Експлуатацію систем інформаційної безпеки
2.1. Розрахунок (фіксованих) капітальних витрат
Капітальні інвестиції – це кошти, призначені для створення і придбання основних фондів і нематеріальних активів, що підляwwгають амортизації.
За методикою Gartner Group до фіксованих (капітальних) варто відносити наступні витрати:
· вартість розробки проекту інформаційної безпеки (розробка схем пристроїв, політики функціонування системи тощо);
· витрати на залучення зовнішніх консультантів;
· вартість первісних закупівель ліцензійного основного й додаткового програмного забезпечення (ПЗ);
· вартість створення основного й додаткового програмного забезпечення (ПЗ);
· витрати на первісні закупівлі апаратного забезпечення;
· витрати на інтеграцію системи інформативної безпеки у вже існуючу корпоративну систему (встановлення обладнання, програмного забезпечення та налагодження системи інформаційної безпеки);
· витрати на навчання технічних фахівців і обслуговуючого персоналу.
Витрати на розробку проекту інформаційної безпеки, а також витрати на залучення зовнішніх консультантів визначаються на підставі фактичних даних організації.
Проектні капіталовкладення в апаратне забезпечення та придбання ліцензійного основного й додаткового ПЗ визначаються на основі цін, наведених у прайс-листах відповідних фірм, інших довідкових матеріалів або за фактичними витратами.
Витрати на навчання технічних фахівців і обслуговуючого персоналу приймаються за фактичними затратами організації.
Витрати на інтеграцію системи інформативної безпеки у вже існуючу корпоративну систему визначаються у відсотках до сумарної вартості обладнання та програмного забезпечення. (7-8%)
Методика розрахунку витрат на створення програмного забезпечення наведена далі.
2.1.1. Визначення витрат на створення програмного засобів захисту інформації
При виконанні дипломних проектів, спрямованих на розробку і використання програмного забезпечення (ПЗ) в системах інформаційної безпеки, техніко-економічні розрахунки мають містити:
§ визначення трудомісткості розробки та опрацювання ПЗ;
§ розрахунок витрат на створення програмного продукту;
§ оцінку швидкодії та надійності роботи програмного продукту.
2.1.1.1. Визначення трудомісткості розробки та опрацювання
програмного продукту
Нормування праці в процесі створення ПЗ істотно ускладнено через творчій характер праці програмістів. Проте трудомісткість розробки і опрацювання ПЗ може бути розрахована на основі системи моделей з певною точністю оцінки.
Трудомісткість створення ПЗ визначається тривалістю кожної робочої операції, починаючи з складання технічного завдання і закінчуючи оформленням документації (за умови роботи одного програміста):
= + + + + + , годин, (2.1)
де – тривалість складання технічного завдання на розробку ПЗ;
– тривалість вивчення ТЗ, літературних джерел за темою тощо;
– тривалість розробки блок-схеми алгоритму;
– тривалість програмування за готовою блок-схемою;
– тривалість опрацювання програми на ПК;
– тривалість підготовки технічної документації на ПЗ.
Складові трудомісткості визначаються на підставі умовної кількості операторів у програмному продукті Q (з урахуванням можливих уточнень у процесі роботи над алгоритмом і програмою).
Умовна кількість оперантів у програмі:
Q = q · с (1 + р), штук, (2.2)
де q – очікувана кількість оперантів;
с – коефіцієнт складності програми;
р – коефіцієнт корекції програми в процесі її опрацювання.
Коефіцієнт складності програми свизначає відносну складність програми щодо типового завдання, складність якого дорівнює одиниці. Діапазон його зміни – 1,25...2,0.
Коефіцієнт корекції програми рвизначає збільшення обсягу робіт за рахунок внесення змін в алгоритм або програму внаслідок уточнення технічного завдання. Його величина знаходиться в межах 0,05...0,1, що відповідає внесенню 3...5 корекцій і переробці 5-10% готової програми.
Оцінка тривалості складання технічного завдання на розробку ПЗ tтззалежить від конкретних умов і визначається дипломником на підставі експертних оцінок за узгодженням із керівником проекту.
