- •Тема 1. Оценка ценности (полезности) информации на основе набора критериев.
- •Тема 2. Оценка рисков ис невыполнения требований стандарта информационной безопасности (иб)
- •Тема 3. Оценка риска объекта защиты на основе анализа локальных угроз и уязвимостей.
- •Тема 4. Выбор оптимального набора средств защиты информации от критических угроз и уязвимостей.
- •Тема 5. Оценка экономической эффективности мероприятий по защите информации.
Тема 5. Оценка экономической эффективности мероприятий по защите информации.
Цель: Получить практические навыки по оценке экономической эффективности мероприятий в области информационной безопасности на основе использования интегрального показателя совокупной стоимости владения системой защиты информации (СЗИ) и показателей экономической эффективности.
Задание. Провести оценку экономической целесообразности повышения уровня защищенности ИС за счет ввода дополнительных средств и снижения уровня риска от возможных угроз ИБ до допустимого уровня. На основе данных о балансовой стоимости элементов ИС и доходности организации, а также экспертной информации о том, что доля критических ресурсов ИС составляет dК = 45%; доля критических ресурсов, подвергаемых риску угроз dКУ = 50%, а вероятность свершения угроз – РИБ = 50%, требуется определить:
1) Уровни фактического и допустимого риска для информационных ресурсов объекта защиты;
2) коэффициент снижения риска за счет ввода дополнительных средств защиты;
3) совокупную стоимость владения СЗИ в базовом и проектном вариантах;
4) дополнительные капитальные затраты в проектном варианте;
5) экономическую эффективность мероприятий по повышению ИБ на основе набора показателей.
Выполнение работы.
1. Определяется суммарная стоимость критических ресурсов ИС по формуле:
где - доля критических ресурсов ИС;
- стоимость ИС, соответственно технического, программного и информационного обеспечения.
2. Существующий (физический) уровень риска, отражающий вероятные годовые экономические потери от базовых угроз, определяется по формуле:
где - доля критических ресурсов, подвергаемых риску базовых угроз.
3. Определяется плановый коэффициент снижения риска до допустимого уровня за счет ввода дополнительных средств защиты:
где - допустимый уровень риска, определяемый исходя из нормативной доходности ресурсов ИС (см. задание 1).
4. Определяется совокупная стоимость владения СЗИ для базового и проектного вариантов по формулам:
;
.
5. Рассчитываются составляющие совокупной стоимости владения СЗИ по вариантам на основе типовой их структуры в таблице 5.1
Таблица 5.1.Совокупная стоимость владения СЗИ.
Наименование статей расходов |
Обозначение |
База расчета |
Норматив, % |
Варианты |
|||
Базовый |
Проектный |
||||||
1. Единовременные затраты |
|||||||
1.1.Аппаратные технические средства |
|
|
35 |
1008000 |
1008484 |
||
1.2.Программные средства |
|
|
25 |
720000 |
720346 |
||
Итого программно-аппаратные средства |
1728000 |
1728830 |
|||||
2. Составляющие годовых текущих затрат |
|||||||
2.1.Расходные материалы |
|
|
4 |
69120 |
69153,2 |
||
2.2.Зарплата обслуживающего персонала |
|
|
9 |
155520 |
155594,7 |
||
2.3.Текущий ремонт и восстановления |
|
|
6 |
103680 |
103729,8 |
||
2.4.Поддержка обеспечивающих подсистем |
|
|
2 |
34560 |
34576,6 |
||
Итого годовые текущие затраты |
222880 |
223054,3 |
|||||
3.Административные расходы |
|
|
3 |
86400 |
86441,5 |
||
Итого годовые текущие затраты |
309280 |
309495,8 |
|||||
Сумма прямых расходов |
|
654880 |
655261,8 |
||||
Сумма косвенных затрат на поддержание СЗИ |
|
218293 |
218420,6 |
||||
Совокупная стоимость владения СЗИ |
|
873173 |
873682,4 |
* примечание: - коэффициент экономической эффективности инвестиций в средства защиты (при пятилетнем сроке службы - нормативы прямых (75%) и косвенных расходов (25%).
6. Рассчитывается величина дополнительных капитальных вложений в средства защиты информационных ресурсов:
где , – дополнительные инвестиции в аппаратные (технические) и программные средства соответственно в проектном варианте:
- затраты на монтаж, наладку и тестирование средств защиты
–предпроизводственные расходы на разработку проекта (15-20% от .
Дополнительные капитальные вложения в средства защиты определяются на основе таблицы 5.1. как разность между соответствующими значениями проектного и базового вариантов.
.
7. Рассчитывается условно-годовая экономия от усиления защиты критических ресурсов на основе данных формы 5.1
8. Рассчитывается срок окупаемости дополнительных капитальных вложений:
Вывод: так как фактический срок окупаемости меньше критического, значит дополнительные капитальные вложения будет оптимальным решением для предприятия в области средств защиты информационных ресурсов.