3. ТЕХНИКО-ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ.
Если проект выполняется на основе существующей материальной базы, то принимаем объем инвестиций равным нулю (К = 0).
Состав первоначальных инвестиций, необходимых для осуществления проекта может быть следующим:
- расходы на приобретение нового оборудования и его замену:
- средства, вырученные от продажи или передачи оборудования;
- затраты на сетевое оборудование и соединения (кабели, концентраторы, карты, которые как правило, не амортизируются);
- расходы на приобретение периферийных устройств;
- расходы на приобретение дополнительной оперативной памяти, расходы на дополнительные дисковые устройства (HDD);
- расходы на замену оборудования;
- прочие расходы по оборудованию.
В результате отработки проектного решения по защите информации от несанкционированного доступа в корпоративной сети ЗАО «Кукушкинд & Со» были установлены следующие средства комплексной защиты информации:
- криптографическое средство защиты от несанкционированного доступа - СКЗИ "ViPNet CSP" цена: 6 400,00 руб.;
- межсетевой экран UserGate Proxy & Firewall 5.2 F Стоимость продукта 6075 рублей;
- средство обнаружения вторжений и антивирус – SSEP, Цена: 2 700 руб.
В общем виде объем инвестиций (капитальных вложений на реализацию проекта) совокупность капитальных вложений в проект может быть представлена следующим выражением:
K = Коб + Кна – Кл + Кпр,
где Коб – стоимость устанавливаемого оборудования;
Кна – недоамортизированная часть стоимости демонтируемого оборудования;
Кл – ликвидационная стоимость (выручка от продажи) демонтируемого оборудования;
Кпр – стоимость приобретаемых программных продуктов.
K =6 400 + 6 075 + 2 700 = 15 175 руб.
Цена разработки рассчитывается по следующей формуле (себестоимость продукта):
ЦП = ЗПосн + ЗПвсп + М + Э + А + Нр + Пр,
где ЗПосн – заработная плата основного и вспомогательного персонала, занятого в процессах доработки, доведения программного средства до требуемого уровня качества.
М – материальные расходы;
Э – расходы на электроэнергию;
А – расходы на амортизацию;
Нр – накладные расходы;
Пр – прочие расходы, включающие расходы сторонних организаций, расходы на Интернет и пр.
ЦП = 30 000 руб.
Заработная плата рассчитывается исходя из трудоемкости выполнения работ по доведению программного продукта, расценок за час по видам работ и участвующему персоналу, надбавки, премии, а также отчисления на социальные нужды в размере 26,2% (от общей суммы начисляемой зарплаты).
РАСЧЕТ ЗАТРАТ НА ЭКСПЛУАТАЦИЮ И СОДЕРЖАНИЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
К отдельным видам эксплуатационных (текущих) затрат, имеющим место почти в любом проекте внедрения информационных технологий, относятся:
1) заработная плата обслуживающего персонала с отчислениями на социальные нужды;
2) стоимость потребляемых энергоресурсов;
3) расходы на амортизацию и текущий ремонт оборудования;
4) расходные материалы.
Формула совокупных эксплуатационных расходов:
Зэксп. = ЗП + Э + А + Рм + I + Н + Пр
(ниже приводятся формулы расчета всех этих показателей)
где ЗП – заработная плата персонала, занятого обслуживанием программного или технического средства, с отчислениями на социальные нужды;
Э – расходы на электроэнергию, необходимую для работы аппаратных средств, и обеспечение нормальных условий работы персонала;
Рм – материальные расходы, представляющие собой затраты на расходные материалы – бумагу, картриджи и пр.;
А – расходы на амортизацию оборудования (аппаратных средств), программного обеспечения;
I – налоги, включаемые в себестоимость (налог на имущество);
Н – накладные расходы, связанные с реализацией проекта;
Пр – прочие расходы, включающие расходы на оплату услуг сторонней организации (сопровождение ПО).
РАСЧЕТ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ЗАЩИТЫ ИНФОРМАЦИИ
Расчет упущенной выгоды от использования системы в результате хищения или несанкционированного использования:
Для оценки степени защищенности объекта и величину ущерба целесообразно использовать оценки рисков.
Анализ рисков целесообразно проводить на основе оценок, производимых экспертом и постепенно их уточнять. В процессе целесообразно сосредоточиться на наиболее важных участках, учитывая приближенность итоговой оценки. С этих же позиций следует оценивать возможные угрозы и их последствия.
Анализ рисков производится в несколько этапов:
Инвентаризация информационных ресурсов.
