Разработка методики классификации объектов защиты в корпоративных информационных системах

4.3.8 Эргономические условия организации рабочего места

Рабочее место и взаимное расположение всех его элементов должно соответствовать антропометрическим, физическим и психологическим требованиям. В частности, при организации рабочего места инженера в сфере защиты информации должны быть соблюдены следующие основные условия: оптимальное размещение оборудования, входящего в состав рабочего места и достаточное рабочее пространство, позволяющее осуществлять все необходимые движения и перемещения.

Эргономическими аспектами проектирования рабочего места инженера, в частности, являются: высота рабочей поверхности, размеры пространства для ног, характеристики рабочего кресла, требования к поверхности рабочего стола, регулируемость элементов рабочего места.

Главными элементами рабочего места инженера являются стол и кресло. Основным рабочим положением является положение сидя.

Рабочая поза сидя вызывает минимальное утомление программиста. То, что требуется для выполнения работ чаще, расположено в зоне легкой досягаемости рабочего пространства. Кресло инженера удобное, с упругой спинкой.

Монитор компьютера расположен на расстоянии вытянутой руки. Монитор располагается на рабочем столе прямо, и удален от глаз примерно на [11] 50-60 см (СанПиН 2.2.2/2.4.1340-03 «Гигиенические требования к персональным электронно-вычислительным машинам и организации работы»). Работа осуществляется на плоскоэкранном мониторе с диагональю 20 дюймов. Клавиатура располагается от края стола где-то на 10 см. Размещение устройств показано на рисунке 4.1.

Рис. 4.1 Размещение основных и периферийных составляющих: 1 - монитор, 2 - принтер, 3 - поверхность рабочего стола, 4 - клавиатура, 5 - мышь.

На рисунке 4.2 показан пример размещения основных и периферийных составляющих ПК на рабочем столе инженера. Оптимальное размещение предметов труда и документации в зонах досягаемости.

Рис. 4.2 Зоны досягаемости рук в горизонтальной плоскости

А - зона максимальной досягаемости;

б - зона досягаемости пальцев при вытянутой руке;

в - зона легкой досягаемости ладони;

г - оптимальное пространство для грубой ручной работы;

д - оптимальное пространство для тонкой ручной работы.

Пояснения:

дисплей размещается в зоне а (в центре);

cистемный блок размещается в предусмотренной нише стола;

клавиатура - в зоне г/д;

«мышь» - в зоне в справа;

принтер находится в зоне а (справа);

документация: необходимая при работе - в зоне легкой досягаемости ладони - в; в выдвижных ящиках стола - неиспользуемая постоянно.

Зона досягаемости моторного поля в вертикальной плоскости показана на рисунке 4.3.

Рис. 4.3 Зона досягаемости моторного поля в вертикальной плоскости

Для комфортной работы стол должен удовлетворять следующим условиям:

высота стола должна быть выбрана с учетом возможности сидеть свободно, в удобной позе, при необходимости опираясь на подлокотники;

нижняя часть стола должна быть сконструирована так, чтобы программист мог удобно сидеть, не был вынужден поджимать ноги;

поверхность стола должна обладать свойствами, исключающими появление бликов в поле зрения программиста;

конструкция стола должна предусматривать наличие выдвижных ящиков (не менее 3 для хранения документации, канцелярских принадлежностей).

высота рабочей поверхности рекомендуется в пределах 680-760мм. Высота поверхности, на которую устанавливается клавиатура, должна быть около 650мм.

Большое значение придается характеристикам рабочего кресла. Так, рекомендуемая высота сиденья над уровнем пола находится в пределах 420-550мм. Поверхность сиденья мягкая, передний край закругленный, а угол наклона спинки - регулируемый.

Положение экрана определяется:

расстоянием считывания (0,6…0,7м);

углом считывания, направлением взгляда на 20 ниже горизонтали к центру экрана, причем экран перпендикулярен этому направлению.

Должна также предусматриваться возможность регулирования экрана:

по высоте +3 см;

по наклону от -10 до +20 относительно вертикали;

в левом и правом направлениях.

Большое значение также придается правильной рабочей позе пользователя. При неудобной рабочей позе могут появиться боли в мышцах, суставах и сухожилиях. Требования к рабочей позе инженера при работе с компьютером:

голова не должна быть наклонена более чем на 20;

плечи должны быть расслаблены;

локти - под углом 80…100;

предплечья и кисти рук - в горизонтальном положении.

