(4.15)

Согласно [12] коэффициент запаса (Кз) для осветительных установок общего освещения должен приниматься равным 1,4.

Подставим имеющиеся значения в формулы (4.11)-(4.14):

(4.16)

(4.17)

(4.18)

(4.19)

(4.20)

В соответствии с требованиями [12, 15] уровень искусственного освещения в помещении и на рабочем месте не дотягивает до нормативов, однако по личным ощущениям создает хорошую видимость информации на экране ПЭВМ. Вероятно, это обусловлено наличием хорошего естественного освещения, которое преобладает все рабочее время. Также в поле зрения работающего обеспечены оптимальные соотношения равномерной яркости рабочих и окружающих поверхностей, отсутствуют яркие и блестящие предметы.

На основе сравнения существующих и нормативных показателей существующая система естественного и искусственного освещения удовлетворяет необходимым требованиям к освещенности рабочего места, что способствует сохранению зрительных способностей оператора, нормальному состоянию его нервной системы, снижению утомляемости, обеспечению безопасности труда и сохранению высокая работоспособности продолжительное время.

Основными источниками шума и вибрации в помещениях, оборудованных вычислительной техникой, являются принтеры, плоттеры, множительная техника и оборудование для кондиционирования воздуха, вентиляторы систем охлаждения, трансформаторы.

Уровень шума на рабочем месте оператора ПЭВМ не должен превышать 50 дБА [12]. При выполнении работ с использованием ПЭВМ в производственных помещениях уровень вибрации не должен превышать допустимых значений вибрации для рабочих мест (категория 3, тип «в») в соответствии с [14].

Нормируемые уровни шума и вибрации обеспечиваются путем использования малошумного оборудования либо вынесением шумящей техники из помещений с ПЭВМ, применением звукопоглощающих материалов (специальные перфорированные плиты, панели, минераловатные плиты), установкой оборудования на специальные фундаменты и амортизирующие прокладки.

В рассматриваемом помещении отсутствуют периферийная техника и оборудование для кондиционирования, поэтому нормы шума и вибрации априори соблюдаются.

Временные допустимые уровни ЭМП, создаваемых ПЭВМ на рабочих местах пользователей, в диапазоне частот 5 Гц - 2 кГц составляют следующие параметры [12]: напряженность электрического поля - 25 В/м, плотность магнитного потока - 250 нТл, в диапазоне частот 2 кГц - 400 кГц - напряженность электрического поля - 2,5 В/м, плотность магнитного потока - 25 нТл. Электростатический потенциал экрана видеомонитора ограничивается 500 В.

Для предотвращения образования и защиты от статического электричества необходимо использовать нейтрализаторы и увлажнители, полы должны иметь антистатическое покрытие.

Площадь на одно рабочее место пользователей ПЭВМ с ВДТ на базе электронно-лучевой трубки (ЭЛТ) должна составлять не менее 6 м², при использовании ПВЭМ с ВДТ на базе ЭЛТ без вспомогательных устройств - принтер, сканер и др., отвечающих требованиям международных стандартов безопасности компьютеров, с продолжительностью работы менее 4 часов в день допускается минимальная площадь 4,5 м² на одно рабочее место пользователя [12].

Площадь помещения, являющего рабочем местом трех операторов ПЭВМ на базе жидкокристаллических дисплеев, без перифирийных устройств ввода/вывода, составляет около 32 м², что составляет три рабочих места площадью 10,5 м² каждое.

Помещения, где размещаются рабочие места с ПЭВМ, должны быть оборудованы защитным заземлением (занулением) в соответствии с техническими требованиями по эксплуатации. Не следует размещать рабочие места с ПЭВМ вблизи силовых кабелей и вводов, высоковольтных трансформаторов, технологического оборудования, создающего помехи в работе ПЭВМ [12]. Для обеспечения электробезопасности в помещениях также необходимы контроль соответствия напряжения в сети характеристикам ПЭВМ и предотвращение резких перепадов.

В рассматриваемом помещении все сетевые розетки заземлены согласно требованиям электробезопасности, требуемое характеристиками ПЭВМ напряжение совпадает с выдаваемым, в непосредственной близости от рабочего места отсутствуют иные кабели и провода.

При длительной работе на оператора ПЭВМ начинают оказывать влияние описанные опасные и вредные психофизиологические факторы, в том числе пониженный уровень физической активности, что приводит к быстрому появлению утомляемости, снижению работоспособности.

Эргономика представляет собой комплекс требований по адаптации рабочего места к физическим и психическим особенностям работника для наиболее безопасного и эффективного труда.

Рабочие места с ПЭВМ при выполнении творческой работы, требующей значительного умственного напряжения или высокой концентрации внимания, рекомендуется изолировать друг от друга перегородками высотой 1,5 - 2,0 м.

Несмотря на выполнение умственной работы с повышенной напряженностью в рассматриваемом помещении отсутствие перегородок нисколько не мешает концентрации внимания при заявленной площади рабочего места в 10 м².

Конструкция рабочего стола должна обеспечивать оптимальное размещение на рабочей поверхности используемого оборудования с учетом его количества и конструктивных особенностей, характера выполняемой работы.

Согласно [12] высота рабочей поверхности стола для оператора ПЭВМ должна регулироваться в пределах 680 - 800 мм либо быть фиксированной в 725 мм. Поверхность рабочего стола должна иметь коэффициент отражения 0,5 - 0,7. Рабочий стол должен иметь достаточное пространство для комфортного расположения ног как в согнутом, так и в выпрямленном состоянии.

Конструкция рабочего стула должна обеспечивать поддержание рациональной рабочей позы при работе на ПЭВМ, позволять изменять позу с целью снижения статического напряжения мышц шейно-плечевой области и спины для предупреждения развития утомления, быть подобрана с учетом роста пользователя, характера и продолжительности работы с ПЭВМ.

