Повышение эффективности системы управления информационной безопасностью в корпоративных информационных системах. Разработка структуры процесса классификации объектов защиты и составляющих его процедур; требования к архитектуре программного обеспечения.
Аннотация к работе
4.2 Охрана окружающей среды 4.2.1 Современные методы утилизации и переработки ТБО 4.2.2 Канализация и сточные воды 4.2.3 Очистка бытовых сточных вод 4.3 Охрана труда и производственной безопасностиВ данном разделе приводится описание подходов к классификации объектов защиты, описанных в международных и национальных стандартах в области информационной безопасности, а также подходов к классификации объектов защиты, применяемых коммерческими организациями.Классификация объектов защиты КИС коммерческих организаций - это процесс, направленный на: выявление активов, представляющих ценность для организации, и их последующая защита; Исходя из описанных выше целей, для оценки рассматриваемых подходов к классификации объектов защиты, будем использовать следующие качественные показатели: полнота описания процесса и составляющих его процедур - деятельность по классификации объектов защиты должна рассматриваться в качестве единого процесса с выделенными процедурами, должны быть предъявлены требования к реализации процесса и составляющих его процедур; однозначность используемого классификационного признака (критериев классификации объектов защиты) - в подходе должны быть явно определены классификационные признаки, используемые при категорировании объектов защиты; однозначность выделенных классов объектов защиты - в подходе должен быть однозначно определен перечень классов объектов защиты или описан порядок и принципы его формирования в соответствии с используемым классификационным признаком, должны быть определены виды информации, наиболее вероятно принадлежащие тому или иному классу;Национальные и зарубежные стандарты по информационной безопасности являются основой для организации защиты информации в коммерческих организациях, так как данные стандарты реализуют требования законодательства и вбирают лучшие мировые и национальные практики в области информационной безопасности. Рассмотрим подходы к классификации объектов защиты, описанные в следующих стандартах: ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью» предназначен для [1] обеспечения общих основ для разработки стандартов безопасности и выбора практических мероприятий по управлению безопасностью в организации. Стандарт содержит рекомендации по проектированию систем управления ИБ, в том числе по организации процесса классификации объектов защиты. В качестве объекта защиты в стандарте рассматриваются активы предприятия, в том числе информация (информационные активы).Процесс классификации объектов защиты описан в стандартах NIST: NIST SP 800-30 «Guide for Conducting Risk Assessments» («Руководство по управлению рисками»); В стандарте используется понятие «сведения, относящиеся к информационным системам», таким образом, в качестве объектов защиты рассматриваются информационные активы, ПО, оборудование, объекты физического окружения и персонал. В стандарте описаны около 60 типов информации; [3] проведено категорирования каждого типа информации по требованиям конфиденциальности, целостности и доступности, при этом в стандарте допускаются и описаны частные случаи. В результате проведенного анализа, была дана следующая характеристика подхода к классификации объектов защиты: полнота описания процесса и составляющих его процедур: низкая (процесс классификации не выделен, процедуры не выделены); простота реализации процесса: низкая (категорирование объектов защиты усложнено за счет необходимости определения типа информации и последующего анализа объекта защиты для его категорирования).Часто подходы в области информационной безопасности, применяемые негосударственными учреждениям, в отличие от подходов, описанных в стандартах, имеют четкую практическую направленность, они лучше продуманы и подробнее описаны. В соответствии с методологией классификации объектов защиты, разработанной компанией «Инфосистемы Джет», [6] присвоение категорий безопасности информации и информационными системам производится на основе оценки ущерба, который может быть нанесен нарушениями безопасности. Размер ущерба оценивается по трехуровневой шкале: высокий - потеря свойств ИБ информационных активов оказывает тяжелое или катастрофическое вредоносное воздействие на деятельность организации, ее активы и персонал; умеренный - потеря свойств ИБ информационных активов оказывает серьезное вредоносное воздействие на деятельность организации, ее активы и персонал; В результате проведенного анализа, была дана следующая характеристика подхода к классификации объектов защиты: полнота описания процесса и составляющих его процедур: недостаточная (процедура идентификации объектов защиты не описана);Методика классификации объектов защиты университета штата Массачусетс разработана в соответствии с требованиями законодательства США и штата Массачусетс. Методика применяется для классификации информационных ресурсов, находящихся в собственности и/или ведении университета и служит для повышения уровня информационной безопасности.