В целях преодоления недостатков даются общие рекомендации: должны быть предусмотрены специальные приспособления для регулирования высоты стола, клавиатуры и экрана, а также подставка для рук.

Существенное значение для производительной и качественной работы на компьютере имеют размеры знаков, плотность их размещения, контраст и соотношение яркостей символов и фона экрана. Если расстояние от глаз оператора до экрана дисплея составляет 60…80 см, то высота знака должна быть не менее 3мм, оптимальное соотношение ширины и высоты знака составляет 3:4, а расстояние между знаками - 15…20% их высоты. Соотношение яркости фона экрана и символов - от 1:2 до 1:15.

Во время пользования компьютером медики советуют устанавливать монитор на расстоянии 50-60 см от глаз. Специалисты также считают, что верхняя часть дисплея должна быть на уровне глаз или чуть ниже. Когда человек смотрит прямо перед собой, его глаза открываются шире, чем когда он смотрит вниз. За счет этого площадь обзора значительно увеличивается, вызывая обезвоживание глаз. К тому же если экран установлен высоко, а глаза широко открыты, нарушается функция моргания. Это значит, что глаза не закрываются полностью, не омываются слезной жидкостью, не получают достаточного увлажнения, что приводит к их быстрой утомляемости.

Создание благоприятных условий труда и правильное эстетическое оформление рабочих мест на производстве имеет большое значение, как для облегчения труда, так и для повышения его привлекательности, положительно влияющей на производительность труда.

Проанализировав данное помещение и соответствующие им нормы, можно сказать, что эргономические условия рабочего стола соответствуют тем необходимым нормам, которые были описаны выше.

4.3.9 Пожарная безопасность

Пожары в помещения с компьютерами представляют особую опасность. Помещение, в котором находятся как вычислительная техника, питающаяся электрическим током, и небольшая площадь способствуют развитию огня.

В соответствие с ППБ 01-03 «Правилапожарной безопасности в Российской Федерации», данное помещение по категории пожароопасности относится к классу Е - [14] пожары, связанные с горением электроустановок. Так как в помещении находятся горючие материалы типа обоев, потолок из пенопластового материала, деревянные столы, шкафы. В процессе горения они образовывают опасные токсичные смеси. Они способны взрываться при взаимодействии с кислородом воздуха или друг с другом, в таком количестве, что расчетное избыточное давление взрыва в помещении может [15] превышать 5 кПа.

В случае возникновения пожара необходимо:

отключить электропитание, вызвать по телефону пожарную команду;

эвакуировать людей из помещения;

приступить к ликвидации пожара огнетушителями.

При наличии небольшого очага пламени можно воспользоваться подручными средствами с целью прекращения доступа воздуха к объекту возгорания.

Как правило, для прекращения процесса горения используются углекислородные огнетушители. В данном помещении огнетушителя нет, он расположен в коридоре, в специальном отсеке - один на этаж. Однако ручные углекислотные огнетушители устанавливают в помещениях из расчета один огнетушитель на 40-50 площади, но не менее двух в помещении.

Зато установлены система автоматической пожарной сигнализации, состоящие из извещателей. Извещатели размещены непосредственно в помещении.

В помещениях с вычислительными системами постоянно имеются горючие вещества, такие как бумага, деревянные столы. Горючие вещества могут вноситься в помещение: тетради, книги, бумага - необходимы в рабочем и учебном процессе. Посторонние предметы, легковоспламеняющиеся вещества (лак, краску, растворитель и т.д.) вносить запрещается.

Источником воспламенения может стать:

неисправность электропроводки;

плохие контакты соединения проводов могут привести к искрообразованию;

окисление контактов разъемов, при этом увеличивается сопротивление контакта, а при протекании больших токов контакты сильно нагреваются, что может привести к возгоранию проводки;

наличие неизолированных проводов, сломанные розетки, вилки также могут стать источником возгорания.

Чтобы избежать воспламенения электропроводки необходимо следить за состоянием проводов, розеток, вилок, выключателей; контакты разъемов по мере необходимости очищать от окислов; не включать в одну розетку большое количество потребителей тока; следует пользоваться только исправным электрооборудованием.

Способность конструкций сопротивляться воздействию пожара в течение определенного времени при сохранении эксплуатационных функций называется огнестойкостью.

Таким образом, в соответствии с ППБ 01-03 «Правила пожарной безопасности в Российской Федерации», в рассматриваемом помещении компании достаточно наличие двух углекислотных огнетушителя типа ОУ-3.

