Экономика защиты информации
В данном разделе определяется совокупная стоимость (ТСО) реализации процесса классификации объектов защиты и определяется его эффективность.
Стоимостные характеристики проектов по обеспечению информационной безопасности
Оценка экономической эффективности проекта по обеспечению информационной безопасности является обязательной составляющей его технико-экономического обоснования. Несмотря на то, что будущий экономический эффект от реализации процесса классификации объектов защиты оценить непросто, попытаемся это сделать на примере виртуальной компании.
Существует ряд методик, с помощью которых выполняется оценка всевозможных затрат, к которым приведет внедрение того или иного проекта. Такие всевозможные затраты называются совокупной стоимостью владения TCO (Total Cost Ownership). Наиболее известные методики по оценке ТСО предложили Gartner Group и Dell Systems.
Согласно методикам Gartner Group и Dell Systems, [16] совокупная стоимость владения СЗИ включает в себя следующие основные затраты.
Единовременные затраты:
стоимость покупки оборудования, рабочих станций, серверов, программного обеспечения, технических средств;
затраты на введение системы в эксплуатацию (конфигурирование, настройку, доводку);
затраты на обучение и переобучение сотрудников;
разработка ОРД: должностных инструкций, положений об использовании СЗИ, нормативной базы службы защиты информации;
обеспечение физической безопасности;
расходы на аутсорсинг;
расходы на услуги связи.
Постоянные затраты (в год):
зарплата сотрудникам, выполняющим бизнес-функции в рамках информационной системы;
затраты на техническую поддержку и обслуживание (конфигурирование, проведение регламентных и профилактических работ, администрирование безопасности) – зарплата сотрудников IT-департаментов;
затраты на установку новых версий ПО, докупку и продление лицензий и т.д.;
затраты электроэнергии (рассчитываются по техническим характеристикам серверов, рабочих станций, мониторов, ноутбуков);
затраты на устранение неисправностей;
затраты на доработку системы и ОРД.
Среди единовременных и постоянных затрат можно выделить затраты I и II группы.
Расчет затрат I группы требует указания количества единиц услуги (оборудования) и стоимости услуг (оборудования). К этим затратам относятся:
стоимость покупки оборудования, рабочих станций, серверов, программного обеспечения, технических средств;
затраты на обучение и переобучение сотрудников;
обеспечение физической безопасности;
расходы на аутсорсинг;
расходы на услуги связи;
затраты на установку новых версий ПО, докупку и продление лицензий и т.д.
Расчет затрат II группы требует указания:
пользовательских ролей и количества сотрудников (их представителей), выполняющих данные роли;
человеко-часов, требуемых для решения задач;
месячного оклада исполнителей.
К затратам II группы можно отнести:
затраты на введение системы в эксплуатацию (конфигурирование, настройку, доводку);
разработка ОРД: должностных инструкций, положений об использовании СЗИ, нормативной базы службы ЗИ;
затраты на техническую поддержку и обслуживание (конфигурирование, проведение регламентных, профилактических работ, администрирование безопасности) – зарплата сотрудников IT-департаментов;
затраты на устранение неисправностей;
затраты на доработку системы и ОРД.
Механизм расчета данных показателей II группы (через зарплату) выглядит следующим образом:
(5.1)
; (5.2)
; (5.3)
; (5.4)
, (5.5)где Lо – основная заработная плата исполнителей;
LД – дополнительная заработная плата;
LН – начисления на зарплату;
Рн – накладные расходы;
Ti – трудоемкость исполнения i-ой должности (в человеко-часах);
Ri – количество исполнителей i-ой должности;
kд – коэффициент дополнительной заработной платы (8%);
kн – коэффициент отчислений с заработной платы в фонды соц. страхования (30%);
fi – тарифная ставка или (оклад) исполнителя в час;
kнак – коэффициент накладных расходов (30%).
Для расчета показателей II группы следует выполнить следующие шаги:
распределить перечисленные выше функции между пользовательскими ролями (должностями), указать количество представителей пользовательских ролей, выполняющих данные функции.
определить оклад пользовательской роли (руб. в час).
определить трудоемкость, т.е. количество человеко-часов, необходимых для выполнения каждой из задач.
рассчитать затраты, необходимые для выполнения каждой из перечисленных функций.
Для оценки инвестиционной привлекательности проекта часто используют такие показатели, как NPV и PI.
Оценка показателя NPV
Дисконтирование – это определение стоимости денежных потоков, относящихся к будущим периодам (будущих доходов на настоящий момент). В данном случае применяют ставку дисконтирования, величина которой отражает риски, связанные с обесцениванием денег из-за инфляции.
Непосредственно для оценки эффективности инвестиций используют показатель чистой текущей стоимости (NPV – Net Present Value). По сути дела, это текущая стоимость будущих денежных потоков инвестиционного проекта с учетом дисконтирования и за вычетом инвестиций. Этот показатель рассчитывается по следующей формуле:
, (5.6)где CFi – чистый денежный поток для i-ого периода;
CF0 – начальные инвестиции;
r – ставка дисконтирования.
Если NPV > 0, то проект прибыльный (его следует принять).
Если NPV < 0, то проект убыточный (его следует отвергнуть).
Если NPV = 0, то проект ни прибыльный, ни убыточный.
При сравнении нескольких проектов принимается тот из них, который имеет наибольшее значение NPV, если только оно положительное.
Для систем защиты информации значение
, (5.7)где
– уровень снижения риска за
-й
период при внедрении СЗИ;
– постоянные
затраты за
-й
период при внедрении СЗИ.
соответствуют
единовременным затратам на внедрение
СЗИ.При расчете ставки дисконтирования с учетом рисков для рынка информационных технологий на внедрение проекта возьмем ставку 30%.
Индекс рентабельности (PI)
Индекс рентабельности рассчитывается по следующей формуле:
, (5.8)где CF0 – начальные инвестиции.
Если PI > 1 то проект следует принять.
Если PI < 1 то проект следует отвергнуть.
Если PI=1, то проект является ни прибыльным, ни убыточным.
В отличие от NPV, индекс рентабельности является относительным показателем. Он характеризует уровень доходов на единицу затрат, то есть эффективность вложений – чем больше значение этого показателя, тем выше отдаче каждого рубля, инвестированного в данный проект.
Благодаря этому, критерий PI очень удобен при выборе одного проекта из ряда альтернативных, имеющих примерно одинаковые значения NPV, но разные объемы требуемых инвестиций. В данном случае необходимо выбирать проект, обеспечивающий большую эффективность вложений.