– затраты на контроль реализации функций, обеспечивающих управление защитой коммерческой тайны;

– затраты на организацию временного взаимодействия и координации между подразделениями для решения конкретных повседневных задач;

– затраты на проведение аудита безопасности по каждой автоматизированной информационной системе, выделенной в информационной среде предприятия;

– материально-техническое обеспечение системы контроля доступа к объектам и ресурсам предприятия;

• затраты на внешний аудит:

– затраты на контрольно-проверочные мероприятия, связанные с лицензионно-разрешительной деятельностью в сфере защиты информации.

3. Внутренние затраты на ликвидацию последствий нарушений политики информационной безопасности (затраты, понесенные организацией в результате того, что требуемый уровень защищенности не был достигнут):

• пересмотр политики информационной безопасности предприятия (проводится периодически):

– затраты на идентификацию угроз безопасности;

– затраты на поиск уязвимостей системы защиты информации;

– оплата работы специалистов, выполняющих работы по определению возможного ущерба и переоценке степени риска;

• затраты на ликвидацию последствий нарушения режима информационной безопасности:

– восстановление системы безопасности до соответствия требованиям политики безопасности;

– установка патчей или приобретение последних версий программных средств защиты информации;

– приобретение технических средств взамен пришедших в негодность;

– проведение дополнительных испытаний и проверок технологических информационных систем;

– затраты на утилизацию скомпрометированных ресурсов;

• восстановление информационных ресурсов предприятия:

– затраты на восстановление баз данных и прочих информационных массивов;

– затраты на проведение мероприятий по контролю достоверности данных, подвергшихся атаке на целостность;

• затраты на выявление причин нарушения политики безопасности:

– затраты на проведение расследований нарушений политики безопасности (сбор данных о способах совершения, механизме и способах сокрытия неправомерного деяния, поиск следов, орудий, предметов посягательства, выявление мотивов неправомерных действий и т. д.);

– затраты на обновление планов обеспечения непрерывности деятельности службы безопасности;

• затраты на переделки:

– затраты на внедрение дополнительных средств защиты, требующих существенной перестройки системы безопасности;

– затраты на повторные проверки и испытания системы защиты информации.

4. Внешние затраты на ликвидацию последствий нарушения политики информационной безопасности:

• внешние затраты на ликвидацию последствий нарушения политики безопасности:

– обязательства перед государством и партнерами;

– затраты на юридические споры и выплаты компенсаций;

– потери в результате разрыва деловых отношений с партнерами;

• потеря новаторства:

– затраты на проведение дополнительных исследований и разработки новой рыночной стратегии;

– отказ от организационных, научно-технических или коммерческих решений, ставших неэффективными в результате утечки сведений, и затраты на разработку новых средств ведения конкурентной борьбы;

– потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно-технические достижения;

• прочие затраты:

– заработная плата секретарей и служащих, организационные и прочие расходы, которые непосредственно связаны с предупредительными мероприятиями;

– другие виды возможного ущерба предприятию, в том числе связанные с невозможностью выполнения функциональных задач, определенных его уставом.

5. Затраты на техническое обслуживание системы защиты информации и мероприятия по предотвращению нарушений политики безопасности предприятия (предупредительные мероприятия):

• затраты на управление системой защиты информации:

– затраты на планирование системы защиты информации предприятия;

– затраты на изучение возможностей информационной инфраструктуры предприятия по обеспечению безопасности информации ограниченного распространения;

– затраты на осуществление технической поддержки производственного персонала при внедрении средств защиты и процедур, а также планов по защите информации;

– проверка сотрудников на лояльность, выявление угроз безопасности;

– организация системы допуска исполнителей и сотрудников конфиденциального делопроизводства с соответствующими штатами и оргтехникой;

• регламентное обслуживание средств защиты информации:

– затраты, связанные с обслуживанием и настройкой программно-технических средств защиты, операционных систем и используемого сетевого оборудования;

– затраты, связанные с организацией сетевого взаимодействия и безопасного использования информационных систем;

– затраты на поддержание системы резервного копирования и ведения архива данных;

– проведение инженерно-технических работ по установлению сигнализации, оборудованию хранилищ конфиденциальных документов, защите телефонных линий связи, вычислительной техники и т. п.;

• аудит системы безопасности:

– затраты на контроль изменений состояния информационной среды предприятия;

