3.2. Обоснование экономической эффективности внедрения
системы.
Эффективность внедрения системы будем оценивать на основании приведенной ниже таблицы. Таблица составлена на основании «Методических рекомендаций по проектированию комплексных систем безопасности» Университета Комплексных Систем Безопасности.
3.3. Расчёт рисков компании.
Рассчитать риски компании, а точнее оценить их в численном эквиваленте крайне сложно. Необходимо учитывать ряд случайных факторов. Здесь и в дальнейшем исследовании будем считать что компания в течении года подвергается атакам извне 1 раз.
Компания ООО «Гарант-Центр» занимается продажей и технической поддержкой следующих программных продуктов:
Справочно-информационная система «Гарант»;
Пакет ПО «1С-Бухгалтерия и Предприятие»;
Пакет антивирусного ПО Лаборатории Касперского;
ПО Microsoft;
Исходя из этого, сразу следуют финансовые риски, которые понесёт предприятие в случае НСД к базам данных этих программных продуктов. Приведём цены на некоторое ПО согласно прайс-листу компании:
1С Бухгалтерия v7.7 8 700.00 руб. (за 1 коробку) сетевая
1С Торговля и склад 4 970.00 руб. (за 1 коробку) сетевая
1С Налогоплательщик 8 520.00 руб. (за 1 коробку) сетевая
1С Предприятие v7.7 3 780.00 руб. (за 1 коробку)
Антивирус Касперского от 825.00 руб. (за 1 лицензию)
до 15200.00 руб. (за 1 лицензию)
ПО Microsoft от 2150 руб. до 9450 руб. (за 1 коробку)
Т.о. первый финансовый риск компании связан с хищением лицензий на данное программное обеспечение, и последующее их использование. Другими словами компания понесёт потери от «непроданного» ПО.
К тому же компания связана договорными обязательствами с разработчиками данной продукции, и при НСД к ПО по вине ООО «Гарант-Центр» на компанию накладываются штрафные санкции. Размер этих санкций оговаривается в каждом конкретном случае отдельно, и выразить его в определённых цифрах на данный момент очень сложно. Но мы попытаемся их оценить хотя бы примерно. Для этого воспользуемся статистикой, судя по которой можно говорить об интенсивности продажи того или иного ПО.
|
|
|
|
|
|
|
|
|
|
|
|
|
Название ПО |
Сентябрь 2004г. |
Октябрь 2004г. |
Ноябрь 2004г. |
Декабрь 2004г. | ||||||
|
|
|
|
кол-во |
сумма |
кол-во |
сумма |
кол-во |
сумма |
кол-во |
сумма |
|
1С Бухгалтерия v7.7 |
7 |
52.500 |
6 |
44.800 |
9 |
67.400 |
7 |
60900 | ||
|
|
|
|
|
|
|
|
|
|
|
|
|
1С Торговля и склад |
5 |
24.240 |
4 |
19.940 |
0 |
0 |
2 |
9.940 | ||
|
|
|
|
|
|
|
|
|
|
|
|
|
1С Налогоплательщик |
4 |
18.520 |
0 |
0 |
4 |
18.520 |
2 |
17.040 | ||
|
|
|
|
|
|
|
|
|
|
|
|
|
1С Предприятие v7.7 |
8 |
32.450 |
6 |
27.560 |
11 |
47.560 |
6 |
22.680 | ||
|
|
|
|
|
|
|
|
|
|
|
|
|
Антивирус Касперского |
13 |
41.030 |
8 |
14.450 |
9 |
24.670 |
11 |
23.460 | ||
|
|
|
|
|
|
|
|
|
|
|
|
|
ПО Microsoft |
|
7 |
25.240 |
9 |
33.890 |
13 |
56.920 |
7 |
27.450 | |
|
|
|
|
|
|
|
|
|
|
|
|
|
Итого по месяцам |
|
|
193.980 |
|
140.640 |
|
215.070 |
|
161.470 | |
|
|
|
|
|
|
|
|
|
|
|
|
В таблице приведены лишь некоторые позиции из прайс-листа компании, но уже по ним можно судить об объёмах продаж. Закупочная цена для программного обеспечения ниже рыночной примерно на 40%, т.е. предприятие получает прибыль 40% от продажной стоимости.
Рассчитаем среднее значение прибыли компании в год от продажи ПО (по данным таблицы):
Сумма приведена без учёта налогов.
Теперь рассчитаем примерные потери компании в год, если существует уменьшение реализации товара вследствие «утечки» клиентов к сторонним (нелегальным) организациям. Примем что уменьшение клиентов будет незначительное 10% - 15%.
Прибавим к этой сумме ещё и размер установленных штрафов. Если учитывать тот момент, что штрафы накладываются в случае достоверно известного факта проникновения в информационную систему, то можно сказать (опять же из источников публикующих статьи по информационной безопасности), что раскрытыми являются лишь 30% краж. Т.о. факт проникновения в нашу систему будет раскрыт за 2 года всего лишь 1 раз.
Но и этого вполне достаточно чтобы компания понесла значительные убытки из за наложенных штрафов. Положим, что:
-
сумма штрафов, наложенных на компанию
за 1 факт
хищения лицензий на программное обеспечение.
Тогда:
Ко второму риску можно отнести финансовые потери компании связанные с восстановлением работоспособности информационной системы после вредоносного воздействия на неё извне. К таким воздействиям можно отнести:
Атаки, приведшие к сбою работы программных продуктов;
Атаки, приведшие к подмене конфиденциальной информации или её уничтожению;
Неявные атаки, вследствие которых в информационной системе предприятия оказывается вредоносные троянские программы;
Атаки, приведшие к полной неработоспособности компьютерной операционной системы;
Что бы восстановить работоспособность информационной системы, компании необходимо будет прибегнуть к сторонней организации занимающейся этими вопросами. Приведу средние цены на поддержку и восстановление компьютерной техники по г.Москва:
Установка и настройка операционных систем семейства Windows (в зависимости от версии) от 500 руб. за один компьютер. (A)
Установка и настройка пакета MSOffice (в зависимости от версии)
от 250 руб. за один компьютер. (B)
Настройка антивирусного ПО и удаление вредоносных программ
от 400 руб. за один компьютер. (C)
Восстановление потерянных данных
от 800 руб. за один компьютер. (D)
Х
отя
различные виды атак приводят к различным
последствиям. Это основные потери,
которые необходимо будет восстановить
компании при успешной атаке извне. А
если учесть, что компания располагает
штатом из почти 80 компьютеров, то сумма
окажется довольно большой.
Где
- стоимость восстановления работоспособности
всей системы, а
n – количество компьютеров подверженных атаке.
Как говорилось в начале данной главы, будем считать, что в год компания подвергается 1-ой успешной атаке, приведшей к полной потере функциональности программного обеспечения. Получим:
Опять же оговорюсь, что эти данные не математический расчёт, а лишь приблизительная оценка на основании многих случайных факторов.
Т.о. средние риски компании, связанные с НСД к информационной системе компании можно выразить:
=
584.000 руб./в год