Основные направления расходов на защиту информации

Как правило, затраты на информационную безопас­ность подразделяются на следующие категории:

А. Единовременные затраты:

- затраты на формирование и поддержание звена управления системой защиты информации (организационные затраты);

- стоимость компонентов корпоративной информаци­онной системы (включая систему защиты информации) и ин­формационных активов (серверы, клиентские компьютеры, периферийные устройства, сетевые устройства);

- расходы на аппаратные и программные средства за­щиты информации;

- расходы на организацию информационной безопас­ности;

- расходы на организационные меры защиты информации;

- косвенные расходы на организацию информационной безопасности и обеспечение непрерывности или устойчиво­сти деятельности.

Б. Систематические затраты:

- затраты на контроль, то есть на определение и под­тверждение достигнутого уровня защищенности ресурсов предприятия;

- внутренние затраты на ликвидацию последствий на­рушения политики информационной безопасности (НПБ) - затраты, понесенные организацией в результате того, что тре­буемый уровень защищенности не был достигнут;

- внешние затраты на ликвидацию последствий нару­шения политики информационной безопасности - компенса­ция потерь при нарушениях политики безопасности в случа­ях, снизанных с утечкой информации, потерей имиджа ком­пании, утратой доверия партнеров и потребителей и т. п.;

- затраты на техническое обслуживание системы защи­ты информации' и мероприятия но предотвращению наруше­ний политики безопасности предприятия (затраты на преду­предительные мероприятия).

Затраты на контроль включают:

- затраты на проверки и испытания программно-технических средств защиты информации;

- затраты на проверку навыков эксплуатации средств защиты персоналом предприятия;

- затраты на обеспечение работы лиц, ответственных за реализацию конкретных процедур безопасности по подразде­лениям;

- оплату работ по контролю требований, предъявляе­мых к защитным средствам при разработке любых систем;

- расходы на внеплановые проверки и испытания;

- затраты на контроль реализации функций, обеспечи­вающих управление защитой коммерческой тайны;

- затраты на проведение аудита безопасности по каж­дой автоматизированной информационной системе, выделен­ной в информационной среде организации;

- материально-техническое обеспечение системы кон­троля доступа к объектам и ресурсам организации.

- затраты на контрольно-проверочные мероприятия, связанные с лицензионно-разрешительной деятельностью в сфере защиты информации.

Пересмотр политики информационной безопасности организации сопровождается следующими направлениями расходов:

- затраты на идентификацию угроз безопасности;

- затраты на поиск уязвимостей системы защиты ин­формации;

- оплата работы специалистов, выполняющих работы по определению возможного ущерба и переоценке степени риска;

- затраты на ликвидацию последствий нарушения ре­жима ИБ (восстановление системы безопасности до соответ­ствия требованиям политики безопасности, приобретение технических средств взамен пришедших в негодность, затра­ты на утилизацию скомпрометированных ресурсов);

- затраты на восстановление информационных ресур­сов предприятия";

- затраты на выявление причин нарушения политики безопасности (на проведение расследований нарушений по­литики безопасности - сбор данных о способах совершения, механизме и способах сокрытия неправомерного деяния, по­иск следов, орудий и предметов посягательства, выявление мотивов неправомерных действий и т. д.);

- затраты на внедрение дополнительных средств защиты.

Внешние затраты на ликвидацию последствий нару­шения политики безопасности содержат:

- реализацию обязательств перед государством и парт­нерами;

- затраты на юридические споры и выплаты компенсаций;

- потери в результате разрыва деловых отношений с партнерами;

- отказ от организационных, научно-технических или коммерческих решений, ставших неэффективными в резуль­тате утечки сведений, и затраты на разработку новых средств ведения конкурентной борьбы;

- потери от снижения приоритета в научных исследо­ваниях и невозможности патентования и продажи лицензий на научно-технические достижения.

Затраты на обслуживание системы безопасности (за­траты на предупредительные мероприятия) включают:

- расходы на управление системой защиты информа­ции (планирование системы защиты информации, осуществ­ление технической поддержки производственного персонала при внедрении средств защиты и процедур, проверка сотруд­ников на лояльность, выявление угроз безопасности, органи­зация системы допуска исполнителей и сотрудников конфи­денциального делопроизводства);

- расходы на регламентное обслуживание средств за­щиты информации (обслуживание и настройка программно-технических средств защиты, операционных систем и исполь­зуемого сетевого оборудования, организация сетевого взаимодействия и безопасного использования информационных систем, проведение инженерно-технических работ по уста­новлению сигнализации, оборудованию хранилищ конфиден­циальных документов, защите телефонных линий связи, средств вычислительной техники и т. п.);

- затраты на аудит системы безопасности (контроль изменений состояния информационной среды организации и контроль за действиями исполнителей);

- затраты на обеспечение соответствия требованиям качества информационных технологий;

- затраты на доставку (обмен) конфиденциальной ин­формации;

- затраты на обеспечение соответствия принятым стан­дартам и требованиям, достоверности информации, действен­ности средств защиты.

- затраты на обучение персонала и повышение квали­фикации сотрудников организации в вопросах использования имеющихся средств защиты, выявления и предотвращения угроз безопасности.

Составление перечня затрат целесообразно осуществ­лять для отдельного подразделения, конкретного рабочего места пользователя или для рисков по каждой категории ин­формационного ресурса.

Опыт работы российских компаний, специализирую­щихся в области защиты информации на основе анализа со­стояния защищенности информационной среды, показывает, что там, где затраты на обеспечение информационной безо­пасности должным образом учтены, они могут составлять от 2 % до 20 % и более от объема продаж (оборота). При этом за­траты на потери (внешние и внутренние) обычно составляют около 70 % общих затрат на безопасность, затраты па кон­троль - 25 %, затраты на предупредительные мероприятия -5 %.