– затраты на систему контроля за действиями исполнителей;

• обеспечение должного качества информационных технологий:

– затраты на обеспечение соответствия требованиям качества информационных технологий, в том числе анализ возможных негативных аспектов информационных технологий, которые влияют на целостность и доступность информации;

– затраты на доставку (обмен) конфиденциальной информации;

– удовлетворение субъективных требований пользователей: стиль, удобство интерфейса и др.;

• обеспечение требований стандартов:

– затраты на обеспечение соответствия принятым стандартам и требованиям, достоверности информации, действенности средств защиты;

• обучение персонала:

– повышение квалификации сотрудников предприятия в вопросах использования имеющихся средств защиты, выявления и предотвращения угроз безопасности;

– развитие нормативной базы службы безопасности.

Пример использования методики Total Cost of Ownership

Допустим, что объектом исследования является страховая компания ЗАО «Страхование». Название компании вымышленное, возможные совпадения случайны и носят непреднамеренный характер.

Для определения затрат на систему информационной безопасности по методике совокупной стоимости владения воспользуемся программным продуктом ТСО Manager компании Gartner Group. Технология работы с ПП ТСО Manager заключается в следующем: пользователь вводит первоначальные данные об объекте (профайл компании, данные о конечных пользователях, об информационных активах предприятия), исходя из них определяется текущий показатель ТСО и вычисляются ежегодные затраты на поддержание существующего уровня безопасности. Также ТСО Manager позволяет оптимизировать показатель ТСО, сравнив текущий показатель ТСО компании с «лучшим» в отрасли и смоделировав целевой показатель ТСО для данного предприятия.

Теперь обратимся к исходным данным по ЗАО «Страхование» и вычислим текущий показатель ТСО.

Название компании – ЗАО «Страхование».

Период анализа – январь-декабрь 2004 года.

Основной вид деятельности – страхование.

Общий годовой доход – 450 млн. руб.

Количество рабочих часов в год – 1880 час/год.

Средняя годовая зарплата конечных пользователей – 38 тыс. руб.

Средний процент, отчисляемый на налоги, медицинское страхование, страхование от несчастных случаев и т. д. персонала службы безопасности (ЕСН) – 37 %.

Средний процент, отчисляемый на налоги, медицинское страхование, страхование от несчастных случаев и т. д. конечных пользователей (ЕСН) – 37 %.

Количество конечных пользователей – 2 869 чел.

Классификация конечных пользователей представлена в табл. П5.2-П5.3.

Таблица П5.2. Классификация конечных пользователей по типам

Таблица П5.3. Классификация конечных пользователей по местоположению

Таблица П5.4. Сравнение текущего и целевого уровней системы защиты

Форма ввода данных «Интервью» в ТСО Manager содержит сведения об информационных активах предприятия (аппаратные средства и программное обеспечение), информацию о конечных пользователях, и на основании этих данных мы получаем следующие отчеты (см. табл. П5.5-П5.7).

Также ТСО Manager, используя практический подход к определению совокупной стоимости владения, позволяет сравнивать текущие затраты с эталонными («лучшими в группе») и строить целевые показатели затрат (см. табл. П5.5-П5.15). В частности, в табл. П5.6-П5.15. приведена детализация и расшифровка укрупненных прямых и косвенных затрат, которые отображены в табл. П5.5.

Таблица П5.5. Анализ затрат по показателям ТСО

Окончание табл. П5.5

Таблица П5.6. Детализация затрат на программное обеспечение и оборудование по категориям

Таблица П5.7. Расшифровка затрат на аппаратные средства

Таблица П5.8. Расшифровка затрат на программное обеспечение

Таблица П5.9. Детализация операционных затрат

Таблица П5.10. Расшифровка затрат на обслуживание клиентских мест и периферийных устройств

Таблица П5.11. Расшифровка затрат на обслуживание серверов

Таблица П5.12. Расшифровка затрат на планирование и управление процессами

Таблица П5.13. Детализация административных затрат

Таблица П5.14. Расшифровка финансовых и административных затрат

Таблица П5.15. Расшифровка затрат на поддержку конечных пользователей

Целевые показатели моделируются на основании проекта модернизации корпоративной системы антивирусной защиты и системы управления доступом на объекте информатизации (физическая защита).

