– оплата работ по контролю правильности ввода данных в прикладные системы;
– оплата инспекторов по контролю требований, предъявляемых к защитным средствам при разработке любых систем (контроль выполняется на стадии проектирования и спецификации требований);
• внеплановые проверки и испытания:
– оплата работы испытательного персонала специализированных организаций;
– обеспечение испытательного персонала (внутреннего и внешнего) материально-техническими средствами;
• контроль за соблюдением политики информационной безопасности:– затраты на контроль реализации функций, обеспечивающих управление защитой коммерческой тайны;
– затраты на организацию временного взаимодействия и координации между подразделениями для решения конкретных повседневных задач;
– затраты на проведение аудита безопасности по каждой автоматизированной информационной системе, выделенной в информационной среде предприятия;
– материально-техническое обеспечение системы контроля доступа к объектам и ресурсам предприятия;
• затраты на внешний аудит:
– затраты на контрольно-проверочные мероприятия, связанные с лицензионно-разрешительной деятельностью в сфере защиты информации.
3. Внутренние затраты на ликвидацию последствий нарушений политики информационной безопасности (затраты, понесенные организацией в результате того, что требуемый уровень защищенности не был достигнут):
• пересмотр политики информационной безопасности предприятия (проводится периодически):
– затраты на идентификацию угроз безопасности;
– затраты на поиск уязвимостей системы защиты информации;
– оплата работы специалистов, выполняющих работы по определению возможного ущерба и переоценке степени риска;
• затраты на ликвидацию последствий нарушения режима информационной безопасности:
– восстановление системы безопасности до соответствия требованиям политики безопасности;
– установка патчей или приобретение последних версий программных средств защиты информации;
– приобретение технических средств взамен пришедших в негодность;
– проведение дополнительных испытаний и проверок технологических информационных систем;
– затраты на утилизацию скомпрометированных ресурсов;
• восстановление информационных ресурсов предприятия:
– затраты на восстановление баз данных и прочих информационных массивов;
– затраты на проведение мероприятий по контролю достоверности данных, подвергшихся атаке на целостность;
• затраты на выявление причин нарушения политики безопасности:
– затраты на проведение расследований нарушений политики безопасности (сбор данных о способах совершения, механизме и способах сокрытия неправомерного деяния, поиск следов, орудий, предметов посягательства, выявление мотивов неправомерных действий и т. д.);
– затраты на обновление планов обеспечения непрерывности деятельности службы безопасности;
• затраты на переделки:
– затраты на внедрение дополнительных средств защиты, требующих существенной перестройки системы безопасности;
– затраты на повторные проверки и испытания системы защиты информации.4. Внешние затраты на ликвидацию последствий нарушения политики информационной безопасности:
• внешние затраты на ликвидацию последствий нарушения политики безопасности:
– обязательства перед государством и партнерами;
– затраты на юридические споры и выплаты компенсаций;
– потери в результате разрыва деловых отношений с партнерами;
• потеря новаторства:
– затраты на проведение дополнительных исследований и разработки новой рыночной стратегии;
– отказ от организационных, научно-технических или коммерческих решений, ставших неэффективными в результате утечки сведений, и затраты на разработку новых средств ведения конкурентной борьбы;
– потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно-технические достижения;
• прочие затраты:
– заработная плата секретарей и служащих, организационные и прочие расходы, которые непосредственно связаны с предупредительными мероприятиями;
– другие виды возможного ущерба предприятию, в том числе связанные с невозможностью выполнения функциональных задач, определенных его уставом.5. Затраты на техническое обслуживание системы защиты информации и мероприятия по предотвращению нарушений политики безопасности предприятия (предупредительные мероприятия):
• затраты на управление системой защиты информации:
– затраты на планирование системы защиты информации предприятия;
– затраты на изучение возможностей информационной инфраструктуры предприятия по обеспечению безопасности информации ограниченного распространения;
– затраты на осуществление технической поддержки производственного персонала при внедрении средств защиты и процедур, а также планов по защите информации;
– проверка сотрудников на лояльность, выявление угроз безопасности;
