Зміст
Вступ 2
1. Оцінка ефективності інвестиційних проектів 3
1.1 Показники фінансової ефективності інвестицій 3
1.2 Порівняльний аналіз використання моделей ЧТВ, ІД та ВСД 5
1.2 Модифіковані показники ефективності інвестицій 6
2. Міри ризику Value at Risk та CVaR 8
2.1 Економічний ризик та його оцінка 8
2.2 Вартість ризику Value at Risk 9
2.3 Методи розрахунку VaR 14
2.4 Міра ризику CVaR 17
3. Економічна ефективність систем захисту інформації 22
3.1 Вартість ризику втрати інформації для систем захисту інформації 22
3.2 Економічна ефективність системи захисту інформації 25
4.Моделювання та оцінка ризику для систем захисту інформації корпоративної мережі. 27
4.1Захист корпоративної інформаційної мережі 27
4.2Практичний аналіз. 29
Висновок 34
Список літератури 35

Вступ
В дипломній роботі розглядається проблема оцінки економічної ефективності системи захисту інформації з врахуванням ризику втрат інформації.
Робота складається з чотирьох розділів.
В першому розділі розглянемо проблему оцінки інвестиційних проектів. Описані такі основні показники ефективності інвестицій як чиста теперішня вартість (Net Present Value), індекс дохідності та ін.
У другому розділі описані вартісні міри ризику VAR (Value at Risk) та СVAR(Conditional Value At Risk). Викладено методи визначення VAR і СVAR для випадку коли задано емпіричну функцію розподілу витрат.
У третьому розділі розглянуто оцінку можливих витрат та вартості ризику для систем захисту інформації на основі бінарно-ймовірнісної моделі.
У четвертому розділі досліджується ефективність інвестицій в СЗІ на боці показника чистої теперішньої вартості. Цей показник враховує капітальні та поточні витрати на СЗІ а також можливі витрати зумовлені загрозами. Розрахунок проведено для випадку 15 загроз на основі бінарної моделі. Знайдено міри ризику VAR та СVAR.
1. Оцінка ефективності інвестиційних проектів
1.1 Показники фінансової ефективності інвестицій
В основі оцінки інвестиційних проектів лежить оцінка грошових потоків, які передбачаються за цими проектами . Дисконтування та нарощення грошових сум при цьому, як правило, здійснюють методом складних відсотків .
Позначимо:
– тривалість проекту в часових періодах;
– об’єм інвестицій в момент часу , – вектор інвестицій;
– доходи від проекту в момент часу ; – вектор доходів;
– необхідна ставка доходу за проектом.
Для оцінки проектів застосовуються один або декілька з наступних показників[3,13].
Чиста теперішня вартість (чиста приведена вартість, англ. Net present value, скорочено – NPV) – це різниця між теперішньою вартістю доходів і теперішньою вартістю інвестованих коштів, тобто[3]
, (1.1)
де
, . (1.2)
Індекс доходності (Profitability index – PI) – це відношення теперішньої вартості доходів до теперішньої вартості інвестицій[3]:
. (1.3)
Внутрішня ставка доходності (Internal rate of return – IRR) – це процентна ставка , за якої чиста теперішня вартість за проектом дорівнює нулю, тобто
. (1.4)
За визначенням внутрішня ставка доходності — це ставка, що досягається в разі, коли теперішня вартість майбутніх грошових потоків від інвестицій після оподаткування дорівнює теперішній вартості власне інвестицій. Це можна передати таким рівнянням :
,

Дисконтний термін окупності (n0) – це найменший час, за який чиста теперішня вартість за проектом стане додатною:
. (1.5)