Выводы:

Соблюдение норм и способов защиты одновременно с изучением количественных факторов, источников возникновения и их воздействий на человека позволит сохранить хорошую работоспособность в течение всего рабочего дня. Осуществление мероприятий, направленных на улучшение условий труда, также будет благоприятно сказываться на качестве выполненной работы.

Изучив основные требования к рабочему месту специалиста по защите информации, рекомендуется создать наиболее благоприятные условия на рабочем месте специалиста путем установления кондиционеров, регулирующие влажность помещения и поддерживающей комфортную температуру.

В связи с присутствием в помещении только общего освещения, рекомендуется на каждом рабочем месте разместить местные светильники.

Для снижения уровня шума стены и потолок помещений могут быть облицованы звукопоглощающими материалами. Уровень вибрации в помещениях вычислительных центров может быть снижен путем установки оборудования на специальных виброизоляторах. Необходимо иметь в виду и то, что система вентиляции должна быть электро-, пожаро- и взрывобезопасна, проста по устройству, надежна в эксплуатации и эффективна.

Для предотвращения травм необходимо периодически проверять исправность электрооборудования, наличие защитного заземления деталей, которые могут оказаться под напряжением.

Проанализировав способы защиты помещения и соответствующие ему нормы, можно порекомендовать обеспечить электрическое разделение сетей, поставить оградительные устройства, знаки безопасности. В связи с отсутствием в помещениях огнетушителя, рекомендуется в целях безопасности иметь его в наличии.

В целях преодоления недостатков устройства рабочего места специалиста, рекомендуется использовать специальные приспособления для регулирования высоты стола, клавиатуры и экрана, а также подставка для рук.

При работе с компьютером, работник обязательно должен хорошо знать основы электробезопаности, основные требования промышленной санитарии, уметь пользоваться нормативной документацией по охране труда. Поэтому должны периодически проводиться инструктаж сотрудников по правилам электробезопасности. Большое значение на эффективность работы влияет и нагрузка на зрительные органы восприятия информации, в связи с чем, рекомендуется делать перерывы при работе с компьютером, уменьшать зрительную нагрузку.

Выполнение всех правил и норм по охране труда обеспечит необходимую безопасность и комфортную среду на рабочих местах.



5. ЭКОНОМИКА ЗАЩИТЫ ИНФОРМАЦИИ

В данном разделе определяется совокупная стоимость (ТСО) реализации процесса классификации объектов защиты и определяется его эффективность.

5.1 Стоимостные характеристики проектов по обеспечению информационной безопасности

Оценка экономической эффективности проекта по обеспечению информационной безопасности является обязательной составляющей его технико-экономического обоснования. Несмотря на то, что будущий экономический эффект от реализации процесса классификации объектов защиты оценить непросто, попытаемся это сделать на примере виртуальной компании.

Существует ряд методик, с помощью которых выполняется оценка всевозможных затрат, к которым приведет внедрение того или иного проекта. Такие всевозможные затраты называются совокупной стоимостью владения TCO (Total Cost Ownership). Наиболее известные методики по оценке ТСО предложили Gartner Group и Dell Systems.

Согласно методикам Gartner Group и Dell Systems, [16] совокупная стоимость владения СЗИ включает в себя следующие основные затраты.

Единовременные затраты:

стоимость покупки оборудования, рабочих станций, серверов, программного обеспечения, технических средств;

затраты на введение системы в эксплуатацию (конфигурирование, настройку, доводку);

затраты на обучение и переобучение сотрудников;

разработка ОРД: должностных инструкций, положений об использовании СЗИ, нормативной базы службы защиты информации;

обеспечение физической безопасности;

расходы на аутсорсинг;

расходы на услуги связи.

Постоянные затраты (в год):

зарплата сотрудникам, выполняющим бизнес-функции в рамках информационной системы;

затраты на техническую поддержку и обслуживание (конфигурирование, проведение регламентных и профилактических работ, администрирование безопасности) - зарплата сотрудников IT-департаментов;

затраты на установку новых версий ПО, докупку и продление лицензий и т.д.;

затраты электроэнергии (рассчитываются по техническим характеристикам серверов, рабочих станций, мониторов, ноутбуков);

затраты на устранение неисправностей;

затраты на доработку системы и ОРД.

Среди единовременных и постоянных затрат можно выделить затраты I и II группы.

