Обеспечение достоверности и защиты информации в информационном обеспечении управления

 

Таким образом себестоимость разработки составляет 1700702 руб.

С = 1700702 руб.

Определение договорной цены разработки

С помощью рассчитанной выше себестоимостью разработки можно определить ее договорную цену. Она рассчитывается по формуле:

Цд = С + Фз.п. * Нр * К / 100, где         (3.1)

С - себестоимость разработки,

Фз.п. - заработкая плата сотрудников, непосредственно участвующих в  выполнении работы, руб.,

Нр - рентабельность, %,

К - коэффициент, учитывающий заработную плату обслуживающих и управленческих подразделений.

Рентабельность рассчитывается в  целом по организации в процентах  к общему фонду заработной платы  исходя из обязательного обеспечения  выплаты фиксированных платежей. Корректирующий коэффициент К также  рассчитывается в целом по организации как отношение общего фонда заработной платы  к фонду заработной платы подразделений, непосредственно занятых проведением НИР. Величены Нр и К принимаются по данным НИИ, где выполняется дипломный проект.

При С = 1700702 руб., Фз.п. = Зосн + Здоп = 60960 руб., Нр = 15%, К = 5 определим договорную цену на разработку:

Цд = 1700702 + 60960 * 15 * 5 / 100 = 1746422 руб.

Договорная цена разработки составила 1746422 руб.

Планирование работ по теме с  применением сетевых методов

Как правило, планирование работ по теме усложняется тем, что в работе участвуют несколько исполнителей, начало многих работ зависит от результатов других и т.д. В таких условиях наиболее удобными являются системы сетевого планирования и управления (СПУ).

Планирование НИР с применением  сетевого метода ведется в следующем порядке:

• составляется перечень событий и работ,
• устанавливается топология сети,
• строится сетевой график по теме,
• определяется продолжительность работ,
• рассчитываются параметры сетевого графика,
• определяется продолжительность критического пути,
• проводится анализ и оптимизация сетевого графика.

Перечень событий приведен в  таблице 3.4.

Таблица 3.4

Перечень событий сетевого графика

Код события	Событие
1.	ТЗ на систему разработано.
2.	ТЗ на систему утверждено.
3.	Спецификация закупаемых ТС разработана.
4.	Спецификация закупаемого  ПО разработана.
5.	Спецификация закупаемых ТС утверждена.
6.	Спецификация закупаемого  ПО утверждена.
7.	Входной контроль закупаемых ТС проведен.
8.	Входной контроль закупаемого  ПО проведен.
9.	Стенд создан.
10.	Установлена и настроена  сетевая ОС.
11.	Установлено антивирусное ПО.
12.	Установлены и отлажены специальные программные средства защиты информации.
13.	Разработана и выпущена инструкция по использованию антивирусного  ПО.
14.	Разработана и выпущена инструкция по использованию встроенных средств защиты сетевой ОС.
15.	Определены требования к дополнительным программным средствам  по защите информации.
16.	Разработана инструкция сетевому администратору по применению специальных средств защиты информации.
17.	Разработка рекомендаций по использованию средств защиты на ЛВС заказчика.
18.	Закончены работы по созданию системы защиты информации на ЛВС  заказчика.
19.	Закончены работы по испытанию  и сдаче заказчику системы.
20.	Оформлен протокол и акт испытаний.

 

Выполнение большинства работ  по разработке нового изделия всегда связано с элементами неоднородности. Их продолжительность зависит от многих факторов, предвидеть которые  очень трудно. Поэтому в системе  сетевого планирования предложено определить две вероятностные оценки времени: оптимистическую и пессимистическую. Оптимистическая оценка - максимально необходимое время для выполнения данной работы при наиболее благоприятных условиях. Пессимистическая оценка - максимально необходимое время для выполнения работы при наиболее неблагоприятных условиях. В данной работе эти оценки берутся по опыту предыдущих разработок и все времена определяются в рабочих днях. Для расчета ожидаемой продолжительности работ используется формула:

to = (3tmin + 2tmax) / 5,                  (3.2)

где to - ожидаемая продолжительность работ,

    tmin - оптимистическая оценка,

    tmax - пессимистическая оценка.

После построения графика и сбора  необходимых данных рассчитывают параметры  сети: сроки свершения событий, резервы времени, продолжительность критического пути.

Любая последовательность работ в  сети называется путем. Путь, имеющий  наибольшую продолжительность называется критическим (Tкр). В данной работе критический путь равен 161 дня.