1.2 Порівняльний аналіз використання моделей ЧТВ, ІД та ВСД
При оцінці єдиного незалежного проекту всі три методи дисконтованих грошових потоків — ЧТВ, ІП і ВСП — узгодяться між собою при визначенні його привабливості. Але при цьому мають дотримуватися дві умови[18]:
повинен оцінюватися тільки один проект, чиї грошові потоки не пов’язані з іншими проектами;
проект повинен мати потоки інвестицій у перші роки його існування, а потім — безперервний потік грошових надходжень до кінця терміну існування проекту.
Якщо проект має позитивне значення ЧТВ, то він може бути схвалений за необхідною ставкою прибутковості k. ВСД цього проекту повинна бути більшою або дорівнювати k для того, щоб вибрати проект за цим критерієм.
Позитивне значення ЧТВ вказує на перевищення грошових надходжень від інвестицій над величиною первинних інвестицій. При цьому ІП буде завжди більшим за одиницю.
Тож якщо один з методів визначає кандидатом для відбору інвестиційний проект, що відповідає названим характеристикам, то всі інші методи підтвердять цей висновок. Коли ж будь-який з методів визначить, що проект неприйнятний, то всі три методи дадуть аналогічну оцінку.
Однак при ранжируванні альтернативних проектів можуть виникати конфлікти в залежності від того, який метод оцінки — ЧТВ, ІП або ВСП використовувався.
Між трьома методами розрахунку дисконтованих грошових потоків існує дві основні відмінності:
1) абсолютне і відносне вимірювання привабливості проектів;
2) припущення про реінвестування грошових потоків від інвестицій. Модель ЧТВ дає абсолютний результат цінності проекту, тобто показує суму, на яку дисконтовані грошові надходження проекту перевищують дисконтовані інвестиції. Метод ІП обчислює співвідношення названих величин, а метод ВСП визначає процентну ставку.
Всі моделі дисконтованих грошових потоків (ДГП) спочатку передбачають, що грошові надходження проектів реінвестуватимуть для отримання норми прибутковості інвестицій, рівної ставці дисконту. Припущення про реінвестування діє для кожного грошового надходження проекту з моменту його виникнення і до кінця терміну існування.
У моделях ЧТВ і ІП передбачається, що грошові надходження проекту реінвестуюються за необхідною ставкою прибутковості фірми, а в моделі ВСП – за внутрішньою ставкою прибутковості.
1.2 Модифіковані показники ефективності інвестицій
Модифікована чиста теперішня вартість (NPV*) передбачає реінвестування отриманих прибутків за деякою ставкою до кінця дії проекту[3]:
, (1.6)
де
– кінцева вартість проекту (terminal value) – вартість прибутків реінвестованих за ставкою на кінець дії проекту.
Модифікована внутрішня ставка дохідності ( Modified internal rate of return – MIRR) передбачає реінвестування прибутків за ставкою і визначається з умови
, (1.7)
тобто
. (1.8)
Для розрахунку цієї величини в EXCEL передбачена функція МВСД (MIRR). Величини та часто покладають рівними вартості капіталу фірми.

2. Міри ризику Value at Risk та CVaR
2.1 Економічний ризик та його оцінка
Економічний ризик пов’язаний з невизначеністю в економічній діяльності підприємств та спричиненими нею збитками (втратами). Ситуацію економічної невизначеності найпростіше моделювати за допомогою випадкової величини можливих втрат за деякий період (день, місяць, рік) – .
Тоді оцінками ризику є середні очікувані втрати, які дорівнюють математичному сподіванню втрат, а також середньоквадратичне відхилення, яке характеризує можливі відхилення від очікуваних втрат (див. нерівність Чебишова ). Величини та є класичними оцінками (мірами) ризику .
Однак більш повною та зручною оцінкою ризику є вартість ризику (капітал під ризиком) – Value at Risk . Цю оцінку (міру) ризику широко застосовують в сучасному ризик-менеджменті.
Value-at-Risk був розроблений у 80х-90х роках. Особливістю міри ризику VaR є те, що він включає в себе не єдиний показник, а цілий методологічний комплекс, що дає широкий спектр можливостей, в тому числі і по оцінці ризиків в умовах перехідної економіки[18].
VaR дозволяє оцінити величину максимально можливих втрат при нормальних ринкових умовах.
VAR – це виражена в грошових одиницях (базовій валюті) оцінка величини максимального від'ємного результату транзакції, який може мати місце протягом певного періоду часу t із заданою ймовірністю (рівнем довіри)
На сучасному етапі основними класичними підходами розрахунку VAR вважаються:
- метод історичного моделювання;
- метод параметричної (аналітичної) оцінки, найпоширеніший у формі варіаційно-коваріаціоної моделі;
- метод імітаційного моделювання (Монте-Карло)
2.2 Вартість ризику Value at Risk
В сучасному ризик-менеджменті широко використовують міру ризику Value at Risk (VaR)[18], з англійської – вартість (капітал) під ризиком .
Нехай – випадкова величина втрат в абсолютному або відносному вимірі за деякий період, наприклад, за рік. Вартістю (ціною) ризику за рівня значущості (довіри) називають максимальні можливі з ймовірністю втрати за цей період:
. (2.1)
Іншими словами " з ймовірністю втрати за період не перевищать величини " або "лише з ймовірністю втрати будуть більшими за ".
Рівень довіри виражає відношення до ризику. Для банківського сектору Базельський комітет з банківського нагляду рекомендує рівень довіри 0,99 (99%)[18], на практиці застосовують і нижчий рівень – до 95 % .
Означимо функцію розподілу випадкової величини втрат[9] :