Рабочий стул должен быть подъемно-поворотным, регулируемым по высоте и углам наклона сиденья и спинки, а также расстоянию спинки от переднего края сиденья, при этом регулировка каждого параметра должна быть независимой, легко осуществляемой и иметь надежную фиксацию. Обязательно наличие регулируемых стационарных или съемных подлокотников. Поверхность площади сидения должна быть не менее 0,16 м.

Поверхность сиденья, спинки и других элементов стула (кресла) должна быть полумягкой, с нескользящим, слабо электризующимся и воздухопроницаемым покрытием, обеспечивающим легкую очистку от загрязнений, иметь закругленный передний край.

Рабочее место пользователя ПЭВМ следует оборудовать подставкой для ног, имеющей ширину не менее 0,3 м, глубину не менее 0,4 м, регулировку по высоте в пределах до 0,15 и по углу наклона опорной поверхности подставки до 20 град. Поверхность подставки должна быть рифленой и иметь по переднему краю бортик.

Рабочий стол студента имеет современную четырехмодульную непрямоугольную конструкцию, адаптированную под физические особенности человека, выполняющего работу сидя. Предусмотрено достаточное место для ног, однако определенное неудобство вызывает отсутствие подставки для ног, в результате чего для более удобной позы оператору приходится скрещивать, что провоцирует развитие варикозного расширения вен. Высота рабочей поверхности не регулируется и составляет 0,8 м, что компенсируется возможностью легкого изменения высоты и углов наклона спинки и сидения рабочего кресла. Как и полагается, конструкция кресла и используемые материалы соответствует требованиям [12]. В целом хочется отметить рациональность и удобство организации рабочего места.

Экран видеомонитора должен находиться от глаз пользователя на расстоянии не менее 0,5 м. Клавиатуру следует располагать на поверхности стола на расстоянии 0,1 - 0,3м от края, обращенного к пользователю, или на отделенной от основной столешницы поверхности, регулируемой по высоте.

Определенную опасность для глаз представляют дисплеи ПЭВМ за счет визуально незаметной постоянной пульсации, наличия бликов и паразитных отражений на поверхности экрана, а также его засветки посторонним светом, что значительно ухудшает восприятие изображения и требует повышенных зрительных усилий.

Допустимые визуальные параметры устройств отображения информации представлены в таблице 5.2 [12].

Для дисплеев на плоских дискретных экранах (жидкокристаллических, плазменных) частота обновления изображения должна быть не менее 60 Гц.

Предпочтительным является плоский экран дисплея в виду отсутствия на нем ярких пятен за счет отражения световых потоков.

Таблица 5.2 - Допустимые визуальные параметры устройств отображения информации

№	Параметры	Допустимые значения
1	Яркость белого поля	? 35 кд/м2
2	Неравномерность яркости рабочего поля	? 20 %
3	Контрастность (для монохромного режима)	? 3 : 1
4	Временная нестабильность изображения (непреднамеренное изменение во времени яркости изображения на экране дисплея)	Не должна фиксироваться
5	Пространственная нестабильность изображения (непреднамеренные изменения положения фрагментов изображения на экране)	? 2 10-4L, где L - проектное расстояние наблюдения, мм

Цвет экрана должен быть нейтральным. Допустимы ненасыщенные светло-зеленые, желто-зеленые, желто-оранжевые, желто-коричневые тона. При работе с текстовой информацией (в режиме ввода данных, редактирования текста и чтения с экрана ВДТ) наиболее физиологичным является предъявление черных знаков на светлом фоне.

Эргономические требования к жидкокристаллическим дисплеям нормируются [4]. Яркость символов на экране должна согласовываться с яркостью фона экрана и окружающим освещением. Нижней границей уровня яркости светящихся символов считается 30 кд/м², верхняя определяется значением слепящей яркости. При прямом контрасте яркостный контраст должен составлять 75-80% с возможностью регулировки яркости фона экрана, а при обратном контрасте (светлые символы на темном фоне) - 85-90% с возможностью регулировки яркости фона экрана. Коэффициент контрастности символов на экране при их оптимальных размерах считается благоприятным в пределах 5-10 для обратного контраста и в пределах 8-12 - для прямого.

Оптимальная высота расположения экрана должна соответствовать направлению взгляда оператора в секторе 5-35⁰ по отношению к горизонтали.

Так как используемая оператором ПЭВМ является ноутбуком, то экран является жидкокристаллическим и подразумевает корректировку угла наклона. Все допустимые визуальные параметры производителем были соблюдены.

4.3 Анализ возможных чрезвычайных ситуаций и мер по их предотвращению и устранению

Под чрезвычайной ситуацией понимается обстановка на определенной территории, сложившаяся в результате аварии, опасного природного явления, катастрофы, стихийного или иного бедствия, которые могут повлечь или повлекли за собой человеческие жертвы, ущерб здоровью людей или окружающей природной среде, значительные материальные потери и нарушение условий жизнедеятельности людей. Аварией называется экстремальное событие техногенного характера, происшедшее по конструктивным, производственным, технологическим или эксплуатационным причинам, либо из-за случайных внешних воздействий, и заключающееся в повреждении, выходе из строя, разрушении технических устройств или сооружений.

Возможными чрезвычайными ситуациями на рабочем месте оператора ПЭВМ могут быть пожар и поражение оператора электрическим током.

Под пожаром понимается неконтролируемое горение вне специального очага, наносящее материальный ущерб и характеризующееся образованием открытого огня и искр, повышенной температурой воздуха и предметов, токсичными продуктами горения и дыма, пониженной концентрацией кислорода, повреждением зданий, сооружений и установок, возникновением взрывов.