Для расчета сети «в терминах событий» используются следующие понятия. Ранний срок наступления события (Tpi) - минимальный срок, необходимый для выполнения всех работ, предшествующих данному событию. Ранний срок наступления события i определяется по формуле:

Tpi = max å toij.                          (3.3)

Поздний срок наступления события (Tni) - максимально допустимый срок наступления события i, при котором сохраняется возможность соблюдения ранних сроков наступления последующих событий. Поздний срок определяется по формуле:

Tni = Tкр - max å to.                      (3.4)

Все события в сети, кроме лежащих  на критическом пути имеют резерв времени (Ri), который определяется по формуле:

Ri = Tni - Tpi.                            (3.5)

При описании сети «в терминах работ» определяются ранние и поздние сроки начала и окончания работы. Ранний срок начала - Трнij = Трi, поздний срок начала - Тпнij = Tni - tij, ранний срок окончания - Троij = Трi + tij, поздний срок окончания - Тпоij = Tnj.

Работы сетевой модели могут  иметь два вида резервов: полный (Rnij) и свободный (Rcij). Полный резерв показывает, на сколько может быть увеличена продолжительность данной работы или сдвинуто ее начало так, чтобы продолжительность максимального из проходящий через нее путей не превысила критического пути. Полный резерв определяется 

Rnij = Tnj - Tpi - tij.                    (3.6)

Свободный резерв указывает максимальное время, на которое можно увеличить  продолжительность данной работы или  изменить ее начало, не меняя ранних сроков начала последующих работ. Определяется в виде:

Rcij = Tpj - Tpi - Tij.                   (3.7)

Анализ сетевого графика включает классификацию и группировку  работ по величине резервов (полных и свободных), определение коэффициентов  напряженности путей, расчет вероятности  наступления завершающего события в заданный срок.

Коэффициент напряженности пути Кн(L) определяется по формуле

              Т(L) - Т’кр(L)

Кн(L) = ------------------ ,                    (3.8)

              Ткр - Т’кр(L)

где Т(L) - продолжительность пути, для которого определяется коэффициент напряженности,

    Т’кр(L) - продолжительность работ данного пути (L), совпадающих с работами критического пути.

