- •Глава 1. Экономические проблемы защиты информационных ресурсов предприятия 6
- •Глава 2. Порядок построения и экономическое обоснование создания системы защиты информации 16
- •Глава 3. Характеристика производственных ресурсов
- •Глава 4. Оценка эффективности создания
- •Введение
- •Глава 1. Экономические проблемы защиты информационных ресурсов предприятия
- •1.1. Уровень экономической безопасности предприятия
- •1.2. Информация как важный ресурс экономики
- •1.3. Задачи экономики защиты информации
- •Глава 2. Порядок построения и экономическое обоснование создания системы защиты информации
- •2.1. Этапы построения системы информационной безопасности предприятия
- •2.2. Анализ угроз и оценка рисков информационной безопасности
- •Контрольные вопросы
- •Глава 3. Характеристика производственных ресурсов предприятия и служб защиты информации
- •3.1. Задачи оценки и планирования производственных затрат
- •3.2. Оценка затрат по основным средствам
- •3.3. Затраты на нематериальные активы
- •3.5. Затраты на оборотные средства
- •3.6. Затраты на трудовые ресурсы
- •3.7. Результаты деятельности предприятия и прибыль
- •Контрольные вопросы
- •Глава 4. Оценка эффективности создания и функционирования системы защиты информации
- •4.1. Подходы к оценке эффективности создания средств зи
- •4.2. Оценка эффективности комплексной системы зи
- •4.3. Оценка эффективности инвестиций в систему зи
- •Заключение
- •Список литературы
- •Оценки угрозы и уязвимостей для классов рисков «Использование чужого идентификатора сотрудниками организации («маскарад»)»
4.2. Оценка эффективности комплексной системы зи
Работы по защите информации ведутся в трех дополняющих друг друга направлениях, учитывающих человеческие, технические и алгоритмические факторы. В связи с этим организация комплексной системы зашиты информации (СЗИ) представляет собой комплекс мероприятий по созданию программных и аппаратных средств, связанных с защитой информации, и также их интегрированию.
Эффективность построения комплексной СЗИ будет складываться из:
эффективности создания программных средств, обеспечивающих защиту информации от утечки, хищения, искажения, подделки, несанкционированного доступа, копирования, изменения, уничтожения и блокирования;
эффективности проектирования, создания и эксплуатации аппаратных средств защиты (технических средств охраны, аппаратуры видеонаблюдения и т.д.).
При оценке эффективности осуществляют сопоставление эффекта, получаемого от внедрения комплексной СЗИ, с затратами на создание этой системы.
Основой методики определения экономической эффективности комплексной СЗИ являются методики оценки экономической эффективности создания новой техники и программных средств, а также методика оценки экономической эффективности автоматизированных систем управления производством (АСУП).
В основе этих методик лежит сравнение условно-годовой экономии, получаемой от внедрения системы, с затратами на ее создание, для чего используются два взаимосвязанных показателя:
1) расчетный коэффициент эффективности:
Эгод _ условно - годовая экономия
р К затраты на создание СЗИ
2) расчетный (фактический) срок окупаемости:
Т = —. (4.2)
Ер Разработанная комплексная система ЗИ считается эффективной, если расчетные показатели лучше нормативных.
При этом годовой экономический эффект от внедрения комплексной СЗИ предлагается определять по формуле:
Э = Эу,~КсЗИ-Е„, (4.3)
где Эуг_ условно-годовая экономия от внедрения СЗИ; Л^-дополнительные капитальные вложения на разработку и внедрение комплексной СЗИ; Е„ ~ нормативный коэффициент эффективности капитальных вложений. Е„ берется обычно равным 0,15, но, в зависимости от отрасли внедрения продукта, этот норматив может изменяться;
■Зуг = -7 ~~ "зкспл > С-4)
где Э - годовая экономия от внедрения комплексной СЗИ; РЖСЛ, -текущие затраты, связанные с эксплуатацией комплексной СЗИ.
Годовую экономию от внедрения комплексной СЗИ можно рассматривать как предполагаемый ущерб, который предприятие могло бы понести в случае утечки информации вследствие отсутствия комплексной СЗИ. Эта экономия может складываться из следующей суммы:
Э ■= Э,+Э2+Э3, (4.5)
где Э/ - экономия, получаемая в результате учета человеческого фактора; Э2 - экономия, получаемая в результате учета технического фактора; Э3 - экономия, получаемая в результате учета алгоритмического фактора.
Таким образом, условно-годовая экономия характеризует величину предотвращенного ущерба и текущие затраты по его предотвращению.
68
69
Расчет капитальных затрат на разработку, внедрение и эксплуатацию разработанной комплексной СЗИ (К) будет складываться из двух составляющих:
К = Кп+Кт , (4.6)
где Кп - капитальные затраты, связанные с внедрением программных средств для СЗИ; Кт - капитальные затраты, связанные с внедрением технических (аппаратных) средств СЗИ.
Капитальные затраты, связанные с внедрением программных средств для СЗИ, складываются из затрат по созданию программных продуктов и стоимости технических средств, необходимых для их реализации:
К„ = К^ +Кэвм +Кт+Кпт+КМн+Клш- КвЬ1Св, (4.7)
где /Сж. - стоимость создания или приобретения программных продуктов; Кэвм- стоимость ЭВМ; Кт - стоимость дополнительных площадей; Кпт - стоимость периферийной техники и средств связи; Кмн - единовременные затраты на монтаж, наладку и пуск ЭВМ и периферийной техники; Клик - остаточная стоимость ликвидируемого оборудования, если его реализация невозможна; Квысе - остаточная стоимость высвобождаемого оборудования, которое может быть использовано для других задач и подсистем.
Капитальные затраты, связанные с внедрением аппаратных средств СЗИ, будут определяться по формуле:
Кт = Кпр +КС01^КМ11+Ка„+ /и - К№кв, (4.8)
где Кпр - стоимость проектирования технических средств СЗИ; Кызд - стоимость создания или приобретения технических средств СЗИ; КМИ - затраты на пуско-наладочные работы аппаратных средств; К0п - стоимость необходимых производственных площадей и других элементов основных фондов, непосредственно связанных с размещением аппаратных средств защиты; К|М - остаточная стоимость ликвидируемого оборудования, если его реализация невозможна; Квысв - остаточная стоимость высвобождаемых аппаратных средств, которые могут быть использованы для других задач и подсистем.
Дополнительные капитальные вложения в создание комплексной СЗИ (Ксзи) определяются как разница между капитальными затратами предприятия до и после внедрения СЗИ:
Ксзи = {К2~К,)- (4.9)
Использование данной методики оценки эффективности создания комплексной СЗИ позволит сделать выводы об эффективности предлагаемых мероприятий по защите информации на предприятии. Однако эта методика может использоваться, если капитальные вложения в создание системы ЗИ осуществляются в течение краткосрочного периода. Иначе, при оценке эффективности следует использовать динамические показатели эффективности инвестиций в создание средств защиты информации и комплексной системы ЗИ.