Глава 1. Моделирование объекта оценки
Идея рассматриваемой методики состоит в том, чтобы сравнить затраты на создание подсистемы защиты персональных данных и поддержки её функционирования с затратами, которое понесет предприятие в случае отказа от введения этой подсистемы.
Сразу установим ограничение, что убытки, связанные с приостановкой деятельности, не будут рассматриваться в расчетной части данной работы, т.к. они индивидуальны для каждого конкретного предприятия, наша же цель в том, чтобы привести пример универсального способа расчета оценки экономической эффективности.
В качестве объекта исследования примем проект подсистемы защиты персональных данных со следующими характеристиками:
в АИС одновременно обрабатываются данные более 100 000 субъектов персональных данных;
в АИС обрабатываются персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию;
АИС классифицируется как специальная ИСПДн, по уровню требований соответствующая классу К1 ИСПДн;
ИСПДн имеет в своем составе 100 АРМ, на которых происходит обработка ПДн.
Для расчета экономической эффективности внедрения разработанной СЗПДн необходимо суммарную ее стоимость разработки, внедрения и поддержки за три года сравнить со стоимостью возможного ущерба со стороны регуляторных рисков за такой же период.
Глава 2. Теоретические и практические аспекты расчета затрат
2.1. Методика расчета затрат на создание сзпДн
Исходными данными для расчета являются: стоимость работ по разработке СЗПДн (обследование ИСПДн, разработка модели угроз и нарушителя, определения актуальных угроз и необходимых контрмер, проектирование СЗПДн, разработка внутренней нормативной документации), стоимость закупки средств защиты и проведения пуско-наладочных работ, затраты на поддержку СЗПДн.
Общие затраты на разработку СЗПДн и проведение пуско-наладочных работ СЗИ во многом зависят от выбранной схемы выполнения работ. Экономически целесообразным является использование услуг системных интеграторов в области защиты конфиденциальной информации, обладающих необходимым опытом и лицензиями ФСТЭК и ФСБ России. Это позволит избежать необходимости содержания в штате организации целого отдела высокооплачиваемых специалистов, а так же повысить в целом уровень качества создаваемой СЗПДн, что позволит снизить затраты как на разработку, так и на дельнейшую поддержку СЗПДн.
Общие затраты на разработку СЗПДн и проведение пуско-наладочных работ СЗИ определяются по тарифам системного интегратора. В случае разработки СЗПДн для крупной распределенной ИСПДн, средняя стоимость работ по разработке проекта СЗПДн на 100 АРМ, обрабатывающих ПДн, будет равна 200 000 рублей (стоимость определялась на основе анализа цен услуг группы крупнейших системных интеграторов в области защиты информации).
Общие затраты на поставку оборудования определяются на этапе проектирования на основе анализа ИС и имеющихся на рынке СЗИ. Опираясь на результаты технико-экономического обоснования (Приложение 1), можно сделать вывод, что затраты на поставку СЗИ на 100 АРМ будут примерно равны 1 430 000 рублей (взято чуть больше, чем в таблице с расчетом на комиссию при оплате и стоимость доставки). С учетом проектируемых СЗИ и цен на работы системных интеграторов, примерная стоимость пуско-наладочных работ СЗИ будет равна 300 000 рублей (стоимость определялась на основе анализа цен услуг пуско-наладочных работ группы крупнейших системных интеграторов в области защиты информации).
Суммарные затраты на ежегодную замену оборудования по причине выхода из строя равны:
,
(1)
где B – ежегодные затраты на замену оборудования по причине выхода из строя;
E – стоимость первоначальной поставки оборудования СЗПДн и проведения по нему пуско-наладочных работ;
R – коэффициент осуществления ремонта СЗИ;
T – среднее время работы элементов СЗПДн в год;
M – среднее время наработки на отказ элементов СЗПДн.
Учитывая характеристики всех элементов СЗПДн, в рамках расчетов среднее время наработки на отказ элементов СЗПДн берётся равным 20 000 часов, среднее время работы элементов СЗПДн в год – 4000 часов, коэффициент осуществления ремонта СЗИ – 0,3.
В рамках расчетов, поддержку СЗПДн оператор ПДн осуществляет самостоятельно. Это позволяет достичь наименьшее время реакции на инциденты, наличие ответственных лиц и более тесное взаимодействие механизмов СЗПДн с внутренней структурой организации.
Затраты на заработную плату специалиста по защите информации в штате оператора ПДн будет составлять величину, равную средней заработной плате на рынке труда, с учетом необходимых требований к специалисту. Общие расходы на оплату труда будут определяться выражением:
,
(2)
где S – общие расходы на оплату труда специалисту в штате организации в год;
Зосн – основная заработная плата в год;
К – коэффициент, определяемый количеством очередных и дополнительных отпусков, оплатой времени по выполнению государственных и общественных обязанностей.
В рамках данной исследовательской работы коэффициент K берется равным 0,1.
Расчет затрат на страховые взносы в Пенсионный фонд России, Фонд социального страхования России, Фонды обязательного медицинского страхования в год берется от суммы общих затрат на оплату труда специалиста:
,
(3)
где С – общие затраты на страховые взносы в год;
S – общие расходы на оплату труда специалисту в год.
Средний размер страховых взносов составляет:
в Пенсионный фонд России – 26%;
в Фонд социального страхования России – 2,9%;
в Фонды обязательного медицинского страхования – 5,1%
Суммарная стоимость создания СЗПДн:
,
(4)
где С – стоимость создания СЗПДн;
P – стоимость разработки СЗПДн;
S – стоимость проведения пуско-наладочных работ СЗИ.
Стоимость поддержки СЗПДн в течении одного года равна:
,
(5)
где P – стоимость поддержки СЗПДн в течении одного года;
S – общие расходы на оплату труда специалисту по защите ПДн в штате организации;
С – общие затраты на страховые взносы в год;
B – ежегодные затраты на замену оборудования по причине выхода из строя.