План
СОДЕРЖАНИЕ
Введение
1. Анализ подходов к классификации объектов защиты в корпоративных информационных системах
1.1 Показатели для оценки подходов к классификации объектов защиты
1.2 Анализ подходов к классификации объектов защиты, описанных в российских и международных стандартах и стандартах
1.2.1 Анализ подхода к классификации объектов защиты в соответствии с ГОСТ Р ИСО/МЭК 17799-2005
1.2.2 Анализ подхода к классификации объектов защиты в соответствии со стандартами NIST
1.2.3 Анализ подхода к классификации объектов защиты в соответствии со стандартами СТО БР ИББС
1.2.4 Анализ подхода к классификации объектов защиты в соответствии с библиотекой ITIL v3
1.3 Анализ подходов к классификации объектов защиты в организациях
1.3.1 Анализ подхода к классификации объектов защиты компании «Инфосистемы Джет»
1.3.2 Анализ подхода к классификации объектов защиты компании «Microsoft»
1.3.3 Анализ подхода к классификации объектов защиты в университете штата Массачусетс, США
1.4 Сравнительный анализ подходов к классификации объектов защиты
2. Разработка методики классификации объектов защиты
2.1 Определение целей, задач и области действия процесса классификации объектов защиты
2.1.1 Цель и задачи процесса классификации объектов защиты
2.1.2 Область действия процесса классификации объектов защиты
2.1.3 Роли, выделяемые в рамках процесса классификации объектов защиты
2.1.4 Модель взаимодействия подсистемы классификации объектов защиты с подсистемами управления информационной безопасностью
2.1.5 Структура процесса классификации объектов защиты
2.2 Внедрение процесса классификации объектов защиты
2.2.1 Разработка организационно-распорядительной документации по классификации объектов защиты
2.2.2 Инициирование процесса классификации объектов защиты
2.2.3 Внедрение средств автоматизации процесса классификации объектов защиты
2.2.4 Обучение работников предприятия методологии классификации объектов защиты
2.2.5 Формирование порядковой шкалы уровней критичности объектов защиты
2.3 Функционирование процесса классификации объектов защиты
2.3.1 Планирование деятельности по классификации объектов защиты
2.3.2 Идентификация объектов защиты
2.3.3 Определение уровня критичности объектов защиты
2.3.4 Организация учета объектов защиты
2.4 Анализ эффективности и модернизация процесса классификации объектов защиты
3. Выработка требований к программному обеспечению подсистемы классификации объектов защиты
3.1 Требования к архитектуре программного обеспечения подсистемы классификации объектов защиты
3.2 Требования к регистрации и учету объектов защиты
3.3 Требования к определению уровня критичности объектов защиты
3.4 Требования к актуализации результатов классификации объектов защиты
3.5 Требования к конструированию отчетных форм и формированию отчетов
4. Безопасность жизнедеятельности
Список литературы
Соблюдение норм и способов защиты одновременно с изучением количественных факторов, источников возникновения и их воздействий на человека позволит сохранить хорошую работоспособность в течение всего рабочего дня. Осуществление мероприятий, направленных на улучшение условий труда, также будет благоприятно сказываться на качестве выполненной работы.
Изучив основные требования к рабочему месту специалиста по защите информации, рекомендуется создать наиболее благоприятные условия на рабочем месте специалиста путем установления кондиционеров, регулирующие влажность помещения и поддерживающей комфортную температуру.
В связи с присутствием в помещении только общего освещения, рекомендуется на каждом рабочем месте разместить местные светильники.
Для снижения уровня шума стены и потолок помещений могут быть облицованы звукопоглощающими материалами. Уровень вибрации в помещениях вычислительных центров может быть снижен путем установки оборудования на специальных виброизоляторах. Необходимо иметь в виду и то, что система вентиляции должна быть электро-, пожаро- и взрывобезопасна, проста по устройству, надежна в эксплуатации и эффективна.