Расчет затрат I группы требует указания количества единиц услуги (оборудования) и стоимости услуг (оборудования). К этим затратам относятся:

стоимость покупки оборудования, рабочих станций, серверов, программного обеспечения, технических средств;

затраты на обучение и переобучение сотрудников;

обеспечение физической безопасности;

расходы на аутсорсинг;

расходы на услуги связи;

затраты на установку новых версий ПО, докупку и продление лицензий и т.д.

Расчет затрат II группы требует указания:

пользовательских ролей и количества сотрудников (их представителей), выполняющих данные роли;

человеко-часов, требуемых для решения задач;

месячного оклада исполнителей.

К затратам II группы можно отнести:

затраты на введение системы в эксплуатацию (конфигурирование, настройку, доводку);

разработка ОРД: должностных инструкций, положений об использовании СЗИ, нормативной базы службы ЗИ;

затраты на техническую поддержку и обслуживание (конфигурирование, проведение регламентных, профилактических работ, администрирование безопасности) - зарплата сотрудников IT-департаментов;

затраты на устранение неисправностей;

затраты на доработку системы и ОРД.

Механизм расчета данных показателей II группы (через зарплату) выглядит следующим образом:

(5.1)

;(5.2)

;(5.3)

;(5.4)

,(5.5)

Где L_о - основная заработная плата исполнителей;

L_Д - дополнительная заработная плата;

L_Н - начисления на зарплату;

Р_н - накладные расходы;

T_i - трудоемкость исполнения i-ой должности (в человеко-часах);

R_i - количество исполнителей i-ой должности;

k_д - коэффициент дополнительной заработной платы (8%);

k_н - коэффициент отчислений с заработной платы в фонды соц. страхования (30%);

f_i - тарифная ставка или (оклад) исполнителя в час;

k_нак - коэффициент накладных расходов (30%).

Для расчета показателей II группы следует выполнить следующие шаги:

1) распределить перечисленные выше функции между пользовательскими ролями (должностями), указать количество представителей пользовательских ролей, выполняющих данные функции.

2) определить оклад пользовательской роли (руб. в час).

3) определить трудоемкость, т.е. количество человеко-часов, необходимых для выполнения каждой из задач.

4) рассчитать затраты, необходимые для выполнения каждой из перечисленных функций.

Для оценки инвестиционной привлекательности проекта часто используют такие показатели, как NPV и PI.

Оценка показателя NPV

Дисконтирование - это определение стоимости денежных потоков, относящихся к будущим периодам (будущих доходов на настоящий момент). В данном случае применяют ставку дисконтирования, величина которой отражает риски, связанные с обесцениванием денег из-за инфляции.

Непосредственно для оценки эффективности инвестиций используют показатель чистой текущей стоимости (NPV - Net Present Value). По сути дела, это текущая стоимость будущих денежных потоков инвестиционного проекта с учетом дисконтирования и за вычетом инвестиций. Этот показатель рассчитывается по следующей формуле:

,(5.6)

Где CF_i - чистый денежный поток для i-ого периода;

CF₀ - начальные инвестиции;

r - ставка дисконтирования.

Если NPV > 0, то проект прибыльный (его следует принять).

Если NPV < 0, то проект убыточный (его следует отвергнуть).

Если NPV = 0, то проект ни прибыльный, ни убыточный.

При сравнении нескольких проектов принимается тот из них, который имеет наибольшее значение NPV, если только оно положительное.

Для систем защиты информации значение

,(5.7)

Где - уровень снижения риска за -й период при внедрении СЗИ;

- постоянные затраты за -й период при внедрении СЗИ.

соответствуют единовременным затратам на внедрение СЗИ.

При расчете ставки дисконтирования с учетом рисков для рынка информационных технологий на внедрение проекта возьмем ставку 30%.

Индекс рентабельности (PI)

Индекс рентабельности рассчитывается по следующей формуле:

,(5.8)

Где CF₀ - начальные инвестиции.

Если PI > 1 то проект следует принять.

Если PI < 1 то проект следует отвергнуть.

Если PI=1, то проект является ни прибыльным, ни убыточным.

В отличие от NPV, индекс рентабельности является относительным показателем. Он характеризует уровень доходов на единицу затрат, то есть эффективность вложений - чем больше значение этого показателя, тем выше отдаче каждого рубля, инвестированного в данный проект.

