• обучения персонала;
• управления и поддержки системы (администрирование безопасности);
• аудита информационной безопасности;
• периодической модернизации системы информационной безопасности.
Таким образом, методика совокупной стоимости владения компании Gartner Group позволяет:
• получить адекватную информацию об уровне защищенности распределенной вычислительной среды и совокупной стоимости владения корпоративной системы защиты информации;
• сравнить подразделения службы информационной безопасности компании как между собой, так и с аналогичными подразделениями других предприятий в данной отрасли;
• оптимизировать инвестиции в информационную безопасность компании с учетом реального значения показателя ТСО.Здесь под показателем ТСО понимается сумма прямых и косвенных затрат на организацию (реорганизацию), эксплуатацию и сопровождение корпоративной системы защиты информации в течение года. ТСО может рассматриваться как ключевой количественный показатель эффективности организации информационной безопасности в компании, так как позволяет не только оценить совокупные затраты на нее, но и управлять этими затратами для достижения требуемого уровня защищенности КИС.
При этом прямые затраты включают как капитальные компоненты затрат (ассоциируемые с фиксированными активами или «собственностью»), так и трудозатраты, которые учитываются в категориях операций и административного управления. Сюда же относят затраты на услуги удаленных пользователей, аутсорсинг и др., связанные с поддержкой деятельности организации.
В свою очередь косвенные затраты отражают влияние КИС и подсистемы защиты информации на деятельность сотрудников компании посредством таких измеримых показателей, как простои и «зависания» корпоративной системы защиты информации и КИС в целом, затраты на операции и поддержку (не относящиеся к прямым затратам). Очень часто косвенные затраты играют значительную роль, так как они обычно изначально не отражаются в бюджете на информационную безопасность, а выявляются при анализе затрат впоследствии, что в конечном счете приводит к росту «скрытых» затрат компании на систему информационной безопасности.
Существенно, что ТСО не только отражает «стоимость владения» отдельных элементов корпоративной системы защиты информации и их взаимодействия в течение всего жизненного цикла системы: «овладение методикой» ТСО помогает службе информационной безопасности лучше измерять, управлять и снижать затраты и/или улучшать уровни сервиса защиты информации с целью адекватности мер защиты бизнесу компании.
Подход к оценке ТСО базируется на результатах аудита структуры и поведения корпоративной системы защиты информации и КИС в целом, включая действия сотрудников служб автоматизации, информационной безопасности и просто пользователей КИС. Сбор и анализ статистики по структуре прямых (HW/SW, операции, административное управление) и косвенных затрат (на конечных пользователей и простои) проводится, как правило, в течение 12 месяцев. Полученные данные оцениваются по ряду критериев с учетом сравнения с данными по аналогичным компаниям в отрасли.
Методика ТСО позволяет оценить и сравнить состояние защищенности КИС компании с типовым профилем защиты, в том числе показать узкие места в организации защиты, на которые следует обратить внимание. Иными словами, на основе полученных данных можно сформировать понятную с экономической точки зрения стратегию и тактику развития корпоративной системы защиты информации, а именно: «сейчас мы тратим на информационную безопасность столько-то, если будем тратить столько-то по конкретным направлениям информационной безопасности, то получим такой-то эффект».
Известно, что в методике ТСО в качестве базы для сравнения используются данные и показатели ТСО для западных компаний. Однако данная методика способна учитывать специфику российских компаний с помощью так называемых поправочных коэффициентов, например:
• по стоимости основных компонентов корпоративной системы защиты информации и КИС, информационных активов компании (Cost Profiles) с учетом данных по количеству и типам серверов, персональных компьютеров, периферии и сетевого оборудования;
• по заработной плате сотрудников (Salary and Asset Scalars) с учетом дохода компании, географического положения, типа производства и размещения организации в крупном городе или нет;
• по конечным пользователям ИТ (End User Scalars) с учетом типов пользователей и их размещения (для каждого типа пользователей требуется различная организация службы поддержки и вычислительной инфраструктуры);
• по использованию методов так называемой лучшей практики в области управления информационной безопасностью (best practices) с учетом реального состояния дел по управлению изменениями, операциями, активами, сервисному обслуживанию, обучению, планированию и управлению процессами;
• по уровню сложности организации (Complexity Level) с учетом состояния организации конечных пользователей (процент влияния – 40 %), технологии SW (40 %), технологии HW (20 %).