. (2.2)
відомим параметричним розподілом.
Часто припускають, що втрати є нормально розподіленою випадковою величиною з середнім та дисперсією :
.
Тоді, означення вартості ризику (2.1) можна переписати так
. (2.3)
Дослідимо детальніше означену величину для випадку, коли функція розподілу втрат є кусково-неперервною і може бути сталою на окремих ділянках ( рис. 1).
Насамперед, розглянемо проміжок на якому функція – неперервна і строго зростаюча. Множину її значень на цьому проміжку позначимо . Наприклад, для функції розподілу, показаної на рис.1 , означені проміжки будуть такими: та . За теоремою про обернену функцію [12] , на множині однозначно визначена обернена функція .
Виберемо параметр таким, що належить проміжку , тоді . Легко показати, що в цьому випадку вартість ризику дорівнює квантилю порядку для функції :
. (2.4)
Так, за означенням верхньої грані [12] необхідно і достатньо виконуються умови:
1) ;
2) .
За допомогою умови 2) легко означити числову послідовність таку, що і . Здійснюючи граничний перехід при в останній нерівності, з врахуванням неперервності функції на проміжку , отримаємо нерівність.
Рівність доводимо методом від супротивного. Припустимо, що . Тоді, оскільки – неперервна і строго зростаюча функція, існує точка така, що . Це суперечить умові 1).

Рис. 2.1 Функція розподілу втрат в загальному випадку.
Для розривних, строго зростаючих в околі розриву функцій , коли параметр належить проміжку розриву, величина рівна абсцисі розриву. Наприклад, для функції розподілу на рис.1, якщо , то .
Розглянемо випадок, коли на відрізку функція – стала[4]. Тоді для вартість ризику дорівнює кінцевій абсцисі відрізку . Наприклад, якщо , то .
Замінюючи в означенні вартості ризику (2.3) строгу нерівність на нестрогу означимо величину :
. (2.5) Легко встановити, що означена величина відрізняється від лише для ділянок, де функція розподілу втрат – стала, і дорівнює абсцисі початку цих ділянок. Наприклад, якщо , то . Тому, можна сказати, що величина оцінює ризик "з недостачею".
На кінець, зазначимо, що заміна в означенні функції розподілу випадкової величини втрат строгої нерівності на нестрогу не змінює зроблених висновків щодо величин та .
Найпростіше знайти вартість ризику наближаючи функцію розподілу втрат
де (5) – функція стандартного нормального розподілу.
Тоді, для вартості ризику отримаємо:
. (2.6)
Приведена формула лежить в основі "дельта-нормального" методу оцінки вартості ризику .
Розглянемо випадок, коли втрати є дискретно розподіленою випадковою величиною, яка може приймати значення з ймовірностями . Тоді її функція розподілу, запишеться так
. (2.7)
Значення функції розподілу в точках дорівнюють
, , . (2.8)
Додатково означимо: .
Графік означеної функції розподілу[5] втрат показано на рис.2.2

Рис.2.2 Знаходження вартості ризику для випадку, коли втрати є дискретно розподіленою випадковою величиною.
За означенням ціни ризику (2.3) отримаємо
, , (2.9)
зокрема[5]
, . (2.10)
Дослідимо вартість ризику при лінійному перетворенні випадкової величини втрат .
Означимо випадкову величину
, (2.11)
де та – сталі, .
Тоді, як легко бачити, її функція розподілу буде рівна:
. (2.12)
Далі, за означенням (2.1) послідовно отримуємо:

Отож, вартість ризику лінійна відносно сталих та , якщо :
. (2.13)
2.3 Методи розрахунку VaR
Дельта – нормальний метод розрахунку VaR. Дельта – нормальний метод оцінки вартості ризику VaR ґрунтується на гіпотезах стаціонарності та ергодичності: випадкові величини є незалежними однаково нормально розподіленими величинами, їх статистичні оцінки можна отримати на основі реалізацій випадкових величин [18].
Розглянемо вказану міру ризику VaR для випадку, коли відома функція ?(x) випадкової величини прибутку (повернень) – ? . Тоді величина втрат дорівнює :
(2.14)
За означенням
, (2.15)
або
. (2.16)
Отож
. (2.17)
Якщо зробити заміну y=E-x, то (2.17) перепишеться так:
, (2.18)
або
, (2.19)
, (2.20)
. (2.21)
Розглянемо випадок нормального розподілу прибутку
, (2.22)
? – математичне сподівання,
? – середньоквадратичне відхилення для функції розподілу прибутків
– функція стандартного нормального розподілу .
Тоді розв’язком рівняння є
, (2.23)
отже
. (2.24)
Підставивши його в (2.21), отримаємо:
. (2.25)
Розрахуємо одноперіодний VaR.
Будемо використовувати логарифмічні прирости ціни активу.
Тоді відносний приріст ціни активу за період
, . (2.26)
Припустимо, що r – випадкова величина з функцією розподілу .
Використаємо, що коли випадкова величина Y є функцією випадкової величини X, тобто , ? – монотонно зростає, то функція розподілу Y – G(y) буде дорівнювати [9]:
, (2.27)
де ?(x) – функція розподілу випадкової величини Х.
Для квантилів матимемо:
. (2.28)
Підставляючи це в загальну формулу (2.21) для VaR знайдемо:
(2.16) Розглянемо випадок, коли – нормально розподілена. Тоді
, , (2.29)
і далі
. (2.30)
Логічно взяти E=1, ?=0, тоді
.
Отож, для одноперіодного VaR отримана наближена формула
. (2.31)
Історичний метод визначення VaR
Історичний метод ґрунтується на тих самих гіпотезах що й дельта – нормальний метод, але за відсутності припущення про нормальний розподіл. Його ще називають емпіричним методом[13].
Він полягає у побудові емпіричної функції розподілу втрат (прибутків).
Використовують такий алгоритм .
1) Знаходимо логарифмічні прирости , для кожного періоду i=1..T;
2) Отримавши всі значення будуємо варіаційний ряд – впорядковуємо по зростанню: отримуємо , i=1..T;
Функція розподілу має такий вигляд[18]:

Звідси отримаємо:
.
2.4 Міра ризику CVaR
СVaR є кращою мірою ризику, оскільки вона є субадитивною.
Формули Баєса для неперервно розподілених випадкових величин
- формула повної ймовірносі. (2.32)
Зауважимо що
Тоді ймовірність того, що подія А відбулася за події Hi, буде така:
– формула Баєса (2.33)
Перейдемо до неперервного випадку.
Нехай випадкова величина ?, має щільність розподілу f(x) (рис.2.3).

Рис. 2.3
Розглянемо подію Hx+dx, яка полягає в тому, що випадкова величина ? є (x,x+dx]. Тоді, за за фіксованого dx множина подій {Hkdx+kdx+dx |k=0,±1,±2,...} утворює повну групу незалежних подій, оскільки P(Hkdx+kdx+dx) = f(kdx)dx і при dx > 0.
Запишемо формулу повної ймовірності: при dx -> 0.
Далі за формулами Баєса(2.33) отримаємо ,
розділимо на dx
. (2.34)
Позначимо ?А – випадкову величину, яка дорівнює випадковій величині ? за умови настання події А. Її щільність (щільність випадкової величини за умови А (умовна щільність випадкової величини ?) означується так
.
Далі, користуючись формулою (2.34) отримуємо
. (2.35)
Ми отримали континуальний аналог формули Баєса.
Одновимірний випадок
Нехай ? випадкова величина втрат з щільністю f?(x), а функція розподілу F?(x). Подія А полягає у перевищенні втратами деякого порогового значення a, тобто ? ? а.
Очевидно що Р(А)=1-F?(а).
Розглянемо умовну випадкову величину ?А = (? |А) = (? | ? ? а)
Її щільність розподілу за формулою (3.4) буде дорівнювати
,
але