Благодаря этому, критерий PI очень удобен при выборе одного проекта из ряда альтернативных, имеющих примерно одинаковые значения NPV, но разные объемы требуемых инвестиций. В данном случае необходимо выбирать проект, обеспечивающий большую эффективность вложений.

5.2 Расчет затрат на реализацию процесса классификации объектов защиты

5.2.1 Общее описание системы

Реализация процесса классификации объектов защиты в компании состоит из следующих этапов:

разработка ОРД и методики классификации объектов защиты;

разработка/закупка ПО;

настройка ПО;

закупка и ввод в эксплуатацию аппаратного обеспечения;

проведение ключевых сотрудников, реализующих деятельность по классификации объектов защиты;

внедрение процесса классификации объектов защиты;

проведение классификации объектов защиты (ежегодно);

анализ эффективности и выработка мер по модернизации процесса классификации объектов защиты (ежегодно).

Для функционирования системы управления событиями и инцидентами ИБ необходимо организовать группу классификации объектов защиты, в состав которой входят:

1 Руководитель процесса классификации объектов защиты:

2 специалиста по классификации объектов защиты;

7 администраторов ИС;

10 членов Комиссии по классификации объектов защиты, в т.ч. секретарь Комиссии.

5.2.2 Расчет единовременных затрат

К единовременным затратам относятся затраты на:

разработку ОРД и методики классификации объектов защиты;

разработку/закупку ПО;

настройку ПО;

закупка и ввод в эксплуатацию аппаратного обеспечения;

проведение обучения ключевых сотрудников, реализующих деятельность по классификации объектов защиты;

внедрение процесса классификации объектов защиты (процедуры обучения сотрудников компании и формирование шкалы уровней критичности);

Для работ по внедрению системы управления событиями и инцидентами ИБ необходимо 6 человек:

- 1 Руководитель процесса классификации объектов защиты;

- 2специалиста по классификации объектов защиты;

- 10 членов Комиссии по классификации объектов защиты;

- 1 администратор ИС.

Расчет заработной платы Руководителя процесса классификации объектов защиты:

разработка ОРД и методики классификации объектов защиты:

L_о = 120*200,00*1 = 24000,00

L_д = 0,08* 24000,00= 1920,00

L_н = 0,30*(24000,00+ 1920,00) =7776,00

P_н = 0,30*24000= 7200,00

проведение обучения ключевых сотрудников, реализующих деятельность по классификации объектов защиты:

L_о = 4*200,00*1 = 800,00

L_д = 0,08* 800,00= 64,00

L_н = 0,30*(800,00+ 64,00) =259,20

P_н = 0,3*8000= 240,00

Данные расчета заработной платы руководитель группа представлены в таблице (таблица 5.1).

Таблица 5.1

Затраты на заработную плату руководителя группы

№ п/п	Наименование статьи затрат	Сумма, руб.
1.	Основная заработная плата	24800,00
2.	Дополнительная заработная плата	1984,00
3.	Начисления на зарплату	8035,20
4.	Накладные расходы	7440,00
Итого:	42259,20

Расчеты заработной платы специалистов по классификации объектов защиты:

- настройка ПО:

L_о = 25*120,00*2 =6000,00

L_д = 0,08* 6000,00=480,00

L_н = 0,30*(6000,00+480,00) =1944,00

P_н = 0,3*6000,00=1800,00

внедрение процесса классификации объектов защиты (процедура обучения сотрудников компании);

L_о = 49*120,00*2 =11760,00

L_д = 0,08* 11760,00=940,80

L_н = 0,30*(11760,00+940,80) =3810,24

P_н = 0,3*11760,00=3528,00

Данные расчета заработной платы экспертов представлены в таблице (таблица 5.2).

Таблица 5.2

Затраты на заработную плату экспертов

№ п/п	Наименование статьи затрат	Сумма, руб.
1.	Основная заработная плата	17760,00
2.	Дополнительная заработная плата	1420,80
3.	Начисления на зарплату	5754,24
4.	Накладные расходы	5328,00
Итого:	30263,04

Расчеты заработной платы членов Комиссии по классификации объектов защиты:

внедрение процесса классификации объектов защиты (процедура формирования порядковой шкалы уровней критичности):

L_о = 8*200,00*10 =16000,00

L_д = 0,08*16000,00=1280,00

L_н = 0,30*(16000,00+1280,00) =5184,00

P_н = 0,3*16000,00=4800,00

Данные расчета заработной платы экспертов представлены в таблице (таблица 5.3).

