Показатель ТСО корпоративной системы информационной безопасности рассчитывается как сумма всех затрат, «видимых» и «невидимых». Затем этот показатель сравнивается с рекомендуемыми величинами для данного типа предприятия. Существует 17 типов предприятий, которые в свою очередь делятся на малые, средние и крупные.

Если полученная совокупная стоимость владения системы безопасности значительно превышает рекомендованное значение и приближается к предельному, то необходимо принять меры по снижению ТСО. Сокращения совокупной стоимости владения можно достичь следующими способами: максимальной централизацией управления безопасностью, уменьшением числа специализированных элементов, настройкой прикладного программного обеспечения безопасности и пр.

Функционально-стоимостной анализ (Activity Based Costing, ABC). ABC – это процесс распределения затрат с использованием первичных носителей стоимости, ориентированных на производственную и/или логистическую структуру предприятия с конечным распределением затрат по основным носителям (продуктам и услугам). Данный подход позволяет весьма точно и понятно установить связь между элементами себестоимости продукции и производственными процессами.

При оценке эффективности корпоративных систем защиты информации метод ABC используется для построения моделей бизнес-процессов предприятия «как есть» и «как будет». Модель «как будет» отражает изменение технологии реализации основных бизнес-процессов при использовании выбранной корпоративной системы информационной безопасности. На основе показателей стоимости, трудоемкости и производительности определяется наилучшая модель бизнес-процессов «как будет».

Таким образом, метод ABC является альтернативой традиционным финансовым подходам и позволяет:

• предоставить информацию в форме, понятной для персонала предприятия, непосредственно участвующего в бизнес-процессе;

• распределить накладные расходы в соответствии с детальным просчетом использования ресурсов, подробным представлением о процессах и функциях их составляющих, а также влиянием на себестоимость.

Следует отметить, что развитием метода ABC стал метод функционально-стоимостного управления – ФСУ (Activity Based Management, ABM). Совместно методы ABC и ABM используются для реорганизации бизнес-процессов с целью повышения производительности, снижения стоимости и улучшения качества.

Основные положения методики Total Cost of Ownership

Анализ методов оценки эффективности инвестиций в корпоративные системы информационной безопасности показывает, что только метод совокупной стоимости владения (ТСО) позволяет рассчитать расходную часть на систему безопасности. Поэтому давайте рассмотрим методику ТСО более подробно.

Информационная безопасность обеспечивается комплексом мер на всех этапах жизненного цикла информационной системы, совокупная стоимость владения (показатель ТСО) для системы информационной безопасности в общем случае складывается из стоимости:

• проектных работ;

• закупки и настройки программно-технических средств защиты, включающих следующие основные группы: межсетевые экраны, средства криптографии, антивирусы и средства аутентификации, авторизации и администрирования (AAA);

• затрат на обеспечение физической безопасности;

• обучения персонала;

• управления и поддержки системы (администрирование безопасности);

• аудита информационной безопасности;

• периодической модернизации системы информационной безопасности.

Таким образом, методика совокупной стоимости владения компании Gartner Group позволяет:

• получить адекватную информацию об уровне защищенности распределенной вычислительной среды и совокупной стоимости владения корпоративной системы защиты информации;

• сравнить подразделения службы информационной безопасности компании как между собой, так и с аналогичными подразделениями других предприятий в данной отрасли;

• оптимизировать инвестиции в информационную безопасность компании с учетом реального значения показателя ТСО.

Здесь под показателем ТСО понимается сумма прямых и косвенных затрат на организацию (реорганизацию), эксплуатацию и сопровождение корпоративной системы защиты информации в течение года. ТСО может рассматриваться как ключевой количественный показатель эффективности организации информационной безопасности в компании, так как позволяет не только оценить совокупные затраты на нее, но и управлять этими затратами для достижения требуемого уровня защищенности КИС.

