4.2. Оценка эффективности комплексной системы зи

Работы по защите информации ведутся в трех дополняющих друг друга направлениях, учитывающих человеческие, техниче­ские и алгоритмические факторы. В связи с этим организация комплексной системы зашиты информации (СЗИ) представляет собой комплекс мероприятий по созданию программных и аппа­ратных средств, связанных с защитой информации, и также их интегрированию.

Эффективность построения комплексной СЗИ будет склады­ваться из:

• эффективности создания программных средств, обеспечи­вающих защиту информации от утечки, хищения, искажения, подделки, несанкционированного доступа, копирования, измене­ния, уничтожения и блокирования;

• эффективности проектирования, создания и эксплуатации аппаратных средств защиты (технических средств охраны, аппа­ратуры видеонаблюдения и т.д.).

При оценке эффективности осуществляют сопоставление эффекта, получаемого от внедрения комплексной СЗИ, с затрата­ми на создание этой системы.

Основой методики определения экономической эффективно­сти комплексной СЗИ являются методики оценки экономической эффективности создания новой техники и программных средств, а также методика оценки экономической эффективности автома­тизированных систем управления производством (АСУП).

В основе этих методик лежит сравнение условно-годовой экономии, получаемой от внедрения системы, с затратами на ее создание, для чего используются два взаимосвязанных показателя:

1) расчетный коэффициент эффективности:

Э_год _ условно - годовая экономия

^р К затраты на создание СЗИ

2) расчетный (фактический) срок окупаемости:

Т = —. (4.2)

Ер Разработанная комплексная система ЗИ считается эффектив­ной, если расчетные показатели лучше нормативных.

При этом годовой экономический эффект от внедрения ком­плексной СЗИ предлагается определять по формуле:

Э = Э_у,~Кс_ЗИ-Е„, (4.3)

где Эу_г_ условно-годовая экономия от внедрения СЗИ; Л^-до­полнительные капитальные вложения на разработку и внедрение комплексной СЗИ; Е„ ~ нормативный коэффициент эффективно­сти капитальных вложений. Е„ берется обычно равным 0,15, но, в зависимости от отрасли внедрения продукта, этот норматив мо­жет изменяться;

■Зуг ⁼ -7 ~~ "зкспл > С-4)

где Э - годовая экономия от внедрения комплексной СЗИ; Р_ЖСЛ, -текущие затраты, связанные с эксплуатацией комплексной СЗИ.

Годовую экономию от внедрения комплексной СЗИ можно рассматривать как предполагаемый ущерб, который предприятие могло бы понести в случае утечки информации вследствие отсут­ствия комплексной СЗИ. Эта экономия может складываться из следующей суммы:

Э ■= Э,+Э₂+Э₃, (4.5)

где Э/ - экономия, получаемая в результате учета человеческого фактора; Э₂ - экономия, получаемая в результате учета техниче­ского фактора; Э₃ - экономия, получаемая в результате учета ал­горитмического фактора.

Таким образом, условно-годовая экономия характеризует ве­личину предотвращенного ущерба и текущие затраты по его пре­дотвращению.

68

69

Расчет капитальных затрат на разработку, внедрение и эксплуатацию разработанной комплексной СЗИ (К) будет скла­дываться из двух составляющих:

К = Кп+Кт , (4.6)

где Кп - капитальные затраты, связанные с внедрением про­граммных средств для СЗИ; Кт - капитальные затраты, связан­ные с внедрением технических (аппаратных) средств СЗИ.

Капитальные затраты, связанные с внедрением программ­ных средств для СЗИ, складываются из затрат по созданию про­граммных продуктов и стоимости технических средств, необхо­димых для их реализации:

К„ = К^ +К_эвм +Кт+К_пт+К_Мн+К_лш- К_вЬ1Св, (4.7)

где /С_ж. - стоимость создания или приобретения программных продуктов; К_эвм- стоимость ЭВМ; К_т - стоимость дополнитель­ных площадей; К_пт - стоимость периферийной техники и средств связи; К_мн - единовременные затраты на монтаж, наладку и пуск ЭВМ и периферийной техники; К_лик - остаточная стоимость лик­видируемого оборудования, если его реализация невозможна; К_высе - остаточная стоимость высвобождаемого оборудования, которое может быть использовано для других задач и подсистем.

Капитальные затраты, связанные с внедрением аппаратных средств СЗИ, будут определяться по формуле:

Кт = К_пр +К_С01^К_М11+К_а„+ /и - К_№кв, (4.8)

где К_пр - стоимость проектирования технических средств СЗИ; Кызд - стоимость создания или приобретения технических средств СЗИ; К_МИ - затраты на пуско-наладочные работы аппарат­ных средств; К_0п - стоимость необходимых производственных площадей и других элементов основных фондов, непосредствен­но связанных с размещением аппаратных средств защиты; К_|М - остаточная стоимость ликвидируемого оборудования, если его реализация невозможна; К_высв - остаточная стоимость высво­бождаемых аппаратных средств, которые могут быть использо­ваны для других задач и подсистем.

Дополнительные капитальные вложения в создание комплексной СЗИ (Ксзи) определяются как разница между капитальными за­тратами предприятия до и после внедрения СЗИ:

Ксзи = {К₂~К,)- (4.9)

Использование данной методики оценки эффективности соз­дания комплексной СЗИ позволит сделать выводы об эффектив­ности предлагаемых мероприятий по защите информации на предприятии. Однако эта методика может использоваться, если капитальные вложения в создание системы ЗИ осуществляются в течение краткосрочного периода. Иначе, при оценке эффективно­сти следует использовать динамические показатели эффективно­сти инвестиций в создание средств защиты информации и ком­плексной системы ЗИ.