Для предотвращения травм необходимо периодически проверять исправность электрооборудования, наличие защитного заземления деталей, которые могут оказаться под напряжением.
Проанализировав способы защиты помещения и соответствующие ему нормы, можно порекомендовать обеспечить электрическое разделение сетей, поставить оградительные устройства, знаки безопасности. В связи с отсутствием в помещениях огнетушителя, рекомендуется в целях безопасности иметь его в наличии.
В целях преодоления недостатков устройства рабочего места специалиста, рекомендуется использовать специальные приспособления для регулирования высоты стола, клавиатуры и экрана, а также подставка для рук.
При работе с компьютером, работник обязательно должен хорошо знать основы электробезопаности, основные требования промышленной санитарии, уметь пользоваться нормативной документацией по охране труда. Поэтому должны периодически проводиться инструктаж сотрудников по правилам электробезопасности. Большое значение на эффективность работы влияет и нагрузка на зрительные органы восприятия информации, в связи с чем, рекомендуется делать перерывы при работе с компьютером, уменьшать зрительную нагрузку.
Выполнение всех правил и норм по охране труда обеспечит необходимую безопасность и комфортную среду на рабочих местах.
5. ЭКОНОМИКА ЗАЩИТЫ ИНФОРМАЦИИ
В данном разделе определяется совокупная стоимость (ТСО) реализации процесса классификации объектов защиты и определяется его эффективность.
5.1 Стоимостные характеристики проектов по обеспечению информационной безопасности
Оценка экономической эффективности проекта по обеспечению информационной безопасности является обязательной составляющей его технико-экономического обоснования. Несмотря на то, что будущий экономический эффект от реализации процесса классификации объектов защиты оценить непросто, попытаемся это сделать на примере виртуальной компании.
Существует ряд методик, с помощью которых выполняется оценка всевозможных затрат, к которым приведет внедрение того или иного проекта. Такие всевозможные затраты называются совокупной стоимостью владения TCO (Total Cost Ownership). Наиболее известные методики по оценке ТСО предложили Gartner Group и Dell Systems.
Согласно методикам Gartner Group и Dell Systems, [16] совокупная стоимость владения СЗИ включает в себя следующие основные затраты.
Единовременные затраты: стоимость покупки оборудования, рабочих станций, серверов, программного обеспечения, технических средств;
затраты на введение системы в эксплуатацию (конфигурирование, настройку, доводку);
затраты на обучение и переобучение сотрудников;
разработка ОРД: должностных инструкций, положений об использовании СЗИ, нормативной базы службы защиты информации;
обеспечение физической безопасности;
расходы на аутсорсинг;
расходы на услуги связи.
Постоянные затраты (в год): зарплата сотрудникам, выполняющим бизнес-функции в рамках информационной системы;
затраты на техническую поддержку и обслуживание (конфигурирование, проведение регламентных и профилактических работ, администрирование безопасности) - зарплата сотрудников IT-департаментов;
затраты на установку новых версий ПО, докупку и продление лицензий и т.д.;
затраты электроэнергии (рассчитываются по техническим характеристикам серверов, рабочих станций, мониторов, ноутбуков);
затраты на устранение неисправностей;
затраты на доработку системы и ОРД.
Среди единовременных и постоянных затрат можно выделить затраты I и II группы.
Расчет затрат I группы требует указания количества единиц услуги (оборудования) и стоимости услуг (оборудования). К этим затратам относятся: стоимость покупки оборудования, рабочих станций, серверов, программного обеспечения, технических средств;
затраты на обучение и переобучение сотрудников;
обеспечение физической безопасности;
расходы на аутсорсинг;
расходы на услуги связи;
затраты на установку новых версий ПО, докупку и продление лицензий и т.д.
Расчет затрат II группы требует указания: пользовательских ролей и количества сотрудников (их представителей), выполняющих данные роли;
человеко-часов, требуемых для решения задач;
месячного оклада исполнителей.