Определение экономической эффективности защиты информации Основой определения эффективности  защиты информации - это сопоставление отношения доходов и расходов. Экономический эффект – конкретный результат экономической деятельности вне зависимости от затрат. Экономическая эффективность – результативность деятельности, соотношение доходов и расходов, а также сопоставление результатов и затрат на их достижение. Эффективность определяется с помощью  различных показателей, при этом сопоставляются данные, выражающие эффект (прибыль, объем производства, экономия от снижения издержек) с затратами  обеспечивающими этот эффект (капитальные вложения, текущие издержки). При решении экономических задач определяется результативность каждого предприятия и производится сопоставление различных результатов. Различают два вида экономической  эффективности: абсолютную – соотношение результатов экономической деятельности и затрат для достижения этих результатов. сравнительную – показывает изменение результатов экономической деятельности по отношению к уже достигнутым результатам. Важное значение в расчете эффективности, в том числе и эффективности защиты информации является приведение расчетных величин к сопоставимым значениям, которое производится до расчетов. Приведение обеспечивает точность экономических расчетов и их обоснованность. Расчеты производятся в одинаковых единицах измерения, за одинаковые отрезки времени, на одинаковое количество объектов расчета. Расчет экономического эффекта  и эффективности защиты информации основывается на выявлении ущерба, нанесенного владельцу информации противоправным ее использованием и  позволяет оценить результативность защиты информации. Проведя анализ результатов расчетов, возможно внести изменения в систему защиты информации для более эффективной ее защиты, недопущения разглашения охраняемой информации в дальнейшем, т.к. разглашение данной информации влечет за собой огромные убытки (ущерб) от контрафактного ее использования злоумышленником. В ущерб входит также потерянная владельцем информации выгода вследствие противоправного использования  данной информации. При расчетах данного  ущерба применяются: Действительные цены на товары и услуги; Установленные законодательством нормативы платы за ресурсы; Установленные законодательством нормативы налогов; Правила и нормы расчетов физических и юридических лиц с банками; Ставки выплат установленных аналитическим путем для лицензионных платежей; Официальный курс котировки валют. Поскольку осуществляемые затраты  и получаемые результаты в течение  всего срока противоправного  использования информации неравноценны, то при расчетах осуществляется приведение к единому расчетному году. При расчёте экономической эффективности  защиты информации  используются следующие формулы:  Пt  = (Rt  -  Сt  -  Ht)at Пt  - прибыль, оставшаяся в распоряжении нарушителя прав в течении года t; Rt – выручка от реализации продукции, созданной на базе противоправного использования информации в году t; Ct – себестоимость продукции, выпущенной в году t; Ht – общая сумма налогов и других выплат, которые были произведены в году t. a  = (1+Е)tp-t a  - коэффициент приведения разновременных результатов; tp   - год расчета; Е  - коэффициент доходности капитала; t   - текущий год.             N    ПT =å (Пt  * at )       t=1 ПT  - прибыль, оставшаяся в распоряжении злоумышленника за период использования на внутреннем рынке; Пt  - прибыль, оставшаяся в распоряжении злоумышленника в течении года t; a  - коэффициент приведения разновременных результатов. Dэ  =  Zэ ·  Кв  -  Зэ Dэ  - доход от экспорта контрафактной продукции. Ущерб владельца информации; Z э – валютная стоимость от экспорта продукции; Кв - курс валюты на дату расчета; Зэ  - затраты на изготовление экспортной продукции. Робщ =  DЭ + ПТ Робщ – общий ущерб владельца информации; DЭ – ущерб владельца информации, понесенный при экспорте контрафактной продукции; ПТ – прибыль, оставшаяся в распоряжении похитителя информации за период использования на внутреннем рынке. Упр = Ср · Робщ Упр – ущерб, понесенный владельцем информации из-за утраты возможности получения дохода на основе лицензионного соглашения; Ср – среднестатистическая ставка роялти, дается в процентах от годовой прибыли; Робщ – общий ущерб владельца информации. Рсум = Упр + Робщ Рсум – стоимостная оценка предотвращенного ущерба; Упр – ущерб, понесенный владельцем информации из-за утраты возможности получения дохода на основе лицензионного соглашения; Робщ – общий  ущерб владельца информации. ЭЗИ= Рсум          åЗЗИ ЭЗИ – эффективность ЗИ; Рсум – стоимостная оценка предотвращенного ущерба; å ЗЗИ – суммарные затраты  на ЗИ. Задача: Для расчёта экономического эффекта  и экономической эффективности защиты информации, нам нужны следующие значения  Rt, млн. руб. Ct, тыс. руб bt, % ZЭ, тыс. $ ЗЭ, тыс. руб Ср  = % (количество процентов берётся из специального диапазона. ) Машины и оборудование                                                                   5-7% Химическое оборудование                                                                3-5% Приборостроение, электроника                                                        4-10% Автопромышленность                                                                      1-3% Авиатехника                                                                                       6-10% Потребительские товары длительного  пользования                        3,5 -5% Потребительские товары с малым сроком пользования                   0,2-1,5% Е – коэффициент доходности капитала = 0,1 (по умолчанию)                    Ззи= Вычисления: Издержки производителя, понесенные за счет выплаты налогов и сборов (за год) могут быть вычислены по формуле: . Вычислим коэффициент приведения разновременных результатов a; год расчета – t4 , поскольку расчеты  ведутся в следующем, четвертом  году.  Е – коэффициент доходности капитала (взят постоянным)= 0,1. t – текущий год. at (1+E)tp- t  Далее необходимо вычислить прибыль, оставшуюся в распоряжении похитителя информации за весь период использования. Для этого нужно сложить значения прибыли за каждый год периода:                                                     3                                  PТ = å (Pt-Ct-Ht) ·a t                                           t=1 Pt=(R1-C1-H1)·a1+( R2 -C2-H3)·a2+( R3-C3-H3)·a3=             Рассчитаем стоимостную оценку ущерба от экспорта продукции, изготовленной с использованием контрафактной информации:   Zэ – валютная стоимость от экспорта продукции;   Кв – курс рубля к US$ на дату расчета;  Зэ – затраты на изготовление экспортной продукции;    Робщ – общий ущерб владельца информации. Dэ = Zэ · Кв – Зэ    Находим ущерб, понесенный  владельцем информации (Упр) из-за утраты возможности получения дохода на основе лицензионного соглашения, который может быть определен исходя из размера процентных ставок, применяемых при заключении сделок: Упр = Ср· Робщ Ущерб владельца информации, понесенный при экспорте контрафактной продукции  складывается с ущербом, понесенным на внутреннем рынке: Робщ = Dэ + PТ+Dи Вычислим (Рсум – стоимостную оценку предотвращенного ущерба) экономический эффект защиты информации (в случае, если бы смета была выполнена) составит:         Рсум= Упр+ Робщ Вычислим экономическую эффективность защиты информации (в случае реализации сметы)( определение эффективности ЗИ): Например, если ваши  расчеты показали, что в случае реализации сметы по защите информации: экономический эффект составил бы:        4,1 млн. руб..; экономическая эффективность составила бы:      13,6 Значит, каждый рубль, потраченный  на защиту информации, позволил бы сохранить  владельцу чуть менее 14 рублей.

