 |
Дефиниция расходной и доходной частей бюджета комплексной системы защиты информации
|
|
|
|
В данном разделе раскрывается значимость вопросов дефиниции расходной и доходной частей бюджета комплексной системы защиты информации в телекоммуникациях в контексте оценки эффективности и определяются основные составляющие указанных статей.
Широта и многогранность жизненного цикла комплексной системы защиты информации в телекоммуникациях предопределяет сложность функциональных зависимостей прибыли от параметров, оказывающих существенное влияние на результативность каждого из его этапов. Традиционный прием преодоления сложности связан с декомпозицией. Неотъемлемой частью декомпозиции является дефиниция расходной и доходной частей бюджета системы защиты информации.
Иерархический принцип, действующий как при реализации каждого из этапов жизненного цикла системы защиты информации, так и при ее построении, приводит к тому, что дефиниция осуществляется по взаимосвязанным уровням структуры, описывающей отношения предшествования и содержание составляющих доходов и расходов бюджета.
Схема жизненного цикла комплексной системы защиты информации раскрыта на рис. 4.1.1.
Построенная схема имеет подциклы, аналогичные тем, которые присущи любой из современных программно-аппаратных технических систем.
В соответствии с концепцией развития систем схему жизненного цикла следует признать открытой и расширяемой. Последнее означает допущение возможности введения новых подциклов и связей с традиционными подциклами, а также коррекции сложившихся связей между ними по мере появления объективных и обоснованных обстоятельств, требующих модификации схемы жизненного цикла системы защиты информации.
Схема жизненного цикла комплексной системы защиты информации
|
|
|
 |
Рис. 4.1.1.
Согласно схеме с рис. 4.1.1 базовыми составляющими расходной части бюджета системы можно считать:
– расходы проблемного подцикла;
– расходы тематического подцикла;
– расходы математического подцикла;
– расходы проектного подцикла;
- расходы аппаратурного подцикла;
– расходы конструкторского подцикла;
– расходы программного подцикла;
– расходы закупочного подцикла;
– расходы производственного подцикла;
– расходы монтажного подцикла;
– расходы подцикла сопряжения аппаратных и программных средств;
– расходы отладочного подцикла;
– расходы пускового подцикла;
– расходы испытательного подцикла;
– расходы вводного подцикла;
– расходы эксплуатационного подцикла.
Таким образом, в рассматриваемом представлении схемы жизненного цикла выделяется 16 основных подциклов, каждому из которых соответствует определенный этап, то есть M=16. С учетом открытости и расширяемости схемы жизненного цикла системы защиты информации значение М может изменяться.
Каждый подцикл описывается определенной схемой и имеет свой собственный порядок финансирования. Последующая дефиниция каждой из перечисленных базовых составляющих расходной части бюджета системы защиты информации проводится в привязке к подобной схеме.
В соответствии с [15-17] схема проблемного подцикла изображена на рис. 4.1.2. По аналогии с верхним уровнем структуризации приведенная схема проблемного подцикла также считается открытой и расширяемой в силу развиваемости телекоммуникаций и систем защиты информации.
Схема проблемного подцикла
 |
Рис. 4.1.2
Согласно схеме проблемного подцикла расход складывается из следующих составляющих:
– расходы на формализацию процессов проявления угроз;
– расходы на формализацию целей, требований, критериев и показателей качества функционирования систем защиты информации;
|
|
|
– расходы на анализ уязвимости телекоммуникаций при воздействии угроз;
– расходы на анализ возможностей существующих средств и систем защиты информации;
– расходы на уточнение ограничений по результативности и затратам;
– расходы на формирование вербального представления системы защиты информации;
– расходы на построение проблемной модели системы;
– расходы на составление технического задания;
– расходы на оценку эффективности системы защиты информации;
– расходы на уточнение проблемы.
Тематический подцикл нацелен на создание проекта системы защиты информации. Схема тематического подцикла приведена на рис. 4.1.3. По-прежнему справедлив тезис относительно открытости и расширяемости.
