Перевести страницу на:  
Please select your language to translate the article


You can just close the window to don't translate
Библиотека
ваш профиль

Вернуться к содержанию

Программные системы и вычислительные методы
Правильная ссылка на статью:

Методика оценки стоимости жизненного цикла систем защиты от компьютерных атак

Дроботун Евгений Борисович

кандидат технических наук

докторант Военной академии воздушно-космической обороны

170100, Россия, Тверская область, г. Тверь, ул. Жигарева, 50

Drobotun Evgeny Borisovich

PhD in Technical Science

Doctoral student of the Military Academy of Aerospace Defense

170100, Russia, Tverskaya oblast', g. Tver', ul. Zhigareva, 50

drobotun@xakep.ru

DOI:

10.7256/2454-0714.2018.2.23086

Дата направления статьи в редакцию:

22-05-2017


Дата публикации:

13-06-2018


Аннотация: В статье рассматриваются экономические аспекты построения систем защиты от компьютерных атак для информационно-вычислительных и автоматизированных систем различного назначения. Объективная оценка стоимости жизненного цикла систем защиты от компьютерных атак является одним из важнейших факторов, который определяет стратегию выбора рационального варианта построения систем защиты. Предметом исследования являются экономические аспекты выбора вариантов построения систем защиты от компьютерных атак, а также минимизация финансовых затрат на их создание и эксплуатацию. Объектом – системы защиты от компьютерных атак. Методология данного исследования основана на применении комплексного подхода к оценке стоимости жизненного цикла систем защиты как приведенных к расчетному году затрат, включающие долю стоимости системы защиты, затрат на ее внедрение, эксплуатацию в период использования системы защиты по назначению, а также затрат на ее утилизацию в конце срока службы. Научная новизна работы заключается в создании реальной практической методики, позволяющей проводить оценку всех составляющих единовременных и текущих затрат, входящих в стоимость жизненного цикла систем защиты от компьютерных атак. Предложенная методика позволяет проводить оценку стоимости жизненного цикла нескольких альтернативных вариантов построения системы защиты от компьютерных атак и производить выбор допустимых по стоимости вариантов построения системы защиты.


Ключевые слова:

информационно-вычислительные системы, компьютерные атаки, система защиты, безопасность информации, стоимость жизненного цикла, единовременные затраты, текущие затраты, оценка затрат, совокупная стоимость владения, затраты на эксплуатацию

УДК:

004.056

Abstract: The article deals with the economic aspects of building protection systems against computer attacks for information-computing and automated systems for various purposes. An objective assessment of the cost of the life cycle of systems to protect against computer attacks is one of the most important factors that determines the strategy for choosing a rational option for building defense systems. The subject of the study are the economic aspects of choosing options for building defense systems against computer attacks, as well as minimizing the financial costs of their creation and operation. The object - the system to protect against computer attacks. The methodology of this study is based on the use of an integrated approach to assessing the life cycle cost of protection systems as the costs included in the calculation year, including the share of the cost of the protection system, the costs of its implementation, operation during the use of the protection system, and the costs of its disposal at the end service life. Scientific novelty of the work is to create a real practical methodology that allows to evaluate all the components of one-time and current costs that are included in the cost of the life cycle of systems to protect against computer attacks. The offered technique allows to carry out an estimation of cost of a life cycle of several alternative variants of construction of system of protection against computer attacks and to make a choice of admissible on cost variants of construction of system of protection.


Keywords:

operating costs, total cost of ownership, cost estimation, current expenses, non-recurrent costs, life cycle cost, information security, protection system, computer attacks, information-computing systems

Оценивание стоимости жизненного цикла представляет собой экономическую оценку суммарной стоимости приобретения, владения и утилизации продукта. Данный анализ может проводиться как для продукта в целом так и для его отдельных элементов [1].

Основной целью оценивания стоимости жизненного цикла является получение исходных данных для выработки решений, принимаемых на всех или отдельных этапах жизненного цикла продукта.

Применительно к системе защиты от компьютерных атак данная оценка может быть направлена на оценивание и сопоставление альтернативных вариантов построения системы защиты от компьютерных атак [2, 3].

