Расчёт показателей экономической эффективности проекта
Риск владельца информации зависит от уровня инженерно-технической защиты информации, который, в свою очередь, определяется ресурсами системы.
Ресурс может быть определен в виде количества людей, привлекаемых к защите информации, в виде инженерных конструкций и технических средств, применяемых для защиты, денежных сумм для оплаты труда людей, строительства, разработки и покупки технических средств, их эксплуатации и других расходов.
Наиболее общей формой представления ресурса является денежная мера.
Ресурс, выделяемый на защиту информации, может иметь разовый и постоянный характер.
Разовый ресурс расходуется на закупку, установку и наладку дорогостоящей техники.
Постоянный ресурс — на заработную плату сотрудникам службы безопасности и поддержание определенного уровня безопасности, прежде всего, путем эксплуатации технических средств и контроля эффективности защиты.
Таким образом, для определения экономической эффективности системы защиты информации предприятия необходимы следующие данные (показатели):
· расходы (выделенные ресурсы) на создание/модернизацию данной системы и поддержание её в работоспособном состоянии;
· величины потерь (рисков), обусловленных угрозами информационным активам после внедрения/модернизации системы защиты информации;
Данный пункт должен содержать
а) данные о содержании и объеме разового ресурса, выделяемого на защиту информации (таблица 14);
|
|
б) данные о содержании и объеме постоянного ресурса, выделяемого на защиту информации (таблица 15);
Таблица 14
Содержание и объем разового ресурса, выделяемого на защиту информации
Организационные мероприятия | ||||
№ п\п | Выполняемые действия | Среднечасовая зарплата специалиста (руб.) | Трудоемкость операции (чел.час) | Стоимость, всего (тыс.руб.) |
Стоимость проведения организационных мероприятий, всего | ||||
| ||||
Мероприятия инженерно-технической защиты | ||||
№ п/п | Номенклатура ПиАСИБ, расходных материалов | Стоимость, единицы (тыс.руб) | Кол-во (ед.измерения) | Стоимость, всего (тыс.руб.) |
Стоимость проведения мероприятий инженерно-технической защиты | ||||
Объем разового ресурса, выделяемого на защиту информации |
Таблица 15
Содержание и объем постоянного ресурса, выделяемого на защиту информации
|
|
Организационные мероприятия | ||||
№ п\п | Выполняемые действия | Среднечасовая зарплата специалиста (руб.) | Трудоемкость операции (чел.час) | Стоимость, всего (тыс.руб.) |
Стоимость проведения организационных мероприятий, всего | ||||
| ||||
Мероприятия инженерно-технической защиты | ||||
№ п/п | Номенклатура ПиАСИБ, расходных материалов | Стоимость, единицы (тыс.руб) | Кол-во (ед.измерения) | Стоимость, всего (тыс.руб.) |
Стоимость проведения мероприятий инженерно-технической защиты | ||||
Объем постоянного ресурса, выделяемого на защиту информации |
в) суммарное значение ресурса выделяемого на защиту информации
г) выводы о степени экономической эффективности системы защиты информации, сделанные после сравнения объема выделенного ресурса и рассчитанной величины ущерба. Поскольку совпадение данных величин маловероятно, пояснить, в каком случае имеет место «приемлемый риск», а в каком «избыточная защита» с обязательной детализацией активов, угроз и уязвимостей.
|
|
д) расчет времени окупаемости внедряемой/модернизируемой системы защиты информации, выполненный аналитическим и графическим способом.
Для проведения расчета необходимо получить прогнозируемые данные о величине потерь (рисков) для критичных информационных ресурсов после внедрения/модернизации системы защиты информации. Результаты формируются по результатам экспертного опроса и вносятся в таблицу 16.
Таблица 16
Величины потерь (рисков) для критичных информационных ресурсов
после внедрения/модернизации системы защиты информации
Актив | Угроза | Величина потерь (тыс.руб.) |
Суммарная величина потерь |
Также необходимо оценить динамику величин потерь за период не менее 1 года и внести данные в таблицу 17
Таблица 17
Оценка динамики величин потерь
1 кв. | 2 кв. | 3 кв. | 1 год | 1 кв. | 2 кв. | 3 кв. | 2 год | |||
До внедрения СЗИ |
|
|
|
|
|
|
|
| ||
После внедрения СЗИ |
|
|
|
|
|
|
|
| ||
Снижение потерь
|
|
|
|
|
|
|
|
|
Пример
Пусть
а) суммарное значение ресурса, (R∑)выделенного на защиту информации, составило 500 тысяч рублей;
б) объем среднегодовых потерь компании (Rср)из-за инцидентов информационной безопасности составлял 400 тыс. рублей;
в) прогнозируемый ежегодный объем потерь (Rпрогн)составит 100 тыс. рублей
г) динамика потерь представлена в таблице 18.
Таблица 18
Оценка динамики величин потерь
1 кв. | 2 кв. | 3 кв. | 1 год | 1 кв. | 2 кв. | 3 кв. | 2 год | |
До внедрения СЗИ | 100 | 200 | 300 | 400 | 500 | 600 | 700 | 800 |
После внедрения СЗИ | 25 | 50 | 75 | 100 | 125 | 150 | 175 | 200 |
Снижение потерь | 75 | 150 | 225 | 300 | 375 | 450 | 525 | 600 |
После принятия обязательных допущений о неизменности частоты появления угроз, а также о неизменном уровне надежности созданной системы защиты информации возможно определить срок окупаемости системы (Ток). Это выполняется аналитическим способом, с использованием приведенной ниже формулы:
Ток = R∑ / ( Rср – Rпрогн)
и графическим, как это представлено на рис. 10.
Рисунок 10. Динамика потерь
Дата добавления: 2019-11-16; просмотров: 939; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!