Оценка экономической эффективности проекта
Экономическая эффективность мероприятий по защите информации может быть определена через объем предотвращенного ущерба или величину снижения риска для информационных активов организации.
Для того, чтобы воспользоваться данным подходом к решению проблемы, необходимо знать (или уметь определять), во-первых, ожидаемые потери при нарушении защищенности информации; во-вторых, зависимость между уровнем защищенности и средствами, затрачиваемыми на защиту информации.
Для определения уровня затрат обеспечивающих требуемый уровень защищенности информации, необходимо по крайней мере знать:
1) полный перечень угроз информации;
2) потенциальную опасность для информации для каждой из угроз;
3) размеры затрат, необходимых для нейтрализации каждой из угроз.
Поскольку оптимальное решение вопроса о целесообразном уровне затрат на защиту состоит в том, что этот уровень должен быть равен уровню ожидаемых потерь при нарушении защищенности, достаточно определить только уровень потерь. В качестве одной из методик определения уровня затрат возможно использование следующей эмпирической зависимости ожидаемых потерь (рисков) от i-й угрозы информации (1):
(1) |
где: – коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы;
– коэффициент, характеризующий значение возможного ущерба при ее возникновении. При выполнении дипломного проекта используем следующие значения коэффициентов и , приведенные в таблице (таблица 6).
Таблица 1
Значения коэффициентов Si и Vi
Ожидаемая (возможная) частота появления угрозы | Предполагаемое значение |
Почти никогда | |
1 раз в 1 000 лет | |
1 раз в 100 лет | |
1 раз в 10 лет | |
1 раз в год | |
1 раз в месяц (примерно, 10 раз в год) | |
1-2 раза в неделю (примерно 100 раз в год) | |
3 раза в день (1000 раз в год) | |
Значение возможного ущерба при проявлении угрозы, руб. | Предполагаемое значение |
3 000 | |
30 000 | |
300 000 | |
3 000 000 | |
30 000 000 | |
300 000 000 |
|
Суммарная стоимость потерь определяется формулой (2):
(2) |
где N – количество угроз информационным активам.
Оценим потери от угроз:
- угрозы, обусловленные преднамеренными действиями;
- угрозы, обусловленные случайными действиями;
- угрозы, обусловленные естественными причинами (природные, техногенные факторы).
Определим значения коэффициентов Si и Vi для информационных активов компании (таблица 2).
Таблица 2
Значения коэффициентов Si и Vi
Актив | Угроза | Si | Vi |
Персональные данные сотрудников | Несанкционированное использование носителей данных | ||
Ошибка обслуживающего персонала | |||
Нелегальное проникновение злоумышленника под видом санкционированных пользователей | |||
Доступ несанкционированных пользователей к сети | |||
Перехват информации за пределами контролируемой зоны | |||
Ненадлежащее использование ресурсов | |||
Утрата ключей и атрибутов доступа | |||
Ухудшение состояния носителей данных | |||
ЭМИ | |||
Финансовая документация | Несанкционированное использование носителей данных | ||
Ошибка обслуживающего персонала | |||
Нелегальное проникновение злоумышленника под видом санкционированных пользователей | |||
Доступ несанкционированных пользователей к сети | |||
Перехват информации за пределами контролируемой зоны | |||
Ненадлежащее использование ресурсов | |||
Утрата ключей и атрибутов доступа | |||
Ухудшение состояния носителей данных | |||
Электромагнитное излучение | |||
Сведения, составляющие коммерческую тайну | Несанкционированное использование носителей данных | ||
Ошибка обслуживающего персонала | |||
Нелегальное проникновение злоумышленника под видом санкционированных пользователей | |||
Доступ несанкционированных пользователей к сети | |||
Перехват информации за пределами контролируемой зоны | |||
Ненадлежащее использование ресурсов | |||
Утрата ключей и атрибутов доступа | |||
Ухудшение состояния носителей данных | |||
Электромагнитное излучение |
|
Оценка потерь от угроз информационным активам представлена в таблице 3.
Таблица 3
Величины потерь (рисков) для критичных информационных ресурсов до внедрения/модернизации системы защиты информации
Актив | Угроза | Величина потерь (тыс.руб.) |
Сведения, составляющие коммерческую тайну | Несанкционированное использование носителей данных | |
Ошибка обслуживающего персонала | ||
Нелегальное проникновение злоумышленника под видом санкционированных пользователей | ||
Доступ несанкционированных пользователей к сети | ||
Перехват информации за пределами контролируемой зоны | ||
Ненадлежащее использование ресурсов | ||
Утрата ключей и атрибутов доступа | 0,1 | |
Ухудшение состояния носителей данных | 0,01 | |
Электромагнитное излучение | ||
Финансовая документация | Несанкционированное использование носителей данных | |
Ошибка обслуживающего персонала | ||
Нелегальное проникновение злоумышленника под видом санкционированных пользователей | ||
Доступ несанкционированных пользователей к сети | ||
Перехват информации за пределами контролируемой зоны | ||
Ненадлежащее использование ресурсов | ||
Утрата ключей и атрибутов доступа | 0,1 | |
Ухудшение состояния носителей данных | 0,01 | |
Электромагнитное излучение | ||
Персональные данные сотрудников | Несанкционированное использование носителей данных | |
Ошибка обслуживающего персонала | ||
Нелегальное проникновение злоумышленника под видом санкционированных пользователей | ||
Доступ несанкционированных пользователей к сети | ||
Перехват информации за пределами контролируемой зоны | ||
Ненадлежащее использование ресурсов | ||
Утрата ключей и атрибутов доступа | 0,1 | |
Ухудшение состояния носителей данных | 0,01 | |
Электромагнитное излучение | ||
Итого | 696,330 |
|
После внедрения, частоты появления угроз изменятся (таблица 4). При этом ожидаемые потери от угроз останутся на прежнем уровне.