Математичне сподівання випадкової величини ? А:
. (2.36)
За допомогою (2.36) вводять статистику СVaR? (умовний VaR, або середні неочікувані втрати – mean expected loss), як математичне сподівання втрат, що перевищують величину VaR?.
.
Далі за формулою (3.5) отримуємо
. (2.37)
Врахуємо що за означенням VaR (для неперервно розподіленої випадкової величини) F?(VaR?) = ? і зробимо заміну змінних в інтегралі (2.10)
, , .
Тоді
. (2.38)
Дискретно розподілена випадкова величина

Нехай, втрати є дискретно розподіленою випадковою величиною, яка може приймати значення з ймовірностями . Її функція розподілу записується так:
. (2.39)
Позначимо:
, , . (2.40)
Для заданого існує єдиний індекс , для якого виконується нерівність:
. (2.41)
Як показано у роботі [6]
. (2.42)
Події , утворюють повну групу подій. Розглянемо подію , , яка може відбуватися з однією з подій . За формулою повної ймовірності [5] отримаємо:
.
Далі, за формулою Байєса знайдемо
, .
Тому, для математичного сподівання умовної випадкової величини отримаємо:
.
Отож, для матимемо
. (2.43)
Отримані формули для розрахунку величин та зручні, коли випадкова величина втрат задана деякою емпіричною вибіркою.
3. Економічна ефективність систем захисту інформації
Для оцінки економічної ефективності систем захисту інформації пропонується використовувати теперішню вартість затрат на їх впровадження та експлуатацію у сумі з вартістю ризику VaR втрати інформації. Для опису можливих втрат використана дискретна ймовірнісна модель. На цій основі запропоновано формулювання задачі оптимізації систем захисту інформації.
Обґрунтування інвестицій в інформаційну безпеку потребує оцінки ефективності систем захисту інформації (СЗІ), яка є критерієм для оптимального синтезу цих систем. Короткий огляд відомих характеристик ефективності СЗІ, а також формулювань на їх основі задач оптимізації подано у працях [1,15,17]. У праці [1] побудована модель сподіваних втрат для системи захисту інформації на основі якої дано формулювання задачі вибору оптимального функціонального профілю захисту (ОФПЗ).
Однак, математичне сподівання економічних втрат, зумовлених можливими втратами інформації, оцінює ризик лише в середньому. У сучасному фінансовому ризик-менеджменті ефективно використовують міру ризику Value at Risk (VaR) – вартість (капітал) під ризиком. Ця міра визначається максимально можливими, з деякою ймовірністю, втратами і зручна для оцінки сумарних ризиків, зумовлених чинниками різної природи. Вона природно узагальнює середню величину можливих втрат.
3.1 Вартість ризику втрати інформації для систем захисту інформації
Розглянемо систему захисту інформації (СЗІ), наприклад, для деякої інформаційної системи (ІС). Для опису можливих економічних втрат, аналогічно праці [1], побудуємо дискретну ймовірнісну модель.
Припустимо, що на протязі розглядуваного періоду(року) для цієї ІС можливе виникнення загроз . Для кожної загрози СЗІ передбачає захист з ймовірністю спрацювання , , .
Розглянемо наступну бінарну модель.
Припустимо, що відома кількість атак , за період часу. Тоді для і-тої загрози можливі такі ситуації:
Якщо захист спрацює, то з ймовірністю маємо втрати , i = 1…N;
При провалі загрози з ймовірністю 1- отримаємо втрати ,
i = 1…N.
Отже випадкова величина втрат від і-тої загрози дорівнює:


Загальну величину витрат означемо так

Останню величину легко інтерпретувати за допомогою бінарного дерева сценаріїв. Початок цього дерева можна показати на рис.3.1