Причинами возникновения пожара в рассматриваемом помещении могут быть несоблюдение правил эксплуатации производственного оборудования и электрических устройств, неисправность элементов ПЭВМ , курение в помещении, неисправность или отсутствие вентиляционной системы, самовозгорание веществ и материалов, поджог. Кроме того, могут существовать причины электрического характера - короткие замыкания, перегрузки, большие переходные сопротивления, искрение и электрические дуги, статическое электричество.

Возгорание может возникнуть при взаимодействии горючих веществ, окислителя и источников зажигания. В рассматриваемом помещении согласно [6] к горючим элементам можно отнести деревянные столы, тумбы и двери, изоляцию силовых кабелей. Облицовка стен, шкафы, окна выполнены из негорючих материалов.

Пожарная безопасность объекта должна обеспечиваться системами предотвращения пожара и противопожарной защиты, в том числе организационно-техническими мероприятиями.

Системы пожарной безопасности должны характеризоваться уровнем обеспечения пожарной безопасности людей и материальных ценностей, а также экономическими критериями эффективности этих систем для материальных ценностей, с учетом всех стадий жизненного цикла объектов и выполнять одну из следующих задач [4]:

- исключать возникновение пожара;

- обеспечивать пожарную безопасность людей;

- обеспечивать пожарную безопасность материальных ценностей;

- обеспечивать пожарную безопасность людей и материальных ценностей одновременно.

Под системой противопожарной защиты понимаются комплексы организационных мероприятий и технических средств, направленных на предотвращение воздействия на людей опасных и вредных факторов, а также ограничение материального ущерба.

Система пожарной безопасности на рабочем месте оператора ПЭВМ включает в себя следующие организационно-технические меры:

- запрет курения в помещении;

- наличие ручного углекислотного огнетушителя в помещении и подведенного водоснабжения, а также емкостей для набирания воды;

- отсутствие скопления ненужных бумаг, книг и архивов в помещении;

- наличие освещаемых путей эвакуации, пожарных выходов и лестниц;

- наличие четкого и эффективного плана эвакуации в случае возникновения пожара;

- наличие системы управления эвакуацией, заключающейся в указании стрелками направления движения к выходу, подсвечивающееся табло «Выход» на английском языке и немецком языках;

- наличие тепловых датчиков и автоматической пожарной сигнализации;

- наличие памяток с номерами телефонов экстренной помощи и действиями в случае возникновения пожара и других чрезвычайных ситуаций;

- отсутствие в помещении легковозгораемых материалов, использование металлических шкафов, огнестойких материалов для облицовки стен.

4.4 Выводы

В соответствии с проведенным анализом в рабочем помещении Ruhr-Universitдt Bochum возможно выделение следующих опасных и вредных производственных факторов на студента как на оператора ПЭВМ:

- повышенного уровня запыленности воздуха рабочей зоны, а так же наличие микроорганизмов в виду отсутствия системы очистки воздуха;

- пониженной или повышенной влажности и подвижности воздуха рабочей зоны, так как отсутствует система кондиционирования и применяется только естественная вентиляция.

В качестве мер по усовершенствованию предлагается введение системы кондиционирования, которая решит проблему очистки воздуха и нормализует параметры микроклимата.

Анализ эффективности и качества фактических параметров световой среды с использованием необходимых расчетов выявил как отклонение параметров искусственного освещения от нормативных значений в неблагоприятную сторону (расчетное 168 лк вместо требуемых 300 лк), так и превышение КЕО в 2 с лишним раза. Таким образом, недостаток искусственного освещения оказывается скомпенсированным и параметры световой среды в целом можно считать комфортными.

5. РАСЧЁТ ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ИНВЕСТИЦИЙ В СРЕДСТВА КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ

5.1 Сравнительный анализ методов оценки эффективности средств обеспечения информационной безопасности

Согласно [59], большинство зарубежных компаний (84%) используют коэффициент окупаемости ROI (Return on Investment) и другие инструменты для оценки инвестиций в информационную безопасность, которые составляют в среднем 5% всего ИТ-бюджета. В России на информационную безопасность идет около 0,5% всего ИТ-бюджета, то есть на порядок меньше. Возникновение такой ситуации в России В. Мамыкин, директор по информационной безопасности кабинета президента Microsoft в России и СНГ, в своих выступлениях на конференциях Security @ Interop'2008 и IT-Summit'2008 связал с тем, что на данный момент в нашей стране практика оценки эффективности средств защиты информации (СЗИ) с экономической точки зрения до сих пор не получила широкого распространения.

Расчет финансово-экономических показателей СЗИ позволяет решить следующие задачи:

- обоснование внедрения СЗИ на предприятии с экономической точки зрения;

- оценку экономической эффективности внедрения или замены СЗИ;

- прогнозирование расходов по созданию, функционированию и модернизации СЗИ;

- сравнение по экономическим критериям нескольких вариантов создания СЗИ с целью выбора оптимального варианта реализации проекта

Средства криптографической защиты информации (СКЗИ) представляют собой средства вычислительной техники, осуществляющие криптографическое преобразование информации для обеспечения ее безопасности. При наличии достоверных оценок объема потерь от реализации угроз нарушения конфиденциальности, целостности или доступности защищаемых данных можно получить математические ожидания потерь и использовать их для определения эффективности криптосистемы с экономических позиций.

В настоящее время нет единых стандартов, позволяющих оценить СКЗИ с экономических позиций, поэтому любой из разработанных методов заслуживает отдельного рассмотрения с выявлением его положительных и отрицательных сторон, а также сравнения его с другими представителями этого класса. Согласно таблице 5.1, в которой представлены результаты сравнительного анализа методов оценки эффективности инвестиций в средства защиты информации, оптимальным является метод дисконтирования денежных потоков, позволяющий получить наиболее полное представление о целесообразности капитальных вложений несмотря на сложность расчета.

