 000 клиентов. Эта база содержит персональную информацию о каждом клиенте, сведения о личной кредитной карте и архив операций, осуществленных между клиентом и организацией за последние 10 лет.

Риски и сопутствующие издержки из-за возможных воздействий

Риски для информационного актива необходимо рассмотреть и оценить с точек зрения конфиденциальности, целостности и доступности (CIA).

Фактор CIA	Описание риска	Затраты организации
Конфиденциальность	База данных становится доступной для посторонних лиц и полностью копируется. Теперь эта информация используется для выяснения персональных данных клиентов организации и проведения несанкционированных операций с использованием этих персональных данных и сведений о кредитных картах клиентов	- Все клиенты должны быть оповещены о раскрытии их персональной информации посторонним лицам (25 $ по каждому клиенту). (Число клиентов, чья информация была украдена, насчитывает 1000 человек.) - В результате потери данных клиентов нарушено законодательство (единовременный штраф в размере 500 000 $). - Организация должна направить ресурсы на выяснение причины взлома, содействие правоохранительным органам в расследовании нарушения и очистку информационной системы во избежание нового взлома (единовременные расходы в размере 250 000 $)
Целостность	Клиент организации инициирует онлайн-операцию, и в ходе ее проведения раскрываются персональная информация и (или) детали другой организации	Каждую операцию необходимо проверить на наличие правильных данных (25 $ за одну операцию). (Количество операций, задействованных при взломе, составляет 10 000.) В результате несанкционированного отображения информации клиента нарушено законодательство (единовременный штраф в размере 500 000 $). Потеря клиентов, которые уходят к конкурентам (каждый клиент обходится в 100 $). [Взлому подверглись данные 40 % клиентов (1000)]
Доступность	База данных повреждена, и авторизованные пользователи не имеют доступа к информации	- Организации необходимо выделить ресурсы на определение причины потери данных и принятие мер для восстановления доступа [в том числе вызов консультантов (5000 $/час)]. (Расчетное количество часов: 300.) - Простой в работе персонала из-за невозможности осуществления операций (100 000 $ в час). (Расчетное количество часов: 10.) - Потеря текущего дохода из-за невозможности выполнения операций клиентами (100 $ по каждому клиенту, не имеющему возможности совершать операции). [Число клиентов, подвергшихся взлому, оценивается в 20 % (1000)]

В следующей таблице сумма затрат представляет собой общую ценность, уравновешивающую затраты на средства управления на следующем этапе:

CIA	В связи с клиентами	По законодательству	Перерыв в коммерческой деятельности	Необходимость выделения ресурсов	Сумма
Конфиденциальность		500 000 $	x	250 000 $	775 000 $
Целостность		500 000 $	x		790 000 $
Доступность		x			2 520 000 $
Сумма	335 000 $	1 000 000 $	1 000 000 $	1 750 000 $	4 085 000 $

D.3 Пример актива/модели управления (пример Б)

Модель. Предоставление пользователям расширенной информации о правилах пользования Интернетом. Эта экономическая модель связана с конкретной мерой и имеет очень ограниченный набор средств управления. Даже в случае применения средств управления в масштабах всей организации такая экономическая модель считается ограниченной из-за незначительного количества средств управления. В рамках СМИБ принято решение о реализации этой меры.

Базовые данные:

Число пользователей: 1000

Ежегодные убытки от инцидентов, связанных с использованием Интернета: 100 000 $

Уменьшение числа инцидентов вследствие обучения: 70 %

Стоимость обучающих материалов: 10 000 $

Стоимость часа рабочего времени организации: 50 $

Количество часов обучения: 1

Срок, в течение которого результаты обучения остаются актуальными: 3 года

Срок расчета: 3 года

Количество сессий обучения: 2

На основе модели С.3 сделаны следующие расчеты и проведен анализ воздействия:

Мероприятие

Положительное значение

Отрицательное значение/затраты

Чистый результат

Проведение обучения интернет-пользователей

210 000 $

110 000 $

()

+ 100 000 $

Без проведения обучения интернет-пользователей:

100 000 $

()

300 000 $

()

- 250 000 $

Заключение. Выраженная в чистом виде выгода от проведения обучения составляет 100 000 $ за три года. Убыток/издержки вследствие отсутствия обучения составляют - 250 000 $.

Этот расчет может служить основой для принятия решения о реализации меры и последующего отслеживания его правильности. При наличии существенных расхождений необходимо определить дополнительные меры и произвести расчеты. (Пример может быть более сложным в связи с выявлением новых типов инцидентов. Считается, что все использованные в примере инциденты связаны с пользователями.)

В ходе анализа чувствительности расчета определяется, насколько необходимо уменьшить воздействие инцидента для достижения точки равновесия. Это делается с использованием таблицы в обратном порядке: положительное значение берется равным отрицательному (ценность/затраты), чтобы чистое значение было равно нулю. В следующей таблице показан повторный расчет положительного значения для получения порога безубыточности нейтрализации инцидента.