Условно определяют три возможных состояния системы защиты КИС от вирусов и вредоносного программного обеспечения, а именно: базовое, среднее и высокое. Рассмотрим характеристики этих состояний:

• базовое – стационарные и мобильные рабочие станции обладают локальной защитой от вирусов. Антивирусное программное обеспечение и базы сигнатур регулярно обновляются для успешного распознавания и парирования новых вирусов. Установлена программа автоматического уничтожения наиболее опасных вирусов. Основная цель уровня – организация минимальной защиты от вирусов и враждебного программного обеспечения при небольших затратах;

• среднее – установлена сетевая программа обнаружения вирусов. Управление программными обновлениями на сервере автоматизировано. Системный контроль над событиями оповещает о случаях появления вирусов и предоставляет информацию по предотвращению дальнейшего распространения вирусов. Превентивная защита от вирусов предполагает выработку и следование определенной политике защиты информации, передаваемой по открытым каналам связи Интернета. Дополнительно к техническим мерам активно предлагаются и используются организационные меры защиты информации;

• высокое – антивирусная защита воспринимается как один из основных компонентов корпоративной системы защиты. Система антивирусной защиты тесно интегрирована в комплексную систему централизованного управления информационной безопасностью компании и обладает максимальной степенью автоматизации. При этом организационные меры по защите информации преобладают над техническими мерами. Стратегия защиты информации определяется исключительно стратегией развития бизнеса компании.

Согласно практическому подходу в ТСО Manager формируется отчет (табл. П5.4.) для ЗАО «Страхование», в котором отражаются требования к состоянию корпоративной системы защиты на основании данных о типе предприятия и текущего показателя ТСО.

Таким образом, можно сделать вывод о том, что ЗАО «Страхование» необходимо повышать уровень защиты информационной системы от вирусов, совершенствовать технологию управления активами и проводить обучение конечных пользователей и специалистов отдела информационных технологий.

Теперь обратимся к отчетам по совокупной стоимости владения, приведенным в таблицах, и проанализируем полученные показатели ТСО.

Сопоставляя табл. П5.4 и данные отчетов (табл. П5.5-П5.15), можно сделать следующие выводы: при построении целевой модели ТСО наибольшему снижению подверглись административные затраты на управление (на 44 %) и затраты при простое (на 43 %). Сокращение административных расходов связано в основном с внедрением автоматизированной системы управления активами, а значительное снижение затрат от простоев – с пересмотром уровня знаний конечных пользователей и ИТ-персонала и увеличением затрат на обучение.

Небольшое повышение затрат на аппаратные средства (на 16 %) вызвано закупкой оборудования, необходимого для внедрения корпоративной системы защиты.

Таким образом, целевой показатель ТСО значительно меньше текущего, но вместе с тем поддержание соответствующего уровня защиты требует существенных расходов (5–7% от ежегодного дохода), и для обоснования этих расходов необходимо применять методы оценки эффективности инвестиций в корпоративную систему информационной безопасности.

2. Обоснование инвестиций в информационную безопасность

Впервые термин Return on Investment for Security (ROSI) был введен в употребление специалистами в области IT Security после публикации в начале 2002 года статьи в журнале СЮ Magazine «Finally, a Real Return on Security Spending». Примерно в это же время вышло несколько статьей, посвященных количественным методам оценки затрат на безопасность. Сегодня тема возврата инвестиций (Return on Investment, ROI) в информационные технологии стала темой повышенного интереса для ТОР-менеджмента многих российских компаний. При этом особое внимание уделяется методам расчета возврата инвестиций в безопасность (Return on Investment for Security, ROSI).

Традиционно обоснования расходов на безопасность были в большинстве своем качественными или «стратегическими», доказывающими, что без инвестирования в корпоративную систему защиты информации компания упускает более «осязаемые» выгоды. Обоснование расходов на информационную безопасность включало в себя следующие утверждения:

• расходы на безопасность являются составляющей стоимости ведения бизнеса;

• расходы на безопасность родственны расходам на страхование;

• компания не может заниматься электронной коммерцией без обеспечения определенного уровня защиты электронных денежных потоков;

• безопасность является одним из аспектов управления рисками;

• заказчик имеет право подать на компанию в суд, если она отказывается соблюдать минимальные стандарты безопасности (например, защищать конфиденциальную информацию о клиенте);

• нежелание вкладывать денежные средства в безопасность означает нежелание следовать общим тенденциям развития информационных технологий.