Таблица 5.1 - Сравнительный анализ методов оценки эффективности инвестиций в средства обеспечения ИБ

Методика оценки	Преимущества	Недостатки
Коэффициент возврата инвестиций	Понятный для финансистов показатель	Отсутствие методов расчета для СЗИ. «Статичный» показатель.
Совокупная стоимость владения	Оценивает целесообразность реализации проекта на основе затрат на различных этапах жизненного цикла системы.	Не учитывает качество системы безопасности. «Статичный» показатель.
Дисконтированные показатели эффективности инвестиций	Учитывает все потоки денежных средств, связанные с реализацией проекта. «Динамичный» показатель	Сложность расчета.

5.2 Применение методики дисконтирования денежных потоков для оценки эффективности инвестиций в средства криптографической защиты информации

Определим денежные потоки, связанные с использованием СКЗИ, за период t, где t = 0, 1, 2…, T - периоды, Т - горизонт расчета.

С защищаемой информацией связаны значения дохода от ее использования и ущерба от НСД в течение указанного промежутка времени t. Затраты на приобретение, установку и эксплуатацию СКЗИ могут быть определены очень точно. Пусть результаты оценки способности криптосистемы противостоять атакам показали, что в t-м периоде злоумышленник получит доступ к защищаемой информации с вероятностью P_t. Тогда математическое ожидание дохода R_t, связанного с использованием оцениваемой СКЗИ, вычисляется по формуле:

.(5.1)

На основании этих данных о притоках и оттоках денежных средств вычисляются финансово-экономические показатели эффективности инвестиций в криптосистему и делаются выводы о ее соответствии потребностям организации.

Как правило, затраты на информационную безопасность подразделяются на следующие категории:

- затраты на формирование и поддержание звена управления СЗИ (организационные затраты);

- затраты на контроль, т.е. на определение и подтверждение достигнутого уровня защищенности ресурсов предприятия;

- внутренние затраты на ликвидацию последствий нарушения политики информационной безопасности (НПБ) - затраты, понесенные организацией в результате того, что требуемый уровень защищенности не был достигнут;

- внешние затраты на ликвидацию последствий НПБ - компенсация потерь при нарушениях политики безопасности в случаях, связанных с утечкой информации, потерей имиджа компании, утратой доверия партнеров и потребителей и т. п.;

- затраты на техническое обслуживание СКЗИ и мероприятия по предотвращению НПБ предприятия (затраты на предупредительные мероприятия).

При этом обычно выделяют единовременные и систематические затраты. К единовременным относятся затраты на формирование политики безопасности предприятия: организационные затраты и затраты на приобретение и внедрение СКЗИ. Классификация затрат условна, так как сбор, классификация и анализ затрат на информационную безопасность - внутренняя деятельность предприятий, и детальная разработка перечня зависят от особенностей конкретной организации.

Использование СКЗИ позволяет снизить внутренние и внешние затрат на компенсацию НПБ. Внутренние затраты сокращаются по таким статьям, как:

- восстановление баз данных и прочих информационных массивов;

- утилизация скомпрометированных ресурсов;

- проведение мероприятий по контролю достоверности данных, подвергшихся атаке на целостность;

- по проведению расследований НПБ.

Внешние затраты на компенсацию НПБ связаны с тем, что были скомпрометированы коммерческие данные партнеров и персональные данные пользователей услуг предприятия. Затраты, связанные с восстановлением доверия, определяются таким же образом, как и в случае внутренних потерь. Существуют и другие затраты, которые определить достаточно сложно. В их числе такие затраты, как потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно-технические достижения и потери от компрометации производимой предприятием продукции и снижения цен на нее.

При определении затрат на обеспечение ИБ необходимо помнить, что:

- затраты на приобретение и ввод в действие программно-технических средств могут быть получены из анализа накладных, записей в складской документации и т. п.;

- выплаты персоналу могут быть взяты из ведомостей;

- объемы выплат заработной платы должны быть взяты с учетом реально затраченного времени на проведение работ по обеспечению информационной безопасности.

Целью любых инвестиций является увеличение притока денежных средств (в данном случае - уменьшение размера ущерба в результате реализации угроз ИБ) по сравнению с существующим. При оценке инвестиционного проекта необходимо рассмотреть все потоки денежных средств, связанные с реализацией данного проекта. Неденежные затраты (такие, например, как амортизация) и затраты, уже понесенные до принятия решения об инвестициях, рассматриваться не должны. При этом необходимо учитывать зависимость потока денежных средств от времени.

Поэтому будущие поступления денежных средств (снижение ущерба) должны быть дисконтированы, т.е. приведены к текущей стоимости. Для этого применяют ставку дисконтирования, величина которой отражает риски, связанные с обесцениванием денег из-за инфляции и с возможностью неудачи инвестиционного проекта, который может не принести ожидаемого эффекта. Другими словами, чем выше риски, связанные с проектом, тем больше значение ставки дисконтирования. Эта ставка также отражает общий уровень стоимости кредита для инвестиций.

К основным показателям, используемым для определения эффективности инвестиционного проекта, относятся:

- чистый дисконтированный доход (NPV);

- внутренняя норма доходности (IRR);

- индекс доходности (PI);

- срок окупаемости с учетом дисконтирования (Т_ок).

При оценке эффективности инвестиционного проекта соизмерение разновременных показателей осуществляется путем дисконтирования (приведения) их к ценности в начальном периоде. Для приведения разновременных затрат, результатов и эффекта используется норма дисконта (Е), равная приемлемой для инвестора норме дохода на капитал. Для дисконтирования разновременные затраты, результаты и эффект умножаются на коэффициент дисконтирования a_t, определяемый для постоянной нормы дисконта Е как

,(5.2)

где a_t - номер шага расчета (t = 0, 1, 2,…, T);

T - горизонт расчета.

