Федеральное государственное автономное образовательное учреждение высшего профессионального образования «Уральский федеральный университет имени первого Президента России Б.Н.Ельцина» Бизнес-школа УрФУ ДОПУСТИТЬ К ЗАЩИТЕ: Руководитель проекта ____________Т.В.Матвеева «____» ____________2012 г. ВЫПУСКНАЯ РАБОТА НА ТЕМУ: ОЦЕНКА ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ИНВЕСТИЦИЙ В СИСТЕМУ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННОЙ СИСТЕМЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ООО «ИНФОРМБЮРО» Дёмкина П.О. Слушатель подпись Фамилия, имя, отчество слушателя Группа БШ-010-Эсб05 Руководитель выпускной работы Анпилогов В.В. подпись Фамилия, имя, отчество руководителя 2012 г. СОДЕРЖАНИЕ РЕФЕРАТ .................................................................................................................... 3 ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ ....................................................................... 4 ВВЕДЕНИЕ................................................................................................................. 5 ГЛАВА 1. ОСНОВНЫЕ ПОДХОДЫ К ИНВЕСТИРОВАНИЮ .......................... 7 1.1. Инвестиции и инвестиционная деятельность предприятия ........................... 7 1.2. Инвестиционная политика предприятия .......................................................... 9 1.3. Финансирование инвестиций в нематериальные активы ............................. 12 1.4. Основы инвестиционного анализа. Методы оценки эффективности инвестиционных проектов ...................................................................................... 14 ГЛАВА 2. ХАРАКТЕРИСТИКА ОРГАНИЗАЦИИ ............................................. 27 ГЛАВА 3. ЭКОНОМИЧЕСКАЯ ЭФФЕКТИВНОСТЬ ПРОЕКТА ..................... 29 3.1. Обоснование выбора системы защиты ........................................................... 29 3.1.1. Угрозы безопасности ПДн при их обработке в ИСПДн «Бухгалтерия».. 31 3.1.2. Требования по защите информации для ИСПДн «Бухгалтерия» ............. 34 3.1.3. Система защиты информации объекта ........................................................ 35 3.1.3.1. Программно-аппаратная система защиты ................................................ 36 3.1.3.2. Организационные меры по защите ........................................................... 36 3.2. Расчет экономической эффективности инвестиционного проекта «Создание системы защиты ИСПДн «Бухгалтерия». .......................................... 39 3.2.1. Оценка ущерба ............................................................................................... 40 3.2.2 Расчет экономической эффективности системы защиты ........................... 42 ЗАКЛЮЧЕНИЕ ........................................................................................................ 46 СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ .............................................. 47 ПРИЛОЖЕНИЕ А .................................................................................................... 49 ПРИЛОЖЕНИЕ Б .................................................................................................... 50 ПРИЛОЖЕНИЕ В .................................................................................................... 52 ПРИЛОЖЕНИЕ Г .................................................................................................... 54 ПРИЛОЖЕНИЕ Д .................................................................................................... 55 РЕФЕРАТ Пояснительная записка 56 с., 3 рис., 4 табл., 13 источников, 5 прил. В данной выпускной работе проведена разработка инвестиционного проекта системы защиты персональных данных в ИСПДн «Бухгалтерия» ООО «Информбюро». Назначение инвестиционного проекта состоит в том, чтобы определить объем инвестиций, эффективность проекта и финансовую реализуемость. Система должна обеспечивать безопасность всей информации подлежащей защите. Выявлены возможные угрозы безопасности информации и разработаны требования к системе защиты. Был проведен расчет показателей экономической эффективности проекта, составлен финансовый профиль проекта. ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ ПДн − персональные данные ИСПДн – информационная система персональных данных АС – автоматизированная система АРМ – автоматизированное рабочее место ЛВС – локально-вычислительная сеть НСД − несанкционированный доступ СЗИ − средство защиты информации МЭ – межсетевой экран ПО – программное обеспечение ООО – общество с ограниченной ответственностью КоАП – кодекс об административных правонарушениях ЧДД – чистый дисконтированный доход ВНД – внутренняя норма доходности ИД – индекс доходности ВВЕДЕНИЕ Любое фундаментальное техническое или технологическое новшество, предоставляя возможности для решения одних социальных проблем и открывая широкие перспективы для развития личности и общества, всегда вызывает обострение старых или порождает новые, ранее неизвестные проблемы, становится источником новых потенциальных опасностей. Бурное развитие средств вычислительной техники открыло перед человечеством небывалые возможности по автоматизации умственного труда и привело к созданию большого числа разного рода автоматизированных информационных и управляющих систем, к возникновению принципиально новых, так называемых, информационных технологий. Неправомерное искажение или фальсификация, уничтожение или разглашение определенной части информации, равно как и дезорганизация процессов ее обработки и передачи в информационно-управляюших системах наносят серьезный материальный и моральный урон многим субъектам (государству, юридическим и физическим лицам), участвующим в процессах автоматизированного информационного взаимодействия. Жизненно важные интересы этих субъектов, как правило, заключаются в том, чтобы определенная часть информации, касающаяся их экономических, политических и других сторон деятельности, коммерческая и персональная информация ограниченного доступа, была бы постоянно легко доступна и в то же время надежно защищена от неправомерного ее использования: нежелательного разглашения, фальсификации, незаконного тиражирования, блокирования или уничтожения. Актуальность проблемы информационной безопасности заключается: - В особом характере общественной опасности преступных посягательств на информационную безопасность; - В наличии тенденций к росту числа преступлений в информационной сфере; - Не разработанности рядов теоретических положений, связанных с информационной безопасностью; - Необходимостью осуществления объективно обусловленной интеграции технических и юридических положений, связанных с информационной безопасностью. Целью аттестационной работы является разработка инвестиционного проекта системы защиты персональных данных в ИСПДн «Бухгалтерия» ООО «Информбюро». Из поставленной цели вытекают следующие задачи: - Обследовать объект защиты и предпринятые на объекте меры по защите информации; - Определить актуальные угрозы безопасности информации и возможные каналы утечки информации; - Провести классификацию ОИ, сформировать требования к системе защиты; - Подобрать систему защиты, удовлетворяющую требованиям; - Определить затраты на создание системы защиты; - Рассчитать экономическую эффективность проекта; - Сделать выводы о необходимости и целесообразности внедрения системы защиты информации на предприятии. ГЛАВА 1. ОСНОВНЫЕ ПОДХОДЫ К ИНВЕСТИРОВАНИЮ 1.1. Инвестиции и инвестиционная деятельность предприятия Термин «инвестиции» происходит от латинского invest, что означает «вкладывать». В более широкой трактовке инвестиции выражают вложение капитала в предприятия с целью последующего его увеличения. При этом прирост капитала, полученный в результате инвестирования, должен быть достаточным, чтобы возместить инвестору отказ от использования собственных средств на потребление в текущем периоде, вознаградить его за риск и компенсировать потери от инфляции в будущем периоде. Инвестиции выражают все виды имущественных и интеллектуальных ценностей, которые вкладываются в объекты предпринимательской деятельности, в результате которой образуется прибыль (доход) или достигается социальный эффект. Сфера, где осуществляются приобретение и реализация инвестиционных товаров по равновесным ценам, представляет собой рынок инвестиций. Классификация инвестиций может быть представлена следующим образом: ♦ в зависимости государственные, от источников муниципальные, финансирования отраслевые, частные, выделяют смешанные инвестиции; ♦ в зависимости от объектов инвестиций выделяют прямые (реальные) инвестиции в объекты отраслей реального производства, портфельные инвестиции в ценные бумаги, интеллектуальные инвестиции в науку, приобретение патентов и т. д.; ♦ по назначению различают производственные инвестиции (производственная сфера), инвестиции социального назначения (социальная сфера), инвестиции природоохранного и экологического назначения (экологическая сфера); ♦ по срокам инвестиции делятся на краткосрочные, среднесрочные