Тема 5. Оценка экономической эффективности мероприятий по защите информации.

Цель: Получить практические навыки по оценке экономической эффективности мероприятий в области информационной безопасности на основе использования интегрального показателя совокупной стоимости владения системой защиты информации (СЗИ) и показателей экономической эффективности.

Задание. Провести оценку экономической целесообразности повышения уровня защищенности ИС за счет ввода дополнительных средств и снижения уровня риска от возможных угроз ИБ до допустимого уровня. На основе данных о балансовой стоимости элементов ИС и доходности организации, а также экспертной информации о том, что доля критических ресурсов ИС составляет d_К = 45%; доля критических ресурсов, подвергаемых риску угроз d_КУ = 50%, а вероятность свершения угроз – Р_ИБ = 50%, требуется определить:

1) Уровни фактического и допустимого риска для информационных ресурсов объекта защиты;

2) коэффициент снижения риска за счет ввода дополнительных средств защиты;

3) совокупную стоимость владения СЗИ в базовом и проектном вариантах;

4) дополнительные капитальные затраты в проектном варианте;

5) экономическую эффективность мероприятий по повышению ИБ на основе набора показателей.

Выполнение работы.

1. Определяется суммарная стоимость критических ресурсов ИС по формуле:

где - доля критических ресурсов ИС;

- стоимость ИС, соответственно технического, программного и информационного обеспечения.

2. Существующий (физический) уровень риска, отражающий вероятные годовые экономические потери от базовых угроз, определяется по формуле:

где - доля критических ресурсов, подвергаемых риску базовых угроз.

3. Определяется плановый коэффициент снижения риска до допустимого уровня за счет ввода дополнительных средств защиты:

где - допустимый уровень риска, определяемый исходя из нормативной доходности ресурсов ИС (см. задание 1).

4. Определяется совокупная стоимость владения СЗИ для базового и проектного вариантов по формулам:

;

.

5. Рассчитываются составляющие совокупной стоимости владения СЗИ по вариантам на основе типовой их структуры в таблице 5.1

Таблица 5.1.Совокупная стоимость владения СЗИ.

Наименование статей расходов	Обозначение	База расчета	Норматив, %		Варианты
					Базовый		Проектный
1. Единовременные затраты
1.1.Аппаратные технические средства			35		1008000		1008484
1.2.Программные средства			25		720000		720346
Итого программно-аппаратные средства				1728000		1728830
2. Составляющие годовых текущих затрат
2.1.Расходные материалы			4		69120		69153,2
2.2.Зарплата обслуживающего персонала			9		155520		155594,7
2.3.Текущий ремонт и восстановления			6		103680		103729,8
2.4.Поддержка обеспечивающих подсистем			2		34560		34576,6
Итого годовые текущие затраты				222880		223054,3
3.Административные расходы			3		86400		86441,5
Итого годовые текущие затраты				309280		309495,8
Сумма прямых расходов				654880		655261,8
Сумма косвенных затрат на поддержание СЗИ				218293		218420,6
Совокупная стоимость владения СЗИ				873173		873682,4

* примечание: - коэффициент экономической эффективности инвестиций в средства защиты (при пятилетнем сроке службы - нормативы прямых (75%) и косвенных расходов (25%).

6. Рассчитывается величина дополнительных капитальных вложений в средства защиты информационных ресурсов:

где , – дополнительные инвестиции в аппаратные (технические) и программные средства соответственно в проектном варианте:

- затраты на монтаж, наладку и тестирование средств защиты

–предпроизводственные расходы на разработку проекта (15-20% от .

Дополнительные капитальные вложения в средства защиты определяются на основе таблицы 5.1. как разность между соответствующими значениями проектного и базового вариантов.

.

7. Рассчитывается условно-годовая экономия от усиления защиты критических ресурсов на основе данных формы 5.1

8. Рассчитывается срок окупаемости дополнительных капитальных вложений:

Вывод: так как фактический срок окупаемости меньше критического, значит дополнительные капитальные вложения будет оптимальным решением для предприятия в области средств защиты информационных ресурсов.