С учетом схемы тематического подцикла расход образован следующими компонентами:
– расходы на разработку структурно-функциональной схемы системы;
– расходы на разработку технического проекта системы;
– расходы на определение требований к подсистемам, аппаратным и программным средствам;
– расходы на формирование компонентного состава подсистем;
Схема тематического подцикла
 |
Рис. 4.1.3
– расходы на оценку реализуемости;
– расходы на оценку затрат;
– расходы на уточнение функциональной спецификации.
Математический (алгоритмический) подцикл реализуется практически одновременно с проблемным подциклом. Схема математического подцикла раскрыта на рис. 4.1.4.
Схема математического подцикла
Рис. 4.1.4.
Из анализа схемы математического подцикла следует, что расход складывается из следующих компонент:
– расходы на определение требований к математическим процедурам и алгоритмам;
– расходы на разработку и описание математического и алгоритмического обеспечения;
– расходы на формирование математического и алгоритмического обеспечения для аппаратных и программных средств;
– расходы на оценку ресурса;
– расходы на уточнение математического и алгоритмического обеспечения.
Четвертый подцикл жизненного цикла системы защиты информации ориентирован на создание проекта системы и соответствующей конструкторской документации. Схема проектного подцикла приведена на рис. 4.1.5.
|
|
|
Схема проектного подцикла
 |
Рис. 4.1.5
С учетом схемы проектного подцикла расход определяют такие составляющие как:
– расходы на проектирование средств защиты информации в узлах;
– расходы на проектирование средств защиты информации в сетях;
– расходы на разработку проекта размещения компонент системы защиты информации в телекоммуникациях;
– расходы на оценку затрат и сроков.
Реализация аппаратурного подцикла предусматривает как использование готовых изделий, так и создание новых, если по объективным обстоятельствам готовые изделия не могут быть использованы.
Согласно схеме с рис. 4.1.6 расход определяют следующие образующие:
– расходы на выбор и (или) разработку компонент;
– расходы на выбор и (или) разработку средств;
– расходы на разработку подсистем;
– расходы на макетирование;
– расходы на формирование конструктивных требований;
– расходы на формирование перечня закупочных изделий;
– расходы на оценку характеристик;
– расходы на оценку ресурсов.
Вслед за аппаратурным подциклом выполняется конструкторский подцикл, схема которого построена на рис. 4.1.7. В соответствии с указанной схемой расход составляют следующие образующие:
– расходы на конструирование единиц оборудования;
– расходы на конструирование аппаратуры;
– расходы на детализацию конструктивных схем;
– расходы на разработку технической документации;
– расходы на оценку затрат;
Схема аппаратурного подцикла
 |
Рис. 4.1.6
– расходы на уточнение конструктивных схем.
В представляемой схеме жизненного цикла системы защиты информации в телекоммуникациях начальный этап жизненного цикла программного комплекса, традиционно именуемый как системный анализ, распределен по 2, 3, и 4 подциклам. Отмеченная особенность является следствием применения системного подхода, требующего согласования жизненных циклов систем телекоммуникаций и систем защиты информации. В силу указанных причин программный подцикл (рис. 4.1.8) отражает технологический процесс разработки программного комплекса. Каждый коллектив разработчиков, как правило, имеет свою отлаженную структуру
|
|
|
Схема конструкторского подцикла
 |
Рис. 4.1.7
организации труда и определенные традиции в области создания программных комплексов, поэтому вряд ли может существовать идеальная модель программного подцикла. Но как бы то ни было, основные этапы разработки продукта остаются одинаковыми для любого коллектива и любой задачи. Построенная схема согласована с методологиями проектирования и нормативными документами, представленными в [15-43].
На основании структуры и содержания программного подцикла расход складывается из следующих составляющих:
– расходы на проектирование архитектуры комплекса программных средств;
– расходы на разработку спецификаций программ и комплекса программных средств;
Схема программного подцикла
 |
Рис. 4.1.8
– расходы на разработку тестов;
– расходы на выбор и подготовку технологических средств;
– расходы на разработку программ;
– расходы на отладку программ;
– расходы на комплексирование программ;
– расходы на динамическую отладку комплекса программных средств;
– расходы на изготовление носителей и документирование;
– расходы на испытания комплекса программных средств;
– расходы на уточнение оценки вычислительных ресурсов;
– расходы на оценку затрат.
