Экономика защиты информации

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ

К разработке раздела дипломного проекта

«Экономика защиты информации»

Руководители направления:

к.т.н., доц., зав. каф. СИБ

Аникин И.В.

к.т.н., доц. каф. СИБ

Катасёв А.С.

Казань 2009

СОДЕРЖАНИЕ

ТЕОРЕТИЧЕСКИЙ МАТЕРИАЛ.. 3

СТРУКТУРА РАЗДЕЛА «ЭКОНОМИКА ЗАЩИТЫ ИНФОРМАЦИИ». 8

ПРИМЕР ОФОРМЛЕНИЯ РАЗДЕЛА.. 10

ТЕОРЕТИЧЕСКИЙ МАТЕРИАЛ

Содержание раздела дипломного проекта «Экономика защиты информации» основано на определении совокупной стоимости владения системой защиты информации (СЗИ).

Согласно методикам Gartner Group и Dell Systems, совокупная стоимость владения СЗИ включает в себя следующие основные затраты.

Единовременные затраты

1. Стоимость покупки оборудования, АРМ, серверов, программного обеспечения, технических средств.

2. Затраты на введение системы в эксплуатацию (конфигурирование, настройку, доводку).

3. Затраты на обучение и переобучение сотрудников.

4. Разработка ОРД: должностных инструкций, положений об использовании СЗИ, нормативной базы службы защиты информации.

5. Обеспечение физической безопасности.

6. Расходы на аутсорсинг.

7. Расходы на услуги связи.

Постоянные затраты (в год)

1. Зарплата сотрудникам, выполняющим бизнес-функции в рамках информационной системы.

2. Затраты на техническую поддержку и обслуживание (конфигурирование, проведение регламентных и профилактических работ, администрирование безопасности) – зарплата сотрудников IT-департаментов.

3. Затраты на установку новых версий ПО, докупку и продление лицензий и т.д.

4. Затраты электроэнергии (рассчитываются по техническим характеристикам серверов, рабочих станций, мониторов, ноутбуков).

5. Затраты на устранение неисправностей.

6. Затраты на доработку системы и ОРД.

Среди единовременных и постоянных затрат можно выделить затраты I и II группы.

Расчет затрат I группы требует указания количества единиц услуги (оборудования) и стоимости услуг (оборудования). К этим затратам относятся:

1. Стоимость покупки оборудования, АРМ, серверов, программного обеспечения, технических средств.

2. Затраты на обучение и переобучение сотрудников.

3. Обеспечение физической безопасности.

4. Расходы на аутсорсинг.

5. Расходы на услуги связи.

6. Затраты на установку новых версий ПО, докупку и продление лицензий и т.д.

Расчет затрат II группы требует указания:

– пользовательских ролей и количества сотрудников (их представителей), выполняющих данные роли;

– человеко-часов, требуемых для решения задач;

– месячного оклада исполнителей.

К затратам II группы можно отнести:

1. Затраты на введение системы в эксплуатацию (конфигурирование, настройку, доводку).

2. Разработка ОРД: должностных инструкций, положений об использовании СЗИ, нормативной базы службы ЗИ.

3. Затраты на техническую поддержку и обслуживание (конфигурирование, проведение регламентных, профилактических работ, администрирование безопасности) – зарплата сотрудников IT-департаментов.

4. Затраты на устранение неисправностей.

5. Затраты на доработку системы и ОРД.

Механизм расчета данных показателей II группы (через зарплату) выглядит следующим образом:

н

; ; ; Рн = kнак*L0

где Lо – основная заработная плата исполнителей;

LД – дополнительная заработная плата;

LН – начисления на зарплату;

Рн – накладные расходы;

Ti – трудоемкость исполнения i-ой должности (в человеко-часах);

Ri – количество исполнителей i-ой должности;

kд – коэффициент дополнительной заработной платы (8%);

kн – коэффициент отчислений с заработной платы в фонды соц. страхования (35,6%);

fi – тарифная ставка или (оклад) исполнителя в час;

kнак – коэффициент накладных расходов (30%).

Для расчета показателей II группы следует выполнить следующие шаги.

a. Распределить перечисленные выше функции между пользовательскими ролями (должностями), указать количество представителей пользовательских ролей, выполняющих данные функции (заметьте, что выполнение нескольких функций может быть закреплено за одной ролью).

b. Определить оклад пользовательской роли (руб. в час).

c. Определить трудоемкость, т.е. количество человеко-часов, необходимых для выполнения каждой из задач.

d. Рассчитать затраты, необходимые для выполнения каждой из перечисленных функций.

Для оценки инвестиционной привлекательности проекта часто используют такие показатели, как NPV и PI.