и долгосрочные. Инвестиционная деятельность представляет собой совокупность практических действий предприятий по реализации инвестиций. Объектами данной деятельности являются: 1. вновь создаваемые и реконструируемые основные фонды производственного и непроизводственного назначения, а также оборотные активы во всех отраслях народного хозяйства; 2. ценные бумаги (акции, облигации и др.), т. е. финансовые инвестиции; 3. целевые вклады юридических и физических лиц в банках; 4. научно-техническая продукция и другие объекты собственности, имущественные права и права на интеллектуальную собственность; 5. природные ресурсы (включая ресурсы земных недр, водных и лесных массивов). Аналогичные объекты включают в себя иностранные инвестиции, если они не противоречат законодательству Российской Федерации. Иностранные инвесторы имеют право осуществлять инвестирование на территории России путем: а) долевого участия в предприятиях, созданных на территории Российской Федерации совместно с отечественными юридическими и физическими лицами; б) создания предприятий, полностью принадлежащих иностранным инвесторам, а также филиалов иностранных юридических лиц; в) приобретения движимого и недвижимого имущества, фондовых ценностей и др.; г) предоставления займов, кредитов и иных имущественных прав. Субъектами инвестиционной деятельности являются: 1. застройщики (инвесторы); 2. исполнители работ (подрядчики); 3. пользователи объектов инвестиционной деятельности; 4. поставщики товарно-материальных ценностей, оборудования и проектной продукции для строительства объектов; 5. финансовые посредники (коммерческие банки, страховые компании, инвестиционные фонды, фондовые биржи и др.), осуществляющие операции с ценными бумагами; 6. иностранные юридические и физические лица, государства и международные организации. Необходимо помнить, что субъекты инвестиционной деятельности действуют в инвестиционной сфере, где происходит практическая реализация инвестиций. В состав данной сферы включаются: 1. сфера капитального строительства, где происходит вложение реальных инвестиций в основные фонды отраслей хозяйства; 2. инвестиционная сфера, где реализуется научно-техническая продукция и интеллектуальный потенциал; 3. сфера обращения финансового капитала (денежного, ссудного и финансовых обязательств в различных формах; 4. сфера реализации имущественных прав субъектов инвестиционной деятельности (рынок движимого и недвижимого имущества), где применяются залоговое право и ипотечный кредит. [1] 1.2. Инвестиционная политика предприятия Инвестиционная политика – составная часть общей финансовой стратегии предприятия, которая заключается в выборе и реализации наиболее рациональных путей расширения и обновления его производственного потенциала. При выработке инвестиционной политики необходимо предусмотреть: 1. достижение экономического, научно-технического и социального эффекта от рассматриваемых мероприятий. При этом для каждого объекта инвестирования используются конкретные методы оценки эффективности. По итогам такой оценки осуществляется отбор отдельных инвестиционных проектов по критерию их эффективности (рентабельности). При прочих равных условиях принимаются к реализации те из них, которые обеспечивают предприятию максимальную эффективность; 2. получение предприятием наибольшей прибыли на вложенный капитал при минимальных инвестиционных затратах; 3. рациональное распоряжение средствами на реализацию бесприбыльных инвестиционных проектов, т. е. снижение расходов на достижение соответствующего социального, научно-технического или экологического эффекта реализации данных проектов; 4. использование предприятием государственной поддержки для повышения эффективности инвестиций в форме гарантий Правительства РФ, бюджетных ссуд и т. д.; 5. привлечение субсидий и льготных кредитов международных финансово-кредитных организаций и частных иностранных инвесторов; 6. обеспечение минимизации инвестиционных рисков, связанных с реализацией конкретных проектов; 7. обеспечение ликвидности инвестиций следует предусматривать в силу значительных изменений внешней инвестиционной среды, конъюнктуры рынка или стратегии развития предприятия в предстоящем году. Из-за воздействия этих факторов часто приходится принимать решение о своевременном выходе из неэффективных проектов и реинвестировании высвобождающегося капитала. С этой целью по каждому инвестиционному объекту следует оценить уровень ликвидности инвестиций. По итогам оценки проводится ранжирование реальных проектов по критерию их ликвидности. Отбираются для реализации те из них, которые имеют максимальный уровень ликвидности; 8. соответствие мероприятий, которые предусматривается осуществить в рамках инвестиционной политики, законодательным и другим правовым актам Российской Федерации по вопросам регулирования инвестиционной деятельности. При разработке инвестиционной политики учитываются следующие факторы: 1) финансовое положение предприятия; 2) технический уровень производства, наличие у него незавершенного строительства и неустановленного оборудования; 3) возможность получения оборудования по лизингу; 4) наличие у предприятия как собственных капиталов, так и возможности привлечения заемных средств в форме кредитов и займов; 5) финансовые условия инвестирования на рынке капитала; 6) льготы, получаемые инвестором от государства; 7) коммерческая и бюджетная эффективность намечаемых к реализации инвестиционных проектов; 8) условия страхования и получения гарантий от некоммерческих рисков. Потребность предприятия в инвестиционных ресурсах соответствует расходам, которые необходимы с начала периода реализации инвестиционной политики. Стоимость объектов незавершенного строительства, оплаченного неустановленного оборудования, иные затраты истекших лет не включаются в общий объем капитальных вложений предстоящего периода. При разработке инвестиционной политики предприятия рекомендуется определить общий объем инвестиций, способы рационального использования собственных средств и возможности привлечения дополнительных денежных ресурсов с кредитного и фондового рынков. Инвестиционные проекты в рамках долгосрочной стратегии предприятия целесообразно согласовывать между собой по объемам выделяемых ресурсов и срокам реализации исходя из достижения максимального общего экономического эффекта (дохода или прибыли), получаемого в процессе реализации инвестиционной политики. 1.3. Финансирование инвестиций в нематериальные активы В отличие от основных средств нематериальные активы не являются материально-вещественными ценностями. В отличие от товаров они не предназначены для продажи и используются в производстве в течение более длительного времени (свыше года), чем производственные запасы. К нематериальным активам относят: ♦ объекты интеллектуальной собственности: • исключительное право патентообладателя на изобретение, промышленный образец, полезная модель; • исключительное авторское право на программы для ЭВМ, базы данных; • имущественное право автора или иного правообладателя на топологии интегральных микросхем; • исключительное право владельца на товарный знак и знак обслуживания; ♦ деловая репутация; ♦ организационные расходы. Организационные расходы – это затраты, произведенные в период создания предприятия (на разработку учредительных документов, оплату консультационных и посреднических услуг, пошлин и сборов и др.). Особым видом нематериальных активов является деловая репутация (англ. goodwill – право продолжать производство и торговлю под фирмой предшественника). Деловая репутация отражает уровень деловой репутации предприятия, которая выявляется при его покупке по цене, превышающей стоимость его активов. В частности, при приватизации государственных предприятий может осуществляться продажа их имущества на аукционе по цене выше оценочной стоимости их имущества. В данном случае сумма превышения уплаченной цены над оценочной стоимостью объекта составляет деловую репутацию и учитывается у покупателя в составе нематериальных активов. Нематериальные активы могут поступать на предприятие различными путями: 1. в счет взносов учредителей в уставный капитал; 2. приобретения за плату у юридических и физических лиц; 3. поступления безвозмездно от других предприятий и граждан. Нематериальные активы отражают в учете и отчетности в сумме затрат на приобретение, изготовление и расходов на их доведение до состояния, пригодного для полезного использования. Указанные активы могут выбывать с предприятия вследствие: 1) продажи (реализации); 2) списания по причине нецелесообразности дальнейшего использования; 3. вложений в капитал других предприятий; 4) безвозмездной передачи; 5) вклада в совместную деятельность. Источниками финансирования приобретения нематериальных активов являются: а) амортизационные отчисления, поступающие в составе выручки от реализации продукции (работ, услуг) на расчетный счет предприятия; б) чистая прибыль, остающаяся в распоряжении предприятия; в) средства, поступающие с фондового рынка от продажи ценных бумаг; г) ссуды коммерческих банков и др. При этом необходимо помнить, что по объектам, по которым производится погашение стоимости, нематериальные активы равномерно (ежемесячно) переносят свою первоначальную стоимость на издержки производства или обращения по нормам, определяемым предприятием исходя из установленного срока их полезного использования. По нематериальным активам, по которым невозможно установить срок полезного использования, нормы переноса определяются в расчете на 10 лет (но не более срока деятельности предприятия).