– организация системы допуска исполнителей и сотрудников конфиденциального делопроизводства с соответствующими штатами и оргтехникой;
• регламентное обслуживание средств защиты информации:
– затраты, связанные с обслуживанием и настройкой программно-технических средств защиты, операционных систем и используемого сетевого оборудования;
– затраты, связанные с организацией сетевого взаимодействия и безопасного использования информационных систем;
– затраты на поддержание системы резервного копирования и ведения архива данных;
– проведение инженерно-технических работ по установлению сигнализации, оборудованию хранилищ конфиденциальных документов, защите телефонных линий связи, вычислительной техники и т. п.;
• аудит системы безопасности:
– затраты на контроль изменений состояния информационной среды предприятия;
– затраты на систему контроля за действиями исполнителей;
• обеспечение должного качества информационных технологий:
– затраты на обеспечение соответствия требованиям качества информационных технологий, в том числе анализ возможных негативных аспектов информационных технологий, которые влияют на целостность и доступность информации;
– затраты на доставку (обмен) конфиденциальной информации;
– удовлетворение субъективных требований пользователей: стиль, удобство интерфейса и др.;
• обеспечение требований стандартов:
– затраты на обеспечение соответствия принятым стандартам и требованиям, достоверности информации, действенности средств защиты;
• обучение персонала:
– повышение квалификации сотрудников предприятия в вопросах использования имеющихся средств защиты, выявления и предотвращения угроз безопасности;
– развитие нормативной базы службы безопасности.Пример использования методики Total Cost of Ownership
Допустим, что объектом исследования является страховая компания ЗАО «Страхование». Название компании вымышленное, возможные совпадения случайны и носят непреднамеренный характер.
Для определения затрат на систему информационной безопасности по методике совокупной стоимости владения воспользуемся программным продуктом ТСО Manager компании Gartner Group. Технология работы с ПП ТСО Manager заключается в следующем: пользователь вводит первоначальные данные об объекте (профайл компании, данные о конечных пользователях, об информационных активах предприятия), исходя из них определяется текущий показатель ТСО и вычисляются ежегодные затраты на поддержание существующего уровня безопасности. Также ТСО Manager позволяет оптимизировать показатель ТСО, сравнив текущий показатель ТСО компании с «лучшим» в отрасли и смоделировав целевой показатель ТСО для данного предприятия.
Теперь обратимся к исходным данным по ЗАО «Страхование» и вычислим текущий показатель ТСО.
Название компании – ЗАО «Страхование».
Период анализа – январь-декабрь 2004 года.
Основной вид деятельности – страхование.
Общий годовой доход – 450 млн. руб.
Количество рабочих часов в год – 1880 час/год.
Средняя годовая зарплата конечных пользователей – 38 тыс. руб.
Средний процент, отчисляемый на налоги, медицинское страхование, страхование от несчастных случаев и т. д. персонала службы безопасности (ЕСН) – 37 %.
Средний процент, отчисляемый на налоги, медицинское страхование, страхование от несчастных случаев и т. д. конечных пользователей (ЕСН) – 37 %.
Количество конечных пользователей – 2 869 чел.
Классификация конечных пользователей представлена в табл. П5.2-П5.3.
Таблица П5.2. Классификация конечных пользователей по типам Таблица П5.3. Классификация конечных пользователей по местоположению Таблица П5.4. Сравнение текущего и целевого уровней системы защитыФорма ввода данных «Интервью» в ТСО Manager содержит сведения об информационных активах предприятия (аппаратные средства и программное обеспечение), информацию о конечных пользователях, и на основании этих данных мы получаем следующие отчеты (см. табл. П5.5-П5.7).
Также ТСО Manager, используя практический подход к определению совокупной стоимости владения, позволяет сравнивать текущие затраты с эталонными («лучшими в группе») и строить целевые показатели затрат (см. табл. П5.5-П5.15). В частности, в табл. П5.6-П5.15. приведена детализация и расшифровка укрупненных прямых и косвенных затрат, которые отображены в табл. П5.5.
Таблица П5.5. Анализ затрат по показателям ТСООкончание табл. П5.5
Таблица П5.6. Детализация затрат на программное обеспечение и оборудование по категориям Таблица П5.7. Расшифровка затрат на аппаратные средства Таблица П5.8. Расшифровка затрат на программное обеспечение Таблица П5.9. Детализация операционных затрат Таблица П5.10. Расшифровка затрат на обслуживание клиентских мест и периферийных устройств Таблица П5.11. Расшифровка затрат на обслуживание серверов Таблица П5.12. Расшифровка затрат на планирование и управление процессами