Таблица 5.3

Затраты на заработную плату экспертов

№ п/п	Наименование статьи затрат	Сумма, руб.
1.	Основная заработная плата	16000,00
2.	Дополнительная заработная плата	1280,00
3.	Начисления на зарплату	5184,00
4.	Накладные расходы	4800,00
Итого:	27264,00

Расчет заработной платы администратора ИС:

ввод в эксплуатацию аппаратного обеспечения:

L_о = 12*120,00*1 =1440,00

L_д = 0,08*1440,00=115,20

L_н = 0,30*(1440,00+115,20) =466,56

P_н = 0,3*1440,00=432,00

Данные расчета заработной платы экспертов представлены в таблице (таблица 5.4).

Таблица 5.4

Затраты на заработную плату экспертов

№ п/п	Наименование статьи затрат	Сумма, руб.
1.	Основная заработная плата	1440,00
2.	Дополнительная заработная плата	115,20
3.	Начисления на зарплату	466,56
4.	Накладные расходы	432,00
Итого:	2453,76

Общая величина единовременных затрат на работы по организации деятельности по классификации объектов защиты приведены в таблице (таблица 5.5).



Таблица 5.5

Стоимость работ по внедрению системы управления событиями и инцидентами информационной безопасности

№ п/п	Наименование работ	Требуемое время (часы)	Сумма (руб)
1	Разработка ОРД и методики классификации объектов защиты	20	40896,00
2	Настройка ПО	25	10224,00
3	Ввод в эксплуатацию аппаратного обеспечения	12	2453,76
4	Проведение обучения ключевых сотрудников, реализующих деятельность по классификации объектов защиты	4	1147,2
5	Внедрение процесса классификации объектов защиты (процедуры обучения сотрудников компании и формирование шкалы уровней критичности)	57	47303,04
Итого:	218	102024,00

Стоимость затрат на разработку или закупку ПО (стоимость лицензии) указаны в таблице (таблица 5.6).

Таблица 5.6

Стоимость лицензий для программного обеспечения

№ п/п	Наименование программного обеспечения	Сумма (руб)
1	ПО подсистемы классификации объектов защиты	100000,00
3	Microsoft SQL Server 2008 R2 Standard Edition	27600,00
4	MS Windows Server 2008 R2 Standard Edition	20 776,74
Итого:	148376,74

Затраты на аппаратное обеспечение представлены в таблице (таблица 5.7).

Таблица 5.7

Затраты на аппаратное обеспечение

№ п/п	Наименование аппаратного обеспечения	Сумма (руб)
1	Сервер HP DL160 G6 X5550 Hot Plug EU Svr (490455-421)	56250,00
Итого:	56250,00

Итоговые единовременные затраты на организацию деятельности по классификации объектов составляют 306 650,74 руб.

5.2.3 Расчет постоянных затрат

К постоянным затратам на организацию деятельности по классификации объектов защиты относится:

- затраты на заработную плату сотрудникам группы классификации объектов защиты;

- затраты на ежегодное обучение сотрудников;

- затраты на оплату электроэнергии.

Расчет заработной Руководителя процесса классификации объектов защиты:

L_о = 40*200,00*1 =8000,00

L_д = 0,08*8000,00=640,00

L_н = 0,30*(8000,00+640,00) =2592,00

P_н = 0,3*8000,00=2400,00

Данные расчета заработной платы Руководителя процесса классификации объектов защиты представлены в таблице (таблица 5.8).

Таблица 5.8

Затраты на заработную плату экспертов

№ п/п	Наименование статьи затрат	Сумма, руб.
1.	Основная заработная плата	8000,00
2.	Дополнительная заработная плата	640,00
3.	Начисления на зарплату	2592,00
4.	Накладные расходы	2400,00
Итого:	13632,00

Расчет заработной платы специалистов по классификации объектов защиты:

L_о = 300*120,00*2 =72000,00

L_д = 0,08*8000,00=5760,00

L_н = 0,30*(72000,00+5760,00) =23328,00

P_н = 0,3*72000,00=21600,00

Данные расчета заработной платы специалистов по классификации объектов защиты представлены в таблице (таблица 5.9).

