 |
Определение нормы дисконта
|
|
|
|
Оценка эффективности проекта, основанная на дисконтированных показателях, позволяет учесть неравноценность денежных потоков, возникающих в разные моменты времени. Для сопоставления потоки и платежей необходимо продисконтировать их на определенную дату. Поэтому наиболее важным экономическим нормативом, необходимым для оценки экономической эффективности проекта, является норма дисконта.
Норма дисконта, не включающая премии за риск (безрисковая норма дисконта), отражает доходность альтернативных безрисковых направлений инвестирования.
Вследствие того, что расчеты проводятся в постоянных ценах, то в основе нормы дисконта должна лежать реальная процентная ставка (не учитывающая темп инфляции). Постоянные цены - цены, сложившиеся в экономике на текущий момент времени. У метода расчета эффективности проекта в постоянных ценах есть ряд преимуществ. Во-первых, это простота подготовки исходной информации, а, во-вторых, сопоставимость разделенных во времени стоимостных показателей (например, прибыли, затрат) на протяжении установленного срока жизни инновационного проекта. Таким образом можно оценить планируемые результаты осуществления инновационного проекта, не выходя за рамки существующего на момент принятия решения масштаба цен. Расчет в постоянных ценах является основным при выполнении прединвестиционных решений в мировой практике. Допущение, принятое для данного метода, заключается в том, что не учитывается неоднородность структурной инфляции.
Корректировку нормы дисконта производят с использованием формулы Ирвинга-Фишера, связывающей номинальную и реальную ставки процента.
где 
- реальная процентная ставка,
|
|
|
- номинальная процентная ставка (равна ставке рефинансирования ЦБ - 10%),
I - прогнозируемый темп инфляции (7%).
Норма дисконта, включающая поправку на риск, отражает доходность альтернативных направлений инвестирования, характеризующихся тем же риском, что и инвестиции в оцениваемый проект.
Поправка на риск неполучения предусмотренных проектом доходов определяется с учетом технической реализуемости и обоснованности проекта, детальности проработки проектных решений, наличия необходимого научного и опытно-конструкторского задела и представительности маркетинговых исследований.
Поправка на риск определяется пофакторным расчетом. При этом в поправке на риск суммируется влияние учитываемых факторов. К числу этих факторов можно отнести:
- новизну применяемой технологии;
- степень неопределенности объемов спроса и уровня цен на производимую продукцию;
- наличие нестабильности (цикличности) спроса на продукцию;
- наличие неопределенности внешней среды при реализации проекта;
- наличие неопределенности процесса освоения применяемой техники или технологии.
Каждому фактору в зависимости от его оценки можно приписать величину поправки на риск по этому фактору, зависящую от отрасли, к которой относится проект, и региона, в котором он реализуется. В тех случаях, когда эти факторы являются независимыми и в смысле риска дополняют друг друга, поправки на риск по отдельным факторам следует сложить для получения общей поправки, учитывающей риск неполучения доходов, запланированных проектом.
При этом если отсутствуют специальные соображения относительно рисков инвестиционного проекта, размер этого вида поправки на риск помимо вышеизложенного метода может быть ориентировочно определена в соответствии с таблицей 1.
Увеличим норму дисконта на величину поправки на риск:
где 
- безрисковая безинфляционная процентная ставка,
|
|
|
RP - поправка на риск (см. таблицу 1)
Таблица 1. Ориентировочная величина поправок на риск неполучения предусмотренных проектом доходов
| Величина риска | Цели проекта | Величина поправки на риск, % |
| Низкий | Вложения в развитие производства на базе освоенной техники | 3-5 |
| Средний | Увеличение объема продаж существующей продукции | 8-10 |
| Высокий | Производство и продвижение на рынок нового продукта | 13-15 |
| Очень высокий | Вложения в исследования и инновации | 18-20 |
Исходные данные
Компании требуется оценить проект по защите одного из сегментов сети своей информационной системы при помощи системы анализа защищенности. Известна величина риска, исчисляемая в денежном выражении (205 000 р. за год), которая учитывает потери от реализации тех или иных атак и вероятности их осуществления. Также известно, что величина риска после внедрения разработанного программного комплекса сократится на 60%. Стоимость программного комплекса составляет 100 000,00 р. Подробнее потоки денежных средств по данному проекту представлены в таблице 2.