К затратам II группы можно отнести: затраты на введение системы в эксплуатацию (конфигурирование, настройку, доводку);
разработка ОРД: должностных инструкций, положений об использовании СЗИ, нормативной базы службы ЗИ;
затраты на техническую поддержку и обслуживание (конфигурирование, проведение регламентных, профилактических работ, администрирование безопасности) - зарплата сотрудников IT-департаментов;
затраты на устранение неисправностей;
затраты на доработку системы и ОРД.
Механизм расчета данных показателей II группы (через зарплату) выглядит следующим образом: (5.1)
;(5.2)
;(5.3)
;(5.4)
,(5.5)
Где Lo - основная заработная плата исполнителей;
LД - дополнительная заработная плата;
LH - начисления на зарплату;
Рн - накладные расходы;
Ti - трудоемкость исполнения i-ой должности (в человеко-часах);
кн - коэффициент отчислений с заработной платы в фонды соц. страхования (30%);
fi - тарифная ставка или (оклад) исполнителя в час;
кнак - коэффициент накладных расходов (30%).
Для расчета показателей II группы следует выполнить следующие шаги: 1) распределить перечисленные выше функции между пользовательскими ролями (должностями), указать количество представителей пользовательских ролей, выполняющих данные функции.
2) определить оклад пользовательской роли (руб. в час).
3) определить трудоемкость, т.е. количество человеко-часов, необходимых для выполнения каждой из задач.
4) рассчитать затраты, необходимые для выполнения каждой из перечисленных функций.
Для оценки инвестиционной привлекательности проекта часто используют такие показатели, как NPV и PI.
Оценка показателя NPV
Дисконтирование - это определение стоимости денежных потоков, относящихся к будущим периодам (будущих доходов на настоящий момент). В данном случае применяют ставку дисконтирования, величина которой отражает риски, связанные с обесцениванием денег изза инфляции.
Непосредственно для оценки эффективности инвестиций используют показатель чистой текущей стоимости (NPV - Net Present Value). По сути дела, это текущая стоимость будущих денежных потоков инвестиционного проекта с учетом дисконтирования и за вычетом инвестиций. Этот показатель рассчитывается по следующей формуле: ,(5.6)
Где CFI - чистый денежный поток для i-ого периода;
CF0 - начальные инвестиции;
r - ставка дисконтирования.
Если NPV > 0, то проект прибыльный (его следует принять).
Если NPV < 0, то проект убыточный (его следует отвергнуть).
Если NPV = 0, то проект ни прибыльный, ни убыточный.
При сравнении нескольких проектов принимается тот из них, который имеет наибольшее значение NPV, если только оно положительное.
Для систем защиты информации значение
,(5.7)
Где - уровень снижения риска за -й период при внедрении СЗИ;
- постоянные затраты за -й период при внедрении СЗИ. соответствуют единовременным затратам на внедрение СЗИ.
При расчете ставки дисконтирования с учетом рисков для рынка информационных технологий на внедрение проекта возьмем ставку 30%.
Индекс рентабельности (PI)
Индекс рентабельности рассчитывается по следующей формуле: ,(5.8)
Где CF0 - начальные инвестиции.
Если PI > 1 то проект следует принять.
Если PI < 1 то проект следует отвергнуть.
Если PI=1, то проект является ни прибыльным, ни убыточным.
В отличие от NPV, индекс рентабельности является относительным показателем. Он характеризует уровень доходов на единицу затрат, то есть эффективность вложений - чем больше значение этого показателя, тем выше отдаче каждого рубля, инвестированного в данный проект.
Благодаря этому, критерий PI очень удобен при выборе одного проекта из ряда альтернативных, имеющих примерно одинаковые значения NPV, но разные объемы требуемых инвестиций. В данном случае необходимо выбирать проект, обеспечивающий большую эффективность вложений.