Оценивание стоимости жизненного цикла и сопоставление альтернативных вариантов построения системы защиты проводится как правило, либо с целью определения приемлемых по стоимости жизненного цикла вариантов построения системы защиты и выбора из них варианта, позволяющего построить систему защиты от компьютерных атак с наименьшими затратами (принцип «экономичности») [4], либо с целью определения соответствия затрат на защиту от компьютерных атак и ценности защищаемых ресурсов информационно-вычислительной (автоматизированной) системы (принцип «адекватности») [5].

Далее в статье предлагаемая методика оценки жизненного цикла систем защиты от компьютерных атак рассматривается применительно к первому принципу построения систем защиты – принципу «экономичности», т. е. выбора наименее затратного (с точки зрения стоимости жизненного цикла) варианта построения системы защиты, однако возможно применение представленной методики и для определения соответствия затрат на защиту от компьютерных атак и ценности защищаемых ресурсов.

Для описания предлагаемой методики необходимо определить несколько понятий и положений.

Определение 1. Множество , такое что:

где  – отдельное средство защиты от компьютерных атак, при  (где  – число отдельных средств защиты), будем называть системой защиты от компьютерных атак.

Определение 2. Средство защиты от компьютерных атак  – техническое, программное, программно-техническое средство, предназначенное или используемое для защиты компонентов и (или) информационных ресурсов автоматизированной системы управления от компьютерных атак.

Положение 1. Для каждого средства защиты , входящее в систему защиты могут быть определены:

· цена одной единицы -го средства защиты – ;

· средняя наработка на отказ -го средства защиты – ;

· средняя стоимость восстановления -го средства защиты после отказа – ;

· число плановых технических обслуживаний в год -го средства защиты – ;

· затраты на одно плановое техническое обслуживание -го средства защиты – ;

· затраты на расходные материалы, необходимые для эксплуатации -го средства защиты в течение года – ;

· стоимость утилизации средства защиты в конце срока эксплуатации – ;

· число лиц эксплуатирующего (обслуживающего) персонала, необходимых для эксплуатации -го средства защиты – ;

· коэффициент занятости лиц эксплуатирующего (обслуживающего) персонала, необходимых для эксплуатации -го средства защиты – .

Положение 2. Для системы защиты  в целом могут быть определены:

· срок эксплуатации (лет) – ;

· установленный ресурс (часов) для всего срока эксплуатации – ;

· коэффициент, учитывающий затраты на комплексирование -го средства защиты от компьютерных атак  в составе системы защиты –  (определяет относительную стоимость материальных средств, необходимых для инсталляции -го средства в состав защищаемой автоматизированной системы);

· допустимая стоимость жизненного цикла – .

Определение 3. Альтернативным вариантом построения системы защиты будем называть такую совокупность средств защиты вида:

суммарные функциональные возможности отдельных элементов которой соответствуют заданным функциональным требованиям :

где  – функциональные возможности отдельных средств защиты.

Определение 4. Допустимым по стоимости вариантом построения системы защиты будем называть такую совокупность средств защиты вида:

которая одновременно удовлетворяет условию:

и условию:

где  – стоимость жизненного цикла системы защиты  от компьютерных атак;  – допустимая стоимость жизненного цикла системы защиты.

Согласно ГОСТ Р 53394-2009 «Интегрированная логистическая поддержка. Основные термины и определения» [6], стоимость жизненного цикла – приведенные к расчетному году затраты, включающие долю цены изделия, стоимость его транспортировки и монтажа, затраты на эксплуатацию, техническое обслуживание, ремонты (поддержание в работоспособном состоянии) в период использования по назначению, затраты на утилизацию в конце срока службы.

Понятие «стоимость жизненного цикла» аналогично понятию «совокупная стоимость владения». Методика оценки совокупной стоимости владения Total Cost of Ownership (TCO) была разработана в компании Gartner Group в качестве инструмента подсчета совокупной стоимости владения корпоративных систем защиты информации [7, 8].

