3.5 Расчет экономической эффективности внедрения системы физической защиты информации
При нарушении целостности и защиты информации не только наносится моральный и материальный ущерб, но и обеспечение защиты информации связано с расходами. Следовательно, ожидаемая общая стоимость защиты может быть выражена как сумма затрат на защиту и убытков, возникающих в результате ее нарушения.
|
(3.1) |
Очевидно, что оптимальным решением будет выделение средств на защиту информации, минимизирующее общую стоимость работ по защите информации, а экономическое обоснование мероприятий по защите информации можно определить по величине предотвращенного ущерба или по величине снижения риска для информационных активов.
Чтобы использовать такой подход к решению задачи, необходимо знать:
ожидаемые потери в случае нарушения информационной безопасности;
взаимосвязь между уровнем безопасности и средствами, затрачиваемыми на защиту информации.
Для
определения уровня затрат
,
обеспечивающих требуемый уровень защиты
информации, необходимо знать:
полный перечень информационных угроз;
потенциальная информационная опасность по каждой из угроз;
объем затрат, необходимых для нейтрализации каждой из угроз.
Поскольку оптимальное решение вопроса о рациональном уровне затрат на защиту заключается в том, что этот уровень должен быть равен уровню ожидаемых потерь в случае нарушения безопасности, достаточно определить уровень потерь. Применим эмпирическую зависимость ожидаемых потерь (рисков) от i-й информационной угрозы:
|
(3.2) |
где:
— коэффициент,
характеризующий возможную частоту
возникновения угрозы;
— коэффициент,
характеризующий величину возможного
ущерба при возникновении угрозы.
Значения коэффициентов и приведены в таблице 3.3
Таблица 3.3 — Значения коэффициентов и
Ожидаемая (возможная) частота появления угрозы |
Предполагаемое значение |
Почти никогда |
0 |
1 раз в 1 000 лет |
1 |
1 раз в 100 лет |
2 |
1 раз в 10 лет |
3 |
1 раз в год |
4 |
1 раз в месяц (примерно, 10 раз в год) |
5 |
1-2 раза в неделю (примерно 100 раз в год) |
6 |
3 раза в день (1000 раз в год) |
7 |
Значение возможного ущерба при проявлении угрозы, руб. |
Предполагаемое значение |
30 |
0 |
300 |
1 |
3 000 |
2 |
30 000 |
3 |
300 000 |
4 |
3 000 000 |
5 |
30 000 000 |
6 |
300 000 000 |
7 |
Предполагаем, что угрозы конфиденциальности, рациональности и доступности реализуются правонарушителем самостоятельно. То есть, если в результате действий правонарушителя была нарушена рациональность информации, предполагается, что ее содержание до сих пор ему неизвестно (конфиденциальность не нарушена) и авторизованные пользователи по-прежнему имеют доступ к информации, пусть и искаженной. Уровень надежности формируемой системы защиты информации принимаем неизменным.
Рассчитываем потери для критически важных информационных активов до внедрения/модернизации системы защиты информации в таблице 3.4.
Таблица 3.4 Потери критических информационных ресурсов до внедрения/обновления системы защиты информации
Актив |
Угроза |
Величина потерь (тыс.руб.) |
Клиентская база данных |
Кража сетевых данных путем доступа к ПК, сети и базе данных с использованием чужого пароля |
300 |
Клиентская база данных |
Копирование, редактирование и удаление информации |
300 |
Персональные данные сотрудников |
Кража данных в сети путем доступа к ПК, сети и базе данных с чужим паролем |
300 |
Персональные данные сотрудников |
Копирование, редактирование и удаление информации |
300 |
Информация об установленном оборудовании |
Кража данных в сети путем доступа к ПК, сети и базе данных с чужим паролем |
300 |
Информация об установленном оборудовании |
Копирование, редактирование и удаление информации |
300 |
Суммарная величина потерь |
1800 |
|
Таблица 3.5 — Содержание и объем единовременного ресурса, который выделяется на защиту информации
Организационные мероприятия |
|||||
№ п\п |
Выполняемые действия |
Среднечасовая зарплата специалиста (руб.) |
Трудоемкость операции (чел.час) |
Стоимость, всего (тыс.руб.) |