5.2 Расчет затрат на реализацию процесса классификации объектов защиты
5.2.1 Общее описание системы
Реализация процесса классификации объектов защиты в компании состоит из следующих этапов: разработка ОРД и методики классификации объектов защиты;
разработка/закупка ПО;
настройка ПО;
закупка и ввод в эксплуатацию аппаратного обеспечения;
проведение ключевых сотрудников, реализующих деятельность по классификации объектов защиты;
внедрение процесса классификации объектов защиты;
проведение классификации объектов защиты (ежегодно);
анализ эффективности и выработка мер по модернизации процесса классификации объектов защиты (ежегодно).
Для функционирования системы управления событиями и инцидентами ИБ необходимо организовать группу классификации объектов защиты, в состав которой входят: 1 Руководитель процесса классификации объектов защиты: 2 специалиста по классификации объектов защиты;
7 администраторов ИС;
10 членов Комиссии по классификации объектов защиты, в т.ч. секретарь Комиссии.
5.2.2 Расчет единовременных затрат
К единовременным затратам относятся затраты на: разработку ОРД и методики классификации объектов защиты;
разработку/закупку ПО;
настройку ПО;
закупка и ввод в эксплуатацию аппаратного обеспечения;
проведение обучения ключевых сотрудников, реализующих деятельность по классификации объектов защиты;
внедрение процесса классификации объектов защиты (процедуры обучения сотрудников компании и формирование шкалы уровней критичности);
Для работ по внедрению системы управления событиями и инцидентами ИБ необходимо 6 человек: - 1 Руководитель процесса классификации объектов защиты;
- 2специалиста по классификации объектов защиты;
- 10 членов Комиссии по классификации объектов защиты;
- 1 администратор ИС.
Расчет заработной платы Руководителя процесса классификации объектов защиты: разработка ОРД и методики классификации объектов защиты: Lo = 120*200,00*1 = 24000,00
Lд = 0,08* 24000,00= 1920,00
Lн = 0,30*(24000,00 1920,00) =7776,00
Рн = 0,30*24000= 7200,00 проведение обучения ключевых сотрудников, реализующих деятельность по классификации объектов защиты: Lo = 4*200,00*1 = 800,00
Lд = 0,08* 800,00= 64,00
Lн = 0,30*(800,00 64,00) =259,20
Рн = 0,3*8000= 240,00
Данные расчета заработной платы руководитель группа представлены в таблице (таблица 5.1).
Таблица 5.1
Затраты на заработную плату руководителя группы
№ п/п Наименование статьи затрат Сумма, руб.
1. Основная заработная плата 24800,00
2. Дополнительная заработная плата 1984,00
3. Начисления на зарплату 8035,20
4. Накладные расходы 7440,00
Итого: 42259,20
Расчеты заработной платы специалистов по классификации объектов защиты: - настройка ПО: Lo = 25*120,00*2 =6000,00
Lд = 0,08* 6000,00=480,00
Lн = 0,30*(6000,00 480,00) =1944,00
Рн = 0,3*6000,00=1800,00 внедрение процесса классификации объектов защиты (процедура обучения сотрудников компании);
Lo = 49*120,00*2 =11760,00
Lд = 0,08* 11760,00=940,80
Lн = 0,30*(11760,00 940,80) =3810,24
Рн = 0,3*11760,00=3528,00
Данные расчета заработной платы экспертов представлены в таблице (таблица 5.2).
Таблица 5.2
Затраты на заработную плату экспертов
№ п/п Наименование статьи затрат Сумма, руб.
1. Основная заработная плата 17760,00
2. Дополнительная заработная плата 1420,80
3. Начисления на зарплату 5754,24
4. Накладные расходы 5328,00
Итого: 30263,04
Расчеты заработной платы членов Комиссии по классификации объектов защиты: внедрение процесса классификации объектов защиты (процедура формирования порядковой шкалы уровней критичности): Lo = 8*200,00*10 =16000,00
Lд = 0,08*16000,00=1280,00
Lн = 0,30*(16000,00 1280,00) =5184,00
Рн = 0,3*16000,00=4800,00
Данные расчета заработной платы экспертов представлены в таблице (таблица 5.3).
Таблица 5.3
Затраты на заработную плату экспертов
№ п/п Наименование статьи затрат Сумма, руб.