В условиях рыночной экономики закупочный подцикл неразрывно связан с кредитованием и инвестированием, поскольку поставка отдельных компонент системы является эффективным механизмом вложения капитала. Специфика требований, предъявляемых к системам защиты информации, предопределяет необходимость приобретения сертифицированных компонент. Опыт реализации крупных проектов позволяет построить схему закупочного подцикла в виде, приведенном на рис. 4.1.9.
Схема закупочного подцикла
 |
Рис. 4.1.9
Исходя из схемы закупочного подцикла расход составляют
– расходы на анализ рынка, промышленной и рыночной конъюнктуры;
– расходы на сопоставление характеристик сертифицированных компонент и предъявляемых требований;
– расходы на оценку перспективности использования сертифицированных компонент;
– расходы на планирование закупок;
– расходы на закупку компонент;
– расходы на маркетинг.
Схема производственного подцикла представлена на рис. 4.1.10.
Схема производственного подцикла
|
|
|
 |
Рис. 4.1.10
В соответствии со схемой производственного подцикла в затраты входят
– расходы на выбор технологии;
– расходы на организацию производства;
– расходы на изготовление компонент;
– расходы на контроль качества;
– расходы на оценку затрат.
При использовании существующего оборудования производственный подцикл может отсутствовать в жизненном цикле определенной системы защиты информации.
Монтажный подцикл, схема которого приведена на рис. 4.1.11, играет существенную роль при создании системы защиты информации в телекоммуникациях, что обусловлено широтой и сложностью выполняемых работ по интеграции системы защиты информации с телекоммуникациями. При этом именно при реализации монтажного подцикла осуществляется первый этап интеграции.
Схема монтажного подцикла
 |
Рис. 4.1.11
С учетом схемы монтажного подцикла при дефиниции расхода различаются следующие образующие:
– расходы на планирование монтажных работ;
– расходы на доставку оборудования;
– расходы на монтаж оборудования;
– расходы на отладку смонтированного оборудования;
– расходы на контроль качества монтажных работ;
– расходы на приемку монтажных работ;
– расходы на оценку затрат.
Дальнейший этап интеграции системы защиты информации с телекоммуникациями выполняется в подцикле сопряжения, схема которого изображена на рис. 4.1.12. Руководствуясь схемой подцикла сопряжения можно установить, что расход определяют такие составляющие как
– расходы на сопряжение аппаратного и программного обеспечения на уровне блоков;
– расходы на сопряжение аппаратного и программного обеспечения на уровне узлов;
– расходы на сопряжение аппаратного и программного обеспечения на уровне локальных сетей;
– расходы на сопряжение аппаратного и программного обеспечения на уровне телекоммуникационных центров;
– расходы на сопряжение аппаратного и программного обеспечения на уровне корпоративной сети;
– расходы, связанные с оценкой затрат на сопряжение.
Схема отладочного подцикла раскрыта на рис. 4.1.13. Структура отладочного подцикла позволяет выделить следующие слагаемые расхода :
– расходы на планирование и организацию отладочных работ;
– расходы на отладку средств защиты информации в блоках;
– расходы на отладку средств защиты информации в узлах;
Схема подцикла сопряжения
 |
Рис. 4.1.12
– расходы на отладку средств защиты информации на уровне каналов;
– расходы на отладку систем защиты информации в локальных сетях;
– расходы, связанные с отладкой систем защиты информации на уровне телекоммуникационных центров;
– расходы, ориентированные на отладку комплексной системы защиты информации в корпоративной сети;
– расходы на оценку качества отладочных работ;
– расходы на оценку затрат.
Схема отладочного подцикла
 |
Рис. 4.1.13
С пускового подцикла начинается согласование процессов функционирования разнотипных систем. Схема пускового подцикла построена на рис. 4.1.14.
Схема пускового подцикла
 |
Рис. 4.1.14
В соответствии с этой схемой расход распадается на следующие части:
– расходы на планирование и организацию пусковых работ;
– расходы на подготовку обслуживающего персонала;
– расходы на настройку средств и систем защиты информации;
– расходы на запуск систем защиты информации на уровне локальных сетей;
– расходы на запуск систем защиты информации на уровне телекоммуникационных центров;
– расходы на запуск комплексной системы защиты информации на уровне корпоративной сети;
– расходы на настройку системы управления конфигурацией;
– расходы на оценку возможностей;
– расходы на оценку затрат.