Исходя из вышесказанного, в общем стоимость жизненного цикла  можно определить следующим образом [9]:

где  – единовременные затраты на систему защиты от компьютерных атак;  – текущие затраты на систему защиты от компьютерных атак за -й год эксплуатации;  – установленный срок эксплуатации системы защиты (в годах).

Единовременные затраты на систему защиты информации включают в себя:

· стоимость непосредственно самой системы защиты от компьютерных атак включенной в состав защищаемой автоматизированной системы – ;

· затраты на внедрение системы защиты в состав защищаемой автоматизированной системы – ;

· затраты на разработку организационно-распорядительных документов, определяющих мероприятия по защите от компьютерных атак в ходе эксплуатации защищаемой автоматизированной системы – ;

· затраты на предварительные и приемочные испытания системы защиты от компьютерных атак в составе защищаемой автоматизированной системы ;

· затраты на аттестацию защищаемой автоматизированной системы, как объекта информатизации – ;

· затраты на подготовку эксплуатирующего (обслуживающего) персонала – .

Вышеперечисленные составляющие единовременных затрат определены исходя из наименования работ, проводимых при создании автоматизированных систем в защищенном исполнении, согласно ГОСТ Р 51583-2014 «Порядок создания автоматизированных систем в защищенном исполнении» [10].

Помимо указанных составляющих единовременных затрат начальных этапов жизненного цикла системы защиты в единовременные затраты необходимо включить затраты на утилизацию системы защиты по окончании срока эксплуатации – ;

Тогда  определяется следующим образом:

.

Стоимость системы защиты от компьютерных атак  целесообразно определить с использованием агрегатного метода формирования цены [11, стр. 115] и используя положения 1 и 2 следующим образом:

где  – коэффициент, учитывающий затраты на комплексирование -го средства защиты от компьютерных атак  в составе системы защиты;  – цена -го средства защиты, входящего в состав системы защиты;  – число средств защиты в составе системы защиты.

Затраты на внедрение системы защиты определяются известным и широко применяемым нормативно-калькуляционным методом, исходя из трудоемкости операций, проводимых в ходе внедрения системы защиты в состав защищаемой автоматизированной системы:

· операции по инсталляции средств защиты, входящих в систему защиты от компьютерных атак, в состав защищаемой системы;

· операции по внесению информации в конфигурационные базы данных системы защиты;

· операции по отладке системы защиты в целом.

Помимо этого, также необходимо учесть затраты на электроэнергию, потребляемую системой защиты в ходе операций по ее отладке. При этом, следует отметить, что затраты на электроэнергию, потребляемой системой защиты как во время отладки и испытаний, так и в ходе эксплуатации, необходимо учитывать только в случае применения в составе системы защиты технических и (или) программно-технических средств защиты от компьютерных атак, так как программные средства, как правило, на энергопотребление защищаемой автоматизированной системы не влияют.

Трудоемкость операций по инсталляции средств защиты в состав защищаемой системы оценивается следующим образом:

где  – норма времени, необходимого для выполнения -ой операции по инсталляции;  – общее число операций, необходимых для инсталляции всех средств защиты в состав защищаемой системы.

Трудоемкость операций по внесению информации в конфигурационные базы данных системы защиты оценивается как:

где  – норма времени, необходимого для обработки -ой записи в базах данных;  – общее количество записей в базах данных.

Трудоемкость операций по отладке системы защиты в целом складывается из трудоемкости операций по настройке и трудоемкости проведения проверочных тестов и определяется следующим образом:

где  – норма времени, необходимого для выполнения -ой операции по настройке системы защиты;  – норма времени, необходимого для проведения -го проверочного теста;  – общее число операций по настройке системы защиты;  – общее число проверочных тестов.

Затраты на электроэнергию , необходимую при проведении отладки определим как:

где  – стоимость одного кВт/ч электроэнергии;  – потребляемая -м средством мощность.

Тогда общие затраты  на внедрение системы защиты будут определяться как:

где  – норма оплаты единицы времени, затрачиваемой на операции по инсталляции средств защиты;  – норма оплаты единицы времени, затрачиваемой на операции по внесению информации в конфигурационные базы данных;  – норма оплаты единицы времени, затрачиваемой на проведение отладочных процедур.

Затраты на разработку организационно-распорядительных документов, определяющих мероприятия по защите от компьютерных атак в ходе эксплуатации защищаемой автоматизированной системы также оценивается нормативно-калькуляционным методом, исходя из трудоемкости разработки этих документов и стоимости издания данных документов . Трудоемкость разработки данных документов определяется следующим образом:

где  – норма времени, необходимого для разработки одной единицы объема организационно-распорядительных документов (авторский лист);  – количество единиц объема (авторских листов) организационно-распорядительных документов.

Тогда затраты на разработку организационно-распорядительных документов, определяющих мероприятия по защите от компьютерных атак в ходе эксплуатации защищаемой автоматизированной системы оцениваются как:

где  – норма оплаты единицы времени, затрачиваемой на разработку организационно-распорядительной документов.

Затраты на предварительные и приемочные испытания системы защиты от компьютерных атак в составе защищаемой автоматизированной системы также оцениваются нормативно-калькуляционным методом, исходя из трудоемкости выполнения пунктов программы предварительных и приемочных испытаний, стоимости материальных средств , необходимых для проведения данных видов испытаний и затрат на электроэнергию.

Трудоемкость предварительных и приемочных испытаний оценивается следующим образом:

где  – норма времени, необходимого для выполнения -го пункта программы предварительных испытаний;  – норма времени, необходимого для выполнения -го пункта программы приемочных испытаний;  – число пунктов программы предварительных испытаний;  – число пунктов программы приемочных испытаний.

Затраты на электроэнергию , необходимую при проведении предварительных и приемочных испытаний определим как:

где  – стоимость одного кВт/ч электроэнергии;  – потребляемая -м средством мощность.

Тогда затраты на проведение предварительных и приемочных испытаний будут определяться как:

где  – норма оплаты единицы времени, затрачиваемой на проведение предварительных и приемочных испытаний;  – стоимость материальных средств, необходимых для проведения предварительных и приемочных испытаний.

Аттестация автоматизированной системы, оснащенной системой защиты от компьютерных атак, проводится с целью подтверждения соответствия системы защиты от компьютерных атак требованиям безопасности информации в реальных условиях эксплуатации [12].

Затраты на аттестацию  могут быть оценены относительно стоимости системы защиты :

где  – коэффициент, характеризующий стоимость аттестации (обычно составляет от 0,3 до 0,8).

Для определения затрат на подготовку эксплуатирующего (обслуживающего) персонала необходимо в первую очередь определить общее количество людей, необходимых для эксплуатации системы защиты. Исходя из положения 1, общее количество людей  можно определить как:

Тогда затраты на подготовку персонала можно определить следующим образом:

где  – затраты на подготовку одного человека.

Затраты на утилизацию системы защиты складываются из затрат на демонтаж средств защиты и суммарных затрат на утилизацию всех средств из состава системы защиты. Исходя из положения 1 указанные затраты можно оценить следующим образом:

где  – затраты на демонтаж -го средства защиты, определяемые как:

где  – коэффициент, характеризующий затраты на демонтаж -го средства защиты (обычно от 0,2 до 0,5).

Текущие затраты на эксплуатацию системы защиты  складываются из следующих составляющих:

· оплата труда лиц эксплуатирующего (обслуживающего) персонала за год эксплуатации – ;

· затраты на проведение планового технического обслуживания системы защиты информации за год эксплуатации – ;

· средние затраты на проведения ремонта (восстановления работоспособности) системы защиты в течение года эксплуатации – ;

· средние затраты на электроэнергию за год эксплуатации – ;

· затраты на расходные материалы в течение года эксплуатации – .

Тогда  определяется следующим образом:

Затраты на оплату труда лиц эксплуатирующего (обслуживающего) персонала можно оценить исходя из общего числа лиц персонала, предназначенного для эксплуатации (обслуживания) системы защиты и нормативного значения месячной оплаты труда одного человека:

где  – нормативное значение месячной оплаты труда одного человека.

