- •Содержание
- •Введение
- •Индивидуальное задание №1 методика расчета совокупной стоимости владения информационными технологиями на основе статистической модели
- •Общие сведения
- •Составляющие затрат
- •Статистическая информация
- •Прямые затраты Затраты на оборудование и по
- •Затраты на управление и персонал
- •Затраты на развитие
- •Затраты на связь
- •Непрямые затраты
- •Затраты пользователя на ит
- •Простои
- •Пример расчета ссв
- •Как снизить издержки
- •Порядок выполнения задания
- •Вопросы для контроля
- •Индивидуальное задание № 2 изучение факторов влияющих на величину совокупной стоимости владения
- •Общие сведения
- •Факторы, влияющие на величину совокупной стоимости владения
- •Факторы увеличивающие стоимость владения
- •Факторы уменьшающие стоимости владения
- •Пример расчета стоимости простоя сервера
- •Порядок выполнения задания
- •Вопросы для контроля
- •Индивидуальное задание №3 оценка затрат компании на информационную безопасность
- •Общие сведения
- •История вопроса
- •Методика тсо компании Gartner Group
- •Пример оценки затрат на иб
- •Характеристики базового и повышенного уровня защиты
- •Статьи расходов базового и повышенного уровня защиты
- •Пример расчета тсо
- •Вопросы для контроля
- •Индивидуальное задание № 4 оценка эффективности внедрения ит-проекта
- •Понятие эффективности
- •Показатели эффективности хозяйственной деятельности предприятия и использования отдельных видов ресурсов
- •Расчёт этих показателей производится по следующим схемам на основе использования необходимой информации:
- •Расчёт затрат
- •34064 Грн. (см. Таблицу 1.1).
- •4726,9 Грн. (см. Таблицу 1.2).
- •Обоснование социально-экономической эффективности разработки
- •Вопросы для контроля.
Пример оценки затрат на иб
В качестве примера использования методики ТСО для обоснования инвестиций на ИБ давайте рассмотрим проект создания корпоративной системы защиты информации от вирусов и враждебных апплетов, интегрированной с системой контроля и управления доступом на объекте информатизации.
Для этого сначала условно определим три возможных степени готовности корпоративной системы защиты от вирусов и враждебных апплетов, а именно: базовую, среднюю и высокую.
Базовая: Стационарные и мобильные рабочие станции обладают локальной защитой от вирусов. Антивирусное программное обеспечение и базы сигнатур регулярно обновляются для успешного распознавания и парирования новых вирусов. Установлена программа автоматического уничтожения наиболее опасных вирусов. Основная цель уровня – организация минимальной защиты от вирусов и враждебных апплетов при небольших затратах.
Средняя: Установлена сетевая программа обнаружения вирусов. Управление программными обновлениями на сервере автоматизировано. Системный контроль над событиями оповещает о случаях появления вирусов и предоставляет информацию по предотвращению дальнейшего распространения вирусов. Превентивная защита от вирусов предполагает выработку и следование определенной политики защиты информации передаваемой по открытым каналам связи Интернет. Дополнительно к техническим мерам активно предлагаются и используются организационные меры защиты информации.
Высокая: Антивирусная защита воспринимается как один из основных компонентов корпоративной системы защиты. Система антивирусной защиты тесно интегрирована в комплексную систему централизованного управления ИБ компании и обладает максимальной степенью автоматизации. При этом организационные меры по защите информации преобладают над техническими мерами. Стратегия защиты информации определяется исключительно стратегией развития бизнеса компании.
Также условно выделим три степени готовности системы контроля и управления доступом: базовая, средняя, высокая.
Базовая: Ведется учет серийных номеров как минимум рабочих станций и серверов, инвентаризационные таблички крепятся на соответствующее аппаратное обеспечение. Введена процедура контроля перемещения аппаратных средств корпоративной информационной системы. Проводятся постоянные и периодические инструктажи персонала компании. Особое внимание уделяется мобильным компонентам корпоративной информационной системы.
Средняя: Используются механические и электронные замки, шлюзовые кабины и турникеты. Организованы контрольно-пропускные пункты и проходные. Осуществляется видеонаблюдение на объекте информатизации. Требования к персоналу определены и доведены под роспись. Разработаны инструкции по действию в штатных и внештатных ситуациях. Задействованы частные и государственные охранные предприятия и структуры.
Высокая: Обеспечение физической безопасности аппаратных средств является частью единой политики безопасности, утвержденной руководством компании. Активно используются весь комплекс мер защиты информации, начиная с организационного и заканчивая техническим уровнями.
Проект по созданию корпоративной системы защиты информации от вирусов предполагает определенное развитие и переход от некоторого базового уровня (0 уровень) к более высокому (10 уровню согласно лучшей практики). В табл. 3.1 приведены характеристики процесса развития корпоративной системы защиты информации на выделенных уровнях защиты.
Таблица 3.1.