[2] 1.4. Основы инвестиционного анализа. Методы оценки эффективности инвестиционных проектов Инвестиционный проект может характеризоваться любым чередованием притоков и оттоков денежных средств. В то же время распространенным является случай, когда в наиболее начальный период осуществляются инвестиции (отток средств), а в течение всех последующих периодов функционирования проекта имеют место притоки средств, компенсирующие инвестиции. Такой вид денежного потока называется ординарным. Инвестиционный проект с неординарным денежным потоком характеризуется тем, что инвестирование средств осуществляется не только на первоначальном этапе, но и на протяжении всего жизненного цикла проекта в соответствии с необходимыми потребностями. Анализ инвестиционных проектов проводится по одинаковым временным периодам, чаще всего по годам. Для проведения однозначной оценки принимается, что приток (отток) денежных средств имеет место в конце очередного периода. Это объясняется, прежде всего, характером начисления прибыли, которое осуществляется нарастающим итогом на конец отчетного периода. Оценивая приток денежных средств по периодам, следует учитывать важное обстоятельство. Чем продолжительнее проект, тем более неопределенными и рискованными предполагаются притоки денежных средств отдаленных периодов. Поэтому рекомендуется выполнение ряда расчетов, понижающих поступления последних лет реализации проекта, либо эти поступления ввиду существенной неопределенности могут вообще исключаться из анализа. В основе принятия инвестиционных решений лежит сравнение требуемых вложений средств с прогнозируемыми инвестиционными доходами. Для корректного сравнения произведенных инвестиций с последующими доходами все денежные потоки необходимо привести к одному моменту времени. При этом можно использовать как схему дисконтирования, так и схему наращения. Однако на практике наибольшее распространение получил именно первый вариант. Для обеспечения правильности проводимого анализа ставка дисконтирования должна соответствовать продолжительности инвестиционного проекта. Кроме того, при оценке привлекательности инвестиционного проекта, помимо всех сопутствующих ему реальных издержек, во внимание также должны приниматься вмененные (воображаемые) затраты. Выбирая тот или иной инвестиционный проект, организация пренебрегает всеми остальными возможностями размещения капитала. Выгода, которая могла бы быть извлечена организацией при каком-то другом размещении капитала, и должна рассматриваться в качестве вмененных издержек по данному проекту. Если разрабатывается несколько альтернативных инвестиционных проектов, то в качестве вмененных издержек одного из них должна рассматриваться планируемая прибыль по другому. Во всех случаях в качестве вмененных затрат следует принимать доходы по безрисковым инвестициям. В международной практике в качестве безрисковых инвестиций принято рассматривать вложения в государственные ценные бумаги. Вклад в банк на депозит также представляется безрисковым размещением капитала. Совокупность методов, используемых при анализе эффективности инвестиционных проектов можно разделить на две основные группы: Динамические методы – основаны на учете временной стоимости денежных поступлений; Статические методы – не учитывают временной фактор. В группу динамических методов, как правило, включаются: Чистая приведенная стоимость (Net Present Value, NPV); Индекс рентабельности инвестиции (Profitability Index, PI); Внутренняя норма прибыли (Internal Rate of Return, IRR); Модифицированная норма прибыли (Modified Internal Rate of Return, MIRR); Дисконтированный срок окупаемости инвестиции (Discounted Payback Period, DPP). В группу статических методов относят: Срок окупаемости инвестиции (Payback Period, PP); Коэффициент эффективности инвестиции (Accounting Rate of Return, ARR). Чистая приведенная стоимость (NPV). Суть данного метода заключается в сопоставлении величины исходной инвестиции (IC) с общей суммой дисконтированных чистых денежных поступлений, генерируемых ею в течение прогнозируемого срока: n CFk IC ( 1 r) k k 1 , NPV где (1) CF – денежные поступления от реализации проекта; r – ставка дисконтирования; n – срок инвестирования (продолжительность проекта); IC – величина первоначальной инвестиции. Если проект предполагает не разовую инвестицию, а последовательное инвестирование финансовых ресурсов в течение m лет, то формула для расчета NPV модифицируется следующим образом: m IC j CFk k j k 1 (1 r ) j 1 (1 i ) , где n NPV (2) CF – денежные поступления от реализации проекта; r – ставка дисконтирования; n – срок инвестирования (продолжительность проекта); IC – величина первоначальной инвестиции; i – прогнозируемый средний темп инфляции. Если: NPV > 0 – проект следует принять; NPV < 0 – проект следует отвергнуть. Необходимо отметить, что показатель NPV отражает прогнозную оценку изменения экономического потенциала организации в случае принятия рассматриваемого проекта, причем оценка делается на момент окончания проекта, но с позиции текущего момента времени, т. е. начала проекта. Этот показатель аддитивен в пространственно-временном аспекте, т.е. NPV различных проектов можно суммировать. Это очень важное свойство, выделяющее данный критерий из всех остальных и позволяющее использовать его в качестве основного при анализе оптимальности инвестиционного портфеля. Ключевым моментом при расчете чистой приведенной стоимости, как и при использовании других методов анализа, основанных на учете временного фактора, является выбор ставки дисконтирования. Ставка дисконтирования выбирается аналитиком самостоятельно. При этом следует учитывать размер безрисковых ставок, прогнозируемый темп инфляции за период, норму вмененных издержек, неопределенность и риск при планировании отдаленных по времени денежных поступлений и др. Обоснование выбора ставки дисконтирования в каждом случае индивидуально и зависит от условий и целей анализа, а также от квалификации аналитика. Путем дисконтирования денежных потоков аналитик сможет убедиться в том, что инвестиции приносят большие денежные доходы, чем лучшие имеющиеся альтернативы. При этом «лучшая» может трактоваться поразному. В качестве «лучшей» может рассматриваться возможность безрискового размещения капитала или другой инвестиционный проект, приносящий максимальную прибыль. Любой инвестиционный проект должен быть, по крайней мере, сравнен с возможностью безрискового инвестирования. Безрисковое инвестирование (покупка государственных ценных бумаг или размещение денежных средств на депозите в банке), кроме отсутствия самого риска, сопровождается минимальными трудозатратами, т.е. представляет собой наиболее простой способ инвестирования. Поэтому, если инвестиционный проект приносит прибыль меньшую, чем прибыль при безрисковом размещении аналогичных средств, то он, безусловно, является коммерчески несостоятельным. На практике сравнение с безрисковым инвестированием осуществляется выбором при расчете NPV в качестве ставки дисконтирования безрисковой ставки. В России в качестве безрисковой принято рассматривать ставку валютного депозита СБ РФ. При оценке капитальных вложений необходимо по возможности (или если это целесообразно) учитывать влияние инфляции. Для этого корректируются на индекс инфляции либо будущие поступления, либо ставки дисконтирования. Наиболее корректной, но и более трудоемкой является методика, предусматривающая корректировку всех факторов. Однако наиболее часто корректируют именно ставку дисконтирования. Расчет ставки дисконтирования в условиях инфляции можно представить следующим образом: 1 rr (1 r ) * (1 i ) , где rr – ставка дисконтирования в условиях инфляции; r – безрисковая ставка; (3) i – темп инфляции. Упростив выражение, получим: rr r i r * i (4) Так как r*i является величиной меньшего порядка, то ей в практических расчетах пренебрегают и окончательная формула имеет вид: rr r i (5) Индекс рентабельности инвестиции (PI). Данный метод позволяет соотнести объем требуемых затрат с предстоящим к получению доходом и является по сути следствием метода расчета NPV. Индекс рентабельности является относительным показателем и характеризует эффективность осуществляемых вложений. Чем больше значение этого показателя, тем выше отдача каждого рубля, инвестированного в данный проект n PI CFk (1 r ) k 1 IC k , где (6) CF – денежные поступления от реализации проекта; r – ставка дисконтирования; n – срок инвестирования (продолжительность проекта); IC – величина первоначальной инвестиции. Если: РI > 1, то проект следует принять; PI < 1, то проект следует отвергнуть. В отличие от чистой приведенной стоимости индекс рентабельности представляет собой относительный показатель: он характеризует уровень доходов на единицу затрат, т.