При этом прямые затраты включают как капитальные компоненты затрат (ассоциируемые с фиксированными активами или «собственностью»), так и трудозатраты, которые учитываются в категориях операций и административного управления. Сюда же относят затраты на услуги удаленных пользователей, аутсорсинг и др., связанные с поддержкой деятельности организации.

В свою очередь косвенные затраты отражают влияние КИС и подсистемы защиты информации на деятельность сотрудников компании посредством таких измеримых показателей, как простои и «зависания» корпоративной системы защиты информации и КИС в целом, затраты на операции и поддержку (не относящиеся к прямым затратам). Очень часто косвенные затраты играют значительную роль, так как они обычно изначально не отражаются в бюджете на информационную безопасность, а выявляются при анализе затрат впоследствии, что в конечном счете приводит к росту «скрытых» затрат компании на систему информационной безопасности.

Существенно, что ТСО не только отражает «стоимость владения» отдельных элементов корпоративной системы защиты информации и их взаимодействия в течение всего жизненного цикла системы: «овладение методикой» ТСО помогает службе информационной безопасности лучше измерять, управлять и снижать затраты и/или улучшать уровни сервиса защиты информации с целью адекватности мер защиты бизнесу компании.

Подход к оценке ТСО базируется на результатах аудита структуры и поведения корпоративной системы защиты информации и КИС в целом, включая действия сотрудников служб автоматизации, информационной безопасности и просто пользователей КИС. Сбор и анализ статистики по структуре прямых (HW/SW, операции, административное управление) и косвенных затрат (на конечных пользователей и простои) проводится, как правило, в течение 12 месяцев. Полученные данные оцениваются по ряду критериев с учетом сравнения с данными по аналогичным компаниям в отрасли.

Методика ТСО позволяет оценить и сравнить состояние защищенности КИС компании с типовым профилем защиты, в том числе показать узкие места в организации защиты, на которые следует обратить внимание. Иными словами, на основе полученных данных можно сформировать понятную с экономической точки зрения стратегию и тактику развития корпоративной системы защиты информации, а именно: «сейчас мы тратим на информационную безопасность столько-то, если будем тратить столько-то по конкретным направлениям информационной безопасности, то получим такой-то эффект».

Известно, что в методике ТСО в качестве базы для сравнения используются данные и показатели ТСО для западных компаний. Однако данная методика способна учитывать специфику российских компаний с помощью так называемых поправочных коэффициентов, например:

• по стоимости основных компонентов корпоративной системы защиты информации и КИС, информационных активов компании (Cost Profiles) с учетом данных по количеству и типам серверов, персональных компьютеров, периферии и сетевого оборудования;

• по заработной плате сотрудников (Salary and Asset Scalars) с учетом дохода компании, географического положения, типа производства и размещения организации в крупном городе или нет;

• по конечным пользователям ИТ (End User Scalars) с учетом типов пользователей и их размещения (для каждого типа пользователей требуется различная организация службы поддержки и вычислительной инфраструктуры);

• по использованию методов так называемой лучшей практики в области управления информационной безопасностью (best practices) с учетом реального состояния дел по управлению изменениями, операциями, активами, сервисному обслуживанию, обучению, планированию и управлению процессами;

• по уровню сложности организации (Complexity Level) с учетом состояния организации конечных пользователей (процент влияния – 40 %), технологии SW (40 %), технологии HW (20 %).

Определение затрат компании на информационную безопасность подразумевает решение следующих трех задач:

• оценка текущего уровня ТСО корпоративной системы защиты информации и КИС в целом;

• аудит информационной безопасности компании на основе сравнения уровня защищенности компании и рекомендуемого (лучшая мировая практика) уровня ТСО;

• формирование целевой модели ТСО.

Рассмотрим каждую из перечисленных задач.

