Модели оценки стоимости защищаемых ресурсов предприятия Владимирский государственный университет Кафедра информатики и защиты информации Файман О.И., Кузьмина Н.А. гр. КЗИ-104
Объект исследования: Защищаемые ресурсы предприятия Предмет исследования: Методики оценки стоимости информационных ресурсов Цель работы: разработка механизма оценки стоимости защищаемых информационных ресурсов, охватываемых автоматизированной системой управления (АСУ) организацией, на основе существующих моделей оценки нематериальных активов и интеллектуальной собственности, который может применяться для расчета рисков информационной безопасности с целью оптимизации затрат на создание системы защиты информации либо определения ее рентабельности. 2
Проблема ЗИ в АСУ 3 Информационное обеспечение АСУ
Проблема ЗА в АСУ п/п Наименование сведений Критич ность Основание для отнесения 1ПРОИЗВОДСТВО 1.1 Структура кадров и производства К,Ц Дают понятие о возможностях предприятия по удовлетворению спроса на продукцию, выполнению договорных обязательств. Также потеря доступности или фальсификация таких сведений, существенно затруднят работу предприятия. 1.2 Условия производства, организация труда К,Ц 1.3 Сведения о производственных возможностях предприятия К 1.4Уровень запасов, материалов и комплектующих, готовой продукции К, Ц,Д 4 Перечень защищаемых ресурсов АСУ
Модели оценки стоимости НМА и ОИС Затратный подход Метод стоимости замещения Метод восстановительной стоимости Метод исходных затрат Сравнительный подход Метод сравнения продаж ОИС Доходный подход Метод расчета роялти Метод исключения ставки роялти Метод DCF Методы прямой капитализации Экспресс-оценка Метод избыточной прибыли Метод, основанный на правиле 25% Экспертные методы Метод исходных затрат Метод DCF + затраты на восстановление + упущенная выгода 5
АБВАБВ ГДГД ЕЖЗЕЖЗ Важность для предприятия Вид потенциальных угроз Степень последствий от воздействия угроз А – ИР содержит информацию, которая приносит прибыль Б – ИР содержит информацию, необходимою для стабильного протекания бизнес-процессов В – ИР содержит информацию, которая важна для развития организации Г – угрозы модификации и уничтожения Д – угрозы конфиденциальности Е – при реализации Г и Д подлежит восстановлению Ж – восстановление требует времени З – восстановление требует дополнительных средств 6 Классификация защищаемых ресурсов
Признаки п/п АБВГДЕЖЗОбщая стоимость 1+--+/-/+-/+/++--S 1 = P*Ind +Mn 2+--+/-/+-/+/++++S 2 = P* + V*+U* Мn 3+--+/-/+-/+/+++-S 3 = P*Ind +U*Ind + Мn 4+--+/-/+-/+/++-+S 4 = P*Ind + V*Ind +Мn 5-+-+/-/+-/+/++++S 5 = P*Ind+V*Ind+U*Ind 6-+-+/-/+-/+/+++-S 6 = P*Ind+U*Ind 7-+-+/-/+-/+/++-+S 7 = P*Ind+V*Ind 8-+-+/-/+-/+/++--S 8 = P*Ind 9--++/-/+-/+/++--S 9 = P *Ind /-/+-/+/+++/-/+-/+/+S 10 = P *Ind+V*Ind /-/+-/+/++--S 11 = P*Ind +Mn /-/+-/+/++++S 12 = P*Ind + V*Ind+U*Ind+ Мn /-/+-/+/+++-S 13 = P*Ind +U*Ind + Мn /-/+-/+/++-+S 14 = P*Ind + V*Ind +Мn /-/+-/+/+---S 15 = 2*P*Ind +Mn /-/+-/+/+-++S 16 = 2*P*Ind +U*Ind + Мn /-/+-/+/+-+-S 17 = 2*P*Ind +U*Ind + Мn /-/+-/+/+--+S 18 = 2*P*Ind + Мn /-/+-/+/+-++S 19 = 2*P*Ind+U*Ind 7 РАЗРАБОКА ЕДИНОГО ПОДХОДА К ОЦЕНКЕ ЗАЩИЩАЕМЫХ РЕСУРСОВ ПРЕДПРИЯТИЯ Совокупности классифицирующих признаков
Составляющие расчета Затраты на создание: P = С м *Ind м + С т *Ind т + С доп * Ind доп + С ка * Ind ка Прибыль как дисконтированный денежный поток: М n = CF 1 /(1+i) + CF 2 /(1+i) 2 + CF 3 /(1+i) 3 + … + CF n /(1+i) n Затраты на восстановление: V = С м *Ind м + С т *Ind т + С доп * Ind доп + С ка * Ind ка Упущенная выгода: U = U*Ind инфл 8 РАЗРАБОКА ЕДИНОГО ПОДХОДА К ОЦЕНКЕ ЗАЩИЩАЕМЫХ РЕСУРСОВ ПРЕДПРИЯТИЯ
Практическое применение алгоритма расчета стоимости информационных ресурсов п/п Показатель полезности Вид информ. ресурса АСУ АБВГДЕЖЗФормула 1Заказы клиентов в MS Axapta S 1 = P 1 * Ind 1 2Уровень запасов сырья S 2 = P 2 *Ind 2 +U 2 *Ind 2 3Сведения об особенностях применяемых технологий изготовления продукции S 3 = P 3 *Ind 3 +Мn 3 4Списки поставщиков S 4 = P 4 *Ind 4 + Мn 4 5Характеристики разрабатываемых технологических процессов S 5 = P 5 *Ind 5 +V*Ind 5 9
10 Практическое применение алгоритма расчета стоимости информационных ресурсов
11 Практическое применение алгоритма расчета стоимости информационных ресурсов
В рамках работы решены следующие задачи: Составлен универсальный перечень защищаемых информационных ресурсов, охватываемых АСУ, для коммерческих предприятий с обоснованием для отнесения тех или иных сведений к категории конфиденциальных. Рассмотрен вопрос о возможности применения методов оценки стоимости нематериальных активов для оценки информационных ресурсов предприятия. Проведен анализ основных моделей и методов оценки стоимости информационных ресурсов как нематериальных активов предприятия. Составлен алгоритм оценки стоимости информационных ресурсов организации, подлежащих защите. Создано программное обеспечение, автоматизирующее действия эксперта при проведении оценки стоимости защищаемых информационных ресурсов организации. Реализован механизм защиты данных и контроля целостности. 12