Таблица 4
Содержание и объем разового ресурса, выделяемого на защиту информации
Организационные мероприятия | ||||
№ п\п | Выполняемые действия | Среднечасовая зарплата специалиста (руб.) | Трудоемкость операции (чел.час) | Стоимость, всего (тыс.руб.) |
Обследование объекта и обоснование необходимости создания ПиАСИБ | ||||
Постановка целей и задач ПиАСИБ | ||||
Проектирование системы. Общие положения | ||||
Согласование и утверждение проекта | 0,5 | |||
Подбор оборудования, поиск поставщика, запрос коммерческого предложения | ||||
Составление заявки для согласования по стоимости оборудования\работ | 0,5 | |||
реализация проекта | ||||
Ввод в эксплуатацию\тестирование | ||||
Составление документации\регламента для пользователей системы | ||||
Составление отчета о проделанной работе | ||||
Стоимость проведения организационных мероприятий, всего | ||||
Мероприятия инженерно-технической защиты | ||||
№ п/п | Номенклатура ПиАСИБ, расходных материалов | Стоимость, единицы (тыс.руб) | Кол-во (ед.измерения) | Стоимость, всего (тыс.руб.) |
ПО «RusGuard» | ||||
Сетевой контроллер ACS-102 | 11 990 | |||
Proxy-считыватель | ||||
Брелок\карта | ||||
Стоимость каждого дополнительного рабочего места (компьютера). | ||||
Компьютер АРМ с монитором (350 вт) | ||||
электромагнитный замок | 1 342 | |||
доводчик двери | 2 222 | |||
Кабель парной скрутки U/UTP4-Cat 5e | ||||
Кнопка "Выход" | ||||
Монтаж, настройка СКУД | ||||
Стоимость проведения мероприятий инженерно-технической защиты | ||||
Объем разового ресурса, выделяемого на защиту информации |
Таблица 5
Содержание и объем постоянного ресурса, выделяемого на защиту информации
Организационные мероприятия | ||||
№ п\п | Выполняемые действия | Среднечасовая зарплата специалиста (руб.) | Трудоемкость операции (чел.час) | Стоимость, всего (тыс.руб.) |
проверка системы | 1,5 | |||
создание резервной копии БД | ||||
администрирование пользователей | ||||
Стоимость проведения организационных мероприятий, всего | ||||
Мероприятия инженерно-технической защиты | ||||
№ п/п | Номенклатура ПиАСИБ, расходных материалов | Стоимость, единицы (руб) | Кол-во (ед.измерения) | Стоимость, всего (тыс.руб.) |
смазка для замков | ||||
Стоимость проведения мероприятий инженерно-технической защиты | ||||
Объем постоянного ресурса, выделяемого на защиту информации |
Таблица 6
Величины потерь (рисков) для критичных информационных ресурсов
после внедрения/модернизации системы защиты информации
Актив | Угроза | Величина потерь (тыс.руб.) |
Сведения, составляющие коммерческую тайну | Несанкционированное использование носителей данных | |
Ошибка обслуживающего персонала | ||
Нелегальное проникновение злоумышленника под видом санкционированных пользователей | 0,1 | |
Доступ несанкционированных пользователей к сети | 0,1 | |
Перехват информации за пределами контролируемой зоны | ||
Ненадлежащее использование ресурсов | ||
Утрата ключей и атрибутов доступа | 0,1 | |
Ухудшение состояния носителей данных | 0,01 | |
Электромагнитное излучение | ||
Финансовая документация | Несанкционированное использование носителей данных | |
Ошибка обслуживающего персонала | ||
Нелегальное проникновение злоумышленника под видом санкционированных пользователей | 0,1 | |
Доступ несанкционированных пользователей к сети | 0,1 | |
Перехват информации за пределами контролируемой зоны | ||
Продолжение таблицы 7 | ||
Финансовая документация | Ненадлежащее использование ресурсов | |
Утрата ключей и атрибутов доступа | 0,1 | |
Ухудшение состояния носителей данных | 0,01 | |
Электромагнитное излучение | ||
Актив | Угроза | Величина потерь (тыс.руб.) |
Персональные данные сотрудников и клиентов | Несанкционированное использование носителей данных | |
Ошибка обслуживающего персонала | ||
Нелегальное проникновение злоумышленника под видом санкционированных пользователей | 0,1 | |
Доступ несанкционированных пользователей к сети | 0,1 | |
Перехват информации за пределами контролируемой зоны | ||
Ненадлежащее использование ресурсов | ||
Утрата ключей и атрибутов доступа | 0,1 | |
Ухудшение состояния носителей данных | 0,01 | |
Электромагнитное излучение | ||
Итого | 337,200 |