Выбор и обоснование методики расчёта экономической эффективности
Исходной посылкой при экономической эффективности является почти очевидное предположение: с одной стороны, при нарушении защищенности информации наносится некоторый ущерб, с другой - обеспечение защиты информации сопряжено с расходованием средств. Полная ожидаемая стоимость защиты может быть выражена суммой расходов на защиту и потерь от ее нарушения.
Очевидно, что оптимальным решением было бы выделение на защиту информации средств, минимизирующих общую стоимость работ по защите информации.
Также очевидно, что экономическая эффективность мероприятий по защите информации может быть определена, через объем предотвращенного ущерба или величину снижения риска для информационных активов организации.
Для того чтобы воспользоваться данным подходом к решению проблемы, необходимо знать (или уметь определять),
· во-первых, ожидаемые потери при нарушении защищенности информации;
· во-вторых, зависимость между уровнем защищенности и средствами, затрачиваемыми на защиту информации.
Для определения уровня затрат Ri„ обеспечивающих требуемый уровень защищенности информации, необходимо по крайней мере знать:
· во-первых, полный перечень угроз информации;
· во-вторых, потенциальную опасность для информации для каждой из угроз;
· в-третьих, размеры затрат, необходимых для нейтрализации каждой из угроз.
Поскольку оптимальное решение вопроса о целесообразном уровне затрат на защиту состоит в том, что этот уровень должен быть равен уровню ожидаемых потерь при нарушении защищенности,достаточно определить только уровень потерь. В качестве одной из методик определения уровня затрат возможно использование следующей эмпирической зависимости ожидаемых потерь (рисков) от i-й угрозы информации:
Ri = 10(Si + Vi – 4),
где:
Si – коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы;
Vi – коэффициент, характеризующий значение возможного ущерба при ее возникновении. При выполнении дипломного проекта рекомендуется использовать следующие значения коэффициентов SiиVi, приведенные в таблице 12
Таблица 12
Значения коэффициентов SiиVi
Ожидаемая (возможная) частота появления угрозы | Предполагаемое значение Si |
Почти никогда | |
1 раз в 1 000 лет | |
1 раз в 100 лет | |
1 раз в 10 лет | |
1 раз в год | |
1 раз в месяц (примерно, 10 раз в год) | |
1-2 раза в неделю (примерно 100 раз в год) | |
3 раза в день (1000 раз в год) | |
Значение возможного ущерба при проявлении угрозы, руб. | Предполагаемое значение Vi |
3 000 | |
30 000 | |
300 000 | |
3 000 000 | |
30 000 000 | |
300 000 000 |
Суммарная стоимость потерь определяется формулой
R=
где N – количество угроз информационным активам, определенных в п.1.2.3.
Данный пункт должен содержать:
а) обоснование выбора методики оценки экономической эффективности;
б) описание методики;
в) результаты расчетов, представленные в таблице 13 и содержащие:
· величины потерь (рисков) для критичных информационных ресурсов;
· суммарную величину потерь
При расчете суммарного показателя рекомендуется принять, что угрозы конфиденциальности, целостности и доступности реализуются нарушителем независимо. То есть, если в результате действий нарушителя была нарушена целостность информации, предполагается, что её содержание по-прежнему остается ему неизвестным (конфиденциальность не нарушена), а авторизованные пользователи по-прежнему имеют доступ к активам, пусть и искаженным.
Таблица 13
Величины потерь (рисков) для критичных информационных ресурсов
до внедрения/модернизации системы защиты информации
Актив | Угроза | Величина потерь (тыс.руб.) |
Суммарная величина потерь |
3.2 Расчёт показателей экономической эффективности проекта
Риск владельца информации зависит от уровня инженерно-технической защиты информации, который, в свою очередь, определяется ресурсами системы.
Ресурс может быть определен в виде количества людей, привлекаемых к защите информации, в виде инженерных конструкций и технических средств, применяемых для защиты, денежных сумм для оплаты труда людей, строительства, разработки и покупки технических средств, их эксплуатации и других расходов.
Наиболее общей формой представления ресурса является денежная мера.
Ресурс, выделяемый на защиту информации, может иметь разовый и постоянный характер.
Разовый ресурс расходуется на закупку, установку и наладку дорогостоящей техники.
Постоянный ресурс — на заработную плату сотрудникам службы безопасности и поддержание определенного уровня безопасности, прежде всего, путем эксплуатации технических средств и контроля эффективности защиты.
