Пояснительная записка (1208543), страница 8
Текст из файла (страница 8)
Рисунок 2.1 – Профиль защиты персональных данных
-
Экономика. Оценка экономической эффективности внедрения системы защиты персональных данных
Цель выпускной квалификационной работы заключается в разработке профиля защиты персональных данных, обрабатываемых в информационной системе персональных отдела бухгалтерского учета и отчетности, удовлетворяющей требованиям руководящих документов и других нормативно-правовых актов в области информационной безопасности. Профиль защиты разрабатывается для Акционерного общество «Акционерная компания «Железные дороги Якутии», в котором обрабатываются персональных данные работников АО "АК "ЖДЯ", пользователей услуг АО "АК "ЖДЯ" и физических лиц, состоящих в договорных и иных гражданско-правовых отношениях с АО "АК "ЖДЯ".
Для того чтобы оценить экономическую эффективность внедрения системы защиты персональных данных, необходимо вычислить:
-
чистый дисконтированный доход (NPV);
-
индекс доходности (PI).
Для расчета данных показателей необходимо вычислить следующие величины:
-
капиталовложение (К) – средства, необходимые на разработку, внедрение и аттестационные испытания системы защиты персональных данных;
-
выгода (R) – средства, которые удастся сохранить после ввода в эксплуатацию системы защиты персональных данных;
-
периодические затраты (З) – средства, необходимые для поддержания системы защиты информации в рабочем состоянии (продление лицензий на средства защиты информации, зарплата администратора безопасности и прочее);
-
ставка дисконтирования (N) – показатель, позволяющий учесть неравноценность денежных потоков, возникающих в различные моменты времени.
-
Расчет капиталовложения
Капиталовложение (К) – средства, необходимые на разработку, внедрение и аттестационные испытания системы защиты персональных данных.
Общие затраты на выполнение работ по разработке, внедрению и аттестации информационной системы персональных данных (S) рассчитаем по формуле (4.1):
S = SСЗ + SА , (4.1)
где SСЗ – затраты на закупку средств защиты информации;
SА – затраты на оплату труда специалиста на разработку проектной документации и проведение аттестационных испытаний системы защиты информации.
В таблице 4.1 представлен перечень технических средств с указанием розничной цены и общих затрат на закупку данного средства. Цены взяты с официальных сайтов разработчиков и поставщиков данных средств защиты информации и являются актуальными на май 2017 года.
Таблица 4.1.1. Официальные сайты разработчиков средств защиты информации.
| Сайт разработчиков | Продукт |
| [https://www.dallaslock.ru/products/szi-nsd-dallas-lock/szi-ot-nsd-dallas-lock-8-0-k/] | Dallas Lock 8.0-K |
| [https://www.securitycode.ru/products/pak_sobol/] | Программно-аппаратный комплекс «Соболь» 3.0. |
| [https://infotecs.ru/product/] | продукция VipNet. |
Таблица 4.1 – Перечень технических средств с указанием стоимости
| Продукт | Кол-во | Цена розничная, 1 шт., руб. | Общая стоимость, руб. |
| Право на использование Средства защиты информации Dallas Lock 8.0-K. Сервер безопасности (защита 1-5 серверов/рабочих станций) | 1 | 35000,00 | 35000,00 |
| Право на использование Средства защиты информации Dallas Lock 8.0-K. Клиент (сетевой режим работы) | 5 | 5800,00 | 29000,00 |
| Дистрибутив ПО Dallas Lock 8.0-K | 1 | 300,00 | 300,00 |
| Окончание таблицы 4.1 | |||
| Продукт | Кол-во | Цена розничная, 1 шт., руб. | Общая стоимость, руб. |
| Программно-аппаратный комплекс «Соболь» 3.0 (плата PCI) в комплекте с ключами iButton DS1992 (2 шт.) | 5 | 11580,00 | 57900,00 |
| Программно-аппаратный комплекс «Соболь» 3.0 (плата PCI Express) в комплекте с ключами iButton DS1992 (2 шт.) | 5 | 11580,00 | 57900,00 |
| Право на использование XSpider 7.8.24, дополнительный хост к лицензии на 5 хоста, гарантийные обязательства в течение 1 года + дистрибутив | 1 | 42000,00 | 42000,00 |
| ПАК VipNet Coordinator HW2000 | 1 | 233800,00 | 233800,00 |
| Право на использование ПО VipNet Администратор (КС2) | 1 | 77880,00 | 77880,00 |
| Право на использование ПО VipNet Client (КС2) | 5 | 7400,00 | 37000,00 |
| Дистрибутив ПО VipNet Администратор | 1 | 300,00 | 300,00 |
| Дистрибутив ПО VipNet Client | 1 | 300,00 | 300,00 |
| Право на использование Dr. Web Mobile Security Siute для Android на 2 устройства | 5 | 500,00 | 2500,00 |
| ИТОГО (SСЗ), руб. | 573880,00 | ||
В таблице 4.2 представлена стоимость работ по разработке проектной документации и проведении аттестационных испытаний по требованиям безопасности информации. Цены определены условиями контракта.