Испытательный подцикл, с одной стороны, ориентирован на выявление и устранение ошибок и недостатков проектирования и создания средств и систем защиты информации в телекоммуникациях, а, с другой стороны, – на подтверждение функциональной спецификации комплексной системы защиты информации и корректную проверку ее соответствия требованиям технического задания. Схема испытательного подцикла приведена на рис. 4.1.15.
В этом случае расход определяют
– расходы на планирование испытаний;
– расходы на выбор и разработку средств имитации воздействия угроз;
– расходы на выбор и разработку средств анализа функционирования средств и систем защиты информации;
– расходы на реализацию испытаний комплексной системы защиты информации;
– расходы на обработку и анализ результатов испытаний;
– расходы на устранение ошибок и недостатков.
Пятнадцатый подцикл, схема которого изображена на рис. 4.1.16, связан с вводом в действие запланированных режимов работы комплексной системы защиты информации.
Схема испытательного подцикла
Рис. 4.1.15
Расход на вводный цикл представляют
– расходы на настройку запланированных режимов работы;
– расходы на ввод технического управления комплексной системой защиты информации;
– расходы на ввод функционального управления комплексной системой защиты информации;
– расходы на ввод оперативного управления комплексной системой защиты информации;
Схема вводного подцикла
 |
Рис. 4.1.16
– расходы на ввод в действие в полном объеме запланированных режимов функционирования комплексной системы защиты информации.
Все рассмотренные подциклы являются подготовкой для реализации основного подцикла – эксплуатационного, схема которого приведена на рис. 4.1.17.
Согласно схеме эксплуатационного подцикла расход составляют
– расходы на уточнение режимов функционирования в соответствии с реальным состоянием телекоммуникаций и среды;
– расходы на уточнение технического управления;
– расходы на уточнение функционального управления;
– расходы на уточнение оперативного управления;
Схема эксплуатационного подцикла
 |
Рис. 4.1.17
– расходы на эксплуатацию комплексной системы защиты информации;
– расходы на оценку технического состояния комплексной системы защиты информации;
– расходы на совершенствование и развитие комплексной системы защиты информации;
– расходы на оценку прибыли;
– расходы на оценку эффективности.
Расходы на эксплуатацию комплексной системы защиты информации складываются из затрат на текущую реализацию процесса защиты информации 
, затрат на техническое содержание 
, зарплаты технического персонала 
, зарплаты административного персонала 
, затрат на налоги и нормативные отчисления 
, прочих затрат 
.
В свою очередь затраты на текущую реализацию процесса защиты информации составляют
– затраты на текущую реализацию процесса обнаружения угроз;
– затраты на отражение и нейтрализацию воздействующих угроз.
Все выше представленные расходы в случае необходимости могут быть подвергнуты дальнейшей дефиниции.
Статьи дохода бюджета комплексных систем защиты информации не менее разнообразны, чем расходные статьи. Существенный вклад в доходную часть бюджета могут вносить доходы от выполнения контрактов по передаче некоторого объема информации относительно методов и средств реализации каждого из этапов выделенных подциклов жизненного цикла комплексной системы защиты информации 
.
Другие поступления в бюджет 
могут быть связаны с продажей отдельных единиц оборудования, изделий, аппаратных и программных средств, компонент технологической оснастки, аналогичных тем, которые спроектированы и дополнительно выпущены в процессе создания комплексной системы защиты информации.
Иной вид дохода 
ориентирован на оплату услуг по обучению персонала заказчиков.
Немаловажными могут стать статьи дохода от проведения научно-технических, методических конференций, практических семинаров 
и выставок 
. При проведении указанных мероприятий предоставляется возможность получения дополнительного дохода 
от рекламы готовых изделий, оборудования, аппаратных и программных средств, использованных при создании комплексной системы защиты информации.
Помимо перечисленных статей действуют и доходы, связанные с оплатой услуг по защите информации:
– оплата госструктур за услуги;
– оплата административных структур;
– оплата муниципальных структур;
– оплата ведомств;
– оплата коммерческих структур;
– оплата индивидуальных абонентов телекоммуникационных сетей;
– оплата клиентов.