| Таблица 2. Потоки денежных средств | ||||
| Периоды | ||||
| Первоначальные инвестиции | - 100 000, 00 | |||
| Выгоды (размер риска) | 205 000, 00 | 205 000, 00 | 205 000, 00 | |
| Размер остаточного риска | -82 000, 00 | -82 000, 00 | -82 000, 00 | |
| Стоимость годовой поддержки | -50 000, 00 | -50 000, 00 | -50 000, 00 | |
| Затраты на администрирование | -7500, 00 | -7500, 00 | -7500, 00 | |
| Итого: | - 100 000, 00 | 60 500, 00 | 60 500, 00 | 60 00, 00 |
4 ЗАДАНИЕ НА ВЫПОЛНЕНИЕ
1. Определить чистую текущую стоимость NPV проекта (по годам и общую) и экономический результат
2. Определить индекс доходности
3. Определить срок окупаемости
Лабораторная работа 6
АНАЛИЗ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Цель работы: ознакомление с методикой оценки риска информационной безопасности
1 Теоретические сведения
Риск - это вероятность причинения ущерба и возможные последствия. Управление информационными рисками (IRM - Information Risk Management) представляет собой процесс выявления и оценки рисков, снижения их до приемлемого уровня, а также внедрения адекватных механизмов для поддержания этого уровня. Стопроцентной защиты не существует. Каждая система имеет уязвимости и подвержена угрозам. Необходимо выявлять эти угрозы, оценивать вероятность их реализации и ущерб, к которому это может привести. Затем нужно предпринимать правильные шаги для снижения общего уровня риска всего окружения до уровня, считающегося в компании приемлемым.
Риски могут иметь различные формы, не обязательно связанные с компьютерами. С точки зрения информационной безопасности, существует несколько видов рисков, которые компания должна понимать и учитывать. Ниже представлен список основных категорий:
|
|
|
· Физический ущерб. Пожар, затопление, вандализм, отсутствие электроэнергии, стихийные бедствия.
· Действия человека. Случайные или намеренные действия или бездействие, которые могут нарушить работу компании.
· Неисправность оборудования. Неработоспособность систем или периферийных устройств.
· Внутренние и внешние атаки. Хакинг, крекинг и проведение атак.
· Неправильное использование данных. Предоставление совместного доступа к конфиденциальной информации компании, мошенничество, шпионаж, кражи.
· Утрата данных. Преднамеренное или непреднамеренное уничтожение информации.
· Ошибки приложений. Ошибки в вычислениях, ошибки ввода информации, переполнения буфера.
Эти угрозы должны быть выявлены, категорированы, и оценены с точки зрения масштабов потенциальных потерь. Реальные риски очень трудно измерить, однако расставить приоритеты в списке потенциальных рисков и выбрать те, которыми следует заняться в первую очередь, вполне достижимо.
Анализ рисков является методом выявления уязвимостей и угроз, оценки возможного воздействия, что позволяет выбирать адекватные защитные меры именно для тех систем и процессов, в которых они необходимы. Анализ рисков позволяет сделать безопасность экономически эффективной, актуальной, своевременной и способной реагировать на угрозы. Он также помогает компании приоритезировать список рисков, определить и обосновать разумную стоимость защитных мер.
Анализ рисков имеет четыре основные цели:
|
|
|
· Идентификация активов и их ценности для компании
· Идентификация угроз и уязвимостей
· Количественная оценка вероятности и влияния на бизнес этих потенциальных угроз
· Обеспечение экономического баланса между ущербом от воздействия угроз и стоимостью контрмер
Анализ рисков позволяет сравнить годовую стоимость защитных мер с потенциальным ущербом. Годовая стоимость защитных мер не должна превышать потенциальный годовой ущерб.
Фактическая стоимость актива определяется на основании стоимости его приобретения, разработки и поддержки. Ценность актива определяется его значением, которое он имеет для владельцев, уполномоченных и неуполномоченных пользователей. Некоторая информация является важной для компании и ей присваивается гриф конфиденциальности.
Например, стоимость сервера составляет $4000, но это не является его ценностью, учитываемой при оценке рисков. Ценность определяется затратами на его замену или ремонт, потерями из-за снижения производительности, ущербом от повреждения или утраты хранящихся на нем данных. Именно это будет определять ущерб для компании в случае повреждения или утраты сервера по той или иной причине.
