Методы учета затрат на информационную безопасность

Вобосновании затрат на информационную безопас­ность существует два основных подхода.

Научный подход. Для этого необходимо привлечь руководство компании (или ее собст­венника) к оценке стоимости информационных ресурсов, оп­ределению оценки потенциального ущерба от нарушений в области защиты информации.

1. Если стоимость информации невелика, существен­ных угроз для информационных активов компании нет, а по­тенциальный ущерб минимален, обеспечение информацион­ной безопасности требует меньшего финансирования.

2. Если информация обладает определенной стоимо­стью, угрозы и потенциальный ущерб значительны и опреде­лены, тогда возникает вопрос о внесении в бюджет расходов на подсистему информационной безопасности. В этом случае необходимо построение корпоративной системы защиты ин­формации.

Практический подход состоит в определении варианта реальной стоимости корпоративной системы защиты информации на основе аналогичных систем в других областях. Эксперты-практики в области защиты информации пола­гают, что стоимость системы защиты информации должна составлять примерно 10-20 % от стоимости корпоративной информационной системы, в зависимости от конкретных тре­бований к режиму информационной безопасности.

Общепри­нятые требования к обеспечению режима информационной безопасности "best practice" (на основе практического опыта), формализованные в ряде стандартов, например ISO 17799, реализуются на практике при разработке конкретных методов оценки эффективности системы информационной безопасно­сти.

Применение современных методов оценки затрат на информационную безопасность позволяет рассчитать всю расходную часть информационных активов организации, включая прямые и косвенные затраты на аппаратно-программные средства, организационные мероприятия, обу­чение и повышение квалификации сотрудников, реорганиза­цию, реструктуризацию бизнеса и т. д.

Они необходимы для доказательства экономической эффективности существующих корпоративных систем защи­ты и позволяют руководителям служб информационной безопасности обосновывать бюджет на информационную безопасность, а, также доказывать эффективность работы со­трудников соответствующей службы. Применяемые зарубеж­ными компаниями методики оценки затрат позволяют:

- получить адекватную информацию об уровне защи­щенности распределенной вычислительной среды и совокуп­ной стоимости владения корпоративной системы защиты ин­формации.

- сравнить подразделения службы информационной безопасности организации как между собой, так и с аналогичными подразделениями других организаций в данной отрасли.

- оптимизировать инвестиции на информационную безопасность организации.

Одна из наиболее известных методик оценки затрат применительно к системе информационной безопасности - методика совокупной стоимости владения (ССВ) компании Gartner Group Под показателем ССВ понимается сумма прямых и косвенных затрат на организацию (реорганизацию), эксплуатацию и сопровождение корпоративной системы за­щиты информации в течение года. Он используется практи­чески на всех основных этапах жизненного цикла корпора­тивной системы защиты информации и дает возможность объективно и независимо обосновать экономическую целесо­образность внедрения и использования конкретных организа­ционных и технических мер и средств защиты информации. Для объективности решения также необходимо дополнитель­но учитывать состояние внешней и внутренней среды пред­приятия, например, показатели технологического, кадрового и финансового развития предприятия.

Сравнение определенного показателя ССВ с аналогич­ными показателями ССВ по отрасли (с аналогичными компа­ниями) позволяет объективно и независимо обосновать затра­ты организации на информационную безопасность. Ведь час­то оказывается довольно трудно или даже практически невоз­можно оценить прямой экономический эффект от этих затрат.

Совокупная стоимость владения для системы инфор­мационной безопасности в общем случае складывается из стоимости:

- проектных работ,

- закупки и настройки программно-технических средств защиты, включающих следующие основные группы: межсетевые экраны, средства криптографии, антивирусы и ААА (средства аутентификации, авторизации и администри­рования),

- затрат на обеспечение физической безопасности,

- обучения персонала,

- управления и поддержки системы (администрирова­ние безопасности),

- аудита информационной безопасности, - периодической модернизации системы информацион­ной безопасности.

При этом прямые затраты включают как капитальные компоненты затрат (ассоциируемые с фиксированными акти­вами или "собственностью"), так и трудозатраты, которые учитываются в категориях операций и административного управления. Сюда же относят затраты на услуги удаленных пользователей и др., связанные с поддержкой деятельности организации.

В свою очередь, косвенные затраты отражают влияние корпоративной информационной системы и подсистемы за­щиты информации на сотрудников организации посредством таких измеримых показателей, как простои и "зависания" корпоративной системы защиты информации и информаци­онной системы в целом, затраты на операции и поддержку (не относящиеся к прямым затратам). Очень часто косвенные за­траты играют значительную роль, так как они обычно изна­чально не отражаются в бюджете на информационную безо­пасность, а выявляются при анализе затрат позже.

Расчет показателей ССВ организации проводится по следующим направлениям.

Компоненты корпоративной информационной системы (включая систему защиты информации) и информационные актины организации (серверы, клиентские компьютеры, пе­риферийные устройства, сетевые устройства).

Расходы на аппаратные и программные средства защиты информации: расходные материалы и амортизационные расходы ни серверы, компьютеры клиентов (настольные и мобильные компьютеры), периферийные устройства и сете­вые компоненты.

Расходы на организацию информационной безопасно­сти: обслуживание системы защиты информации, штатных средств защиты периферийных устройств, серверов, сетевых устройств, планирование и управление процессами защиты информации, разработка концепции и политики безопасности и прочие.

Расходы на операции информационной си стемы: пря­мые затраты на содержание персонала, стоимость работ и аутсорсинг, произведенные организацией в целом или службой для осуществления технической поддержки и операций по поддержанию инфраструктуры для пользователей.

Административные расходы: прямые затраты на пер­сонал, обеспечение деятельности и расходы внутрен­них/внешних поставщиков (вендоров) на поддержку опера­ций, включающих управление, финансирование, приобрете­ние и обучение информационных систем.

Расходы на операции конечных пользователей: затраты на самоподдержку конечных пользователей, официальное обучение конечных пользователей, нерегулярное (неофици­альное) обучение, самостоятельные прикладные разработки, поддержку локальной файловой системы.

Расходы на простои: ежегодные потери производи­тельности конечных пользователей от запланированных и не­запланированных отключений сетевых ресурсов, включая клиентские компьютеры, совместно используемые серверы, принтеры, прикладные программы, коммуникационные ре­сурсы и программное обеспечение для связи.