Проводится экспертная оценка инвентаризации информации, результатом которой является перечень ценной информации:
Информационные ресурсы
1. Архив (сведения о сотрудниках и др. общие сведения)
2. Годовой отчет
3. Годовой план работы
4. Данные о материально-техническом обеспечении
5. Договора со сторонними организациями
6. Документы с подписями
7. Другие документы (записки, напоминания)
8. Журналы о регистрации посещений (мониторинг)
9. Индивидуальные планы и ежемесячные отчеты сотрудников
10. Интернет-трафик
11. Лицензии (договора, протоколы)
12. Лицензии (ключи)
13. Личная конфиденциальная информация
14. Личные материалы сотрудников
15. Письма от сторонних организаций
16. Письма сторонним организациям
17. Технические паспорта устройств с секретным кодом
18. Отчет о внутриорганизационных совещаниях
19. Персональная информация о сотрудниках
20. Планы и отчеты
21. Приказы и распоряжения
22. Протокол заседания совета директоров
23. Протоколы
24. Система контроля исполнения документов
25. Финансовые документы
Оценка стоимости информации
Далее необходимо определить цену информации. Часто этот этап является самым сложным, так как цену информации не может оценить специалист по информационной безопасности, ее оценивает владелец информации. Экспертная комиссия определила следующие параметры, которые в дальнейшем используются для оценки информации:
• количество уровней критичности информации – 4:
1. Низкий – уровень критичности от 1 до 25,
2. Средний– уровень критичности от 26 до 50,
3. Высокий– уровень критичности от 51 до 75,
4. Максимальный– уровень критичности от 76 до 100;
• оценку уровней – исходя из приблизительной оценки затрат на восстановление, потерь при нарушении условий конфиденциальности, целостности и доступности.
Таким образом, учитывая, что фирма занимается производством бурового инструмента для нефтегазодобывающей промышленности и имеет собственные, закрытые, технологии производства, представляющие коммерческую ценность присвоим информации Максимальный уровень критичности.
Оценка информационных рисков
Определив критичность информации, угрозы и уязвимости информационной системы, в которой она обрабатывается, можно приступить к оценке рисков.
В широком смысле измерение риска может рассматриваться как описание видов неблагоприятных действий, влиянию которых может подвергнуться система и вероятностей того, что эти действия могут произойти. Результат этого процесса должен определить степень риска для определенных ценностей. Этот результат важен, поскольку является основой для выбора средств защиты и решений по минимизации риска.
Мера риска может быть представлена в качественных, количественных, одномерных или многомерных терминах.
Количественные подходы связаны с измерением риска в терминах денежных потерь.
Качественные – с измерением риска в качественных терминах, заданных с помощью шкалы или ранжирования.
Одномерные – рассматривают только ограниченные компоненты (риск = величина потери * частота потери).
Многомерные подходы рассматривают дополнительные компоненты в измерении риска, такие, как надежность, безопасность или производительность.
В простейшем случае используется оценка двух факторов: вероятность происшествия или частота реализации и возможные потери. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой:
РИСК = Pреализации * ЦЕНА ПОТЕРИ
Если переменные являются количественными величинами — риск это оценка математического ожидания потерь.
Расчет ущерба, понесенного владельцем информации из-за утраты возможности получения дохода на основе лицензионного соглашения
Прибыль, оставшуюся в распоряжении нарушителя прав в течении года рассчитать по формуле:
Пt = (Rt — Сt — Ht)at
Пt — прибыль, оставшаяся в распоряжении нарушителя прав в течении года t;
Rt – выручка от реализации продукции, созданной на базе противоправного использования информации в году t;
Ct – себестоимость продукции, выпущенной в году t;
Ht – общая сумма налогов и других выплат, которые были произведены в году t.
a = (1+Е)tp-t
a — коэффициент приведения разновременных результатов;
tp — год расчета;
Е — коэффициент доходности капитала (20%);
t — текущий год.
Фирма в среднем продает около 100 различных буровых установок в год., около 200 шт. инструмента.
Стоимость буровой установки от 200 тыс. руб. до 550 тыс. руб., бурового инструмента 100 – 200 тыс. руб.
Вычислим прибыль по средним показателям:
Пt =((375 000 * 100 +150 000 * 200)-7 500 000 -6 000 000-1 000 000)*20%=((37 500 000+30 000 000)-30 000 000-24 000 000 – 1 000 000)20%= 12 500 000*20%=2 500 000 руб.
Упр = Ср • Пt
Упр – ущерб, понесенный владельцем информации из-за утраты возможности получения дохода на основе лицензионного соглашения;
Ср – среднестатистическая ставка роялти (периодический платеж за право пользоваться лицензией на товары, изобретения, патенты, нововведения, выпуск книг, прокат фильмов; обычно исчисляется в процентах от стоимости продаж), дается в процентах от годовой прибыли;
Пt – общий ущерб владельца информации.
«Стандартной» ставкой роялти при использовании прибыли (дохода) как базы считают 25–30%.
Таким образом, получим
Упр =2 500 000*30%=750 000 рублей.
Стоимостная оценка предотвращенного ущерба
Рсум = Упр + Робщ
Рсум – стоимостная оценка предотвращенного ущерба;
Упр – ущерб, понесенный владельцем информации из-за утраты возможности получения дохода на основе лицензионного соглашения;
Робщ – общий ущерб владельца информации (Пt).
Рсум = 2 500 000 + 750 000 = 3 250 000 руб.
Расчет экономической эффективности системы защиты информации
ЭЗИ – эффективность ЗИ;
Рсум – стоимостная оценка предотвращенного ущерба;
ЗЗИ – суммарные затраты на ЗИ (величина расходов на создание и эксплуатацию системы в год).
Рсум = 3 250 000 рублей
ЗЗИ= 45 175 рублей.
Таким образом, экономическая эффективность защиты информации очевидна, величина предотвращенного ущерба в 71 раз превышает величину расходов на создание и эксплуатацию системы в год.
|