Таблица 5.9

Затраты на заработную плату экспертов

№ п/п	Наименование статьи затрат	Сумма, руб.
1.	Основная заработная плата	72000,00
2.	Дополнительная заработная плата	5760,00
3.	Начисления на зарплату	23328,00
4.	Накладные расходы	21600,00
Итого:	122688,00

Расчет заработной членов Комиссии по классификации объектов защиты:

L_о = 30*200,00*10 =60000,00

L_д = 0,08*8000,00=4800,00

L_н = 0,30*(72000,00+5760,00) =19440,00

P_н = 0,3*72000,00=18000,00

Данные расчета заработной платы членов Комиссии по классификации объектов защиты представлены в таблице (таблица 5.10).



Таблица 5.10

Затраты на заработную плату экспертов

№ п/п	Наименование статьи затрат	Сумма, руб.
1.	Основная заработная плата	60000,00
2.	Дополнительная заработная плата	4800,00
3.	Начисления на зарплату	19440,00
4.	Накладные расходы	18000,00
Итого:	102240,00

Расчет заработной членов Администраторов ИС:

L_о = 10*120,00*7 =8400,00

L_д = 0,08*8000,00=672,00

L_н = 0,30*(72000,00+5760,00) =2721,60

P_н = 0,3*72000,00=2520,00

Данные расчета заработной платы членов Комиссии по классификации объектов защиты представлены в таблице (таблица 5.11).

Таблица 5.11

Затраты на заработную плату экспертов

№ п/п	Наименование статьи затрат	Сумма, руб.
1.	Основная заработная плата	8400,00
2.	Дополнительная заработная плата	672,00
3.	Начисления на зарплату	2721,60
4.	Накладные расходы	2520,00
Итого:	14313,60

Затраты на обучение сотрудников составляют 5725,44 руб. ежегодно.

Затраты на электроэнергию:

Энергопотребление оборудования составляет:

рабочей станции:0,4КВт/ч;

сервера:1,2 КВт/ч.

Общее время работы оборудования в рамках деятельности по классификации объектов защиты в год составляет:

рабочих станций: 380 часов;

сервера: 1986 часов.

Таким образом, потребление энергии оборудования в год составляет:

рабочих станций: 0,4*380=152 КВт;

сервера: 1,2*1986=2383,0 КВт.

Итоговые затраты на электроэнергию составляют (152 КВт + 2383,0 КВт) * 2,4руб./КВт=6084,00 руб.

Итоговые постоянные затраты на организацию деятельности по классификации объектов представлены в таблице (таблица 5.12).

Таблица 5.12

Затраты на аппаратное обеспечение

№ п/п	Наименование аппаратного обеспечения	Сумма (руб)
1	Затраты на заработную плату	252873,60
2	Затраты на ежегодное обучение сотрудников	5725,44
3	Затраты на оплату электроэнергии	6084,00
Итого:	264683,04

5.2.4 Расчет совокупной стоимости владения подсистемой классификации объектов защиты

Предполагаемый срок действия системы управления событиями и инцидентами информационной безопасности составляет 5 лет.

Тогда вычислим ТСО на основании расчетов:

ТСО = 306650,74+264683,04*5 = 1630065,94 руб.

В результате произведенных вычислений было установлено, что совокупная стоимость владения подсистемой классификации объектов защиты составляет1630065,94 руб.

5.2.5 Оценка экономической эффективности

Для оценки инвестиционной привлекательности проекта по организации деятельности по классификации объектов защиты определим чистую текущую стоимость проекта(NPV) индекса рентабельности проекта(PI) на основании рассчитанных единовременных и постоянных затрат, а также уровня снижения риска при внедрении системы.

Итоговые затраты:

Единовременные затраты (): 306650,74руб.

Постоянные затраты ():264683,04руб.

Для начала определим - чистый денежный поток для i-ого периода.

Предположим, что затраты компании на обеспечение информационной безопасности КИС до организации деятельности по классификации объектов защиты в год составляли 2 000 000 руб. По результатам классификации объектов защиты было установлено, что данные затраты могут быть уменьшены до 1 600 000 руб. за счет снижения стоимости затрат на обеспечение информационной безопасности некритичных объектов защиты.

С другой стороны, за счет повышения уровня информационной безопасности объектов защиты максимального уровня критичности, затраты, вызванные нарушением информационной безопасности объектов защиты удалось снизить:

за первый год: с 600 000 руб. до 550 000 руб.;

за второй год: с 650 000 руб. до 500 000 руб.;

за третий год: с 650 000 руб. до 500 000 руб.;

за четвертый год: с 600 000 руб. до 400 000 руб.;

за пятый год: с 700 000 руб. до 500 000 руб.