Таблица 4.2 – Работы, проводимые специалистами органа по аттестации
| Продукт | Кол-во | Цена розничная, 1 шт., руб. | Общая стоимость, руб. |
| Предварительное обследование ИСПДн (изучение технологического процесса обработки и хранения защищаемой информации, анализ информационных потоков, определение состава использованных для обработки персональных данных средств). | 1 | 20000,00 | 20000,00 |
| Анализ исходных данных, необходимых для изучения и анализа циркулирующей информации. | 1 | 10000,00 | 10000,00 |
| Анализ организационной структуры ИСПДн и условий ее эксплуатации, фиксация состава технических средств, входящих в аттестуемый объект, системы ЗИ на объекте, разработанной документации и её соответствия требованиям нормативной документации по ЗИ. | 1 | 10000,00 | 10000,00 |
| Разработка программы и методик аттестационных испытаний | 1 | 15000,00 | 15000,00 |
| Проверка состояния организации работ и выполнения организационно-технических требований по защите информации, оценка правильности классификации ИСПДн, оценка уровня разработки организационно-распорядительной, проектной и эксплуатационной документации, оценка уровня подготовки кадров и распределения ответственности за выполнение требований по обеспечению безопасности информации в ИСПДн. | 1 | 20000,00 | 20000,00 |
| Комплексные испытания на соответствие требованиям по защите от несанкционированного доступа (НСД) к информации, обрабатываемой в ИСПДн (за 1 АРМ) | 5 | 3000,00 | 15000,00 |
| Окончание таблицы 4.2 | |||
| Продукт | Кол-во | Цена розничная, 1 шт., руб. | Общая стоимость, руб. |
| Контрольные испытания ИСПДн на соответствие требованиям по защите информации от несанкционированного доступа в соответствии с определенным классом защищенности от НСД для межсетевого обмена | 5 | 1500,00 | 7500,00 |
| Подготовка отчетной документации (протоколы испытания и заключения по результатам аттестационных испытаний, аттестат соответствия) | 1 | 15000,00 | 15000,00 |
| ИТОГО (SА), руб. | 99000,00 | ||
Таким образом, общая сумма затрат на разработку, внедрение и аттестационные испытания системы защиты информации составляет:
S = 573880+99000=672880 рублей.
-
Расчет выгоды
Выгода (R) – средства, которые удастся сохранить после ввода в эксплуатацию системы защиты персональных данных.
Выгоду составляют средства, которые удастся сэкономить от оплаты штрафов за невыполнение требований законодательства Российской Федерации в области информационной безопасности.
Контролирующими органами в области информационной безопасности являются: Федеральная служба по техническому и экспортному контролю (ФСТЭК), Федеральная служба в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) и Федеральная служба безопасности (ФСБ).
В соответствии со статьей 24 Федерального закона № 152-ФЗ «О персональных данных» за нарушение требований настоящего Федерального закона несут уголовную, административную, дисциплинарную и другую ответственность, предусмотренную законодательством РФ.
Для расчета выгоды будем рассматривать только административную ответственность, потому что другие виды ответственности не предполагают финансовых затрат.
В соответствии со статьей 13.12 «Нарушение правил защиты информации» Кодекса об административных правонарушениях за использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации, на юридических лиц налагается штраф до 20 тысяч рублей с конфискацией несертифицированных средств защиты информации.
Ввиду того, что операционная система, установленная на рабочих станциях и серверах, имеет встроенные функции безопасности, то каждый используемый для обработки ПДн компьютер по своей сути является средством защиты информации. Такие средства подвергаются обязательной сертификации на соответствие требованиям информационной безопасности. А так как операционная система Windows компании Microsoft не является сертифицированной, то наступает ответственность по указанной статье Кодекса об административных правонарушениях .
Средняя стоимость каждого компьютера, используемого для обработки ПДн в отделе бухгалтерского учета и отчетности, составляет 20 тысяч рублей. Количество таких компьютеров – 5 штук. Таким образом, при конфискации всех компьютеров и наложении штрафа убытки (У1) составят:
У1 = 20000*5+20000=120000 руб.
К тому же, при конфискации компьютеров отдела бухгалтерского учета и отчетности не сможет выполнять возложенные на него функции.
При обнаружении нарушения при обработке ПДн, контролирующие органы выдают постановления и предписания на устранение выявленных нарушений. Если проигнорировать предписание и не реализовать систему защиты персональных данных, наступает ответственность по статье 19.5 «Невыполнение в срок законного предписания (постановления, представления, решения) органа, осуществляющего государственный надзор (контроль)» Кодекса об административных правонарушениях [3]. Ответственность по части 2 указанной статьи влечет наложение административного штрафа на юридических лиц в размере от 200 до 500 тысяч рублей.
С учетом сложности реализации системы защиты и других факторов, срок выполнения предписания в среднем составляет от 4 до 6 месяцев. По истечению срока организуется повторная проверка с целью определения выполнения или невыполнения требований предписания. Если требования не выполнены – налагается повторный штраф и новое предписание с новыми сроками. И так до тех пор, пока юридическое лицо не выполнит требования предписания, причем при повторном невыполнении требований предписания сумма штрафа увеличивается.
Таким образом, при первой проверке отдела бухгалтерского учета и отчетности, будет оштрафован на 20000 рублей и будут конфискованы компьютеры, то есть убыток составит 120 тысяч рублей. Будет выдано предписание с требованиями устранить нарушения. Предположим, что отдел, достал из резервов другие компьютеры и продолжает обработку ПДн с нарушениями, ведь если не обрабатывать ПДн, то невозможно производить основную деятельность. При повторной проверке через 4 месяца штраф уже будет составлять 12000+200000=320000 рублей. Еще через 4 месяца штраф будет составлять 120000 + 500000 = 620000 рублей.
То есть за 2017 год отдел потеряет уже 120000+320000+620000=1060000 рублей.
Штрафы продолжаются и далее. Тогда за 2018 год размер штрафов будет составлять 1860000 рублей. Следующие года – аналогично.
-
Расчет периодических затрат
Периодические затраты (З) – средства, необходимые для поддержания системы защиты информации в рабочем состоянии (продление лицензий на средства защиты информации, зарплата администратора безопасности и прочее).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