Определение затрат компании на информационную безопасность подразумевает решение следующих трех задач:
• оценка текущего уровня ТСО корпоративной системы защиты информации и КИС в целом;
• аудит информационной безопасности компании на основе сравнения уровня защищенности компании и рекомендуемого (лучшая мировая практика) уровня ТСО;
• формирование целевой модели ТСО.Рассмотрим каждую из перечисленных задач.
Оценка текущего уровня ТСО. В ходе работ по оценке ТСО проводится сбор информации и расчет показателей ТСО организации по следующим направлениям:
• существующие компоненты ИС (включая систему защиты информации) и информационные активы компании (серверы, клиентские компьютеры, периферийные устройства, сетевые устройства);
• существующие расходы на аппаратные и программные средства защиты информации (расходные материалы, амортизация);
• существующие расходы на организацию информационной безопасности в компании (обслуживание СЗИ и СКЗИ, а также штатных средств защиты периферийных устройств, серверов, сетевых устройств, планирование и управление процессами защиты информации, разработку концепции и политики безопасности и пр.);
• существующие расходы на организационные меры защиты информации;
• существующие косвенные расходы на организацию информационной безопасности в компании, и в частности обеспечение непрерывности или устойчивости бизнеса компании.Аудит информационной безопасности компании. По результатам собеседования с ТОР-менеджерами компании и проведения инструментальных проверок уровня защищенности организации проводится анализ следующих основных аспектов:
• политики безопасности,
• организации защиты,
• классификации и управления информационными ресурсами,
• управления персоналом,
• физической безопасности,
• администрирования компьютерных систем и сетей,
• управления доступом к системам,
• разработки и сопровождения систем,
• планирования бесперебойной работы организации,
• проверки системы на соответствие требованиям информационной безопасности.На основе проведенного анализа выбирается модель ТСО, сравнимая со средними и оптимальными значениями для репрезентативной группы аналогичных организаций, имеющих схожие с рассматриваемой организацией показатели по объему бизнеса. Такая группа выбирается из банка данных по эффективности затрат на информационную безопасность и эффективности соответствующих профилей защиты аналогичных компаний.
Сравнение текущего показателя ТСО проверяемой компании с модельным значением показателя ТСО позволяет провести анализ эффективности организации информационной безопасности компании, в результате выявить «узкие» места в организации и причины их появления и выработать дальнейшие шаги по реорганизации корпоративной системы защиты информации и обеспечению требуемого уровня защищенности КИС.
Формирование целевой модели ТСО. По результатам проведенного аудита моделируется целевая (желаемая) модель, учитывающая перспективы развития бизнеса и корпоративной системы защиты информации (активы, сложность, методы лучшей практики, типы СЗИ и СКЗИ, квалификация сотрудников компании и т. п.).
Кроме того, рассматриваются капитальные расходы и трудозатраты, необходимые для проведения преобразований текущей среды в целевую среду. В трудозатраты на внедрение включаются затраты на планирование, развертывание, обучение и разработку. Сюда же входят возможные временные увеличения затрат на управление и поддержку.
Для обоснования эффекта от внедрения новой корпоративной системы защиты информации (ROSI) могут быть использованы модельные характеристики снижения совокупных затрат (ТСО), отражающие возможные изменения в корпоративной системе защиты информации.Виды затрат на систему информационной безопасности
Затраты на информационную безопасность подразделяются на следующие категории:
1. Затраты на формирование и поддержание звена управления системой защиты информации (организационные затраты):
• затраты на приобретение и ввод в эксплуатацию программно-технических средств: серверов, компьютеров конечных пользователей (настольных и мобильных), периферийных устройств и сетевых компонентов;
• затраты на приобретение и настройку средств защиты информации;
• затраты на содержание персонала, стоимость работ и аутсорсинг;
• затраты на формирование политики безопасности предприятия.2. Затраты на контроль (определение и подтверждение достигнутого уровня защищенности ресурсов предприятия):
• затраты на контроль:
– плановые проверки и испытания;
– затраты на проверки и испытания программно-технических средств защиты информации;
– затраты на проверку навыков эксплуатации средств защиты персоналом предприятия;
– затраты на обеспечение работы лиц, ответственных за реализацию конкретных процедур безопасности по подразделениям;