Уязвимость - это недостаток в программном обеспечении, оборудовании или процедуре, который может предоставить атакующему возможность доступа к компьютеру или сети и получения несанкционированного доступа к информационным ресурсам компании. Уязвимость - это отсутствие или слабость защитных мер. Уязвимостью может открытый порт на межсетевом экране, слабая физическая безопасность, позволяющая любому войти в серверную комнату, отсутствие управления паролями на серверах и рабочих станциях.
Угроза - это потенциальная опасность для информации или системы. Угрозой является, если кто-то или что-то выявит наличие определенной уязвимости и использует ее против компании или человека. Нечто, дающее возможность использования уязвимости, называется источником угрозы (threat agent). Источником угрозы может быть хакер, получивший доступ к сети через открытый на межсетевом экране порт; процесс, осуществляющий доступ к данным способом, нарушающим политику безопасности; торнадо, разрушившее здание; сотрудник, совершивший ошибку, которая может привести к утечке конфиденциальной информации или нарушению целостности файлов.
Риск - это вероятность того, что источник угрозы воспользуется уязвимостью, что приведет к негативному воздействию на бизнес.
Воздействие (exposure)- это нечто, приводящее к потерям в связи с действиями источника угрозы. Уязвимости воздействуют на компанию, приводя к возможности нанесения ей ущерба.
|
|
|
Контрмеры (или защитные меры) - это меры, внедрение которых позволяет снизить уровень потенциального риска. Контрмерами может быть настройка программного обеспечения, оборудования или процедур, устраняющая уязвимости или снижающая вероятность того, что источник угрозы сможет воспользоваться уязвимостью. Примером контрмер является строгое управление паролями.
Расчет рисков по угрозе информационной безопасности осуществляется на основании следующих исходных данных:
Критичность ресурса (D) – степень значимости ресурса. Отражает влияние реализации угрозы на работу информационной системы.
Критичность реализации угрозы (ER) – степень влияния реализации угрозы на ресурс. Задается в %.
Вероятность реализации угрозы через данную уязвимость в течении года (P(v)) – степень возможности реализации угрозы через данную уязвимость в тех или иных условиях, указывается в %.
На первом этапе рассчитывается уровень i-той угрозы по j-той уязвимости Th на основе критичности и вероятности реализации угрозы через данную уязвимость. Уровень угрозы показывает, насколько критичным является воздействие данной угрозы на ресурс с учетом вероятности ее реализации:
Значение уровня угрозы по уязвимости находится в интервале от 0 до 1.
Чтобы рассчитать уровень i-той угрозы по всем уязвимостям CTh, через которые возможна реализация данной угрозы на ресурсе, просуммируем полученные уровни угроз через конкретные уязвимости по следующей формуле:
n – количество уязвимостей. Значения уровня угрозы по всем уязвимостям
получается в интервале от 0 до 1.
Общий уровень угроз по ресурсу (в интервале от 0 до 1):
m – количество угроз.
Общий риск по ресурсу (руб):
Общий риск по всем ресурсам:
2. Задание на выполнение
Рассчитать общий риск для заданной модели угроз и уязвимостей:
| Ресурс | Угроза | Уязвимость | P(v) | ER |
| Сервер локальной сети Критичность ресурса 15000 руб | 1. Физический доступ нарушителя к серверу | 1.Неорганизованность контрольно-пропуск-ного режима на предприятии | ||
| 2.Отсутствие видеонаблюдения | ||||
| 2. Разглашение кон-фиденциальной информации, хра-нящейся на сервере | 1.Отсутствие соглаше-ния о нераспространении КИ | |||
| 2.Нечеткое распределение ответственности между сотрудниками предприятия | ||||
| Конфиденциальная документация Критерий критичности равен 3000 рублей. | 1.Физический доступ нарушителя к документам | 1.Неорганизованность контрольно-пропускного режима на предприятии | ||
| 2.Отсутствие видеонаблюдения | ||||
| 2.Разглашение КИ, используемой в документах, вынос документов | 1.Отсутствие соглашения о неразглашении КИ | |||
| 2. Нечеткое распре-деление ответствен-ности за документы между сотрудниками предприятия | ||||
| 3.Несанкционированное копирование, печать и размножение КД | 1.Нечеткая организация конфиденциального документооборота | |||
| 2. Неконтролируемый доступ сотрудников к копировальной и множительной технике |
Самостоятельно задать параметры: критичность реализации угрозы(ER) ивероятность реализации угрозы(P(v)) –в пределах 0-100%.
Рассчитать уровень угроз, риск по каждому ресурсу и общий риск.
|
|
|