Таким образом, для определения экономической эффективности системы защиты информации предприятия необходимы следующие данные (показатели):
· расходы (выделенные ресурсы) на создание/модернизацию данной системы и поддержание её в работоспособном состоянии;
· величины потерь (рисков), обусловленных угрозами информационным активам после внедрения/модернизации системы защиты информации;
Данный пункт должен содержать
а) данные о содержании и объеме разового ресурса, выделяемого на защиту информации (таблица 14);
б) данные о содержании и объеме постоянного ресурса, выделяемого на защиту информации (таблица 15);
Таблица 14
Содержание и объем разового ресурса, выделяемого на защиту информации
Организационные мероприятия | ||||
№ п\п | Выполняемые действия | Среднечасовая зарплата специалиста (руб.) | Трудоемкость операции (чел.час) | Стоимость, всего (тыс.руб.) |
Стоимость проведения организационных мероприятий, всего | ||||
Мероприятия инженерно-технической защиты | ||||
№ п/п | Номенклатура ПиАСИБ, расходных материалов | Стоимость, единицы (тыс.руб) | Кол-во (ед.измерения) | Стоимость, всего (тыс.руб.) |
Стоимость проведения мероприятий инженерно-технической защиты | ||||
Объем разового ресурса, выделяемого на защиту информации |
Таблица 15
Содержание и объем постоянного ресурса, выделяемого на защиту информации
Организационные мероприятия | ||||
№ п\п | Выполняемые действия | Среднечасовая зарплата специалиста (руб.) | Трудоемкость операции (чел.час) | Стоимость, всего (тыс.руб.) |
Стоимость проведения организационных мероприятий, всего | ||||
Мероприятия инженерно-технической защиты | ||||
№ п/п | Номенклатура ПиАСИБ, расходных материалов | Стоимость, единицы (тыс.руб) | Кол-во (ед.измерения) | Стоимость, всего (тыс.руб.) |
Стоимость проведения мероприятий инженерно-технической защиты | ||||
Объем постоянного ресурса, выделяемого на защиту информации |
в) суммарное значение ресурса выделяемого на защиту информации
г) выводы о степени экономической эффективности системы защиты информации, сделанные после сравнения объема выделенного ресурса и рассчитанной величины ущерба. Поскольку совпадение данных величин маловероятно, пояснить, в каком случае имеет место «приемлемый риск», а в каком «избыточная защита» с обязательной детализацией активов, угроз и уязвимостей.
д) расчет времени окупаемости внедряемой/модернизируемой системы защиты информации, выполненный аналитическим и графическим способом.
Для проведения расчета необходимо получить прогнозируемые данные о величине потерь (рисков) для критичных информационных ресурсов после внедрения/модернизации системы защиты информации. Результаты формируются по результатам экспертного опроса и вносятся в таблицу 16.
Таблица 16
Величины потерь (рисков) для критичных информационных ресурсов
после внедрения/модернизации системы защиты информации
Актив | Угроза | Величина потерь (тыс.руб.) |
Суммарная величина потерь |
Также необходимо оценить динамику величин потерь за период не менее 1 года и внести данные в таблицу 17
Таблица 17
Оценка динамики величин потерь
1 кв. | 2 кв. | 3 кв. | 1 год | 1 кв. | 2 кв. | 3 кв. | 2 год | |
До внедрения СЗИ | ||||||||
После внедрения СЗИ | ||||||||
Снижение потерь |
Пример
Пусть
а) суммарное значение ресурса, (R∑)выделенного на защиту информации, составило 500 тысяч рублей;
б) объем среднегодовых потерь компании (Rср)из-за инцидентов информационной безопасности составлял 400 тыс. рублей;
в) прогнозируемый ежегодный объем потерь (Rпрогн)составит 100 тыс. рублей
г) динамика потерь представлена в таблице.
Оценка динамики величин потерь
1 кв. | 2 кв. | 3 кв. | 1 год | 1 кв. | 2 кв. | 3 кв. | 2 год | |
До внедрения СЗИ | ||||||||
После внедрения СЗИ | ||||||||
Снижение потерь |
После принятия обязательных допущений о неизменности частоты появления угроз, а также о неизменном уровне надежности созданной системы защиты информации возможно определить срок окупаемости системы (Ток). Это выполняется аналитическим способом, с использованием приведенной ниже формулы:
Ток = R∑ / (Rср – Rпрогн)
и графическим, как это представлено на рис. 10.
Рис. 10.Динамика потерь