1. Основная заработная плата 16000,00
2. Дополнительная заработная плата 1280,00
3. Начисления на зарплату 5184,00
4. Накладные расходы 4800,00
Итого: 27264,00
Расчет заработной платы администратора ИС: ввод в эксплуатацию аппаратного обеспечения: Lo = 12*120,00*1 =1440,00
Lд = 0,08*1440,00=115,20
Lн = 0,30*(1440,00 115,20) =466,56
Рн = 0,3*1440,00=432,00
Данные расчета заработной платы экспертов представлены в таблице (таблица 5.4).
Таблица 5.4
Затраты на заработную плату экспертов
№ п/п Наименование статьи затрат Сумма, руб.
1. Основная заработная плата 1440,00
2. Дополнительная заработная плата 115,20
3. Начисления на зарплату 466,56
4. Накладные расходы 432,00
Итого: 2453,76
Общая величина единовременных затрат на работы по организации деятельности по классификации объектов защиты приведены в таблице (таблица 5.5).
Таблица 5.5
Стоимость работ по внедрению системы управления событиями и инцидентами информационной безопасности
№ п/п Наименование работ Требуемое время (часы) Сумма (руб)
1 Разработка ОРД и методики классификации объектов защиты 20 40896,00
2 Настройка ПО 25 10224,00
3 Ввод в эксплуатацию аппаратного обеспечения 12 2453,76
4 Проведение обучения ключевых сотрудников, реализующих деятельность по классификации объектов защиты 4 1147,2
5 Внедрение процесса классификации объектов защиты (процедуры обучения сотрудников компании и формирование шкалы уровней критичности) 57 47303,04
Итого: 218 102024,00
Стоимость затрат на разработку или закупку ПО (стоимость лицензии) указаны в таблице (таблица 5.6).
Таблица 5.6
Стоимость лицензий для программного обеспечения
№ п/п Наименование программного обеспечения Сумма (руб)
1 ПО подсистемы классификации объектов защиты 100000,00
3 Microsoft SQL Server 2008 R2 Standard Edition 27600,00
4 MS Windows Server 2008 R2 Standard Edition 20 776,74
Итого: 148376,74
Затраты на аппаратное обеспечение представлены в таблице (таблица 5.7).
Таблица 5.7
Затраты на аппаратное обеспечение
№ п/п Наименование аппаратного обеспечения Сумма (руб)
1 Сервер HP DL160 G6 X5550 Hot Plug EU Svr (490455-421) 56250,00
Итого: 56250,00
Итоговые единовременные затраты на организацию деятельности по классификации объектов составляют 306 650,74 руб.
5.2.3 Расчет постоянных затрат
К постоянным затратам на организацию деятельности по классификации объектов защиты относится: - затраты на заработную плату сотрудникам группы классификации объектов защиты;
- затраты на ежегодное обучение сотрудников;
- затраты на оплату электроэнергии.
Расчет заработной Руководителя процесса классификации объектов защиты: Lo = 40*200,00*1 =8000,00
Lд = 0,08*8000,00=640,00
Lн = 0,30*(8000,00 640,00) =2592,00
Рн = 0,3*8000,00=2400,00
Данные расчета заработной платы Руководителя процесса классификации объектов защиты представлены в таблице (таблица 5.8).
Таблица 5.8
Затраты на заработную плату экспертов
№ п/п Наименование статьи затрат Сумма, руб.
1. Основная заработная плата 8000,00
2. Дополнительная заработная плата 640,00
3. Начисления на зарплату 2592,00
4. Накладные расходы 2400,00
Итого: 13632,00
Расчет заработной платы специалистов по классификации объектов защиты: Lo = 300*120,00*2 =72000,00
Lд = 0,08*8000,00=5760,00
Lн = 0,30*(72000,00 5760,00) =23328,00
Рн = 0,3*72000,00=21600,00
Данные расчета заработной платы специалистов по классификации объектов защиты представлены в таблице (таблица 5.9).
Таблица 5.9
Затраты на заработную плату экспертов
№ п/п Наименование статьи затрат Сумма, руб.
