Експлуатаційні витрати – це поточні витрати на експлуатацію та обслуговування об'єкта проектування за визначений період (наприклад, рік), що виражені у грошовій формі.
За методикою Gartner Group до поточних (експлуатаційних) варто відносити наступні витрати:
§ вартість Upgrade-відновлення й модернізації системи (Св);
§ витрати на керування системою в цілому (Ск);
§ витрати, викликані активністю користувачів системи інформаційної безпеки (Сак – "активність користувача").
Під "витратами на керування системою" маються на увазі витрати, пов'язані з керуванням і адмініструванням серверів та інших компонентів системи інформаційної безпеки. До цієї статті витрат можна віднести наступні витрати:
§ навчання адміністративного персоналу й кінцевих користувачів;
§ амортизаційні відрахування від вартості обладнання та ПЗ;
§ заробітна плата обслуговуючого персоналу;
§ аутсорсинг (тобто залучення сторонніх організацій для виконання деяких видів обслуговування);
§ навчальні курси й сертифікація обслуговуючого персоналу;
§ технічне й організаційне адміністрування й сервіс.
Вартість забезпечення роботи користувача відбита в понятті "активність користувача". За даними аналітичних компаній, основні фактори, що впливають на підсумкову вартість володіння інформаційними технологіями, на 75% обумовлені проблемами кінцевого користувача. Ця стаття витрат, за даними Gartner Group, має найбільшу вагу в сукупній вартості системи інформаційної безпеки. У ній виділяють наступні підстатті витрат:
§ пряма допомога й додаткові настроювання;
§ формальне навчання;
§ розробка додатків;
§ робота з даними;
§ неформальне навчання;
· futz-фактор (параметр, що визначає обсяг витрат, пов'язаних з наслідками некомпетентних дій користувача). Ці витрати зв'язані, наприклад, з участю адміністратора в налагодженні робочої станції, з наданням допомоги користувачеві або з консультаціями.
Вагові частки статей витрат у статті «активність користувача»
| Пряма допомога й додаткові настроювання | 11% |
| Неформальне навчання | 12% |
| Розробка додатків | 14% |
| Робота з даними | 15% |
| Формальне навчання | 18% |
| Futz-фактор | 30% |
Отже, річні поточні (експлуатаційні) витрати на функціонування системи інформаційної безпеки складають:
С = Св + Ск + Сак, тис. грн. (2.13)
Витрати на Upgrade-відновлення й модернізацію системи інформаційної безпеки (Св) можна визначити на підставі фактичних даних організації або користуючись даними табл. 1, про вагові частки статей витрат у сукупній вартості системи інформаційної безпеки.
Витрати на керування системою інформаційної безпеки (Ск) складають:
С = Сн + Са + Сз + Сєв+ Се + Сел + Со + Стос, грн. (2.14)
Витрати на навчання адміністративного персоналу й кінцевих користувачів визначаються за даними організації з проведення тренінгів персоналу, курсів підвищення кваліфікації тощо (Сн).
Річний фонд амортизаційних відрахувань (Са) визначається у відсотках від суми капітальних інвестицій за видами основних фондів і нематеріальних активів (ПЗ) (табл. Додатка).
Річний фонд заробітної плати інженерно-технічного персоналу, що обслуговує систему інформаційної безпеки (Сз), складає:
Сз = Зосн + Здод, грн. (2.15)
де Зосн, Здод – основна і додаткова заробітна плата відповідно, грн на рік.
Основна заробітна плата визначається, виходячи з місячного посадового окладу, а додаткова заробітна плата – в розмірі 8-10% від основної заробітної плати.
До річного фонду заробітної плати додається єдиний внесок на загальнообов'язкове державне соціальне страхування – консолідований страховий внесок, збір якого здійснюється відповідно до класів професійного ризику виробництва, до яких віднесено платників єдиного внеску, з урахуванням видів їх економічної діяльності.
Розмір єдиного внеску на загальнообов'язкове державне соціальне страхування визначається на підставі встановленого чинним законодавством відсотка від суми основної та додаткової заробітної плати (за узгодженням з консультантом економічної частини дипломного проекту).
Вартість електроенергії, що споживається апаратурою системою інформаційної безпеки протягом року (Се), визначається за формулою:
Cел = Р · Fр · Це, грн, (2.16)
де Р – встановлена потужність апаратури інформаційної безпеки, кВт;
Fр – річний фонд робочого часу системи інформаційної безпеки (визначається виходячи з режиму роботи системи інформаційної безпеки);
Це – тариф на електроенергію, грн/кВт·годин.
Витрати на залучення сторонніх організацій для виконання деяких видів обслуговування, навчання та сертифікацію обслуговуючого персоналу (Со) визначаються за даними організації.
Витрати на технічне й організаційне адміністрування та сервіс системи інформаційної безпеки (Стос) визначаються за даними організації або у відсотках від вартості капітальних витрат (1-3%).
Витрати, викликані активністю користувачів системи інформаційної безпеки (Сак) можна орієнтовно визначити, користуючись даними табл. 1 про вагові частки статей витрат у сукупній вартості системи інформаційної безпеки.
У кожному конкретному випадку можуть бути враховані й інші види поточних витрат, що визначаються специфікою експлуатації проектованої системи інформаційної безпеки.
3. ОЦІНКА МОЖЛИВОГО ЗБИТКУ ВІД АТАКИ (ЗЛОМУ)