|
1 |
Установка программно-аппаратных систем защиты |
100 |
200 |
20 |
|
2 |
Настройка программ защиты |
100 |
40 |
4 |
|
3 |
Настройка сетевых экранов |
100 |
70 |
7 |
|
Всего |
31 |
||||
Продолжение таблицы 3.5
Мероприятия инженерно-технической защиты |
|||||
№ п/п |
Номенклатура средств защиты информации |
Стоимость, единицы (тыс.руб) |
Кол-во (единиц) |
Стоимость, всего (тыс.руб.) |
|
1 |
Установка IP камер Evidence |
10 |
36 |
360 |
|
2 |
Установка ПО Macroscop |
30 |
1 |
30 |
|
3 |
Организация системы охранно-пропускного режима |
50 |
1 |
50 |
|
Всего |
440 |
||||
Всего |
471 |
||||
Таблица 3.6 — Содержание и объем ресурса постоянно выделяемого на защиту информации
Организационные мероприятия |
|||
Выполняемые действия |
Среднечасовая зарплата специалиста (руб.) |
Трудоемкость операции (чел.час) |
Стоимость, всего (тыс.руб.) |
Работа комиссии по аттестации объектов |
120 |
200 |
24 |
Разграничение допуска к информационным ресурсам |
120 |
50 |
6 |
Уничтожение бумажных отходов |
120 |
300 |
36 |
Обслуживание систем информатизации |
120 |
500 |
60 |
Контроль журналов доступа |
120 |
400 |
48 |
Всего |
174 |
||
Мероприятия инженерно-технической защиты |
|||
Номенклатура ПиАСИБ, расходных материалов |
Стоимость, единицы (тыс.руб) |
Кол-во (ед.измерения) |
Стоимость, всего (тыс.руб.) |
Поддержание работоспособности программного обеспечения |
300 |
3 |
900 |
Продолжение таблицы 3.6
Мероприятия инженерно-технической защиты |
|||
Номенклатура ПиАСИБ, расходных материалов |
Стоимость, единицы (тыс.руб) |
Кол-во (ед.измерения) |
Стоимость, всего (тыс.руб.) |
Работа охранно-пропускного режима |
500 |
1 |
500 |
Обновление программно-аппаратного обеспечения |
100 |
1 |
100 |
Всего |
1500 |
||
Всего |
1674 |
||
Вычислим суммарное значение ресурса выделяемого на защиту информации:
Объем
среднегодовых потерь компании (
)
из-за инцидентов безопасности 1800 тыс.
рублей.
Получены прогнозируемые данные о величине потерь для критических информационных ресурсов. Итоги экспертного опроса внесены в таблицу 3.5.
Таблица 3.7 Потери критических информационных ресурсов после внедрения/обновления системы защиты информации
Актив |
Угроза |
Величина потерь (тыс.руб.) |
Клиентская база данных |
Кража сетевых данных путем доступа к ПК, сети и базе данных с использованием чужого пароля |
300 |
Клиентская база данных |
Копирование, редактирование и удаление информации |
300 |
Персональные данные сотрудников |
Кража данных в сети путем доступа к ПК, сети и базе данных с чужим паролем |
300 |
Персональные данные сотрудников |
Копирование, редактирование и удаление информации |
300 |
Продолжение таблицы 3.7
Актив |
Угроза |
Величина потерь (тыс.руб.) |
Информация об установленном оборудовании |
Кража данных в сети путем доступа к ПК, сети и базе данных с чужим паролем |
300 |
Информация об установленном оборудовании |
Копирование, редактирование и удаление информации |
300 |
Суммарная величина потерь |
1800 |
|
Прогнозируемый
ежегодный объем потерь (
)
составит 180 тыс. рублей.
Оценим динамику величин потерь за период не менее 1 года (таблица 3.6).
Таблица 3.8 — Оценка динамики величин потерь
|
1 кв. |
2 кв. |
3 кв. |
1 год |
1 кв. |
2 кв. |
3 кв. |
2 год |
До внедрения СЗИ |
450 |
900 |
1350 |
1800 |
2250 |
2700 |
3150 |
3600 |
После внедрения СЗИ |
45 |
90 |
135 |
180 |
225 |
270 |
315 |
360 |
Снижение потерь |
405 |
810 |
1215 |
1620 |
2025 |
2430 |
2835 |
3240 |
Определим
срок окупаемости системы (
).
Это результат аналитического метода,
с применением формулы:
|
(3.3) |
Графически это представлено на рисунке 3.5.
Рисунок 3.5 — Динамика потерь
Экономическая эффективность системы защиты информации достаточно высока. Практически во всех случаях защиты активов имеет приемлемый риск. Можно говорить об избыточной степени защиты информации в отношении активной информации об установленном оборудовании и угрозах кражи данных сети по пути доступа к ПК, сети и БД по чужим паролям. Реальная вероятность угрозы меньше.