Величина NPV для постоянной нормы дисконта вычисляется по формуле:

,(5.3)

где R_t - результаты, достигаемые на t-ом шаге расчета;

З_t - затраты, осуществляемые на t-ом шаге расчета;

Т - горизонт расчета.

Если NPV инвестиционного проекта (за расчетный период) положителен, проект является эффективным (при данной норме дисконта) и может рассматриваться вопрос об его принятии. Чем больше NPV, тем эффективнее проект. На практике часто пользуются модифицированной формулой для определения NPV. Для этого из состава З_t исключаются капитальные вложения:

,(5.4)

где K_t - капитальные вложения на t-ом шаге,

К - сумма дисконтированных капиталовложений.

Тогда формула NPV записывается в в PI:

,(5.5)

где - затраты на t-ом шаге расчета при условии, что в них не входят капиталовложения.

Оценка экономического результата может быть произведена на основании экономического эффекта за расчетный период по формуле:

,(5.6)

где Д_t - доход, получаемый от проекта в году t;

К_t - инвестиции в год t;

Е_Н - норма дисконта, характеризующая степень неравноценности разновременных затрат и результатов;

Т_Р - продолжительность расчетного периода;

t - номер года расчетного периода.

Индекс доходности представляет собой отношение суммы приведенных эффектов к величине капиталовложений:

,(5.7)

Индекс доходности PI тесно связан с чистым дисконтированным доходом NPV и также позволяет оценить эффективность внедрения СКЗИ. Если PI > 1, внедрение СКЗИ эффективно, если PI < 1, то наоборот.

Внутренняя норма доходности (IRR) представляет собой ту норму дисконта (Е_вн), при которой величина приведенных эффектов равно приведенным к капиталовложениям. Иными словами, является решением уравнения:

,(5.8)

В случае, когда IRR равен или больше требуемой инвестором нормы дохода на капитал, инвестиции в данный проект оправданы, и может рассматриваться вопрос об его принятии. В противном случае инвестиции в данный проект нецелесообразны.

Срок окупаемости - период, начиная с которого первоначальные вложения и другие затраты, связанные с инвестиционным проектом, покрываются суммарными результатами его осуществления. Срок окупаемости рекомендуется определять с использованием дисконтирования.

Оценка эффективности проекта, основанная на дисконтированных показателях, позволяет учесть неравноценность денежных потоков, возникающих в разные моменты времени. Для сопоставления потоков и платежей необходимо продисконтировать их на определенную дату. Поэтому наиболее важным экономическим нормативом, необходимым для оценки экономической эффективности проекта, является норма дисконта.

Норма дисконта, не включающая премии за риск (безрисковая норма дисконта), отражает доходность альтернативных безрисковых направлений инвестирования. Вследствие того, что расчеты проводятся в постоянных ценах, то в основе нормы дисконта должна лежать реальная процентная ставка (не учитывающая темп инфляции). Постоянные цены - цены, сложившиеся в экономике на текущий момент времени. У метода расчета эффективности проекта в постоянных ценах есть ряд преимуществ. Во-первых, это простота подготовки исходной информации, а, во-вторых, сопоставимость разделенных во времени стоимостных показателей (например, прибыли, затрат) на протяжении установленного срока жизни инновационного проекта. Таким образом можно оценить планируемые результаты осуществления инновационного проекта, не выходя за рамки существующего на момент принятия решения масштаба цен. Расчет в постоянных ценах является основным при выполнении прединвестиционных решений в мировой практике. Допущение, принятое для данного метода, заключается в том, что не учитывается неоднородность структурной инфляции.

Корректировку нормы дисконта производят с использованием формулы Ирвинга-Фишера, связывающей номинальную и реальную ставки процента:

,(5.9)

где E_p - реальная процентная ставка;

E_H - номинальная процентная ставка (равна ставке рефинансирования ЦБ -10%);

I - прогнозируемый темп инфляции (7%).

Норма дисконта, включающая поправку на риск, отражает доходность альтернативных направлений инвестирования, характеризующихся тем же риском, что и инвестиции в оцениваемый проект. В случае отсутствия особых соображений относительно рисков инвестиционного проекта, размер этого вида поправки может быть ориентировочно определен в соответствии с таблицей 5.2.

Таблица 5.2 - Ориентировочная величина поправок на риск неполучения предусмотренных проектом доходов

Величина риска	Цели проекта	Величина поправки на риск, %
Низкий	Вложения в развитие производства на базе освоенной техники	3-5
Средний	Увеличение объема продаж существующей продукции	8-10
Высокий	Производство и продвижение на рынок нового продукта	13-15
Очень высокий	Вложения в исследования и инновации	18-20

Увеличим норму дисконта на величину поправки на риск:

,(5.10)

где E_p - безрисковая безинфляционная процентная ставка;

RP - поправка на риск (см. таблицу 5.2).

5.3 Расчет эффективности инвестиций в средства криптографической защиты информации

Предположим, компании требуется оценить проект по защите одного из сегментов сети своей информационной системы при помощи использования СКЗИ. Известна величина риска, исчисляемая в денежном выражении (205 000 р. за год), которая учитывает потери от реализации тех или иных атак и вероятности их осуществления. Также известно, что величина риска после внедрения СКЗИ сократится на 60%. Стоимость программного комплекса СКЗИ составляет 100 000,00 р. Подробнее потоки денежных средств по данному проекту представлены в таблице 5.3.