Затраты на проведение планового технического обслуживания системы защиты в целом определяются как сумма затрат на проведение необходимого количества технических обслуживаний каждого средства защиты из состава системы защиты в течение года. Исходя из положения 1, затраты на проведение технического обслуживания -го средства защиты в течение года  могут быть оценены по формуле:

Говоря о значении , следует отметить, что данное значение не обязательно должно быть целым, т. е. например, если для -го средства защиты предусмотрено одно плановое техническое обслуживание за два года, то значение  будет равно 0,5; если предусмотрено одно обслуживание в течение четырех лет, то значение  будет равно 0,25.

Тогда затраты на проведение планового технического обслуживания системы защиты от компьютерных атак за год могут быть определены как:

Средние затраты на проведение ремонта определяются как сумма средних затрат на проведение ремонтов всех средств, входящих в систему защиты в течение года. Исходя из положений 1 и 2, среднюю стоимость ремонта -го средства защиты в течение года  можно определить как:

где  – среднее число отказов -го средства в течение года, определяемое следующим образом:

где  – установленный ресурс для всего срока эксплуатации (часов);  – установленный срок эксплуатации (лет);  – средняя наработка на отказ -го средства защиты.

Средние затраты на электроэнергию  могут быть определены исходя из средней наработки за год эксплуатации , которую можно определить как:

Тогда  можно рассчитать по формуле:

где  – стоимость одного кВт/ч электроэнергии;  – потребляемая -м средством мощность.

Затраты на расходные материалы в течение года эксплуатации  определяются как сумма затрат на расходные материалы, необходимых для эксплуатации каждого средства:

Таким образом определена методика оценки всех составляющих единовременных и текущих затрат, необходимых для оценки стоимости жизненного цикла системы защиты, а также методика оценки непосредственно самой стоимости жизненного цикла системы защиты от компьютерных атак для автоматизированной системы.

Применение предложенной методики для выбора допустимых по стоимости вариантов построения системы защиты от компьютерных атак описывается следующим образом.

Пусть имеется множество альтернативных вариантов построения системы защиты , такое что:

где  – число альтернативных вариантов построения системы защиты;  (при ) – -й вариант построения системы защиты (исходя из определения 1).

Необходимо сформировать множество допустимых по стоимости вариантов построения системы защиты , такое что:

.

Определим булеву переменную , характеризующую выполнение условия допустимости стоимости жизненного цикла -го варианта построения системы защиты:

Определим также оператор  следующего вида:

Тогда множество допустимых по стоимости вариантов построения системы защиты может быть сформировано следующим образом:

а число непустых элементов этого множества (т. е. число допустимых по стоимости вариантов построения системы защиты)  будет равно:

Таким образом, предлагаемая методика учитывает все составляющие единовременных и текущих затрат, входящих в стоимость жизненного цикла системы защиты от компьютерных атак, позволяет произвести оценку стоимости жизненного цикла нескольких альтернативных вариантов построения системы защиты от компьютерных атак и выбрать из них варианты построения, допустимые по стоимости.

