1.2 Пример оценки затрат на иб

В качестве примера использования методики ТСО для обоснования инвестиций на ИБ давайте рассмотрим проект создания корпоративной системы защиты информации от вирусов и враждебных апплетов, интегрированной с системой контроля и управления доступом на объекте информатизации.

Для этого сначала условно определим три возможных степени готовности корпоративной системы защиты от вирусов и враждебных апплетов, а именно: базовую, среднюю и высокую.

Базовая: Стационарные и мобильные рабочие станции обладают локальной защитой от вирусов. Антивирусное программное обеспечение и базы сигнатур регулярно обновляются для успешного распознавания и парирования новых вирусов. Установлена программа автоматического уничтожения наиболее опасных вирусов. Основная цель уровня – организация минимальной защиты от вирусов и враждебных апплетов при небольших затратах.

Средняя: Установлена сетевая программа обнаружения вирусов. Управление программными обновлениями на сервере автоматизировано. Системный контроль над событиями оповещает о случаях появления вирусов и предоставляет информацию по предотвращению дальнейшего распространения вирусов. Превентивная защита от вирусов предполагает вы работку и следование определенной политики защиты информации передаваемой по открытым каналам связи Интернет. Дополнительно к техническим мерам активно предлагаются и используются организационные меры защиты информации.

Высокая: Антивирусная защита воспринимается как один из основных компонентов корпоративной системы защиты. Система антивирусной защиты тесно интегрирована в комплексную систему централизованного управления ИБ компании и обладает максимальной степенью автоматизации. При этом организационные меры по защите информации преобладают над техническими мерами. Стратегия защиты информации определяется исключительно стратегией развития бизнеса компании.

Также условно выделим три степени готовности системы контроля и управления доступом: базовая, средняя, высокая.

Базовая: Ведется учет серийных номеров как минимум рабочих станций и серверов, инвентаризационные таблички крепятся на соответствующее аппаратное обеспечение. Введена процедура контроля перемещения аппаратных средств КИС. Проводятся постоянные и периодические инструктажи персонала компании. Особое внимание уделяется мобильным компонентам КИС.

Средняя: Используются механические и электронные замки, шлюзовые кабины и турникеты. Организованы контрольно-пропускные пункты и проходные. Осуществляется видеонаблюдение на объекте информатизации. Требования к персоналу определены и доведены под роспись. Раз работаны инструкции по действию в штатных и внештатных ситуациях. Задействованы частные и государственные охранные предприятия и структуры.

Высокая: Обеспечение физической безопасности аппаратных средств является частью единой политики безопасности, утвержденной руководством компании. Активно используются весь комплекс мер защиты информации, начиная с организационного и заканчивая техническим уровнями.

Проект по созданию корпоративной системы защиты информации от вирусов предполагает определенное развитие и переход от некоторого базового уровня (0 уровень) к более высокому (10 уровню лучшей практики). В табл. 1 приведены характеристики процесса развития корпоративной системы защиты информации на выделенных уровнях защиты.

Табл. 1. Характеристики базового и высокого уровня защиты

Процесс	Задача	Базовый уровень (0)	Высокий уровень (10)
Защита от вирусов	Каким образом распространяются обновления механизма антивирусной защиты?	Ничего не делается или нет информации	Используется автоматическое обновление антивирусного обеспечения
	Какая степень защиты от вирусов является допустимой?	Нет механизма защиты от вирусов	Защита от вирусов устанавливается ИС службой и не доступна пользователям для изменений
	Какой процент клиентских мест поддерживается серверной антивирусной защитой?	0 %	100 %
	Как устраняются последствия вирусных атак (в процентном отношении к числу вирусных событий)?	Пользователь самостоятельно восстанавливает поврежденные файлы и систему, протокол событий не ведется	ИС персонал уведомляется об инциденте, проводятся исследования, и предпринимаются нейтрализующие меры, на местах поддерживается БД вирусных событий
Управление безопасностью	Что делается для гарантии безопасности критичных данных (информация, которая является критичной по отношению к миссии каждого отдельного предприятия)	Ничего не делается	Инструментальные средства шифрования и обеспечения безопасности закупаются у третьей стороны
	Что делается для гарантии физической безопасности помещений с целью предотвращения случаев воровства и преступного использования оборудования?	Применяются сигналы тревоги о нарушении безопасности	Используются такие средства безопасности, как смарт-карты или биометрические устройства

В табл. 2 представлен список статей и возможный уровень снижения расходов при развитии процессов управления информационной безопасности и защиты от вирусов (начиная от 0-го уровня и заканчивая 10-м).