е. эффективность вложений. Поэтому, чем больше значение этого показателя, тем выше отдача каждого рубля, инвестированного в данный проект. Благодаря этому критерий PI очень удобен при выборе одного проекта из ряда альтернативных, имеющих близкие значения NPV (в частности, если два проекта имеют одинаковые значения NPV, но разные объемы требуемых инвестиций, то очевидно, что выгоднее тот из них, который обеспечивает большую эффективность вложений), либо при комплектовании портфеля инвестиций с целью максимизации суммарного значения NPV. Внутренняя норма прибыли – величина ставки дисконтирования при которой доходы по проекту равны инвестиционным затратам. IRR показывает ожидаемую доходность проекта, и, следовательно, максимально допустимый относительный уровень расходов, которые могут быть связаны с данным проектом. Например, если проект полностью финансируется за счет кредита банка, то значение IRR показывает верхнюю границу допустимого уровня банковской процентной ставки, превышение которого делает проект убыточным. Данный показатель можно использовать лишь для классических инвестиционных проектов, основанных на ординарных денежных потоках и предполагающих разовую начальную инвестицию и последующие денежные поступления. Экономический смысл критерия IRR заключается в том, что организация может принимать любые решения инвестиционного характера, уровень рентабельности которых не ниже определенной пороговой величины. Как правило, в качестве данной величины выступает показатель стоимости капитала СС, под которым понимается либо WACC, если источник средств точно не идентифицирован, либо стоимость целевого источника, если таковой имеется. Если: IRR > СС, то проект следует принять; IRR < СС, то проект следует отвергнуть. На практике достаточно часто величину IRR сопоставляют со ставкой капитализации, которая представляет собой коэффициент, устанавливающий соотношение размера ожидаемого дохода от эксплуатации актива и его стоимости. Ставка капитализации показывает среднюю доходность, сложившуюся на момент анализа на данном рынке, т.е. доходность, которую в среднем в настоящее время извлекают инвесторы, находящиеся в аналогичных условиях и реализующие аналогичные проекты. Ставка капитализации должна учитывать следующие факторы: компенсацию за безрисковые, ликвидные инвестиции; компенсацию за риск; компенсацию за низкую ликвидность; поправку на прогнозируемое повышение или снижение стоимости объекта инвестирования. Определить ставку капитализации можно двумя способами – статистическим методом и методом кумулятивного построения. Статистический метод доступен в случае, если инвестиционный проект является достаточно типичным, а информация по аналогичным действующим проектам доступной. Тогда возможно статистическое исследование с целью выявления средней доходности. Метод кумулятивного построения предполагает нахождение ставки капитализации путем суммирования безрисковой ставки, компенсации за риск, компенсации за низкую ликвидность и поправки на прогнозируемое повышение или снижение стоимости объекта инвестирования: R0 Rб / р R р Rл q , где R0 – общая ставка капитализации, %; Rб/р – безрисковая ставка, %; Rp – поправка на риск, %; Rл – поправка на низкую ликвидность, %; q – предполагаемый рост (снижение) доходности, %. (7) Метод кумулятивного построения применяется к проектам, для которых трудно подобрать удовлетворительные аналоги. В то же время компоненты рассчитанной таким образом ставки капитализации определяются статистическими методами. Сравнение критерия IRR и ставки капитализации R0 позволяет судить о том, насколько близка ожидаемая доходность проекта к нормальному уровню доходности в данном бизнесе. Это сравнение позволяет сделать следующие выводы. Если IRR > R0, то проект является более прибыльным, чем аналогичные проекты в среднем, и должен быть принят. В случае, когда IRR < R0, проект является менее прибыльным, чем аналогичные проекты в среднем. Наконец, при IRR = R0 проект в коммерческом отношении не лучше и не хуже, чем аналогичные. Критерий IRR также целесообразно сравнить, например, с нормой вмененных издержек, IRR альтернативного проекта и некоторыми другими показателями. Независимо от того, с чем сравнивается IRR, очевидно одно: проект принимается, если его IRR больше некоторой пороговой величины; поэтому при прочих равных условиях, как правило, большее значение IRR считается предпочтительным. Легко заметить, что вопрос о выборе базы сравнения для критерия IRR и вопрос выбора ставки дисконтирования для расчета критерия NPV являются одним и тем же вопросом. В случае рассмотрения единичного проекта все рассмотренные критерии, основанные на учете временной стоимости денег, дают одинаковые рекомендации относительно принятия или отклонения проекта. Иными словами, проект, приемлемый по одному из этих критериев, будет приемлем по другим. Причина этого заключается в том, что между показателями NPV, PI и IRR имеются очевидные взаимосвязи: если NPV > 0, то одновременно IRR > R и PI > 1; если NPV < 0, то одновременно IRR < R и РI < 1; если NPV = 0, то одновременно IRR = R и PI = 1. В то же время они не являются абсолютно взаимозаменяемыми. Принимая решение, инвестору желательно опираться на расчет всех вышеперечисленных критериев. Критерий NPV показывает в абсолютном выражении возможный прирост экономического потенциала коммерческой организации, а критерий IRR позволяет наиболее наглядно сравнить данный проект с другими возможностями инвестирования. Высокое значение NPV не может быть единственным аргументом при выборе инвестиционного решения, так как оно во многом зависит от масштаба инвестиционного проекта и может быть связано с достаточно высоким риском. Каждый из критериев обладает своими плюсами и минусами, но критерий IRR не всегда может быть рассчитан. В случае неординарного денежного потока критерий IRR может иметь несколько значений или не иметь действительных значений вообще. Для наглядного понимания природы вышеперечисленных критериев рассмотрим график чистой приведенной стоимости, который является одним из наиболее полезных инструментов для суммарного выражения характеристик доходности инвестиции. Для построения графика данной функции на оси абсцисс будем откладывать значения ставки дисконтирования, а на оси ординат – чистую приведенную стоимость инвестиций. Чистая приведенная стоимость инвестиций изображается для всех ставок дисконтирования от нуля до какогонибудь разумного большого значения. Для ординарного денежного потока данная функция является монотонно убывающей, и ее график имеет следующий вид (рис. 1). NPV IRR Рис. 1 График пересекает ось ординат в точке, равной сумме всех элементов недисконтированного денежного потока, включая величину исходных инвестиций. Эта точка показывает величину прогнозной прибыли, без учета изменения стоимости денег во времени. Ось абсцисс пересекает график в точке, соответствующей внутренней норме окупаемости инвестиций. График функции NPV(r) инвестиции с неординарным денежным потоком может иметь произвольный вид и неоднократно пересекать ось х. Если инвестиционный проект генерирует денежный доход только один раз (в конце периода его действия), то внутреннюю норму прибыли для него можно определить, используя следующие уравнения: CF IC 1 IRR n CF IC (9) CF 1 IC (10) 1 IRR n IRR n (8) Если доходы от инвестиционного проекта будут поступать не разово, а многократно на протяжении всего срока его действия, то определить уровень IRR можно методом последовательной итерации, рассчитывая NPV при различных значениях процентной ставки (r) до того значения, пока величина NPV не примет отрицательное значение, после чего значение IRR находят по формуле: IRR ra (rb ra ) NPVa NPVa NPVb , где (11) ra – ставка дисконта, при которой NPV имеет положительное значение; rb – ставка дисконта, при которой NPV имеет отрицательное значение; NPVa – чистая приведенная стоимость при ставке ra; NPVb – чистая приведенная стоимость при ставке rb; При этом должны соблюдаться следующие неравенства: ra<IRR< rb; (12) NPVa > 0 > NPVb. (13) Точность вычислений IRR зависит от интервала между ra и rb. Чем меньше длина интервала между минимальным и максимальным значениями ставки дисконта, когда функция меняет знак с «+» на «–», тем точнее величина IRR. Модифицированная норма прибыли. Данный показатель представляет собой коэффициент дисконтирования, уравнивающий приведенную стоимость оттоков денежных средств и наращенную величину притоков денежных средств, причем операции дисконтирования и наращения выполняются с использованием показателя стоимости капитала. n MIRR n СIF (1 r ) i i 0 СOFi i i 0 (1 r ) n n i 1 , где CIF – приток денежных средств; COF – отток денежных средств; r – стоимость источников финансирования; n – срок инвестирования (продолжительность проекта). Если: (14) MIRR > СС, то проект следует принять; MIRR < СС, то проект следует отвергнуть. MIRR решает проблему оценки неординарных денежных потоков и может применяться для оценки всех видов денежных потоков. Срок окупаемости инвестиций. Данный метод является одним из наиболее существенных и широко распространенных. Алгоритм его расчета не предполагает учета временной стоимости денежных поступлений и зависит от равномерности распределения прогнозируемых доходов от инвестиции. Если прогнозируются равномерные по годам денежные поступления, то срок окупаемости рассчитывается путем деления единовременных затрат на величину постоянного годового дохода. Если прогнозируются неравномерные по годам денежные поступления, то срок окупаемости рассчитывается подсчетом количества лет, в течение которых первоначальная инвестиция будет возвращена. В общем виде, срок окупаемости рассчитывается следующим образом: PP = min n, при котором CFk IC, где n – срок инвестирования (продолжительность проекта); CF – денежные поступления от реализации проекта; IC – величина первоначальной инвестиции. Дисконтированный срок окупаемости инвестиций. Данный метод расчета срока окупаемости предполагает учет временной стоимости денег. В этом случае в расчет принимаются денежные потоки, дисконтированные по показателю WACC, а соответствующая формула имеет вид: DPP = min n, при котором n CFk (1 r ) k 1 k IC , где CF – денежные поступления от реализации проекта; r – ставка дисконтирования; n – срок инвестирования (продолжительность проекта); (15) IC – величина первоначальной инвестиции. Дюрация (D) – это средневзвешенный срок жизненного цикла инвестиционного проекта, где в качестве весов выступают текущие стоимости денежных потоков, получаемых в период t. Она позволяет привести к единому стандарту самые разнообразные по своим характеристикам проекты (по срокам, количеству платежей в периоде, методам расчета причитающегося процента). Ключевым моментом этой методики является не то, как долго каждый инвестиционный проект будет приносить доход, а прежде всего то, когда он будет приносить доход и сколько поступлений дохода будет каждый месяц, квартал или год на протяжении всего срока его действия. Дюрация (средневзвешенный срок погашения) измеряет среднее время жизни инвестиционного проекта или его эффективное время действия. В результате менеджеры получают сведения о скорости поступления денежных доходов, приведенных к текущей дате. Для расчета дюрации (D) используется обычно следующая формула: D (t * PV ) PV , где t t (16) PV – текущая стоимость доходов за п периодов до окончания срока действия проекта; t – периоды поступления доходов.[3] ГЛАВА 2. ХАРАКТЕРИСТИКА ОРГАНИЗАЦИИ ООО «Информбюро» функционирует на рынке защиты информации с 2008 г. Основными направлениями деятельности являются: - поставка средств защиты информации, средств вычислительной техники, программного обеспечения - установка средств защиты информации и программного обеспечения - аудит безопасности информационных систем - защита информации ограниченного распространения, не содержащей сведения, составляющие государственную тайну (коммерческая тайна, служебная информация, персональные данные). Данная деятельность, согласно Федеральному закону от 08.08.2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности», подлежит лицензированию. ООО «Информбюро» имеет следующие лицензии: Федеральной службы Российской Федерации: - На осуществление работ, связанных с использованием сведений, составляющих государственную тайну. Федеральной службы по техническому и экспортному контролю Российской Федерации: - На деятельность по технической защите конфиденциальной информации - На проведение работ, связанных с созданием средств защиты информации - На деятельность по разработке и (или) производству средств защиты конфиденциальной информации - Аттестат аккредитации органа по аттестации. Партнерами организации являются: - ГК «Информзащита» - ОКБ САПР - ЗАО «НПЦ «Модуль» - ЗАО «АННА» - ОАО «Инфотэкс» и др. Основными конкурентами ООО «Информбюро» в Свердловской области можно считать: - Екатеринбургский НТЦ ФГУП «НПП «Гамма» - ФГУП «ЗащитаИнфоТранс» - ООО «ИРС» - ООО «Тетроникс ВТ» - ООО «Компания Экстрим ПРО» Численность работающих на предприятии составляет 35 человек. Учредителями являются физические лица. Таким образом, предприятие можно отнести к субъекту малого предпринимательства. Данное ООО работает по общей системе налогообложения. Организационная структура предприятия в упрощенном виде приведена на рисунке 2. Директор Главный инженер Заместитель директора Аттестационный отдел Договорнофинансовый отдел Отдел информационных технологий Менеджер по логистике Бухгалтер Рис. 2 ГЛАВА 3. ЭКОНОМИЧЕСКАЯ ЭФФЕКТИВНОСТЬ ПРОЕКТА 3.1. Обоснование выбора системы защиты Объект представляет собой ИСПДн «Бухгалтерия» ООО «Информбюро». Защищаемая информация – персональные данные, обрабатываемые в ИСПДн «Бухгалтерия». Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация [4] Таблица 1 Структура информации, подлежащей защите ПДн - Паспортные данные сотрудников - Сведения о профессии - Сведения о доходах - Сведения об алиментах - Сведения об отчислениях в ПФ и ФОМС Персональные данные обрабатываются в ИСПДн «Бухгалтерия». ПДн обрабатываемые в данной ИСПДн относятся ко 2й категории (Хпд=2), т.е. персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни. В информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных (Хнпд=3) и в пределах конкретной организации. ИСПДн представляет собой специальную ИСПДн, организованную на базе автоматизированного рабочего места, имеющего подключение к АС «Корпоративная ЛВС» и сети международного информационного обмена (Internet). ИСПДн расположена на территории Российской Федерации, является однопользовательской. Таблица 2 Определение класса ИСПДн Хнпд Хпд 4 3 2 1 3 2 1 К4 К3 К3 К1 К4 К3 К2 К1 К4 К2 К1 К1 По результатам анализа исходных данных информационной системе присваивается класс: класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных. [5] Форма акта классификации ИСПДн приведен в Приложении А. 3.1.1. Угрозы безопасности ПДн при их обработке в ИСПДн «Бухгалтерия» Согласно «Базовой модели угроз…» [6] при обработке ПДн в ИСПДн возможна реализация следующих угроз безопасности информации: - угрозы несанкционированного доступа (далее – НСД) к ПДн, обрабатываемым на автоматизированном рабочем месте; - угрозы целостности ПДн. Угрозы НСД связаны с действиями нарушителей, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн, а также нарушителей, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена. Угрозами НСД, реализуемыми нарушителями, имеющими доступ к ИСПДн, включая пользователей ИСПДн следует считать: - угрозы, реализуемые в ходе загрузки операционной системы и направленные на перехват паролей или идентификаторов, модификацию базовой системы ввода/вывода (BIOS), перехват управления загрузкой; - угрозы, реализуемые после загрузки операционной системы и направленные на выполнение несанкционированного доступа с применением стандартных функций (уничтожение, копирование, перемещение, форматирование носителей информации и т.п.) операционной системы или какой-либо прикладной программы (например, системы управления базами данных), с применением специально созданных для выполнения НСД программ (программ просмотра и модификации реестра, поиска текстов в текстовых файлах и т.п.); - угрозы внедрения вредоносных программ. Кроме этого, источниками угроз НСД к информации в АРМ могут быть аппаратные закладки и отчуждаемые носители вредоносных программ. Угрозами НСД, реализуемыми нарушителями, не имеющими доступа к ИСПДн, и реализующими угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена, следует считать: - угрозы «Анализа сетевого трафика» с перехватом передаваемой во внешние сети и принимаемой из внешних сетей информации; - угрозы сканирования, направленные на выявление типа операционной системы ИСПДн, сетевых адресов рабочих станций, открытых портов и служб, открытых соединений и др.; - угрозы выявления паролей; - угрозы получения НСД путем подмены доверенного объекта; - угрозы типа «Отказ в обслуживании»; - угрозы удаленного запуска приложений; - угрозы внедрения вредоносных программ. Угрозы целостности могут быть обусловлены действиями нарушителей, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующих угрозы непосредственно в ИСПДн, а также нарушителей, не имеющих доступа к ИСПДн, реализующих угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена. Угрозы целостности ПДн связаны с действиями нарушителей, имеющих доступ к ИСПДн, включая пользователей ИСПДн, реализующих угрозы несанкционированного изменения (уничтожения) информации непосредственно в ИСПДн за счет: - ошибок при эксплуатации технических средств ИСПДн; - ошибок при эксплуатации программного обеспечения; - ошибок при эксплуатации средств защиты информации; - несанкционированного подключения нештатных технических средств к ИСПДн; - несанкционированной установки нештатного программного обеспечения на технические средства ИСПДн. Угрозы целостности ПДн связаны с действиями нарушителей, не имеющими доступа к ИСПДн, и реализующими угрозы из внешних сетей связи общего пользования и (или) сетей международного информационного обмена, реализующих угрозы несанкционированного изменения (уничтожения) информации в ИСПДн за счет: - выявления паролей; - получения НСД путем подмены доверенного объекта; - удаленного запуска приложений; - внедрения вредоносных программ. Кроме этого, источниками угроз целостности ПДн могут быть: - сбои, отказы и аварии технических средств и систем ИСПДн; - сбои, отказы и аварии систем обеспечения ИСПДн; - дефекты, сбои и отказы программного обеспечения, используемого в ИСПДн. 