1. Основная заработная плата 72000,00
2. Дополнительная заработная плата 5760,00
3. Начисления на зарплату 23328,00
4. Накладные расходы 21600,00
Итого: 122688,00
Расчет заработной членов Комиссии по классификации объектов защиты: Lo = 30*200,00*10 =60000,00
Lд = 0,08*8000,00=4800,00
Lн = 0,30*(72000,00 5760,00) =19440,00
Рн = 0,3*72000,00=18000,00
Данные расчета заработной платы членов Комиссии по классификации объектов защиты представлены в таблице (таблица 5.10).
Таблица 5.10
Затраты на заработную плату экспертов
№ п/п Наименование статьи затрат Сумма, руб.
1. Основная заработная плата 60000,00
2. Дополнительная заработная плата 4800,00
3. Начисления на зарплату 19440,00
4. Накладные расходы 18000,00
Итого: 102240,00
Расчет заработной членов Администраторов ИС: Lo = 10*120,00*7 =8400,00
Lд = 0,08*8000,00=672,00
Lн = 0,30*(72000,00 5760,00) =2721,60
Рн = 0,3*72000,00=2520,00
Данные расчета заработной платы членов Комиссии по классификации объектов защиты представлены в таблице (таблица 5.11).
Таблица 5.11
Затраты на заработную плату экспертов
№ п/п Наименование статьи затрат Сумма, руб.
1. Основная заработная плата 8400,00
2. Дополнительная заработная плата 672,00
3. Начисления на зарплату 2721,60
4. Накладные расходы 2520,00
Итого: 14313,60
Затраты на обучение сотрудников составляют 5725,44 руб. ежегодно.
Затраты на электроэнергию: Энергопотребление оборудования составляет: рабочей станции:0,4КВТ/ч;
сервера:1,2 КВТ/ч.
Общее время работы оборудования в рамках деятельности по классификации объектов защиты в год составляет: рабочих станций: 380 часов;
сервера: 1986 часов.
Таким образом, потребление энергии оборудования в год составляет: рабочих станций: 0,4*380=152 КВТ;
сервера: 1,2*1986=2383,0 КВТ.
Итоговые затраты на электроэнергию составляют (152 КВТ 2383,0 КВТ) * 2,4руб./КВТ=6084,00 руб.
Итоговые постоянные затраты на организацию деятельности по классификации объектов представлены в таблице (таблица 5.12).
Таблица 5.12
Затраты на аппаратное обеспечение
№ п/п Наименование аппаратного обеспечения Сумма (руб)
1 Затраты на заработную плату 252873,60
2 Затраты на ежегодное обучение сотрудников 5725,44
3 Затраты на оплату электроэнергии 6084,00
Итого: 264683,04
5.2.4 Расчет совокупной стоимости владения подсистемой классификации объектов защиты
Предполагаемый срок действия системы управления событиями и инцидентами информационной безопасности составляет 5 лет.
Тогда вычислим ТСО на основании расчетов: ТСО = 306650,74 264683,04*5 = 1630065,94 руб.
В результате произведенных вычислений было установлено, что совокупная стоимость владения подсистемой классификации объектов защиты составляет1630065,94 руб.
5.2.5 Оценка экономической эффективности
Для оценки инвестиционной привлекательности проекта по организации деятельности по классификации объектов защиты определим чистую текущую стоимость проекта(NPV) индекса рентабельности проекта(PI) на основании рассчитанных единовременных и постоянных затрат, а также уровня снижения риска при внедрении системы.
Для начала определим - чистый денежный поток для i-ого периода.
Предположим, что затраты компании на обеспечение информационной безопасности КИС до организации деятельности по классификации объектов защиты в год составляли 2 000 000 руб. По результатам классификации объектов защиты было установлено, что данные затраты могут быть уменьшены до 1 600 000 руб. за счет снижения стоимости затрат на обеспечение информационной безопасности некритичных объектов защиты.
С другой стороны, за счет повышения уровня информационной безопасности объектов защиты максимального уровня критичности, затраты, вызванные нарушением информационной безопасности объектов защиты удалось снизить: за первый год: с 600 000 руб. до 550 000 руб.;
за второй год: с 650 000 руб. до 500 000 руб.;
за третий год: с 650 000 руб. до 500 000 руб.;
за четвертый год: с 600 000 руб. до 400 000 руб.;
за пятый год: с 700 000 руб. до 500 000 руб.