Табл. 2. Статьи расходов базового и повышенного уровня защиты

Статья затрат	Защита от вирусов	Управление безопасностью
Операции	2,600 $	0,000 $
Технические услуги	1,300 $	0,000 $
Решение проблем 2 уровня	0,000 $	6,500 $
Решение проблем 3 уровня	0,000 $	2,600 $
Администрирование конечных пользователей	2,600 $	0,000 $
Установка аппаратного обеспечения	1,300 $	1,300 $
Резервное копирование, архивирование и восстановление	18,200 $	2,600 $
Управление системными исследованиями, планированием и продуктами	19,500 $	0,000 $
Безопасность и защита от вирусов	5,200 $	2,600 $
Восстановление деятельности	1,268 $	0,618 $
Административные расходы	0,000 $	5,200 $
Финансовые службы и администрация	0,000 $	1,300 $
Супервизорское управление	0,000 $	2,600 $
Административная поддержка ИС	6,500 $	0,000 $
Управление активами	6,500 $	0,000 $
Аудит	6,500 $	0,000 $
Закупка, снабжение и управление контрактами	6,500 $	2,600 $
Затраты конечных пользователей на поддержку ИС	10,400 $	10,400 %
Количество часов в месяц, затраченных на управление файлами, данными и резервным копированием	36	0
Количество часов в месяц, затраченных на поиск источника поддержки	22	18
Количество часов в месяц, затраченных на поддержку пользователями друг друга	8	0
Количество часов в месяц, затраченных на самоподдержку пользователей	17	0
Количество незапланированных простоев в месяц	9	1

В табл. 3 и на рис. 1 показан уровень снижения расходов при переходе на более высокий уровень защищенности КИС (переход с 0-го уровня на 10-й). Поученные данные о снижении ТСО в среднем на 230 тыс. долл. в год позволяют обосновать инвестиции в размере около 600 тыс. долл. на защиту от вирусов. При этом период окупаемости составляет не более 3 лет.

Табл. 3. Уровень снижения расходов при внедрении методов лучшей практики

Расходы на ИТ	Защита от вирусов -0, Безопасность –0	Защита от вирусов -10, Безопасность -0	Защита от вирусов -0, Безопасность -10	Защита от вирусов -10, Безопасность -10
Совокупная стоимость владения (TCO)	$14,905,090	$14,659,236	$14,796,746	$14,563,990
Расходы на HW/SW	$9,183,334	$9,212,787	$9,211,699	$9,241,232
Расходы на операции ИС	$1,402,287	$1,376,061	$1,394,232	$1,368,450
Административные расходы	$426,758	$425,554	$423,952	$422,748
Расходы на операции конечных пользователей	$2,772,377	$2,636,870	$2,758,898	$2,624,287
Расходы на простои	$1,120,334	$1,007,965	$1,007,965	$907,273

Дадим комментарий к указанным расходам.

Расходы на аппаратные средства и программное обеспечение. Эта категория модели ТСО включает серверы, компьютеры клиентов (настольные и мобильные компьютеры), периферийные устройства и сетевые компоненты. Расходы на аппаратно-программные средства ИС также входят в эту категорию.

Расходы на операции ИС. Прямые затраты на содержание персонала, стоимость проектови аутсорсинг, произведенные компанией в целом, бизнес-подразделениями или ИС службой для осуществления технической поддержки и операций по поддержанию инфраструктуры для пользователей распределенных вычислений.

Административные расходы. Прямые затраты на персонал, обеспечение деятельности и расходы внутренних/внешних поставщиков на поддержку ИС операций, включающих управление, финансирование, приобретение и обучение ИС.

Расходы на операции конечных пользователей. Это затраты на самоподдержку конечных пользователей, а также на поддержку пользователей друг друга в противовес официальной ИС поддержке. Затраты включают: самостоятельную поддержку, официальное обучение конечных пользователей, нерегулярное (неофициальное) обучение, самостоятельные прикладные раз работки, поддержку локальной файловой системы.

Расходы на простои. Данная категория учитывает ежегодные потери производительности конечных пользователей от запланированных и незапланированных отключений сетевых ресурсов, включая клиентские компьютеры, совместно используемые серверы, принтеры, прикладные программы, коммуникационные ресурсы и ПО для связи. Для анализа фактической стоимости простоев, которые связаны с перебоями в работе сети и которые оказывают влияние на производительность, исходные данные получают из обзора по конечным пользователям. Рассматриваются только те простои, которые ведут к потере производительности.

В табл. 4 и на рис. 2 показан пример расчета ТСО для организаций, обладающих средним уровнем защищенности КИС (5-й уровень).

Таким образом, применение методики ТСО для обоснования инвестиций в проекты обеспечения информационной безопасности на предприятии вполне обосновано и имеет право на существование. При этом выбор конкретной методики оценки затрат на ИБ находится в сфере ответственности руководителей соответствующих служб и отделов защиты информации.

Табл. 4. Пример расчета ТСО

Расходы на ИТ	Защита от вирусов-0, безопасность -0	Защита от вирусов -10, безопасность -0	Защита от вирусов -0, безопасность -10	Защита от вирусов -10, безопасность -10
Совокупная стоимость владения (TCO)	$12,326,994	$12,234,237	$12,302,964	$12,215,093
Расходы на HW/SW	$8,884,604	$8,912,435	$8,915,619	$8,943,557
Расходы на операции ИС	$1,016,789	$999,693	$1,011,027	$994,231
Административные расходы	$397,553	$396,525	$395,408	$394,398
Расходы на операции конечных пользователей	$1,611,683	$1,549,384	$1,604,710	$1,542,839
Расходы на простои	$416,365	$376,201	$376,201	$340,068