3.1.2. Требования по защите информации для ИСПДн «Бухгалтерия» По результатам анализа исходных данных информационной системе присваивается класс: класс 3 (К3) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных. В соответствии с «Положением о методах и способах защиты информационных системах персональных данных», утвержденным приказом ФСТЭК России от 5 февраля 2010 года № 58 [7], к данной ИСПДн предъявляются следующие требования: Подсистема управления доступом - идентификация и проверка подлинности пользователя при входе в систему информационной системы по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов Подсистема регистрации и учета - регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы - учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета Подсистема обеспечения целостности - обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по наличию имен (идентификаторов) компонентов системы защиты персональных данных, целостность программной среды обеспечивается отсутствием в информационной системе средств разработки и отладки программ - физическая охрана информационной системы (технических средств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации - периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа - наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонентов средств защиты информации, их периодическое обновление и контроль работоспособности. 3.1.3. Система защиты информации объекта При рассмотрении структуры системы информационной безопасности (СИБ) возможен традиционный подход – выделение обеспечивающих подсистем. Система информационной безопасности, как и любая ИС, должна иметь определенные виды собственного обеспечения, опираясь на которые она будет способна выполнить свою целевую функцию. С учетом этого, СИБ должна иметь следующие виды (элементы) обеспечения: правовое, организационное, нормативно-методическое, информационное, техническое (аппаратное), программное, математическое, лингвистическое. Для ИСПДн все СЗИ, а также антивирусное ПО должны быть сертифицированы по требованиям безопасности. На рассматриваемом объекте установлена сертифицированная версия Kaspersky AntiVirus. 3.1.3.1. Программно-аппаратная система защиты При выборе программно-аппаратных средств защиты необходимо учитывать класс ИСПДн и предъявляемые к нему требования, а также топологию сети объекта информатизации. В нашем случае оптимальным решением представляется Secret Net 6 (вариант К). Соответствует руководящим документам по 4-му уровню контроля на отсутствие НДВ и 5-му классу защищенности по СВТ. Может использоваться в автоматизированных системах до класса 1Г включительно и в ИСПДн до 1 класса включительно. [10] Сертификат на СЗИ от НСД Secret Net 6 (вариант К) приведен в приложении Б. 3.1.3.2. Организационные меры по защите При работе с информационными ресурсами Компании каждый сотрудник обязан: обеспечивать, обязанностей исходя из своих возможностей по обеспечению безопасности и специальных информации, защиту от несанкционированного доступа к информации, к которой он имеет санкционированный доступ в силу своих служебных обязанностей; ни в какой форме не участвовать в процессах несанкционированного доступа к информации, принадлежащей другим сотрудникам и службам; ни в какой форме не использовать ставшую ему известной в силу исполнения своих функциональных обязанностей информацию не по прямому назначению; при нарушении установленных правил доступа другими сотрудниками сообщать об этом непосредственному начальнику, ответственным администраторам или в Службу безопасности. Ремонтные и профилактические регламентные работы должны производиться только уполномоченными лицами эксплуатационной службы по согласованию с руководителем (ответственным лицом) подразделения, в котором установлено компьютерное оборудование. Порядок снятия, переноса, модификации аппаратной конфигурации устанавливается Регламентом проведения такого рода работ и осуществляется только уполномоченными лицами эксплуатационной службы. При работе в автоматизированной системе Компании пользователь обязан: сохранять в тайне пароли доступа к системе (системам); надежно хранить физические ключи (идентификаторы) доступа; периодически изменять личные пароли, если это предписано регламентом управления доступом; при случайном получении небрежность персонала и (сбой механизмов защиты, аварии, др.) доступа к чужой конфиденциальной информации прекратить какие-либо действия в системе и незамедлительно сообщить в Службу безопасности и администратору системы; сообщать в службу безопасности и администратору системы об известных каналах утечки, способах и средствах обхода или разрушения механизмов защиты. При работе в автоматизированной системе Компании пользователю запрещается: записывать в любом доступном виде или произносить вслух известные пользователю пароли; регистрироваться и работать в системе под чужим идентификатором и паролем; передавать идентификаторы и пароли кому бы то ни было; оставлять без контроля рабочее место в течение сеанса работы; позволять производить любые действия с закреплённым пользователем комплектом программно-аппаратных средств другим лицам; за несанкционированно изменять или уничтожать данные или программы в сети или на внешних (отчуждаемых) носителях; оставлять без контроля носители критичной информации; использовать компьютерную технику в нерабочее время и не по прямому назначению; заниматься исследованием вычислительной сети; игнорировать системные сообщения и предупреждения об ошибках; несанкционированно устанавливать на автоматизированные рабочие места любые дополнительные программные и аппаратные компоненты и устройства; копировать на съёмные носители любое программное обеспечение и файлы данных; использовать для передачи информации ограниченного доступа не предназначенные для этого средства и каналы связи. Типовая инструкция по парольной защите приведена в Приложении В. В соответствии с Постановлением Правительства № 781 [11] должны быть разработаны документы, которые используются при обеспечении безопасности ПДн на предприятии: Акт классификации ИСПДн Модель угроз безопасности ПДн при их обработке (на АС и без участия АС) Журнал учета лиц, допущенных к работе с ПДн в ИС и Инструкция по учету лиц, допущенных к работе с ПДн в ИС Журнал учета применяемых средств ЗИ, эксплуатационной и технической документации ПДн и Инструкция по учету применяемых средств ЗИ, эксплуатационной и технической документации ПДн Заключение о возможности эксплуатации средств защиты информации Электронный журнал учета запросов лиц на получение ПДн и Инструкция по учету запросов лиц на получение ПДн Журнал учета носителей ПДн и Инструкция по учету носителей ПДн Договор по обеспечению конфиденциальности ПДн и безопасности ПДн при их обработке в ИС Эксплуатационная и техническая документация средств ЗИ Правила пользования средствами ЗИ при обеспечении безопасности ПДн, согласованные с ФСТЭК и ФСБ РФ Журнал учета проведения мероприятий, по обеспечению безопасности ПДн при их обработке в ИС и Инструкция по учету проведения мероприятий, по обеспечению безопасности ПДн при их обработке в ИС Заключение по фактам несоблюдения условий хранения носителей ПДн, использования средств ЗИ, которые могут привести к нарушению конфиденциальности ПДн или другим нарушениям. 3.2. Расчет экономической эффективности инвестиционного проекта «Создание системы защиты ИСПДн «Бухгалтерия». Объект представляет собой ИСПДн «Бухгалтерия» ООО «Информбюро». Защищаемая информация – персональные данные, обрабатываемые в ИСПДн «Бухгалтерия». Целью является внедрение системы защиты информации с целью предотвращения потенциального ущерба в случае нарушения конфиденциальности защищаемой информации. Объект инвестиций – система защиты информации в главном офисе, источники инвестиций собственные. Определим норму дисконта как годовую рентабельность предприятия, которая составляет 0,2 и рассчитаем коэффициент дисконтирования. E=0,2 (17) =1/(1+0,2)=0,833 (18) 3.2.1. Оценка ущерба Всего в ИСПДн «Бухгалтерия» обрабатываются ПДн 35 сотрудников. Рассчитаем сумму возможного ущерба от невыполнения требований по защите ПДн. Незаконное распространение и утрата ПДн может произойти по нескольким причинам: 1. Ущерб от НСД Статья 13.11 КоАП. Нарушение порядка сбора, хранения, использования или распространения ПДн. Штраф для юр лиц 5-10 т.