Библиография
1. Ермакова А. В. Стоимость жизненного цикла и расходы на эксплуатацию // Сборник докладов III Всероссийской практической конференции-семинара «Корпоративные закупки 2015: Практика применения Федерального закона № 223-ФЗ». Институт государственных и регламентированных закупок, конкурентной политики и антикоррупционных технологий (Институт госзакупок). – 2015. – С. 30-39.
2. Петренко С. А. Оценка затрат на кибербезопасность // Труды ИСА РАН. – 2006. – т. 27. – С. 234-265.
3. Петлина Е. М., Хатагова С. В. Об оценке стоимости мероприятий по защите информации // Научный альманах. – 2016. – №8-1(22). – С. 242-245.
4. Дроботун, Е. Б. Синтез систем защиты автоматизированных систем управления от разрушающих программных воздействий // Программные продукты и системы. – 2016. – №3 (115). – С. 51 – 59.
5. Карпычев В. Ю. Экономический анализ нормативно-технического обеспечения информационной безопасности / В. Ю. Карпычев // Экономический анализ: теория и практика. – 2011. – №35 (242). – С. 2 – 18.
6. Приказ Федерального агентства по техническому регулированию и метрологии от 14 сентября 2009 г. N 395-ст «Об утверждении национального стандарта» // СПС КонсультантПлюс.
7. Total Cost of Ownership (TCO) URL: http://www.gartner.com/it-glossary/total-cost-of-ownership-tco/ (дата обращения 10.05.2017).
8. Петренко С. А. Обоснование инвестиций в кибербезопасность // Труды ИСА РАН. – 2006. – т. 27. – С. 266-276.
9. Зайцева Л. Д. Экономическая оценка затрат на защиту информации таможенных органов // Вестник Российской таможенной академии. – 2012. – №4. – С. 115-120.
10. Приказ Федерального агентства по техническому регулированию и метрологии от 28 января 2014 г. N 3-ст «Об утверждении национального стандарта» // СПС КонсультантПлюс.
11. Буренок В. М., Ляпунов В. М., Мудров В. И. Теория и практика планирования и управления развитием вооружения. – М.: Граница, 2005. – 237 с.
12. Марков А. С., Цирлов В. Л., Барабанов А. В. Методы оценки несоответствия средств защиты информации. – М.: Радио и связь, 2012. – 192 с.
References
1. Ermakova A. V. Stoimost' zhiznennogo tsikla i raskhody na ekspluatatsiyu // Sbornik dokladov III Vserossiiskoi prakticheskoi konferentsii-seminara «Korporativnye zakupki 2015: Praktika primeneniya Federal'nogo zakona № 223-FZ». Institut gosudarstvennykh i reglamentirovannykh zakupok, konkurentnoi politiki i antikorruptsionnykh tekhnologii (Institut goszakupok). – 2015. – S. 30-39.
2. Petrenko S. A. Otsenka zatrat na kiberbezopasnost' // Trudy ISA RAN. – 2006. – t. 27. – S. 234-265.
3. Petlina E. M., Khatagova S. V. Ob otsenke stoimosti meropriyatii po zashchite informatsii // Nauchnyi al'manakh. – 2016. – №8-1(22). – S. 242-245.
4. Drobotun, E. B. Sintez sistem zashchity avtomatizirovannykh sistem upravleniya ot razrushayushchikh programmnykh vozdeistvii // Programmnye produkty i sistemy. – 2016. – №3 (115). – S. 51 – 59.
5. Karpychev V. Yu. Ekonomicheskii analiz normativno-tekhnicheskogo obespecheniya informatsionnoi bezopasnosti / V. Yu. Karpychev // Ekonomicheskii analiz: teoriya i praktika. – 2011. – №35 (242). – S. 2 – 18.
6. Prikaz Federal'nogo agentstva po tekhnicheskomu regulirovaniyu i metrologii ot 14 sentyabrya 2009 g. N 395-st «Ob utverzhdenii natsional'nogo standarta» // SPS Konsul'tantPlyus.
7. Total Cost of Ownership (TCO) URL: http://www.gartner.com/it-glossary/total-cost-of-ownership-tco/ (data obrashcheniya 10.05.2017).
8. Petrenko S. A. Obosnovanie investitsii v kiberbezopasnost' // Trudy ISA RAN. – 2006. – t. 27. – S. 266-276.
9. Zaitseva L. D. Ekonomicheskaya otsenka zatrat na zashchitu informatsii tamozhennykh organov // Vestnik Rossiiskoi tamozhennoi akademii. – 2012. – №4. – S. 115-120.
10. Prikaz Federal'nogo agentstva po tekhnicheskomu regulirovaniyu i metrologii ot 28 yanvarya 2014 g. N 3-st «Ob utverzhdenii natsional'nogo standarta» // SPS Konsul'tantPlyus.
11. Burenok V. M., Lyapunov V. M., Mudrov V. I. Teoriya i praktika planirovaniya i upravleniya razvitiem vooruzheniya. – M.: Granitsa, 2005. – 237 s.
12. Markov A. S., Tsirlov V. L., Barabanov A. V. Metody otsenki nesootvetstviya sredstv zashchity informatsii. – M.: Radio i svyaz', 2012. – 192 s.