Рис. 3.1
Величина буде дискретно розподіленою випадковою величиною з станами. Деякий стан
= +++…++…++
Матиме ймовірність
(1-)***…*(1-)*…(1-), k=0…-1.
Для перебору всіх ситуацій можна використати такий алгоритм.
Генеруємо числа k=0…-1. Число k подаєм в двійковій формі, довжиною N бітів. Позначимо це число, як бінарний вектор. Припустимо, що “нулем” у двійковому записі чисел відповідає ситуація коли захист не спрацьовує (ймовірність ситуації 1-,втрати будуть дорівнювати ) , а “одиниця”
Ситуація спрацювання захисту з ймовірністю і втратами
Тоді відповідні витрати можна записати так:
=
+ V , де вектор двійкових чисел, =(,, …,) ,
V =(,,…,)
3.2 Економічна ефективність системи захисту інформації
Впровадження чи модернізацію СЗІ будемо розглядати як інвестиційний проект на років.
Впровадження захисту проти загрози , , вимагає капітальних вкладень у сумі та річних витрат на обслуговування – , а випадкова величина річних збитків дорівнює . Зауважимо, що величини повинні включати втрати, викликані можливим зменшенням продуктивності ІС при впровадженні захисту .
Нехай вектор загроз – фіксований[2]. Профіль захисту для нього визначається набором . Множину можливих стандартних функціональних профілів захисту(СФПЗ) для заданого вектора загроз позначимо .
Сумарні капітальні затрати та річні витрати на обслуговування для деякого профілю захисту позначимо так:
, . (3.1)
Для оцінки ефективності СЗІ використаємо чисту теперішню вартість затрат та випадкових втрат, яка буде випадковою величиною[1]:
, (3.2)
де – необхідна процентна ставка.
Тоді, за формулою вартість ризику для цієї величини буде дорівнювати
, (3.3)
де
– процентний фактор теперішньої вартості ануїтету (ренти),
. (3.4)
Легко бачити, що для випадку, коли початкові інвестиції здійснювати за рахунок кредиту на років з процентною ставкою вираз для записується аналогічно, але величина в цьому випадку буде рівна річній платі по погашенню кредиту:
. (3.5)
Величина є абсолютною оцінкою ефективності СЗІ.
4.Моделювання та оцінка ризику для систем захисту інформації корпоративної мережі.
Системи захисту, як всякі технічні чи програмні системи, не є абсолютно надійними. Провал захисту є випадковою подією, яка може спричинити значні економічні збитки. Вартість засобів захисту та їхня надійність, зазвичай, є корельованими величинами. Використання дорожчих засобів захисту зменшує випадкові втрати від можливих атак. Отож, для правильної оцінки економічної ефективності інвестицій у системи захисту потрібно враховувати вартість ризику провалу захисту. При цьому виникає проблема вибору адекватної вартісної міри ризику.
Такі класичні міри ризику, як математичне сподівання та середньоквадратичне відхилення втрат, для оцінки ефективності систем захисту інформації використано у роботах [1,2]. У роботах [6,18], на основі дискретної ймовірнісної моделі можливих втрат, запропонована методика оцінки ризику для систем захисту інформації з використанням мір ризику VaR(Value at Risk). та CVAR (Conditional Value at Risk).
4.1Захист корпоративної інформаційної мережі
Досліджували корпоративну мережу деякої фірми, наприклад, банківської установи. Передбачили засоби захисту відпроникнення, пасивні засоби обмеження доступу до інформації, активні технічні засоби захисту а також програмні засоби захисту. Параметри технічних та програмних засобів приведені в таблиці 1.

Таблиця 1









N
Вид захисту
Ціна,тис. грн.
Вартість річного обслуг.,тис. грн.
Необхіднакількістьпристроївзахисту
Ймовір-ність відмовиокремогопристрою
Можливі втратипри спрацюванні, тис. грн.
Можливі втратипри відмові,тис. грн.
Можлива кількість атак на систему за рік

1
Охорона
10
30
12
0,02
10
100
0,1

 
 
 
 
 
 
 
 
 

 
 
 
 
 
 
 
 
 

2
Відеонагляд
3
0,3
8
0,01
10
100
0,1

 
 
 
 
 
 
 
 
 

 
 
 
 
 
 
 
 
 

3
Сигналізація
3
0,3
8
0,01
10
100
0,1

 
 
 
 
 
 
 
 