р. Статья 5.27 КоАП. Нарушение законодательства о труде. Штраф для юр лиц 30-50 т.р. Статья 234 ТК. Ненадлежащее хранение и использование ПДн, повлекшее за собой ущерб работнику => возмещение материального вреда в полном объеме, морального по решению суда (исходя из судебной практики последних лет, возьмем сумму равную 25 т.р.). См. Приложение Д. На предприятии 35 сотрудников, поэтому Ущерб = 10000+50000+35*25000=1810000 руб. (19) 2. Ущерб от отказа аппаратной части Восстановление информации с HDD 7000 руб. Новый системный блок 25000 руб. Ущерб = 7000+25000=32000 руб. 3. Ущерб от чрезвычайных ситуаций (пожар, землетрясение и т.д.) Закупка нового ПК 50000 руб Сбор ПДн 35 сотрудников и создание БД (20) В организации 35 сотрудников. На занесение ПДн одного сотрудника в базу затрачивается в среднем 1500 знако-команд. В соответствии с «Нормами времени и выработки на набор, правку и верстку газет» [12] на набор 1000 знако-команд затрачивается 6 минут. Общее количество знако-команд, которые необходимо внести в базу 52 500, следовательно на это будет затрачено 5,25 часов. По нормам безопасности жизнедеятельности после каждых 45 минут (3/4 часа) работы за компьютером необходимо делать перерыв 15 минут (1/4 часа). [13] Таким образом общее время на внесение данных в БД составит 7 часов. Поскольку ПДн обрабатываются в ИСПДн «Бухгалтерия», и права доступа к ней имеет ограниченный круг лиц, то работу по восстановлению ПДн будет выполнять бухгалтер. Заработная плата бухгалтера составляет 30 000 руб., в месяце 22 рабочих дня, продолжительность рабочего дня 8 часов, следовательно за час бухгалтер получает 170,5 руб. Путем умножения заработной платы за час на необходимое количество времени получаем, что за данную работу бухгалтер получит 1193,5 руб. Также учтем социальные перечисления, получим 1600 руб. Штраф по ст. 13.11 КоАП 10000 руб. Ущерб = 50000+1600+10000=61600 руб. (21) Таблица 3 Угроза 1) ничего не произошло 2) НСД к ПДн 3) отказ аппаратной части ЛВС 4) чрезвычайные ситуации Вероятность Ущерб, руб. 50% 30% 0 1810000 15% 32000 5% 61600 Рассчитаем вероятный ущерб Ув1=0,5*0=0 (22) Ув2=0,3*1810000=543000 (23) Ув3=0,15*32000=4800 (24) Ув4=0,05*61600=3080 (25) Ув=М1+М2+М3+М4=550880 руб. (26) 3.2.2 Расчет экономической эффективности системы защиты Предлагаемый вариант защиты обеспечивает все требования нормативных документов, но нельзя считать защиту 100 процентной. Примем уровень защиты равный 0,9. Рассчитаем сумму предотвращенного ущерба Уп=Ув*0,9=495792 руб. в год (27) Уп=41316 руб. в месяц (28) Стоимость создания системы защиты составляет 50000 руб. Спецификация представлена в приложении Г. За расчетный период возьмем 3 года – срок действия аттестата соответствия системы защиты персональных данных. Рассчитаем основные показатели экономической эффективности. Таблица 4 Основные показатели экономической эффективности Период Доходы Расходы Инвестиции Чистый доход а ЧДД ЧДДни 0 0 50000 50000 1 41316 20000 2 41316 20000 3 41316 20000 4 41316 20000 5 41316 20000 6 41316 20000 7 41316 20000 8 41316 20000 9 41316 20000 10 41316 20000 11 41316 20000 0 0 0 0 0 0 0 0 0 0 0 -50000 1 -50000 -50000 21316 0,833333 17763,33 -32236,66 21316 0,694444 14802,77 -17433,89 21316 0,578703 12335,64 -5098,24 21316 0,482253 10279,70 5181,47 21316 0,401877 8566,42 13747,88 21316 0,334898 7138,69 20886,57 21316 0,279081 5948,90 26835,47 21316 0,232568 4957,42 31792,89 21316 0,193806 4131,18 35924,08 21316 0,161505 3442,65 39366,73 21316 0,134588 2868,88 42235,61 19 41316 20000 0 21316 0,031300 667,21 53243,95 20 41316 20000 0 21316 0,026084 556,01 53799,96 21 41316 20000 0 21316 0,021736 463,34 54263,30 22 41316 20000 0 21316 0,018113 386,12 54649,41 23 41316 20000 0 21316 0,015094 321,76 54971,18 31 41316 20000 0 21316 0,003510 74,83 56205,84 32 41316 20000 0 21316 0,002925 62,36 56268,19 33 41316 20000 0 21316 0,002437 51,97 56320,16 34 41316 20000 0 21316 0,002031 43,31 56363,47 35 41316 20000 0 21316 0,001693 36,09 56399,56 Продолжение таблицы 4 Период Доходы Расходы Инвестиции Чистый доход а ЧДД ЧДДни 12 41316 20000 0 21316 0,112156 2390,73 44626,34 13 41316 20000 0 21316 0,093463 1992,28 46618,61 14 41316 20000 0 21316 0,077886 1660,23 48278,84 15 41316 20000 0 21316 0,064905 1383,53 49662,37 Период Доходы Расходы Инвестиции Чистый доход а ЧДД ЧДДни 24 41316 20000 0 21316 0,012579 268,14 55239,31 25 41316 20000 0 21316 0,010482 223,45 55462,76 26 41316 20000 0 21316 0,008735 186,21 55648,97 27 41316 20000 0 21316 0,007279 155,17 55804,14 16 41316 20000 0 21316 0,054087 1152,94 50815,31 17 41316 20000 0 21316 0,045073 960,78 51776,09 18 41316 20000 0 21316 0,037561 800,65 52576,74 Продолжение таблицы 4 28 41316 20000 0 21316 0,006066 129,31 55933,45 29 41316 20000 0 21316 0,005055 107,76 56041,20 30 41316 20000 0 21316 0,004212 89,80 56131,00 60000 40000 20000 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 -20000 -40000 -60000 Рисунок 3 Финансовый профиль проекта Показатели экономической эффективности инвестиционного проекта: - Инвестиции 50 000 руб. - Ставка дисконтирования 20% - ЧДДН.И. = 56 399 руб. 56 коп. - ИД = 1,43 - ВНД = 0,86 - Дисконтированный срок окупаемости 4 месяца Видим что: ЧДД > 0, ВНД > E (0,833), срок окупаемости 4 месяца, что меньше расчетного периода, индекс доходности больше 1, следовательно, проект эффективен и финансово реализуем. ЗАКЛЮЧЕНИЕ В ходе выполнения выпускной работы были рассмотрены следующие вопросы: - Обследован объект защиты и предпринятые на объекте меры по защите информации; - Определены актуальные угрозы безопасности информации и возможные каналы утечки информации; - Проведена классификацию ОИ, сформировать требования к системе защиты; - Выбрана систему защиты, удовлетворяющую требованиям; - Определены затраты на создание системы защиты; - Рассчитана экономическая эффективность проекта. По результатам расчета значения показателей экономической эффективности проекта равны: - Инвестиции 50 000 руб. - Ставка дисконтирования 20% - ЧДДН.И. = 56 399 руб. 56 коп. - ИД = 1,43 - ВНД = 0,86 - Дисконтированный срок окупаемости 4 месяца Таким образом, видим что: ЧДД > 0, ВНД > E (0,833), срок окупаемости 4 месяца, что меньше расчетного периода, индекс доходности больше 1, следовательно, проект эффективен и финансово реализуем. Поставленную цель написания работы можно считать достигнутой. 46 СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 1. Финансовый менеджмент. (Учебное пособие) Морозко Н.И. (ВГНА Минфина РФ; 2009) 2. Финансовый менеджмент. (Учебное пособие) Новашина Т.С, Карпунин В.И, Волнин В.А. (МФПА, 2005) 3. Финансовый менеджмент. (Учебно-метод. компл.) Ронова Г.Н., Ронова Л.А. (ЕАОИ, 2008) 4. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» 5. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. № 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных" 6. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» № 734 от 15.02.2008г. Утверждены Заместителем директора ФСТЭК России. 7. Приказ ФСТЭК России от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» 8. РД. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации. 9. Интернет-ресурс: infotecs.ru 10. Интернет-ресурс: infosec.ru 47 11. Постановление Правительства РФ «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от 17 ноября 2007 г. № 781 12. Приказ МПТР РФ от 12 мая 2000 г. № 104 «Об утверждении норм времени и выработки на набор, правку и верстку газет на персональном компьютере» 13. Фатхутдинова Л.М. Физиологическое обоснование допустимой продолжительности работы за видеотерминалом. − Медицина труда и промышленная экология. 1994. 48 ПРИЛОЖЕНИЕ А 49 ПРИЛОЖЕНИЕ Б УТВЕРЖДАЮ __________________________________ (должность руководителя организации) ___________________________Ф.И.О. (подпись) «__» __________ 20__г. АКТ классификации информационной системы персональных данных «Бухгалтерия» Комиссия в составе: Председатель – должность, Ф.И.О.; Члены комиссии – должность, Ф.И.О.; должность, Ф.И.О. Рассмотрев исходные данные об информационной системе персональных данных: 1) категория персональных данных вторая, Хпд=2; 2) объем обрабатываемых персональных данных до 1000 субъектов персональных данных и в пределах конкретной организации, Хнпд=3; 3) заданные характеристики безопасности персональных данных, обрабатываемых в информационной системе в соответствии с требованиями подпункта г) пункта 11 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденного постановлением Правительства Российской Федерации от 17 ноября 2007 г. № 781: СПЕЦИАЛЬНАЯ; 4) структура информационной системы: АВТОНОМНАЯ; 5) наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена: ЕСТЬ; 6) режим обработки персональных данных: ОДНОПОЛЬЗОВАТЕЛЬСКИЙ; 7) режим разграничения прав доступа пользователей информационной системы: БЕЗ РАЗГРАНИЧЕНИЯ ПРАВ ДОСТУПА; 8) местонахождение технических средств: В ПРЕДЕЛАХ РОССИЙСКОЙ ФЕДЕРАЦИИ. 