 

 

Заключение

Нужно четко представлять себе, что  никакие аппаратные, программные  и любые другие решения не смогут гарантировать абсолютную надежность и безопасность данных в информационных системах. В то же время можно существенно уменьшить  риск потерь при комплексном подходе к вопросам безопасности. Средства защиты информации нельзя проектировать, покупать или устанавливать до тех пор, пока специалистами не произведен соответствующий анализ. Анализ  должен дать объективную оценку многих факторов (подверженность появлению нарушения работы, вероятность появления нарушения работы, ущерб от коммерческих потерь и др.) и предоставить информацию для определения подходящих средств защиты –  административных, аппаратных, программных и прочих. В России на рынке защитных  средств,  присутствуют  такие продукты как Кобра, Dallas Lock, Secret Net, Аккорд, Криптон и ряд других. Однако обеспечение безопасности информации - дорогое дело. Большая концентрация защитных средств в информационной системе может привести не только к тому, что система окажется очень дорогостоящей  и потому нерентабельной и неконкурентноспособной, но и к тому, что у нее  произойдет существенное снижение коэффициента готовности. Например, если такие ресурсы системы, как время центрального процессора  будут постоянно тратиться на  работу антивирусных программ, шифрование, резервное архивирование, протоколирование и тому подобное, скорость работы пользователей  в такой системе может упасть до нуля.

Поэтому главное при определении  мер и принципов защиты информации это квалифицированно определить границы  разумной безопасности и затрат на средства защиты с одной стороны  и  поддержания системы в работоспособном состоянии и приемлемого риска с другой.

 

Список литературы:

1. “Энциклопедия компьютерных вирусов Евгения Касперского” – электронная версия от 16.10.1999 г.
2. 3ащита программного обеспечения: Перевод с английского./ Под редакцией Д.Гроувера. - М.: Мир 1992. с., 55-68
3. Баричев С.  “Введение в криптографию”  -  электронный сборник
4. Бюллетень лаборатории информационных технологий NIST за май 1999 г. Э. Леннон " Компьютерные атаки: что это такое и как защититься от них"
5. Ведеев Д.  Защита данных в компьютерных сетях / Открытые системы Москва, 1995, №3,
6. Вьюкова Н.И., Галатенко В.А. “Информационная безопасность систем управления базами данных” 1996 – статья в электронном журнале.
7. Гайкович В., Першин А. Безопасность электронных банковских систем. - М.: "Единая Европа", 1994.
8. Громов В.И. Васильев Г.А "Энциклопедия компьютерной безопасности"  (электронный сборник 1999 год)
9. Д.Дж.Хоффман, “Борьба с компьютерными преступлениями” /Москва 2003 г. с 14-21
10. Зегжда П.  «Теория и практика. Обеспечение информационной безопасности». - Москва, 1996.
11. Косарев В.П. и др. Под ред. Косарева В.П. и Еремина Л.В.   Компьютерные  системы и сети: Учеб. Пособие - М.: Финансы и статистика ,1999г.
12. Левин В.К. Защита информации в информационно-вычислительных системах и сетях // Программирование. - 1994. - N5.
13. Статья «Правовые средства защиты конфиденциальной информации» по материалам “Компьютер Price”, №31 2000г
14. Хофман Л., «Современные методы защиты информации», - Москва, 1995.

¹ “Энциклопедия компьютерных вирусов Евгения Касперского” – электронная версия от 16.10.1999 г.

 

² Л.Хофман, «Современные методы защиты информации», - Москва, 1995.

³ Левин В.К. Защита информации в информационно-вычислительных системах и сетях // Программирование. - 1994. - N5.

⁴ Громов В.И. Васильев Г.А "Энциклопедия компьютерной безопасности"  (электронный сборник 1999 год)

⁵ Громов В.И. Васильев Г.А "Энциклопедия компьютерной безопасности"  (электронный сборник 1999 год)

⁶ Громов В.И. Васильев Г.А "Энциклопедия компьютерной безопасности"  (электронный сборник 1999 год)

⁷ Статья «Правовые средства защиты конфиденциальной информации» по материалам “Компьютер Price”, №31 2000г

 

⁸ Статья «Правовые средства защиты конфиденциальной информации» по материалам “Компьютер Price”, №31 2000г