Тривалість вивчення технічного завдання, опрацювання довідкової літератури з урахуванням уточнення ТЗ і кваліфікації програміста можливо оцінити за формулою:
, годин, (2.3)
де В – коефіцієнт збільшення тривалості етапу внаслідок недостатнього опису завдання, В = 1,2...1,5;
k – коефіцієнт, що враховує кваліфікацію програміста і визначається стажем роботи за фахом:
§ до 2 років – 0,8;
§ від 2 до 3 років – 1,0;
§ від 3 до 5 років – 1,1...1,2;
§ від 5 до 7 років – 1,3...1,4;
§ понад 7 років – 1,5...1,6.
Тривалість розробки блок-схеми алгоритму:
, годин. (2.4)
Тривалість складання програми за готовою блок-схемою:
, годин. (2.5)
Тривалість опрацювання програми на ПК:
, годин. (2.6)
Тривалість підготовки технічної документації на ПЗ:
(2.7)
2.1.1.2. Розрахунок витрат на створення програмного продукту
Витрати на створення програмного продукту Кпз складаються з витрат на заробітну плату виконавця програмного забезпечення Ззп і вартості витрат машинного часу, що необхідний для опрацювання програми на ПК Змч:
Кпз = Ззп + Змч . (2.8)
Заробітна плата виконавця враховує основну і додаткову заробітну плату, а також відрахування на соціальне потреби (пенсійне страхування, страхування на випадок безробіття, соціальне страхування тощо) и визначається за формулою:
, грн, (2.9)
де t – загальна тривалість створення ПЗ, годин;
Зпр – средньогодинна заробітна плата програміста з нарахуваннями, грн/годину.
Вартість машинного часу для налагодження програми на ПК визначається за формулою:
, грн. (2.10)
де tопр – трудомісткість налагодження програми на ПК, годин;
tд – трудомісткість підготовки документації на ПК, годин;
Смч – вартість 1 години машинного часу ПК, грн./година.
Вартість 1 години машинного часу ПК визначається за формулою:
, грн/год, (2.11)
де Р – встановлена потужність ПК, кВт;
Се – тариф на електричну енергію, грн/кВт∙година;
Фперв– первісна вартість ПК на початок року, грн.;
На – річна норма амортизації на ПК, частки одиниці;
Напз – річна норма амортизації на ліцензійне програмне забезпечення, частки одиниці;
Клпз – вартість ліцензійного програмного забезпечення, грн.;
Fр – річний фонд робочого часу (за 40-годинного робочого тижня Fр = 1920 год).
Первісна вартість ПК визначається виходячи з фактичного терміну його експлуатації як різниця між первісною вартістю та зносом за час використання.
Визначена таким чином вартість створення програмного забезпечення Кпз є частиною одноразових капітальних витрат разом з витратами на придбання і налагодження апаратури системи інформаційної безпеки.
Таким чином, капітальні (фіксовані) витрати на проектування та впровадження проектного варіанта системи інформаційної безпеки складають:
К = Кпр + Кзпз + Кпз + Каз + Кнавч + Кн , (2.12)
де Кпр – вартість розробки проекту інформаційної безпеки та залучення для цього зовнішніх консультантів, тис. грн;
Кзпз – вартість закупівель ліцензійного основного й додаткового програмного забезпечення (ПЗ), тис. грн;
Кпз – вартість створення основного й додаткового програмного забезпечення, тис. грн;
Каз – вартість закупівлі апаратного забезпечення та допоміжних матеріалів, тис. грн;
Кнавч – витрати на навчання технічних фахівців і обслуговуючого персоналу, тис. грн;
Кн – витрати на встановлення обладнання та налагодження системи інформаційної безпеки, тис. грн.
Аналогічно визначаються капітальні витрати альтернативного варіанта Ка, якщо вирішення поставленої задачі може бути досягнуто іншим способом.
2.2. Розрахунок поточних (експлуатаційних) витрат
Експлуатаційні витрати – це поточні витрати на експлуатацію та обслуговування об'єкта проектування за визначений період (наприклад, рік), що виражені у грошовій формі.
За методикою Gartner Group до поточних (експлуатаційних) варто відносити наступні витрати:
§ вартість Upgrade-відновлення й модернізації системи (Св);
§ витрати на керування системою в цілому (Ск);
§ витрати, викликані активністю користувачів системи інформаційної безпеки (Сак – "активність користувача").