Доход от продажи неликвидов 
также увеличивает объем поступлений в бюджет. Инвестиции и кредит расширяют соответственно перечень доходных статей 
По мере проектирования, создания и сопровождения комплексных систем защиты информации могут возникнуть дополнительные виды доходов 
.
К настоящему времени оценка подавляющего числа элементов обширного списка статей бюджета комплексной системы защиты информации не вызывает принципиальных методических и математических затруднений в силу возможности распространения опыта анализа экономических аспектов проектирования, создания и сопровождения сложных систем. Однако для оценки составляющих затрат на текущую реализацию процесса защиты информации необходимо разработать математические модели, учитывающие специфику организации и функционирования комплексной системы защиты информации.
4.2. МАТЕМАТИЧЕСКАЯ МОДЕЛЬ ОЦЕНКИ ЗАТРАТ НА ТЕКУЩУЮ РЕАЛИЗАЦИЮ ПРОЦЕССА ОБНАРУЖЕНИЯ УГРОЗ
При дефиниции расходной части бюджета анализируемой системы затраты на текущую реализацию процесса обнаружения угроз определяются как основная составляющая эксплуатационных расходов на защиту информации в телекоммуникациях от воздействия угроз. Текущая реализация процесса обнаружения угроз неразрывно связана с архитектурой системы защиты информации. В данном параграфе предлагается аналитический подход к технико-экономическому анализу базового этапа функционирования системы защиты информации.
Современные системы защиты информации строятся по принципу организации многокомпонентных систем, где каждый из образующих составляющих ориентирован на обнаружение конкретных проявлений определенного типа угроз. Существенные различия в конкретных проявлениях определенного типа угроз обуславливают необходимость выбора четкой конфигурации образующих составляющих из общего состава многокомпонентной системы.
Наиболее характерный вариант конфигурации представляет собой конечную цепь компонент, где жестко фиксируются отношения предшествования [31-42]. При этом обращение к каждому из компонент (за исключением первого) может осуществляться после использования любого из предшествующих в цепи. Связи между компонентами имеют стохастическую природу, обусловленную случайным характером процесса обнаружения воздействующих угроз.
Использование любого из компонент системы защиты информации влечет за собой затраты, пропорциональные времени его функционирования.
В соответствии с вышеизложенным модель распределения затрат по компонентам системы защиты информации при обнаружении воздействия угрозы j-ого типа представляет собой ориентированный граф, приведенный на рис. 4.2.1.
Каждая дуга графовой модели между i, (i+1) вершинами, где i= 
отображает факт использования (i+1) –ого компонента среди К образующих
Модель распределения затрат при обнаружении воздействия j-ой угрозы
 |
Рис. 4.2.1
составляющих, включенных в выбранную конфигурацию системы защиты информации при обнаружении j-ого типа угроз. Поэтому каждой такой дуге ставится
в соответствие количественная мера затрат 
Кроме того, этим же дугам сопоставляются вероятности использования каждой из компонент, равные (
), где 
– вероятность обнаружения угрозы j –ого типа в процессе функционирования i-ой компоненты системы защиты информации. Дуги, входящие в (К+1) вершину, представляют альтернативные ситуации завершения процесса обнаружения угрозы j-ого типа.
Переход от вершины К к вершине 0 представляет событие циклического повторения обращений к компонентам выбранной конфигурации системы защиты информации.
Очевидно, что представленные параметры 
модели зависят от типа угрозы. Поэтому каждый параметр должен помечаться индексом j, 
где |J| – размерность множества угроз. Однако в целях исключения громоздкой записи выводимых аналитических соотношений указанный индекс вводится лишь при обозначении математического ожидания затрат.
Размерность модели конечна при любом типе угроз. Правомерность подобного обстоятельства обусловлена архитектурными особенностями систем защиты информации [25, 29].
Анализ построенной модели позволяет найти 
математическое ожидание затрат на текущую реализацию процесса обнаружения угрозы j-ого типа. В соответствии с характером модели распределения затрат область допустимых значений для 
ограничена снизу:
Анализ модели осуществляется путем преобразования графа с помощью математического аппарата теории графов [44-51].
Первый шаг преобразования нацелен на исключение (К-1)-ой вершины, что приводит модель к виду, представленному на рис. 4.2.2.
|
|
|