Оценка текущего уровня ТСО. В ходе работ по оценке ТСО проводится сбор информации и расчет показателей ТСО организации по следующим направлениям:

• существующие компоненты ИС (включая систему защиты информации) и информационные активы компании (серверы, клиентские компьютеры, периферийные устройства, сетевые устройства);

• существующие расходы на аппаратные и программные средства защиты информации (расходные материалы, амортизация);

• существующие расходы на организацию информационной безопасности в компании (обслуживание СЗИ и СКЗИ, а также штатных средств защиты периферийных устройств, серверов, сетевых устройств, планирование и управление процессами защиты информации, разработку концепции и политики безопасности и пр.);

• существующие расходы на организационные меры защиты информации;

• существующие косвенные расходы на организацию информационной безопасности в компании, и в частности обеспечение непрерывности или устойчивости бизнеса компании.

Аудит информационной безопасности компании. По результатам собеседования с ТОР-менеджерами компании и проведения инструментальных проверок уровня защищенности организации проводится анализ следующих основных аспектов:

• политики безопасности,

• организации защиты,

• классификации и управления информационными ресурсами,

• управления персоналом,

• физической безопасности,

• администрирования компьютерных систем и сетей,

• управления доступом к системам,

• разработки и сопровождения систем,

• планирования бесперебойной работы организации,

• проверки системы на соответствие требованиям информационной безопасности.

На основе проведенного анализа выбирается модель ТСО, сравнимая со средними и оптимальными значениями для репрезентативной группы аналогичных организаций, имеющих схожие с рассматриваемой организацией показатели по объему бизнеса. Такая группа выбирается из банка данных по эффективности затрат на информационную безопасность и эффективности соответствующих профилей защиты аналогичных компаний.

Сравнение текущего показателя ТСО проверяемой компании с модельным значением показателя ТСО позволяет провести анализ эффективности организации информационной безопасности компании, в результате выявить «узкие» места в организации и причины их появления и выработать дальнейшие шаги по реорганизации корпоративной системы защиты информации и обеспечению требуемого уровня защищенности КИС.

Формирование целевой модели ТСО. По результатам проведенного аудита моделируется целевая (желаемая) модель, учитывающая перспективы развития бизнеса и корпоративной системы защиты информации (активы, сложность, методы лучшей практики, типы СЗИ и СКЗИ, квалификация сотрудников компании и т. п.).

Кроме того, рассматриваются капитальные расходы и трудозатраты, необходимые для проведения преобразований текущей среды в целевую среду. В трудозатраты на внедрение включаются затраты на планирование, развертывание, обучение и разработку. Сюда же входят возможные временные увеличения затрат на управление и поддержку.

Для обоснования эффекта от внедрения новой корпоративной системы защиты информации (ROSI) могут быть использованы модельные характеристики снижения совокупных затрат (ТСО), отражающие возможные изменения в корпоративной системе защиты информации.

Виды затрат на систему информационной безопасности

Затраты на информационную безопасность подразделяются на следующие категории:

1. Затраты на формирование и поддержание звена управления системой защиты информации (организационные затраты):

• затраты на приобретение и ввод в эксплуатацию программно-технических средств: серверов, компьютеров конечных пользователей (настольных и мобильных), периферийных устройств и сетевых компонентов;

• затраты на приобретение и настройку средств защиты информации;

• затраты на содержание персонала, стоимость работ и аутсорсинг;

• затраты на формирование политики безопасности предприятия.

2. Затраты на контроль (определение и подтверждение достигнутого уровня защищенности ресурсов предприятия):

• затраты на контроль:

– плановые проверки и испытания;

– затраты на проверки и испытания программно-технических средств защиты информации;

– затраты на проверку навыков эксплуатации средств защиты персоналом предприятия;

– затраты на обеспечение работы лиц, ответственных за реализацию конкретных процедур безопасности по подразделениям;

– оплата работ по контролю правильности ввода данных в прикладные системы;

– оплата инспекторов по контролю требований, предъявляемых к защитным средствам при разработке любых систем (контроль выполняется на стадии проектирования и спецификации требований);

• внеплановые проверки и испытания:

– оплата работы испытательного персонала специализированных организаций;

– обеспечение испытательного персонала (внутреннего и внешнего) материально-техническими средствами;

• контроль за соблюдением политики информационной безопасности: