Как правило, затраты на информационную безопасность подразделяются на следующие категории:
А. Единовременные затраты:
- затраты на формирование и поддержание звена управления системой защиты информации (организационные затраты);
- стоимость компонентов корпоративной информационной системы (включая систему защиты информации) и информационных активов (серверы, клиентские компьютеры, периферийные устройства, сетевые устройства);
- расходы на аппаратные и программные средства защиты информации;
- расходы на организацию информационной безопасности;
- расходы на организационные меры защиты информации;
- косвенные расходы на организацию информационной безопасности и обеспечение непрерывности или устойчивости деятельности.
Б. Систематические затраты:
- затраты на контроль, то есть на определение и подтверждение достигнутого уровня защищенности ресурсов предприятия;
- внутренние затраты на ликвидацию последствий нарушения политики информационной безопасности (НПБ) - затраты, понесенные организацией в результате того, что требуемый уровень защищенности не был достигнут;
- внешние затраты на ликвидацию последствий нарушения политики информационной безопасности - компенсация потерь при нарушениях политики безопасности в случаях, снизанных с утечкой информации, потерей имиджа компании, утратой доверия партнеров и потребителей и т. п.;
- затраты на техническое обслуживание системы защиты информации' и мероприятия но предотвращению нарушений политики безопасности предприятия (затраты на предупредительные мероприятия).
Затраты на контроль включают:
- затраты на проверки и испытания программно-технических средств защиты информации;
- затраты на проверку навыков эксплуатации средств защиты персоналом предприятия;
- затраты на обеспечение работы лиц, ответственных за реализацию конкретных процедур безопасности по подразделениям;
- оплату работ по контролю требований, предъявляемых к защитным средствам при разработке любых систем;
- расходы на внеплановые проверки и испытания;
- затраты на контроль реализации функций, обеспечивающих управление защитой коммерческой тайны;
- затраты на проведение аудита безопасности по каждой автоматизированной информационной системе, выделенной в информационной среде организации;
- материально-техническое обеспечение системы контроля доступа к объектам и ресурсам организации.
- затраты на контрольно-проверочные мероприятия, связанные с лицензионно-разрешительной деятельностью в сфере защиты информации.
Пересмотр политики информационной безопасности организации сопровождается следующими направлениями расходов:
- затраты на идентификацию угроз безопасности;
- затраты на поиск уязвимостей системы защиты информации;
- оплата работы специалистов, выполняющих работы по определению возможного ущерба и переоценке степени риска;
- затраты на ликвидацию последствий нарушения режима ИБ (восстановление системы безопасности до соответствия требованиям политики безопасности, приобретение технических средств взамен пришедших в негодность, затраты на утилизацию скомпрометированных ресурсов);
- затраты на восстановление информационных ресурсов предприятия";
- затраты на выявление причин нарушения политики безопасности (на проведение расследований нарушений политики безопасности - сбор данных о способах совершения, механизме и способах сокрытия неправомерного деяния, поиск следов, орудий и предметов посягательства, выявление мотивов неправомерных действий и т. д.);
- затраты на внедрение дополнительных средств защиты.
Внешние затраты на ликвидацию последствий нарушения политики безопасности содержат:
- реализацию обязательств перед государством и партнерами;
- затраты на юридические споры и выплаты компенсаций;
- потери в результате разрыва деловых отношений с партнерами;
- отказ от организационных, научно-технических или коммерческих решений, ставших неэффективными в результате утечки сведений, и затраты на разработку новых средств ведения конкурентной борьбы;
- потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно-технические достижения.
Затраты на обслуживание системы безопасности (затраты на предупредительные мероприятия) включают:
- расходы на управление системой защиты информации (планирование системы защиты информации, осуществление технической поддержки производственного персонала при внедрении средств защиты и процедур, проверка сотрудников на лояльность, выявление угроз безопасности, организация системы допуска исполнителей и сотрудников конфиденциального делопроизводства);
- расходы на регламентное обслуживание средств защиты информации (обслуживание и настройка программно-технических средств защиты, операционных систем и используемого сетевого оборудования, организация сетевого взаимодействия и безопасного использования информационных систем, проведение инженерно-технических работ по установлению сигнализации, оборудованию хранилищ конфиденциальных документов, защите телефонных линий связи, средств вычислительной техники и т. п.);
- затраты на аудит системы безопасности (контроль изменений состояния информационной среды организации и контроль за действиями исполнителей);
- затраты на обеспечение соответствия требованиям качества информационных технологий;
- затраты на доставку (обмен) конфиденциальной информации;
- затраты на обеспечение соответствия принятым стандартам и требованиям, достоверности информации, действенности средств защиты.
- затраты на обучение персонала и повышение квалификации сотрудников организации в вопросах использования имеющихся средств защиты, выявления и предотвращения угроз безопасности.
Составление перечня затрат целесообразно осуществлять для отдельного подразделения, конкретного рабочего места пользователя или для рисков по каждой категории информационного ресурса.
Опыт работы российских компаний, специализирующихся в области защиты информации на основе анализа состояния защищенности информационной среды, показывает, что там, где затраты на обеспечение информационной безопасности должным образом учтены, они могут составлять от 2 % до 20 % и более от объема продаж (оборота). При этом затраты на потери (внешние и внутренние) обычно составляют около 70 % общих затрат на безопасность, затраты па контроль - 25 %, затраты на предупредительные мероприятия -5 %.