Таким образом, после организации деятельности по классификации объектов защиты, прибыль предприятия в год составила: за первый год: 450 000 руб.;
Теперь определим чистую текущую стоимость проекта, используя формулу (5.6). Ставку дисконтирования для информационных и телекоммуникационных технологий примем равной 30%.
NPV = 1626506,80 руб.
NPV > 0, следовательно, проект прибыльный.
Рассчитаем индекс рентабельности по формуле (5.8): PI = 6.3
PI > 1, следовательно проект следует принять.
Выводы: В данном разделе был произведен расчет единовременных и постоянных затрат на организацию деятельности по классификации объектов защиты, рассчитана совокупная стоимость владения подсистемой классификации объектов защиты и проведена оценка экономической эффективности проекта по организации деятельности по классификации объектов защиты.
На основании выполненных расчетов можно сделать вывод об экономической привлекательности проекта, что подтверждается значением показателя NPV > 0 и PI > 1.
По результатам выполненных расчетов можно сделать вывод, что проект следует принять.
ЗАКЛЮЧЕНИЕ
Целью дипломного проекта являлось повышение эффективности системы управления ИБ в КИС за счет внедрения методики классификации объектов защиты.
Для достижения поставленной цели были решены следующие задачи: проведен анализ существующих подходов к классификации объектов защиты;
разработана структура процесса классификации объектов защиты и составляющих его процедур;
разработана методика классификации объектов защиты в КИС, определен порядок проведения классификации объектов защиты;
сформированы требования к ПО подсистемы классификации объектов защиты.
Цель проекта была достигнута.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью.- Федеральное государственное учреждение "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России"), 2010
2. G. Stoneburner, A. Goguen, A. Feringa Risk Management Guide for Informatio Technology Systems.- Gaithersburg: National Institute of Standards and Technology Special Publicatio№800-30,2002.- 54 pages.
3. K. Stine, R. Kissel, W.C. Barker, A. Lee, J. Fahlsing Informatio security- Gaithersburg: National Institute of Standards and Technology Special Publicatio №800-60, 2008.- 304 pages.
4. Стандарт банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения.- СТО БР ИББС-1.0-2010.-М.,2010
5. Sh. Taylor, V. Lloyd, C. Rudd Service design № [Электронныйресурс]: ITIL Service Management Practices
6. Галатенко В.А. Категорирование информации и информационных систем. Обеспечение базового уровня информационной безопасности [Электронный ресурс]//информационный бюллетень - М.: компания «Инфосистемы Джет», 2006
7. K. Dillard, J. Pfost, S. Ryan, C. Master The Security Risk Management Guide [Электронный ресурс]: Microsoft Solutions for Security and Compliance And Microsoft Security Center of Excellence
8. Симонов С.В. Технологии и методики классификации информационных ресурсов [Электронный ресурс]: статья//Труды Института системного анализа РАН, 2006. - стр. 58-73
9. СП 52.13330.2011«СНИП 23-05-95*. Естественное и искусственное освещение»;
10. Русак О., Малаян К., Занько Н. Безопасность жизнедеятельности. Спб., М., Краснодар: Лань, 2003;
11. САНПИН 2.2.2/2.4.1340-03«Гигиенические требования к персональным электронно-вычислительным машинам и организации работы»;
12. Освещенность рабочих мест: современные подходы к измерениям и оценке [Электронный ресурс]
13. ГОСТ 12.1.019-79 2001 «Электробезопасность. Общие требования и номенклатура видов защиты»;
14. ППБ 01-03 «Правила пожарной безопасности в российской федерации»;
15. Федеральный закон от 22 июля 2008 г. №123-ФЗ «Технический регламент о требованиях пожарной безопасности».
16. Аникин И.В., Катасев А.С. Методические рекомендации к разработке раздела дипломного проекта «Экономика защиты информации». Казань, 2009.