Оценка показателя NPV

Дисконтирование– это определение стоимости денежных потоков, относящихся к будущим периодам (будущих доходов на настоящий момент). В данном случае применяют ставку дисконтирования, величина которой отражает риски, связанные с обесцениванием денег из-за инфляции.

Непосредственно для оценки эффективности инвестиций используют показатель чистой текущей стоимости (NPV – Net Present Value). По сути дела, это текущая стоимость будущих денежных потоков инвестиционного проекта с учетом дисконтирования и за вычетом инвестиций. Этот показатель рассчитывается по следующей формуле:

,

где CFi – чистый денежный поток для i-ого периода;

CF0 – начальные инвестиции;

r – ставка дисконтирования.

Если NPV > 0, то проект прибыльный (его следует принять).

Если NPV < 0, то проект убыточный (его следует отвергнуть).

Если NPV = 0, то проект ни прибыльный и ни убыточный.

При сравнении нескольких проектов принимается тот из них, который имеет наибольшее значение NPV, если только оно положительное.

Для систем защиты информации значение ,

где – уровень снижения риска за -й период при внедрении СЗИ;

– постоянные затраты за -й период при внедрении СЗИ.

соответствуют единовременным затратам на внедрение СЗИ.

При расчете ставки дисконтирования берут либо ставку рефинансирования ЦБ РФ (13 %) без учета рисков внедрения проекта, либо, если риски учитываются, то для ИТ рынка на внедрение проекта часто берут 30%.

Индекс рентабельности (PI)

Индекс рентабельности рассчитывается по следующей формуле:

,

где CF0 – начальные инвестиции.

Если PI > 1 то проект следует принять.

Если PI < 1 то проект следует отвергнуть.

Если PI=1, то проект является ни прибыльным и ни убыточным.

В отличие от NPV индекс рентабельности является относительным показателем. Он характеризует уровень доходов на единицу затрат, то есть эффективность вложений – чем больше значение этого показателя, тем выше отдача каждого рубля, инвестированного в данный проект.

Благодаря этому, критерий PI очень удобен при выборе одного проекта из ряда альтернативных, имеющих примерно одинаковые значения NPV, но разные объемы требуемых инвестиций. В данном случае необходимо выбирать проект, обеспечивающий больную эффективность вложений.

СТРУКТУРА РАЗДЕЛА
«ЭКОНОМИКА ЗАЩИТЫ ИНФОРМАЦИИ»

Раздел дипломного проекта «Экономика защиты информации» должен включать в себя следующие основные части.

1. Характеристика информационной системы (системы защиты информации), согласованной с научным руководителем. В данном разделе должны быть представлены все основные характеристики, влияющие на расчет совокупной стоимости владения информационной системой (пользовательские роли, количество персонала для каждой из ролей, выполняемые функции, количество работающего в информационной системе персонала, количество ПК, используемая сетевая топология, планы помещений и т.д.).

2. Расчет единовременных и постоянных затрат I и II групп.

3. Расчет коэффициентов NPV и PI.

4. Выводы, в которых обосновывается экономическая эффективность от использования информационной системы (системы защиты информации).

Расчет затрат необходимо свести в следующие таблицы.

Табл. 1. Оборудование и программное обеспечение

№ п/п Наименование Количество единиц Стоимость единицы, руб.
Лицензия на использование ISS Server Sensor xxxxx.xx
Сервер 1800 Мгц/120/512/ СD-ROM/ ……… xxxxxxx.xx
ИТОГО xxxxxxx.xx

Табл. 2. Заработная плата (необходимо рассчитать по каждой из
функций, для которой TCO рассчитывается через зарплату)

№ п/п Наименование статьи затрат Сумма, руб.
Затраты на введение системы в эксплуатацию
Основная заработная плата
Дополнительная заработная плата
Начисления на зарплату 5382,72
Накладные расходы
  Итого 24702,72
Разработка ОРД
...

Табл. 3. Прочие расходы

№ п/п Наименование статьи затрат Сумма, руб.
Затраты на введение системы в эксплуатацию
Услуги связи ххххх
Обучение персонала ххххх
Расходные материалы ххххх
Электроэнергия ххххх
  ИТОГО ххххххх

Табл. 4. Общие затраты

№ п/п Наименование статьи затрат Значение, руб.
Оборудование и программное обеспечение
Заработная плата
Прочие расходы
  ИТОГО

ПРИМЕР ОФОРМЛЕНИЯ РАЗДЕЛА

ЭКОНОМИКА ЗАЩИТЫ ИНФОРМАЦИИ

Наши рекомендации