3. Выбор и обоснование методики расчёта экономической эффективности

Для выработки подхода к оценке экономической эффективности предполагаем, что при нарушении защищенности информации происходит некоторый экономический ущерб, а с другой стороны выполнение мероприятий по обеспечению защиты информации требует финансовых расходов. Стоимость защиты отражается суммой расходов на защиту и потерями нарушения безопасности.

Естественное желание снизить расходы, связанные с защитой информации. Считаем, что экономическая эффективность системы защиты информации может быть оценена объемом ущерба, который мог быть нанесен организации в случае отсутствия системы защиты информации.

Для применения описанного подхода необходимо

- оценить ожидаемые потери при нарушении защиты информации;

- оценить связь между средствами потраченными на защиту информации и уровняем защищенности.

Определим уровень затрат Ri„ который обеспечивает необходимый уровень защищенности. Для этого необходимо иметь полный список угроз информации, оценку опасности каждой из угроз, размеры затрат, необходимых для устранения угрозы.

Для определения уровня затрат используем соотношение

R_i = 10^{(Si + Vi – 4)}, (1)

где: S_i – коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы; Vi – коэффициент, характеризующий значение возможного ущерба при ее возникновении.

Используем таблицу 7 для определения коэффициентов S_i и Vi.

Таблица 7 - Значения коэффициентов S_i и Vi

Суммарная стоимость потерь определяется формулой

R= (2)

где, N – количество угроз информационным активам.

Ресурс, выделяемый на защиту информации, может иметь разовый и постоянный характер.

Данные о содержании и объеме постоянного ресурса, выделяемого на защиту информации представлены в таблице 8.

Таблица 8 - Содержание и объем постоянного ресурса, выделяемого на защиту информации

Организационные мероприятия
№ п\п	Выполняемые действия	Среднечасовая зарплата специалиста (руб.)	Трудоемкость операции (чел.час)	Стоимость, всего (тыс.руб.)
1	Администрирование системы	200	1650	330
2	Аудит системы безопасности	200	400	80
Стоимость проведения организационных мероприятий, всего					410
Мероприятия инженерно-технической защиты
№ п/п	Номенклатура ПиАСИБ, расходных материалов	Стоимость, единицы (тыс.руб)	Кол-во (ед.измерения)	Стоимость, всего (тыс.руб.)
1	Регламентные работы и техобслуживание	10	1	10
Стоимость проведения мероприятий инженерно-технической защиты					10
Объем постоянного ресурса, выделяемого на защиту информации					420

Суммарное значение ресурса выделяемого на защиту информации составляет 420+491.3=911,3 тыс. руб.

Оценим динамику величин потерь за период 3 года.

а) суммарное значение ресурса, (R_∑) выделенного на защиту информации, составило 911,3 тысяч рублей;

б) объем среднегодовых потерь компании (R_ср) из-за инцидентов информационной безопасности составлял 905 тыс. рублей;

в) прогнозируемый ежегодный объем потерь (R_прогн) составит 326 тыс. рублей

г) динамика потерь представлена в таблице 8.²⁴

Рассчитаем срок окупаемости системы (Т_ок). Это выполняется аналитическим способом, с использованием приведенной ниже формулы:

Т_ок = R_∑ / (R_ср – R_прогн) (3)

911,3/(905-286)=1,47 года и графическим, как это представлено на рисунке 1.

89

Рисунок 1 - Динамика потерь

Таким образом, расчет экономической эффективности системы защиты информации показал целесообразность такой разработки это доказывается снижением уровня затрат на уровне 620 тыс,руб. Срок окупаемости системы составляет 1.5 года – 18 месяцев.