Під "витратами на керування системою" маються на увазі витрати, пов'язані з керуванням і адмініструванням серверів та інших компонентів системи інформаційної безпеки. До цієї статті витрат можна віднести наступні витрати:
§ навчання адміністративного персоналу й кінцевих користувачів;
§ амортизаційні відрахування від вартості обладнання та ПЗ;
§ заробітна плата обслуговуючого персоналу;
§ аутсорсинг (тобто залучення сторонніх організацій для виконання деяких видів обслуговування);
§ навчальні курси й сертифікація обслуговуючого персоналу;
§ технічне й організаційне адміністрування й сервіс.
Вартість забезпечення роботи користувача відбита в понятті "активність користувача". За даними аналітичних компаній, основні фактори, що впливають на підсумкову вартість володіння інформаційними технологіями, на 75% обумовлені проблемами кінцевого користувача. Ця стаття витрат, за даними Gartner Group, має найбільшу вагу в сукупній вартості системи інформаційної безпеки. У ній виділяють наступні під статті витрат:
§ пряма допомога й додаткові настроювання;
§ формальне навчання;
§ розробка додатків;
§ робота з даними;
§ неформальне навчання;
· futz-фактор (параметр, що визначає обсяг витрат, пов'язаних з наслідками некомпетентних дій користувача). Ці витрати зв'язані, наприклад, з участю адміністратора в налагодженні робочої станції, з наданням допомоги користувачеві або з консультаціями.
Вагові частки статей витрат у статті «активність користувача»
Отже, річні поточні (експлуатаційні) витрати на функціонування системи інформаційної безпеки складають:
С = Св + Ск + Сак , тис. грн. (2.13)
Витрати на Upgrade-відновлення й модернізацію системи інформаційної безпеки(Св) можна визначити на підставі фактичних даних організації або користуючись даними табл. 1, про вагові частки статей витрат у сукупній вартості системи інформаційної безпеки.
Витрати на керування системою інформаційної безпеки(Ск) складають:
С = Сн + Са + Сз + Сєв+ Се + Сел + Со + Стос, грн. (2.14)
Витрати на навчання адміністративного персоналу й кінцевих користувачів визначаються за даними організації з проведення тренінгів персоналу, курсів підвищення кваліфікації тощо (Сн).
Річний фонд амортизаційних відрахувань (Са) визначається у відсотках від суми капітальних інвестицій за видами основних фондів і нематеріальних активів (ПЗ) (табл. Додатка).
Річний фонд заробітної плати інженерно-технічного персоналу, що обслуговує систему інформаційної безпеки (Сз), складає:
Сз = Зосн + Здод , грн. (2.15)
де Зосн, Здод – основна і додаткова заробітна плата відповідно, грн на рік.
Основна заробітна плата визначається, виходячи з місячного посадового окладу, а додаткова заробітна плата – в розмірі 8-10% від основної заробітної плати.
До річного фонду заробітної плати додається єдиний внесок на загальнообов'язкове державне соціальне страхування – консолідований страховий внесок, збір якого здійснюється відповідно до класів професійного ризику виробництва, до яких віднесено платників єдиного внеску, з урахуванням видів їх економічної діяльності.
Розмір єдиного внеску на загальнообов'язкове державне соціальне страхування визначається на підставі встановленого чинним законодавством відсотка від суми основної та додаткової заробітної плати (за узгодженням з консультантом економічної частини дипломного проекту).
Вартість електроенергії, що споживається апаратурою системою інформаційної безпеки протягом року (Се), визначається за формулою:
Cел = Р · Fр · Це , грн, (2.16)
де Р – встановлена потужність апаратури інформаційної безпеки, кВт;
Fр – річний фонд робочого часу системи інформаційної безпеки (визначається виходячи з режиму роботи системи інформаційної безпеки);
Це – тариф на електроенергію, грн/кВт·годин
Витрати на залучення сторонніх організацій для виконання деяких видів обслуговування, навчання та сертифікацію обслуговуючого персоналу (Со) визначаються за даними організації.
Витрати на технічне й організаційне адміністрування та сервіс системи інформаційної безпеки (Стос) визначаються за даними організації або у відсотках від вартості капітальних витрат (1-3%).
Витрати, викликані активністю користувачів системи інформаційної безпеки (Сак) можна орієнтовно визначити, користуючись даними табл. 1 про вагові частки статей витрат у сукупній вартості системи інформаційної безпеки.
У кожному конкретному випадку можуть бути враховані й інші види поточних витрат, що визначаються специфікою експлуатації проектованої системи інформаційної безпеки.
3. ОЦІНКА МОЖЛИВОГО ЗБИТКУ ВІД АТАКИ (ЗЛОМУ)