 

 
 
 
 
 
 
 
 
 

4
Фільтр на ЛЖ
1
0,1
6
0,003
0
10
1

 
 
 
 
 
 
 
 
 

 
 
 
 
 
 
 
 
 

5
Фільтр на ТЛ
1,8
0,1
6
0,003
0
10
2

 
 
 
 
 
 
 
 
 

 
 
 
 
 
 
 
 
 

6
Захист мережі
1,8
0,1
6
0,003
0
10
2

 
 
 
 
 
 
 
 
 

 
 
 
 
 
 
 
 
 

7
Електромагнітнийекран
10
0,5
1
0,001
0
10
2

 
 
 
 
 
 
 
 
 

 
 
 
 
 
 
 
 
 

8
Звукоізоляція
10
0,5
1
0,001
0
10
5

 
 
 
 
 
 
 
 
 

 
 
 
 
 
 
 
 
 

9
Генератор елктро-магнітного шуму
3
0,3
1
0,01
0
10
2

 
 
 
 
 
 
 
 
 

 
 
 
 
 
 
 
 
 

10
Генератор акустич-ного шуму
1,5
0,5
1
0,01
0
10
5

 
 
 
 
 
 
 
 
 

 
 
 
 
 
 
 
 
 

11
Firewall
3
0,3
8
0,01
0
12
10

 
 
 
 
 
 
 
 
 

 
 
 
 
 
 
 
 
 

12
Anti-Spyware
0,5
0,3
8
0,01
0
12
20

 
 
 
 
 
 
 
 
 

 
 
 
 
 
 
 
 
 

13
Anti-Virus
0,5
0,3
8
0,01
0
12
20

 
 
 
 
 
 
 
 
 

 
 
 
 
 
 
 
 
 

14
Polycy Management
2
0,3
1
0,01
0
10
5

 
 
 
 
 
\
 
 
 

 
 
 
 
 
 
 
 
 

15
Криптозахист
5
0,3
4
0,01
0
30
2

 
 
 
 
 
 
 
 
 

 
 
 
 
 
 
 
 
 



4.2Практичний аналіз.
Практичні розрахунки проводили для системи захисту деякої корпоративної інформаційної системи, яка використовує 10 технічних та 5 програмних засобів захисту для протидії деяким загрозам. Параметри загроз показано у наступній таблиці.
Параметри загроз
Таблиця 2
Ймовірністьреалізації загрози,
Можливівтрати , тис. г.о.

1
0,001
93

2
0,001
90

3
0,001
77

4
0,004
12

5
0,006
10

6
0,009
15

7
0,004
10

8
0,005
11

9
0,020
14

10
0,025
10

11
0,054
12

12
0,013
13

13
0,050
12

14
0,020
10

15
0,021
31


Програма реалізована на мові Object Pascal в середовищі Delphi. Вікно програми складається з чотирьох закладок
В першій закладці вводяться вхідні дані і перетворюються з текстового формату в числовий.



В другій закладці, за допомогою перебору всіх можливих
величин втрат і впорядкуванням їх за зростанням, формується варіаційний ряд за допомогою якого розраховується VaR та CVaR.

На третій закладці будуєм функцію розподілу випадкової величини втрат. Також показані точки , які відповідають показникам ризику для =0,95 та
=0,99.
Позначино також лінії, які відповідають матем. сподів. втрат та показникам та .


На останній закладці розташовані поля виводу для математичного сподівання , VaR і CVaR з рівнем 0,95 і 0,99 .

Фрагмент графіка функції розподілу втрат показано на Рис. 3. Оскільки, ймовірності реалізації загроз є малими, функція розподілу втрат носить різко виражений несиметричний характер. З ймовірністю 0,788 втрати за рік будуть нульовими, і лише з ймовірністю 0,212 – більшими нуля. Максимально можливі втрати дорівнюють 420 з ймовірністю .
Загальне математичне сподівання втрат дорівнює 3,43 , а математичне сподівання втрат більших нуля – 16,19. Вартості ризику відповідно дорівнюють:
, ,
, .
Використовуючи одну з наведених мір ризику, можна оцінити вартість ризику для деякого показника ефективності інвестицій [6,8] і на його основі вибрати прийнятний профіль захисту.

