Вобосновании затрат на информационную безопасность существует два основных подхода.
Научный подход. Для этого необходимо привлечь руководство компании (или ее собственника) к оценке стоимости информационных ресурсов, определению оценки потенциального ущерба от нарушений в области защиты информации.
1. Если стоимость информации невелика, существенных угроз для информационных активов компании нет, а потенциальный ущерб минимален, обеспечение информационной безопасности требует меньшего финансирования.
2. Если информация обладает определенной стоимостью, угрозы и потенциальный ущерб значительны и определены, тогда возникает вопрос о внесении в бюджет расходов на подсистему информационной безопасности. В этом случае необходимо построение корпоративной системы защиты информации.
Практический подход состоит в определении варианта реальной стоимости корпоративной системы защиты информации на основе аналогичных систем в других областях. Эксперты-практики в области защиты информации полагают, что стоимость системы защиты информации должна составлять примерно 10-20 % от стоимости корпоративной информационной системы, в зависимости от конкретных требований к режиму информационной безопасности.
|
|
Общепринятые требования к обеспечению режима информационной безопасности "best practice" (на основе практического опыта), формализованные в ряде стандартов, например ISO 17799, реализуются на практике при разработке конкретных методов оценки эффективности системы информационной безопасности.
Применение современных методов оценки затрат на информационную безопасность позволяет рассчитать всю расходную часть информационных активов организации, включая прямые и косвенные затраты на аппаратно-программные средства, организационные мероприятия, обучение и повышение квалификации сотрудников, реорганизацию, реструктуризацию бизнеса и т. д.
Они необходимы для доказательства экономической эффективности существующих корпоративных систем защиты и позволяют руководителям служб информационной безопасности обосновывать бюджет на информационную безопасность, а, также доказывать эффективность работы сотрудников соответствующей службы. Применяемые зарубежными компаниями методики оценки затрат позволяют:
- получить адекватную информацию об уровне защищенности распределенной вычислительной среды и совокупной стоимости владения корпоративной системы защиты информации.
- сравнить подразделения службы информационной безопасности организации как между собой, так и с аналогичными подразделениями других организаций в данной отрасли.
|
|
- оптимизировать инвестиции на информационную безопасность организации.
Одна из наиболее известных методик оценки затрат применительно к системе информационной безопасности - методика совокупной стоимости владения (ССВ) компании Gartner Group Под показателем ССВ понимается сумма прямых и косвенных затрат на организацию (реорганизацию), эксплуатацию и сопровождение корпоративной системы защиты информации в течение года. Он используется практически на всех основных этапах жизненного цикла корпоративной системы защиты информации и дает возможность объективно и независимо обосновать экономическую целесообразность внедрения и использования конкретных организационных и технических мер и средств защиты информации. Для объективности решения также необходимо дополнительно учитывать состояние внешней и внутренней среды предприятия, например, показатели технологического, кадрового и финансового развития предприятия.
Сравнение определенного показателя ССВ с аналогичными показателями ССВ по отрасли (с аналогичными компаниями) позволяет объективно и независимо обосновать затраты организации на информационную безопасность. Ведь часто оказывается довольно трудно или даже практически невозможно оценить прямой экономический эффект от этих затрат.
Совокупная стоимость владения для системы информационной безопасности в общем случае складывается из стоимости:
- проектных работ,
- закупки и настройки программно-технических средств защиты, включающих следующие основные группы: межсетевые экраны, средства криптографии, антивирусы и ААА (средства аутентификации, авторизации и администрирования),
- затрат на обеспечение физической безопасности,
- обучения персонала,
- управления и поддержки системы (администрирование безопасности),
- аудита информационной безопасности, - периодической модернизации системы информационной безопасности.
При этом прямые затраты включают как капитальные компоненты затрат (ассоциируемые с фиксированными активами или "собственностью"), так и трудозатраты, которые учитываются в категориях операций и административного управления. Сюда же относят затраты на услуги удаленных пользователей и др., связанные с поддержкой деятельности организации.
В свою очередь, косвенные затраты отражают влияние корпоративной информационной системы и подсистемы защиты информации на сотрудников организации посредством таких измеримых показателей, как простои и "зависания" корпоративной системы защиты информации и информационной системы в целом, затраты на операции и поддержку (не относящиеся к прямым затратам). Очень часто косвенные затраты играют значительную роль, так как они обычно изначально не отражаются в бюджете на информационную безопасность, а выявляются при анализе затрат позже.
Расчет показателей ССВ организации проводится по следующим направлениям.
Компоненты корпоративной информационной системы (включая систему защиты информации) и информационные актины организации (серверы, клиентские компьютеры, периферийные устройства, сетевые устройства).
Расходы на аппаратные и программные средства защиты информации: расходные материалы и амортизационные расходы ни серверы, компьютеры клиентов (настольные и мобильные компьютеры), периферийные устройства и сетевые компоненты.
Расходы на организацию информационной безопасности: обслуживание системы защиты информации, штатных средств защиты периферийных устройств, серверов, сетевых устройств, планирование и управление процессами защиты информации, разработка концепции и политики безопасности и прочие.
|
|
Расходы на операции информационной си стемы: прямые затраты на содержание персонала, стоимость работ и аутсорсинг, произведенные организацией в целом или службой для осуществления технической поддержки и операций по поддержанию инфраструктуры для пользователей.
Административные расходы: прямые затраты на персонал, обеспечение деятельности и расходы внутренних/внешних поставщиков (вендоров) на поддержку операций, включающих управление, финансирование, приобретение и обучение информационных систем.
Расходы на операции конечных пользователей: затраты на самоподдержку конечных пользователей, официальное обучение конечных пользователей, нерегулярное (неофициальное) обучение, самостоятельные прикладные разработки, поддержку локальной файловой системы.
Расходы на простои: ежегодные потери производительности конечных пользователей от запланированных и незапланированных отключений сетевых ресурсов, включая клиентские компьютеры, совместно используемые серверы, принтеры, прикладные программы, коммуникационные ресурсы и программное обеспечение для связи.