1. Пояснительная записка (1209954), страница 7
Текст из файла (страница 7)
Рисунок 2.1 – Профиль защиты персональных данных
-
Оценка экономической эффективности внедрения системы защиты персональных данных
Цель выпускной квалификационной работы заключается в разработке профиля защиты персональных данных, обрабатываемых в автоматизированной системе «Система обеспечения вызова экстренных оперативных служб по единому номеру «112» Еврейской автономной области», удовлетворяющей требованиям руководящих документов и других нормативно-правовых актов в области информационной безопасности. Профиль защиты разрабатывается для центров обработки вызовов от населения с территории Еврейской автономной области по единому телефонному номеру «112», в котором обрабатываются персональных данные абонентов, осуществляющих вызовы в «Систему-112».
Для того чтобы оценить экономическую эффективность внедрения системы защиты персональных данных, необходимо вычислить:
-
чистый дисконтированный доход (NPV);
-
индекс доходности (PI).
Для расчета данных показателей необходимо вычислить следующие величины:
-
капиталовложение (К) – средства, необходимые на разработку, внедрение и аттестационные испытания системы защиты персональных данных;
-
выгода (R) – средства, которые удастся сохранить после ввода в эксплуатацию системы защиты персональных данных;
-
периодические затраты (З) – средства, необходимые для поддержания системы защиты информации в рабочем состоянии (продление лицензий на средства защиты информации, зарплата администратора безопасности и прочее);
-
ставка дисконтирования (N) – показатель, позволяющий учесть неравноценность денежных потоков, возникающих в различные моменты времени.
-
Расчет капиталовложения
Капиталовложение (К) – средства, необходимые на разработку, внедрение и аттестационные испытания системы защиты персональных данных.
Общие затраты на выполнение работ по разработке, внедрению и аттестации информационной системы персональных данных (S) рассчитаем по формуле (4.1):
S = SСЗ + SА , (4.1)
где SСЗ – затраты на закупку средств защиты информации;
SА – затраты на оплату труда специалиста на разработку проектной документации и проведение аттестационных испытаний системы защиты информации.
В таблице 3.1 представлен перечень технических средств с указанием розничной цены и общих затрат на закупку данного средства. Цены взяты с официальных сайтов разработчиков [26–29] и поставщиков данных средств защиты информации и являются актуальными на май 2017 года.
Таблица 3.1 – Перечень технических средств с указанием стоимости
| Продукт | Кол-во | Цена розничная, 1 шт., руб. | Общая стоимость, руб. |
| СЗИ от НСД Secret Net 7 Сервер безопасности | 1 | 42 100,00 | 42 100,00 |
| СЗИ от НСД Secret Net 7 Client (сетевой режим работы) | 19 | 7 950,00 | 151 050,00 |
| Программно-аппаратный комплекс «Соболь» 3.0 в комплекте с ключами iButton DS1992 (2 шт.) | 19 | 10 350,00 | 196 650,00 |
| Окончание таблицы 3.1 | |||
| Продукт | Кол-во | Цена розничная, 1 шт., руб. | Общая стоимость, руб. |
| Антивирусное программное обеспечение Kaspersky Endpoint Security на 20 узлов | 1 | 34 780,00 | 34 780,00 |
| Право на использование XSpider 7.8, дополнительный хост к лицензии на 32 хоста, гарантийные обязательства в течение 1 года + дистрибутив | 1 | 42 000,00 | 42 000,00 |
| ПАК VipNet Coordinator HW1000 | 1 | 233 800,00 | 233 800,00 |
| Право на использование ПО VipNet Администратор (КС2) | 1 | 77 880,00 | 77 880,00 |
| Право на использование ПО VipNet Client (КС2) | 19 | 7 800,00 | 148 200,00 |
| ПАК ViPNet IDS | 1 | 257 880,00 | 257 880,00 |
| ИТОГО (SСЗ), руб. | 1 184 340,00 | ||
В таблице 3.2 представлена стоимость работ по разработке проектной документации и проведении аттестационных испытаний по требованиям безопасности информации. Цены определены условиями контракта.