Таблица 5.3 - Потоки денежных средств по проекту внедрения СКЗИ

Периоды	0	1	2	3
Первоначальные инвестиции	- 100 000, 00	-	-	-
Выгоды (размер риска)	-	205 000, 00	205 000, 00	205 000, 00
Размер остаточного риска	-	-82 000, 00	-82 000, 00	-82 000, 00
Стоимость годовой поддержки	-	-50 000, 00	-50 000, 00	-50 000, 00
Затраты на администрирование	-	-7500, 00	-7500, 00	-7500, 00
Итого:	- 100 000, 00	65 500, 00	65 500, 00	65 500, 00

Рассмотрим, как использование программного комплекса СКЗИ изменит общие затраты на ИБ.

Риск недополучения доходов оценим как низкий и примем за величину 5%. Подставляя числовые значения номинальной процентной ставки, равной ставке рефинансирования ЦБ - 10% и прогнозируемого темпа инфляции (7%) в (9), получаем реальную процентную ставку

.(5.11)

Норма дисконта (10) определяется как

.(5.12)

Анализируя получившиеся с учетом стоимости капитала значение чистого дисконтированного дохода NPV

(5.13)

Можно сделать вывод об эффективности внедрения СКЗИ, так как значение NPV больше нуля и составляет за первый год - 60 761 рубль, за второй год - 56 364 рубля, за третий - 52 286 рублей, а в общем - 69 411 рубль.

«Непокрытый остаток» денежных средств за первый год составит примерно половину, но к концу второго года с момента внедрения СКЗИ, а точнее к началу последнего квартала уже начнет окупаться. Точное время окупания равно

.(5.14)

Индекс доходности равен

,(5.15)

что свидетельствует эффективности инвестиций в СКЗИ и является одним из критериев устойчивости инновационного проекта.

Чтобы рассчитать внутренний коэффициент отдачи IRR, найдем такую ставку дисконтирования, при которой значение NPV будет равно нулю:

.(5.16)

Значение IRR равно приблизительно 43,16% и превышает заданную норму дисконта (7,8%), что говорит о целесообразности вложения средств и свидетельствует об эффективности инвестиций проект внедрения СКЗИ.

Таким образом, анализ результатов чистого дисконтированного дохода, индекса доходности и внутреннего коэффициента отдачи говорит об эффективности внедрения рассматриваемой СКЗИ в данных условиях.

5.4 Выводы

Нами была описана методика и произведена оценка экономической эффективности инвестирования в криптографические средства защиты информации путем дисконтирование денежных потоков. Рассмотренный проект внедрения системы криптографической защиты является экономическим эффективным согласно анализу показателей чистого дисконтированного дохода, индекса доходности и внутреннего коэффициента отдачи и может быть осуществлен.

ЗАКЛЮЧЕНИЕ

В дипломной работе представлена концептуальная модель информационной безопасности, проведен системный анализ существующих угроз информационной безопасности и соответствующих им средств защиты. Рассмотрены области применения средств криптографической защиты и наиболее распространенные системы шифрования.

Осуществлен системный анализ существующих методов оценки стойкости криптографических алгоритмов. Описаны элементы информационно-сложностной модели оценки стойкости, обоснован выбор её принятия. Рассмотрены основные теоретико-числовые предположения: проблема принятия решения Диффи-Хеллмана и её вычислительная разновидность.

В дипломной работе определено понятие псевдослучайной функции, рассмотрена её роль как примитива в современной криптографии. Проведен сравнительный анализ конструкций классического и расширенного каскадов, исследованы возможности применения расширенного каскада для построения псевдослучайных функций с большой областью определения на основе функций с малой областью определения.

Приведен пример использования расширенного каскада для построения псевдослучайных функций Наора-Рейнголда и Бонеха, Монгтгомери и Рагунатана, произведена оценка их вычислительной эффективности.

Разработана псевдослучайная функция с большой областью определения и доказана ее криптографическая стойкость. Преимущество получившейся псевдослучайной функции заключается в сокращении длины ключа при таком же порядке сложности вычисления. Стойкость функции основывается на предположении о сложности решения ?-DDH проблемы в ?, причем необходимо выдерживать небольшое значение ?. Например, оптимально использовать значения ??= 16 или 256.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1. ГН 2.2.5.1313-03. Предельно-допустимые концентрации (ПДК) вредных веществ в воздухе рабочей зоны

2. ГОСТ 12.0.003-74 (СТ СЭВ 790-77). ССБТ. Опасные и вредные производственные факторы. Классификация

3. ГОСТ 12.1.003-83 ССБТ. Шум. Общие требования безопасности (с Изменением № 1).

4. ГОСТ 12.1.004-91 ССБТ. Пожарная безопасность. Общие требования (с Изменением № 1).

5. ГОСТ 12.1.005-88 ССБТ. Общие санитарно-гигиенические требования к воздуху рабочей зоны (с Изменением № 1)

6. ГОСТ 12.1.044-89 ССБТ. Пожаровзрывоопасность веществ и материалов.

7. ГОСТ 24940-96. Здания и сооружения. Методы измерения освещенности

8. ГОСТ 6825-91 (МЭК 81-84) Лампы люминесцентные трубчатые для общего освещения

9. ГОСТ Р 52324-2005 (ИСО 13406-2:2001). Эргономические требования к работе с визуальными дисплеями, основанными на плоских панелях. Часть 2. Эргономические требования к дисплеям с плоскими панелями.

10. МУ 2.2.4.706-98/МУ ОТ РМ 01-98. Оценка освещения рабочих мест.

11. СанПиН 2.2.1/2.1.1.1278-03. Гигиенические требования к естественному, искусственному и совмещенному освещению жилых и общественных зданий

12. СанПиН 2.2.2/2.4.1340-03. Гигиенические требования к персональным электронно-вычислительным машинам и организации работы (с изменениями на 25 апреля 2007г.).

13. СанПиН 2.2.4.548-96. Гигиенические требования к микроклимату производственных помещений.

14. СН 2.2.4/2.1.8.566-96. Производственная вибрация, вибрация в помещениях жилых и общественных зданий. Санитарные нормы.

15. СНиП 23-05-95. Естественное и искусственное освещение (с Изменением № 1).

16. ТОИ Р 01-00-01-96 Типовая инструкция по охране труда для операторов и пользователей персональных электронно-вычислительных машин (ПЭВМ) и работников, занятых эксплуатацией ПЭВМ и видеодисплейных терминалов (ВДТ)

17. Адигеев М.Г. Введение в криптографию: Методические указания для студентов механико-математического факультета РГУ: Ч. 1. Основные понятия, задачи и методы криптографии / М.Г. Адигеев. - Ростов-на-Дону, 2002. - 35 с.

18. Анин, Б.Ю. Защита компьютерной информации / Б.Ю. Анин. - СПб.: БХВ-Петербург, 2000. - 384 с.: ил. - ISBN 5-8206-0104-1. [Ани00]

19. Бабаш, А.В., Криптография / А.В. Бабаш, Г.П. Шанкин; под ред. В.П. Шерстюка, Э.А. Применко. - М.: СОЛОН-ПРЕСС, 2007. - 512 с. - (Аспекты защиты) - ISBN 5-93455-135-3. [БШ07]

20. Безбогов, А.А. Методы и средства защиты компьютерной информации : учебное пособие / А.А. Безбогов, А.В. Яковлев, В.Н. Шамкин. - Тамбов: Изд-во Тамб. гос. техн. ун-та, 2006. - 196 с. [БЯШ06]

21. Брассар, Ж. Современная криптология / Ж. Брассар; пер. с англ. М.П. Ветчинина; под ред. А.Н. Лебедева. - М.: Издательско-полиграфическая фирма ПОЛИМЕД, 1999. - 176 с.: ил. - ISBN 5-8832-010-2.

22. Василенко, О.Н. Теоретико-числовые алгоритмы в криптографии / О. Н. Василенко. - М.: МЦНМО, 2003.- 328 с.- ISBN 5-94057-103-4.

23. Введение в криптографию / В.В. Ященко, Н.П. Варновский, Ю.В. Нестеренко и др. // Под. ред. В.В. Ященко. - Изд. 2-е, испр. - М.: МЦНМО-ЧеРо, 1999. - 272 с. - (Новые мат. дисциплины). - ISBN 5-900916-26-X. [Яще99]

24. Гатчин, Ю.А. Основы информационной безопасности : учебное пособие / Ю.А. Гатчин, Е.В. Климова. - СПб: СПб: СПбГУ ИТМО, 2009 - 84 с.

25. Иванов, М.А. Теория, применение и оценка качества генераторов псевдослучайных последовательностей / М.А. Иванов, И.В. Чугунков. - М.: КУДИЦ-ОБРАЗ, 2003. - 240 с. - (СКБ - специалисту по компьютерной безопасности). - ISBN 5-93378-056-1.

26. Криптографическая защита информации: учебное пособие / А.В. Яковлев, А.А. Безбогов, В.В. Родин, В.Н. Шамкин. - Тамбов : Изд-во Тамб. гос. техн. ун-та, 2006. - 140 с. - ISBN 5-8265-0503-6 [ЯБР06]

27. Криптография в банковском деле / М.И. Анохин, Н.П. Варновский, В.М. Сидельников, В.В. Ященко. - М.: МИФИ, 1997. - 274 с. [АВС97]

28. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. пособие для вузов / А.А. Малюк. - М: Горячая линия-Телеком, 2004. - 280 с.: ил. - ISBN 5-93517-197-Х.

29. Мао В. Современная криптография: теория и практика / Венбо Мао; пер. с англ. и ред. Д.А. Клюшин. - М.: Вильямс, 2005. - 786 с. - ISBN: 5-8459-0847-7.

30. Нечаев В.И. Элементы криптографии. Основы теории защиты информации : учеб. пособие для ун-тов и пед. вузов / В.И. Нечаев; под ред. В.А. Садовничего. - М.: Высш. шк., 1999. - 109 с. - (Высш. математика). - ISBN 5-06-003644-8.

31. Основы информационной безопасности. Учебное пособие для вузов / Е.Б. Белов, В.П. Лось, Р.В. Мещеряков, А.А. Шелупанов. - М.: Горячая линия - Телеком, 2006. - 544 с.: ил. - ISBN 5-93517-292-5.

32. Основы криптографии : учебное пособие / А.П. Алферов, А.Ю. Зубов, А.С. Кузьмин, А.В. Черемушкин. - 2-е изд., испр. и доп. - М.: Гелиос АРВ, 2002. - 480 с.: ил. - ISBN 5-85438-025-0.

33. Петров А.А. Компьютерная безопасность. Криптографические методы защиты / А.А. Петров. - М.: ДМК, 2000. - 448 с.: ил. - ISBN 5-89818-064-8.

34. Ростовцев А.Г. Теоретическая криптография / А.Г. Ростовцев, Е.Б. Маховенко. - СПб.: АНО НПО «Профессионал», 2005. - 480 с. - ISBN 5-94365-012-5.

35. Рябко Б.Я. Криптографические методы защиты информации : учебное пособие для вузов / Б.Я. Рябко, А.Н. Фионов. - М.: Горячая линия-Телеком, 2005. - 229 с.: ил. - ISBN 5-93517-265-8.