50 В соответствии с пунктами 14 и 15 «Порядка проведения классификации информационных систем персональных данных», утвержденного совместным приказом ФСТЭК России, ФСБ России, Министерства информационных технологий и связи Российской Федерации от 13.02.2008 № 55/86/20 и на основании анализа исходных данных, РЕШИЛА: информационной системе персональных данных «Бухгалтерия» установить класс: К3. Председатель комиссии: Члены комиссии: Ф.И.О. Ф.И.О. Ф.И.О. «__» __________ 20__г. 51 ПРИЛОЖЕНИЕ В УТВЕРЖДАЮ Должность Ф.И.О. "____" _________ 201__ г. ИНСТРУКЦИЯ по организации парольной защиты в информационной системе персональных данных «Бухгалтерия» 1. Данная инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей в информационной системе персональных данных «Бухгалтерия» (далее ИСПДн), а также контроль за действиями пользователей при работе с паролями. 2. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах АС и контроль за действиями пользователей при работе с паролями возлагается на администратора информационной безопасности ИСПДн. 3. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями автоматизированной системы самостоятельно с учетом следующих требований: - длина пароля должна быть не менее 6 символов; - в числе символов пароля обязательно должны присутствовать буквы в верхнем или нижнем регистрах, цифры и/или специальные символы (@, #, $, &, *, % и т.п.); - символы паролей для рабочих станций, на которых установлено средство защиты информации от несанкционированного доступа (НСД) «Secret Net», должны вводиться в режиме латинской раскладки клавиатуры; - пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.); - при смене пароля новое значение должно отличаться от предыдущего; - личный пароль пользователь не имеет права сообщать никому. 4. Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации. 52 5. При наличии в случае возникновении нештатных ситуаций, форсмажорных обстоятельств и т.п. технологической необходимости использования имен и паролей некоторых сотрудников (исполнителей) в их отсутствие, такие сотрудники обязаны сразу же после смены своих паролей их новые значения (вместе с именами соответствующих учетных записей) в запечатанном конверте (пенале) передавать на хранение администратору информационной безопасности ИСПДн или уполномоченному лицу. Опечатанные конверты (пеналы) с паролями исполнителей должны храниться в сейфе. Для опечатывания конвертов (пеналов) должны применяться личные печати владельцев паролей. 6. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в 3 месяца. 7. Внеплановая смена личного пароля или удаление учетной записи пользователя автоматизированной системы в случае прекращения его полномочий (увольнение, переход на другую работу внутри предприятия и т.п.) должна производиться администратором информационной безопасности ИСПДн немедленно после окончания последнего сеанса работы данного пользователя с системой на основании письменного указания начальника секретной части. 8. Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри предприятия и другие обстоятельства) администраторов информационной безопасности ИСПДн. 9. В случае компрометации личного пароля пользователя автоматизированной системы должны быть немедленно предприняты меры в соответствии с п. 5 или п. 6 настоящей Инструкции в зависимости от полномочий владельца скомпрометированного пароля. 10. Хранение сотрудником (исполнителем) значений своих паролей на бумажном носителе допускается только в сейфе администратора информационной безопасности АС или начальника спецчасти. 11. Контроль за действиями пользователей системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на администратора информационной безопасности ИСПДн. Администратор информационной безопасности ИСПДн – должность Ф.И.О под компрометацией понимается утеря, передача другому лицу пароля. 53 ПРИЛОЖЕНИЕ Г СПЕЦИФИКАЦИЯ поставки и услуг 1. Наименование, состав и перечень (количество) объектов информатизации, виды и перечень (содержание и объемы) услуг, цены услуг, место оказания услуг: № Цена с Кол-во Сумма с разНаименование, виды и перечень (содержание и объемы) услуг НДС за ед. единиц НДС (руб.) дела (руб.) Передача права на использование ПО ViPNet Personal Firewall v.3.1 1 1 3500 3500 (сертификат ФСБ) Поставка дистрибутивов ПО ViPNet Personal Firewall v.3.1 1 1000 1000 (сертификат ФСБ), ПО ViPNet Office Firewall v.3.1 (сертификат ФСБ) Право на использованиепрограммного обеспечения системы защиты 1 6400 6400 информации Secret Net 6 (версия 6.5, автономный режим), Вариант-К Поставка установочного комплекта. Система защиты информации 1 500 500 Secret Net 6 (версия 6.5, автономный). Вариант-К. Поставка установочного комплекта. Система защиты информации 1 1500 1500 Secret Net 6 (версия 6.5, автономный). Вариант-К. Итого за поставку СЗИ: 12900 2 Обследование ИСПДн с целью определения текущего состояния обеспечения безопасности персональных данных и выработки 1 6000 6000 рекомендаций с оформлением "Акта обследования ИСПДн" Разработка пакета организационно-распорядительных документов (рекомендаций по их корректировке, при наличии) по защите персональных данных при их обработке в ИСПДн для организации (конкретный перечень определяется исходя из 1 6000 6000 требований нормативных правовых актов Российской Федерации и действующих у заказчика локальных нормативных актов) Разработка "Модели угроз безопасности ПДн при их обработке в 1 5000 5000 ИСПДн" Разработка "Требований по обеспечению безопасности ПДн при 1 3000 3000 обработке в ИСПДн" Установка и настройка системы защиты информации Secret Net 6 1 4484 4484 (автономный вариант) с оформлением акта установки Установка и настройка персонального межсетевого экрана 1 5000 5000 Оценка готовности средств защиты информации к использованию и возможности их эксплуатации с оформлением "Заключения о 1 3740 3740 готовности средств защиты информации к использованию и возможности их эксплуатации" Подготовка "Описания ИСПДн и системы защиты персональных 1 1500 1500 данных" Разработка программы и методики аттестационных испытаний 1 438 438 ИСПДн Разработка Заключения по результатам аттестационных испытаний 1 1500 1500 Выдача Аттестата соответствия по требованиям безопасности 1 438 438 информации Итого за услуги: 37100 Всего с НДС 50000 2. Общая сумма (цена) настоящего расчета: 50 000 (Пятьдесят тысяч рублей) руб. 00 коп., в т.ч.: - право на использование СЗИ 6 400 (Шесть тысяч четыреста) руб. 00 коп. На основании ст. 149 п. 2 пп. 26 НК РФ передача прав на использование программного обеспечения НДС не облагается. - поставка СЗИ 6 500 (Шесть тысяч пятьсот) руб. 00 коп., в т.ч. НДС 18% - 991 (Девятьсот девяносто один) руб. 56 коп. - услуги по подготовке и проведению аттестации по требованиям безопасности 37 100 (Тридцать семь тысяч сто) руб. 00 коп., в т.ч. НДС 18% - 5 659 (Пять тысяч шестьсот пятьдесят девять) руб. 32 коп. 54 ПРИЛОЖЕНИЕ Д ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ И НАРУШЕНИЕ ПОРЯДКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ Вид нарушения Предусмотренное наказание Чем установлено АДМИНИСТРАТИВНАЯ ОТВЕТСТВЕННОСТЬ Нарушение порядка сбора, хранения, использования или распространения персональных данных Штраф для должностных лиц - от 500 до 1000 руб.; для юридических лиц от 5000 до 10 000 руб. Статья 13.11 КоАП РФ Штраф для должностных лиц от 4000 до 5000 руб. Статья 13.14 КоАП РФ Отказ в предоставлении информации Штраф для должностных лиц - от 1000 до 3000 руб.; Статья 5.39 КоАП РФ Ненадлежащее хранение и использование ПДн, повлекшее за собой ущерб работнику Возмещение материального вреда в полном объеме, морального по решению суда Статья 234 ТК РФ разглашение информации, доступ к которой ограничен федеральным законом, лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей УГОЛОВНАЯ ОТВЕТСТВЕННОСТЬ неправомерный отказ должностного лица в представлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан штраф в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет. Статья 140 УК РФ 55 Вид нарушения Предусмотренное наказание штраф в размере до 200 000 руб. или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, незаконные сбор или либо исправительными работами на распространение сведений о срок до одного года, частной жизни лица, либо арестом на срок до четырех составляющих его личную или месяцев. семейную тайну, без его При этом те же деяния, согласия либо распространение совершенные лицом с этих сведений в публичном использованием своего служебного выступлении, публично положения, наказываются штрафом демонстрирующемся в размере от 100 000 до 300 000 руб. произведении или средствах или в размере заработной платы или массовой информации иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок от четырех до шести месяцев. штраф в размере до 200 000 рублей или в размере заработной платы или Неправомерный доступ к иного дохода осужденного за период охраняемой законом до восемнадцати месяцев, компьютерной информации, то либо обязательными работами на есть информации на машинном срок от ста двадцати до ста носителе восьмидесяти часов, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет Чем установлено Статья 137 УК РФ Статья 272 УК РФ 56