Таблица 3.2 – Работы, проводимые специалистами органа по аттестации
| Продукт | Кол-во | Цена розничная, 1 шт., руб. | Общая стоимость, руб. |
| Предварительное обследование ИСПДн (изучение технологического процесса обработки и хранения защищаемой информации, анализ информационных потоков, определение состава использованных для обработки персональных данных средств). | 1 | 20000,00 | 20000,00 |
| Продолжение таблицы 3.2 | |||
| Продукт | Кол-во | Цена розничная, 1 шт., руб. | Общая стоимость, руб. |
| Анализ исходных данных, необходимых для изучения и анализа циркулирующей информации. | 1 | 10000,00 | 10000,00 |
| Анализ организационной структуры ИСПДн и условий ее эксплуатации, фиксация состава технических средств, входящих в аттестуемый объект, системы ЗИ на объекте, разработанной документации и её соответствия требованиям нормативной документации по ЗИ. | 1 | 10000,00 | 10000,00 |
| Разработка программы и методик аттестационных испытаний | 1 | 15000,00 | 15000,00 |
| Проверка состояния организации работ и выполнения организационно-технических требований по защите информации, оценка правильности классификации ИСПДн, оценка уровня разработки организационно-распорядительной, проектной и эксплуатационной документации, оценка уровня подготовки кадров и распределения ответственности за выполнение требований по обеспечению безопасности информации в ИСПДн. | 1 | 20000,00 | 20000,00 |
| Комплексные испытания на соответствие требованиям по защите от несанкционированного доступа (НСД) к информации, обрабатываемой в ИСПДн (за 1 АРМ) | 19 | 3000,00 | 90000,00 |
| Контрольные испытания ИСПДн на соответствие требованиям по защите информации от несанкционированного доступа в соответствии с определенным классом защищенности от НСД для межсетевого обмена | 19 | 1500,00 | 45000,00 |
| Окончание таблицы 3.2 | |||
| Продукт | Кол-во | Цена розничная, 1 шт., руб. | Общая стоимость, руб. |
| Подготовка отчетной документации (протоколы испытания и заключения по результатам аттестационных испытаний, аттестат соответствия) | 1 | 15000,00 | 15000,00 |
| ИТОГО (SА), руб. | 225000,00 | ||
Таким образом, общая сумма затрат на разработку, внедрение и аттестационные испытания системы защиты информации составляет:
S = 1184 340 + 225 000 = 1409340 рублей.
-
Расчет выгоды
Выгода (R) – средства, которые удастся сохранить после ввода в эксплуатацию системы защиты персональных данных.
Выгоду составляют средства, которые удастся сэкономить от оплаты штрафов за невыполнение требований законодательства Российской Федерации в области информационной безопасности.
Контролирующими органами в области информационной безопасности являются: Федеральная служба по техническому и экспортному контролю (ФСТЭК), Федеральная служба в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) и Федеральная служба безопасности (ФСБ).
В соответствии со статьей 24 Федерального закона № 152-ФЗ «О персональных данных» [19] за нарушение требований настоящего Федерального закона несут уголовную, административную, дисциплинарную и другую ответственность, предусмотренную законодательством РФ.
Для расчета выгоды будем рассматривать только административную ответственность, потому что другие виды ответственности не предполагают финансовых затрат.
В соответствии со статьей 13.12 «Нарушение правил защиты информации» Кодекса об административных правонарушениях [9] за использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации, на юридических лиц налагается штраф до 20 тысяч рублей с конфискацией несертифицированных средств защиты информации.
Ввиду того, что операционная система, установленная на рабочих станциях и серверах, имеет встроенные функции безопасности, то каждый используемый для обработки ПДн компьютер по своей сути является средством защиты информации. Такие средства подвергаются обязательной сертификации на соответствие требованиям информационной безопасности. А так как операционная система Windows компании Microsoft не является сертифицированной, то наступает ответственность по указанной статье Кодекса об административных правонарушениях [9].
Средняя стоимость каждого компьютера, используемого для обработки ПДн в центрах обработки вызовов (далее – ЦОВ), составляет 40 тысяч рублей. Количество таких компьютеров – 19 штук. Таким образом, при конфискации всех компьютеров и наложении штрафа убытки (У1) составят:
У1 = 40000 * 19 = 760 000 руб.
К тому же, при конфискации компьютеров ЦОВ не сможет выполнять возложенные на него функции.
При обнаружении нарушения при обработке ПДн, контролирующие органы выдают постановления и предписания на устранение выявленных нарушений. Если проигнорировать предписание и не реализовать систему защиты персональных данных, наступает ответственность по статье 19.5 «Невыполнение в срок законного предписания (постановления, представления, решения) органа, осуществляющего государственный надзор (контроль)» Кодекса об административных правонарушениях [9]. Ответственность по части 2 указанной стати влечет наложение административного штрафа на юридических лиц в размере от 200 до 500 тысяч рублей.
С учетом сложности реализации системы защиты и других факторов, срок выполнения предписания в среднем составляет от 4 до 6 месяцев. По истечению срока организуется повторная проверка с целью определения выполнения или невыполнения требований предписания. Если требования не выполнены – налагается повторный штраф и новое предписание с новыми сроками. И так до тех пор, пока юридическое лицо не выполнит требования предписания, причем при повторном невыполнении требований предписания сумма штрафа увеличивается.
Таким образом, при первой проверке ЦОВ будет оштрафован на 20000 рублей и будут конфискованы компьютеры, то есть убыток составит 760 тысяч рублей. Будет выдано предписание с требованиями устранить нарушения. Предположим, что ЦОВ достал из резервов другие компьютеры и продолжает обработку ПДн с нарушениями, ведь если не обрабатывать ПДн, то невозможно производить основную деятельность. При повторной проверке через 4 месяца штраф уже будет составлять 760000 + 200000 = 920000 рублей. Еще через 4 месяца штраф будет составлять 760000 + 500000 = 1 260 000 рублей. То есть за год работы, ЦОВ потеряет уже 760000 + 920000 + 1 260 000 = 2 940 000 рублей.
Штрафы продолжаются и далее. Тогда за следующий год размер штрафов будет составлять 3 740 000 рублей. Следующие года – аналогично.
-
Расчет периодических затрат
Периодические затраты (З) – средства, необходимые для поддержания системы защиты информации в рабочем состоянии (продление лицензий на средства защиты информации, зарплата администратора безопасности и прочее).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