36. Саломаа, А. Криптография с открытым ключом / А. Саломаа; пер. с англ. Болотова А.А., Вихлянцева И.А.; под ред. Андреева А.Е., Болотова А.А. - М.: Мир, 1996. - 318 с.: ил. - ISBN 5-03-001991-Х. [Сал96]

37. Словарь криптографических терминов / Под ред. Б. А. Погорелова, В. Н. Сачкова. - М.: МЦНМО, 2006. - 94 с. - ISBN 5-94057-257-Х. [ПБ06]

38. Смарт, Н. Криптография / Н. Смарт; пер. с англ. С.А. Кулешова; под ред.С.К. Ландо. - М.: Техносфера, 2005. - 528 с. - ISBN 5-94836-043-1. [Сма05]

39. Тилборг ван Х.К.А. Основы криптологии. Профессиональное руководство и интерактивный учебник / Х.К.А. ван Тилборг; пер. с англ. Д. С. Ананичева, И. О. Корякова; под ред. И. О. Корякова. - М.: Мир, 2006. - 471 с.: ил. - ISBN 5-03-003639-3. [Тил06]

40. Фергюсон, Н. Практическая криптография / Н. Фергюсон, Б. Шнайер; пер. с англ. Н.Н. Селиной; под ред. А.В. Журавлева. - М.: Издательский дом «Вильямс», 2005. - 424 с.: ил. - ISBN 5-8459-0733-0.

41. Хорошко, В.А. Методы и средства защиты / В.А. Хорошко, А.А. Чекатков; под ред. Ю.С. Ковтанюка. - К.: Издательство "ЮНИОР", 2003. - 504 с. - ISBN 966-7323-29-3.

42. Чмора, А.Л. Современная прикладная криптография / А.Л. Чмора. - 2-е изд.,стереотип. - М. : Гелиос АРВ, 2002. - 256 с. : ил. ISBN 5-85438-046-3. [Чмо02]

43. Шнайер, Б. Прикладная криптография : Протоколы, алгоритмы, исходные тексты на языке Си / Б. Шнайер; пер. с англ. - 2-е изд. - М.: Изд-во «Триумф», 2002. - 816 с. - ISBN 5-89392-055-4. [Шна02]

44. Щербаков, Л.Ю. Прикладная криптография. Использование и синтез криптографических интерфейсов / Л.Ю. Щербаков, А.В. Домашев. - М: Издательско-торговый дом «Русская Редакция», 2003. - 416 с.: ил. - ISBN 5-7502-0215-1.

45. Ярочкин, В.И. Информационная безопасность : Учебник для вузов / В.И. Ярочкин. - М.: Академический Проект, 2004. - 544 с.: ил. - ISBN 5-8291-0408-3. [Яро04]

46. Bellare, M. Pseudorandom functions revisited: The cascade construction and its concrete security / M. Bellare, R. Canetti, H. Krawczyk // In FOCS'96, 1996.

47. Boneh, D. Algebraic Pseudorandom Functions with Improved Efficiency from the Augmented Cascade / D. Boneh, H. Montogomery, A. Raghunathan // In ACM Conference on Computer and Communications Security - ACM CCS 2010.

48. Boneh, D. Ef?cient selective-ID identity based encryption without random oracles / D. Boneh, X. Boyen // In Advances in Cryptology - EUROCRYPT 2004. - v. 3027 of LNCS. - Springer-Verlag, 2004. - P. 223-38. [BB04a]

49. Boneh, D. Hierarchical identity based encryption with constant size ciphertext / D. Boneh, X. Boyen, E.-J. Goh Cryptology // In Advances in Cryptology - EUROCRYPT 2005 (R. Cramer, ed.). - LNCS 3494, Springer-Verlag, 2005. - P. 440-456. [BBG06]

50. Boneh, D. Secure identity based encryption without random oracles / D. Boneh, X. Boyen // In Matt Franklin, editor, Advances in Cryptology - CRYPTO 2004. v. 3152 of LNCS. - Springer-Verlag, 2004. - P. 443-59. [BB04b]

51. Boneh, D. Short signatures without random oracles / D. Boneh, X. Boyen // In Advances in Cryptology - EUROCRYPT 2004. - v. 3027 of LNCS. - Springer-Verlag, 2004. - P. 56-73. [BB04с]

52. Circular-secure encryption from decision Dif?e-Hellman / D. Boneh, S. Halevi, M. Hamburg, R. Ostrovsky // In CRYPTO'08, 2008. - P. 108-125.

53. Dodis, Y.A veri?able random function with short proofs and keys / Y.Dodis, A. Yampolskiy // In Public Key Cryptography, 2005. P. 416-431.

54. Goldreich, O. How to construct random functions / O. Goldreich, S. Goldwasser, S. Micali // JACM. - v. 33, No. 4. - October 1986.

55. Goldreich, O. On the cryptographic applications of random functions / O. Goldreich, S. Goldwasser, S. Micali // In Advances in Cryptology - CRYPTO'84, v. 196 of Lecture Notes in Computer Science Springer, 1985. - P 276-288.

56. Katz, J. Introduction to modern cryptography: principles and protocols / J. Katz and Y. Lindell. - Chapman & Hall/CRC, 2008. - ISBN 978-1-58488-551-1

57. Mitsunari, S. A New Traitor Tracing / Shigeo Mitsunari, Ryuichi Sakai, and Masao Kasahara // IEICE Trans. Fundamentals. - v. E85-A, No. 2. - 2002. - P. 481-484.

58. Naor, M. Number-theoretic constructions of efficient pseudo-random functions / M. Naor, O. Reingold // In FOCS'97, 1997. - P. 458-467.

59. Richardson, R. CSI/FBI Computer Crime and Security Survey 2007 // Computer Security Institute Publications, 2007.

60. Shannon, C.E. A Mathematical Theory of Communication / C.E. Shannon // Bell System Technical Journal, 1948. - Т. 27. - P. 379-423, 623-656.

Размещено на Allbest