Таким образом, после организации деятельности по классификации объектов защиты, прибыль предприятия в год составила:

за первый год: 450 000 руб.;

за второй год: 550 000 руб.;

за третий год: 550 000 руб.;

за четвертый год: 600 000 руб.;

за пятый год: 600 000 руб.;

Рассчитаем ежегодные денежные потоки:

CF₁ =450 000 -264683,04=185 316,96руб.;

CF₂ =550 000 -264683,04=285 316,96руб.;

CF₃ =550 000 -264683,04=285 316,96руб.;

CF₄ =600 000 -264683,04=335 316,96руб.;

CF₅ =650 000 -264683,04=335 316,96руб.

Теперь определим чистую текущую стоимость проекта, используя формулу (5.6). Ставку дисконтирования для информационных и телекоммуникационных технологий примем равной 30%.

NPV = 1626506,80 руб.

NPV > 0, следовательно, проект прибыльный.

Рассчитаем индекс рентабельности по формуле (5.8):

PI = 6.3

PI > 1, следовательно проект следует принять.

Выводы:

В данном разделе был произведен расчет единовременных и постоянных затрат на организацию деятельности по классификации объектов защиты, рассчитана совокупная стоимость владения подсистемой классификации объектов защиты и проведена оценка экономической эффективности проекта по организации деятельности по классификации объектов защиты.

На основании выполненных расчетов можно сделать вывод об экономической привлекательности проекта, что подтверждается значением показателя NPV > 0 и PI > 1.

По результатам выполненных расчетов можно сделать вывод, что проект следует принять.



ЗАКЛЮЧЕНИЕ

Целью дипломного проекта являлось повышение эффективности системы управления ИБ в КИС за счет внедрения методики классификации объектов защиты.

Для достижения поставленной цели были решены следующие задачи:

проведен анализ существующих подходов к классификации объектов защиты;

разработана структура процесса классификации объектов защиты и составляющих его процедур;

разработана методика классификации объектов защиты в КИС, определен порядок проведения классификации объектов защиты;

сформированы требования к ПО подсистемы классификации объектов защиты.

Цель проекта была достигнута.



СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью.- Федеральное государственное учреждение "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России"), 2010

2. G. Stoneburner, A. Goguen, A. Feringa Risk Management Guide for Informatio Technology Systems.- Gaithersburg: National Institute of Standards and Technology Special Publicatio№800-30,2002.- 54 pages.

3. K. Stine, R. Kissel, W.C. Barker, A. Lee, J. Fahlsing Informatio security- Gaithersburg: National Institute of Standards and Technology Special Publicatio №800-60, 2008.- 304 pages.

4. Стандарт банка России. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения.- СТО БР ИББС-1.0-2010.-М.,2010

5. Sh. Taylor, V. Lloyd, C. Rudd Service design № [Электронныйресурс]: ITIL Service Management Practices

6. Галатенко В.А. Категорирование информации и информационных систем. Обеспечение базового уровня информационной безопасности [Электронный ресурс]//информационный бюллетень - М.: компания «Инфосистемы Джет», 2006

7. K. Dillard, J. Pfost, S. Ryan, C. Master The Security Risk Management Guide [Электронный ресурс]: Microsoft Solutions for Security and Compliance And Microsoft Security Center of Excellence

8. Cимонов С.В. Технологии и методики классификации информационных ресурсов [Электронный ресурс]: статья//Труды Института системного анализа РАН, 2006. - стр. 58-73

9. СП 52.13330.2011«СНиП 23-05-95*. Естественное и искусственное освещение»;

10. Русак О., Малаян К., Занько Н. Безопасность жизнедеятельности. Спб., М., Краснодар: Лань, 2003;

11. СанПиН 2.2.2/2.4.1340-03«Гигиенические требования к персональным электронно-вычислительным машинам и организации работы»;

12. Освещенность рабочих мест: современные подходы к измерениям и оценке [Электронный ресурс]

13. ГОСТ 12.1.019-79 2001 «Электробезопасность. Общие требования и номенклатура видов защиты»;

14. ППБ 01-03 «Правила пожарной безопасности в российской федерации»;

15. Федеральный закон от 22 июля 2008 г. №123-ФЗ «Технический регламент о требованиях пожарной безопасности».

16. Аникин И.В., Катасев А.С. Методические рекомендации к разработке раздела дипломного проекта «Экономика защиты информации». Казань, 2009.

Размещено на Allbest.ru