Модели оценки стоимости защищаемых ресурсов предприятия
advertisement
Владимирский государственный университет Кафедра информатики и защиты информации Файман О.И., Кузьмина Н.А. гр. КЗИ-104 Модели оценки стоимости защищаемых ресурсов предприятия • Объект исследования: Защищаемые ресурсы предприятия • Предмет исследования: Методики оценки стоимости информационных ресурсов • Цель работы: разработка механизма оценки стоимости защищаемых информационных ресурсов, охватываемых автоматизированной системой управления (АСУ) организацией, на основе существующих моделей оценки нематериальных активов и интеллектуальной собственности, который может применяться для расчета рисков информационной безопасности с целью оптимизации затрат на создание системы защиты информации либо определения ее рентабельности. 2 Проблема ЗИ в АСУ Информационное обеспечение АСУ 3 Проблема ЗА в АСУ Перечень защищаемых ресурсов АСУ № п/п 1 1.1 1.2 1.3 1.4 Наименование сведений Критич ность Основание для отнесения ПРОИЗВОДСТВО Структура кадров и К,Ц Дают понятие о возможностях производства предприятия по удовлетворению спроса на продукцию, выполнению Условия производства, К,Ц договорных обязательств. организация труда Также потеря доступности или Сведения о К фальсификация таких сведений, производственных существенно затруднят работу возможностях предприятия Уровень запасов, материалов К, Ц,Д предприятия. и комплектующих, готовой продукции 4 Модели оценки стоимости НМА и ОИС Затратный подход Метод стоимости замещения Метод восстановительной стоимости Метод исходных затрат Сравнительный подход Метод сравнения продаж ОИС Доходный подход Метод расчета роялти Метод исключения ставки роялти Метод DCF Методы прямой капитализации Экспресс-оценка Метод избыточной прибыли Метод, основанный на правиле 25% Экспертные методы Метод исходных затрат Метод DCF + затраты на восстановление + упущенная выгода 5 Классификация защищаемых ресурсов Важность для предприятия Вид потенциальных угроз А Степень последствий от воздействия угроз Е Г Б Ж Д В А – ИР содержит информацию, которая приносит прибыль Б – ИР содержит информацию, необходимою для стабильного протекания бизнес-процессов В – ИР содержит информацию, которая важна для развития организации З Г – угрозы модификации и уничтожения Д – угрозы конфиденциальности Е – при реализации Г и Д подлежит восстановлению Ж – восстановление требует времени З – восстановление требует дополнительных средств 6 РАЗРАБОКА ЕДИНОГО ПОДХОДА К ОЦЕНКЕ ЗАЩИЩАЕМЫХ РЕСУРСОВ ПРЕДПРИЯТИЯ Совокупности классифицирующих признаков Признаки № п/п 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 А Б В Г Д Е Ж З + + + + + + + + + + + + - + + - +/-/+ +/-/+ +/-/+ +/-/+ +/-/+ +/-/+ +/-/+ +/-/+ +/-/+ +/-/+ +/-/+ +/-/+ +/-/+ +/-/+ +/-/+ +/-/+ +/-/+ +/-/+ +/-/+ -/+/+ -/+/+ -/+/+ -/+/+ -/+/+ -/+/+ -/+/+ -/+/+ -/+/+ -/+/+ -/+/+ -/+/+ -/+/+ -/+/+ -/+/+ -/+/+ -/+/+ -/+/+ -/+/+ + + + + + + + + + + + + + + - + + + + +/-/+ + + + + + + + + + -/+/+ + + + + + + + + + + + + + + Общая стоимость S1 = P*Ind +Mn S2= P* + V*+U* Мn S3= P*Ind +U*Ind + Мn S4 = P*Ind + V*Ind +Мn S5 = P*Ind+V*Ind+U*Ind S6 = P*Ind+U*Ind S7 = P*Ind+V*Ind S8 = P*Ind S9 = P *Ind S10 = P *Ind+V*Ind S11 = P*Ind +Mn S12 = P*Ind + V*Ind+U*Ind+ Мn S13= P*Ind +U*Ind + Мn S14 = P*Ind + V*Ind +Мn S15 = 2*P*Ind +Mn S16 = 2*P*Ind +U*Ind + Мn S17 = 2*P*Ind +U*Ind + Мn S18 = 2*P*Ind + Мn S19 = 2*P*Ind+U*Ind 7 РАЗРАБОКА ЕДИНОГО ПОДХОДА К ОЦЕНКЕ ЗАЩИЩАЕМЫХ РЕСУРСОВ ПРЕДПРИЯТИЯ Составляющие расчета • Затраты на создание: P = См *Indм + Ст *Indт+ Сдоп* Indдоп + Ска* Indка • Прибыль как дисконтированный денежный поток: Мn= CF1 /(1+i) + CF2 /(1+i)2 + CF3 /(1+i)3 + … + CFn /(1+i)n • Затраты на восстановление: V = См *Indм + Ст *Indт+ Сдоп* Indдоп + Ска* Indка • Упущенная выгода: U’ = U*Indинфл 8 Практическое применение алгоритма расчета стоимости информационных ресурсов № п/п 1 2 3 4 5 Показатель полезности Вид информ. ресурса АСУ Заказы клиентов в MS Axapta Уровень запасов сырья Сведения об особенностях применяемых технологий изготовления продукции Списки поставщиков Характеристики разрабатываемых технологических процессов А Б В Г Д Е Ж З Формула - + - + - + - - S1= P1* Ind1 - + - + + + + - S2= P2*Ind2+U2*Ind2 + - - - + + - - S3= P3*Ind3+Мn3 + + - + + + - - S4= P4*Ind4 + Мn4 - - + + + + - + S5= P5 *Ind5+V*Ind5 9 Практическое применение алгоритма расчета стоимости информационных ресурсов 10 Практическое применение алгоритма расчета стоимости информационных ресурсов 11 В рамках работы решены следующие задачи: • Составлен универсальный перечень защищаемых информационных ресурсов, охватываемых АСУ, для коммерческих предприятий с обоснованием для отнесения тех или иных сведений к категории конфиденциальных. • Рассмотрен вопрос о возможности применения методов оценки стоимости нематериальных активов для оценки информационных ресурсов предприятия. • Проведен анализ основных моделей и методов оценки стоимости информационных ресурсов как нематериальных активов предприятия. • Составлен алгоритм оценки стоимости информационных ресурсов организации, подлежащих защите. • Создано программное обеспечение, автоматизирующее действия эксперта при проведении оценки стоимости защищаемых информационных ресурсов организации. Реализован механизм защиты данных и контроля целостности. 12