Рис. 3. Функція розподілу випадкової величини втрат.
Висновок
В роботі описано основні показники ефективності інвестицій.
Розглянуто показники ризику та . Отримано формули розрахунку цих показників на основі емпіричної функції розподілу випадкової величини втрат.
Для систем захисту інформації запропоновано бінарну модель випадкових втрат, зумовлених загрозами.
Розроблено алгоритм розрахунку емпіричної функції розподілу втрат та обчислення показників ризику та .
Розрахунки проведено в середовищі Delphi для корпоративної інформаційної системи, в якій можуть виникнути 15 загроз. Побудовано функцію розподілу випадкової величини втрат, зумовленої загрозами. На цій основі розраховано показники ризику. Встановлено, що функція розподілу є суттєво несиметричною, це підтверджує необхідність застосування показників ризику та .
Отриманий результат є основною для оцінки економічної ефективності систем захисту інформації.

Список літератури
Антонюк А.А., Берестов Д.С., Пустовит С.Н., Шилин В.П. Задача оптимального выбора функционального профиля защищенности// Захист інформації. – 2005. – Спец. вип. – С. 11-14.
Арзуманов С.В. Оценка эффективности инвестиций в информационную безопасность// Научно-технический журнал "Защита информации. INSIDE". – 2005. – № 1. – С.23-25.
Бакаев_Количественные методы в управлении инвестициями КНЭУ – 2000. – 150с.
Вентцель Е.С., Овчаров Л.А. Теория вероятности и ее инженерные приложения. – Л.: Наука, 1988. – 480с.
Гихман И.И., Скороход А. В., Ядренко М.И. Теория вероятности и математическая статистика. – К.: Вища школа, 1988. – 439 с.
Дудикевич Я. В., Прокопишин І. А. Вартість ризику для систем захисту інформації // Захист інформації. – 2009. – №2. – С.81-85.
Дудикевич Я.В., Прокопишин І.А. Економічна ефективність та оптимізація систем захисту інформації з урахуванням вартості ризику втрати інформації// Інформаційна безпека/ Матеріали науково-практичної конференції, Київ, 26-27 березня 2009 р. – Київ, ДУІКТ, 2009. – С.80-84.
Дудикевич Я. В. , Прокопишин І. А. Вартісні міри ризику та їх застосування до оптимізації інвестицій у системи захисту // Системи обробки інформації. – 2010. – Вип. 3(84). – С.24-27.
Єлейко Я.І., Тріщ Б.М., Теорія ймовірностей: Навчально-методичний посібник. – Львів: Видавничий центр ЛНУ імені Івана Франка, 2001. – 160 с.
Ленков С.В., Перегудов Д.А., Хорошко В.А. Методы и средства защиты информации: В 2-х т./Под ред. В.А. Хорошко. – Т.2. Информационная безопасность. – К.: Арий, 2008. – 344 с.
Кочевская И.А. Общие методы количественной оценки информационных рисков в относительном выражении// Захист інформації. – 2006. – № 2 (29). – С. 57-60.
Кудрявцев Л.Д. Курс математического анализа. – Т.1. – М.: Высш. шк., 1988. – 712 с.
Мельников А.В., Попова Н.В., Скорнякова В.С. Математические модели финансового анализа. – М.: Анкил, 2006. – 439 с.
Меньшиков И.С., Шелагин Д.А. Рыночные риски: модели и методы. – М.: ВЦ РАН, 2000. – 55 с.
Петренко С.А., Терехова Е.М. Обоснование инвестиций в безопасность// Научно-технический журнал "Защита информации. INSIDE". – 2005. – № 1. – С.49-53.
Сорокопуд С.А., Мудрова Л.В., Ширяев С.В. Обеспечение информационной безопасности корпоративной сети предприятия// Захист інформації. – 2005. – № 1. – С. 21-30.
Степанов А.В. Характерные особенности задачи построения комплексной системы защиты информации распределенных корпоративных ресурсов// Захист інформації. – 2007. – Спец. вип. – С. 131-134.
Энциклопедия финансового риск-менеджмента / Под ред. А.А.Лобанова и А.В.Чугунова. – 3-е изд. – М.: Альпина Бизнес Букс, 2007. – 878 с.