ЛЕКЦИИ

для подготовки к экзамену по дисциплине «Методы и средства защиты компьютерной информации»

Данная дисциплина рассматривает экономические проблемы защиты информационных ресурсов и поддерживающей их инфраструктуры. Сформируем подходы к определению затрат на защиту информации, к оценке эффективности системы защиты и страхования информации.

Для многих коммерческих организаций важно обосновать вложения в ИБ. Каждый из Вас попадал в ситуацию, когда при выделении бюджета отделу ИБ руководитель просил обосновать вкладываемые средства. Сразу возникают вопросы – что я буду иметь с этого? Какова будет отдача? Сколько я получу с этого? Когда вернутся вложенные инвестиции? И т.д. В рамках этого курса мы научимся отвечать на данные вопросы.

Оценивать эффективность СЗИ мы будем через понятие риска ИБ – возможных потерь организации от реализации определенных угроз.

Не следует считать (как считают некоторые), что ИБ – это всегда убыточная область. Вкладывая деньги в ИБ, мы уменьшаем риски организации, возможный ущерб, который она понесет, а это приносит определенный доход организации.

С этими вопросами мы и познакомимся в рамках данного курса.

ЛИТЕРАТУРА

1. 
   Петренко С.А., Петренко А.А. Аудит безопасности INTRANET. М: АйТи, 2002.
   
2. 
   Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. М.: АйТи, 2004.
   
3. 
   С.Симонов. Технологии и инструментарий для управления рисками. Jet Info, № 2, 2003.
   
4. 
   С. Симонов. Анализ рисков, управления рисками. Jet Info, № 1, 1999.
   
5. 
   С. Петренко, С. Симонов, Р. Кислов. Информационная безопасность: экономические аспекты. Jet Info, № 10, 2003.
   
6. 
   В.В. Ковалев. Методы оценки инвестиционных проектов. М.: Финансы и статистика, 2003.
   
7. 
   NIST 800-30 “Risk Management Guide for Information Technology Systems”. www.nist.gov Руководство по управлению рисками информационных систем
   
8. 
   Бизнес-ориентированное управление ИТ на современном предприятии. Jet Info № 5, 2005.
   

РАЗДЕЛ 1. ЭКОНОМИЧЕСКИЕ АСПЕКТЫ ЗИ

1.1. Принцип разумной достаточности. Подходы к обоснованию стоимости корпоративной системы защиты

Сегодня высшее руководство любой компании при осуществлении управления, по существу имеет дело только с информацией - и на ее основе принимает решения. Информация в настоящее время решает все.

Вы знаете, что информация в настоящее время уже давно стала товаром, который можно покупать и продавать на рынке, иногда – за достаточно большие деньги. Как и любой товар, информация имеет свою цену, за которую она покупается и продается, и как любой ценный ресурс – подлежит защите.

Отечественный ИТ-рынок в последние несколько лет динамично развивается, по оценкам экспертов его рост превышает 10% в год. При этом сектор информационной безопасности (ИБ) развивается еще более быстрыми темпами — более чем на 25% в год. Такой рост определяется в основном двумя факторами: возросшим вниманием руководства к обеспечению ИБ и недостаточным уровнем ИБ в существующих информационных системах (ИС). Понятно, что долго такие темпы роста сектора ИБ сохраняться не смогут, они замедлятся, и вопросы оценки эффективности затрат в области ИБ встанут весьма остро. Уже сейчас в отечественных ИС с повышенными требованиями в области ИБ (банковские системы, ответственные производства, и т.д.) затраты на обеспечение режима ИБ составляют до 30% всех затрат на ИС, и владельцы информационных ресурсов серьезно рассматривают экономические аспекты обеспечения ИБ. Даже в тех ИС, уровень ИБ которых явно не достаточен, у технических специалистов зачастую возникают проблемы обоснования перед руководством (владельцами информационных ресурсов) затрат на повышение этого уровня. Начальники служб автоматизации, исполнительные директора, начальники служб информационной безопасности должны иметь понятные для бизнеса аргументы для обоснования инвестиций в ИБ, т.е., по сути, представлять обоснование стоимости системы ИБ для бизнеса.

Таким образом, в настоящее время комплексное управление процессами обеспечения информационной безопасностью (ИБ) подразумевает не просто бесцельное внедрение совокупности средств и систем защиты. ИБ превратилась в науку о реализации адекватного и эффективного по качеству и стоимости подхода к обеспечению защищенности всех элементов ИТ. Такой взгляд на проблему ИБ неизбежно требует определения показателей и метрик, позволяющих сравнивать защищенность различных систем ИТ, сравнивать эффективность контрмер, ранжировать угрозы и уязвимости по своей важности.

Для любых компаний очень важно деньги в ЗИ вкладывать обоснованно. В информационной безопасности известен принцип разумной достаточности, который гласит следующее:

Создание 100% надежной системы защиты информации невозможно в принципе, в любых случаях остается ненулевая возможность реализации какой-либо угрозы либо уязвимости. Любая система защиты информации может быть взломана, это вопрос только времени и потраченных злоумышленником средств. Поэтому бесконечно вкладывать деньги в обеспечение ИБ бессмысленно, необходимо когда-то остановиться (вопрос только в выборе этого порога). Согласно принципу разумной достаточности, стойкость СЗИ считается достаточной, если время взлома злоумышленником СЗИ превосходит время старения информации (либо некоторый разумный предел), либо стоимость взлома системы защиты информации превосходит стоимость полученной злоумышленником выгоды от взлома. В последнем случае, если злоумышленник является нормальным экономическим субъектом (не фанат, с психикой все в порядке), то он конечно не будет работать себе в убыток.

Пример

Возьмем парольную систему идентификации и аутентификации пользователей ОС Windows 2000. Предположим, что пользовательские пароли выбираются длиной 10 символов и используется следующий алфавит символов (наиболее распространенный):

1. Английские малые и большие буквы.

2. Цифры.

3. Специальные знаки (13 штук).

Пространство атаки хэша NTLM в этом случае = (26+26+10+13)¹⁰=75¹⁰

Пространство атаки хэша LANMAN в этом случае = (26+10+13)⁷+(26+10+13)³=49⁷+49³.

Скорость перебора паролей программой SAMInside составляет около 7*10⁶ паролей в секунду.

Тогда гарантированное время взлома составляет (49⁷+49³) / (7*10⁶) секунд = 96889 секунд = 27 часов. В этом случае, даже если пароли менять каждый день, то вероятность взлома будет близка к единице.

Если к алфавиту символов добавить русские буквы, то гарантированное время взлома составляет 41 сутки. Если пароли менять каждую неделю, то вероятность взлома будет составлять 1/7. В обоих случаях, стойкость – недостаточна, время взлома ненамного превосходит время старения информации (смена пароля).

Однако, если выбрать пароль 15 символов (хеша LANMAN не будет), то гарантированное время взлома при первом наборе символов будет составлять 75¹⁵/10⁷ секунд = 42375 млрд. лет, в этом случае даже меняя пароль один раз в год, мы получим достаточную стойкость системы защиты.

Второй вариант – использовать аппаратные ключи и аппаратные устройства (однако, придется принимать во внимание их стоимость, и стоимость защищаемой информации).

Существует, как минимум, два подхода к обоснованию стоимости корпоративной системы защиты.

Первый подход – (наукообразный) - заключается в том, чтобы применить на практике необходимый инструментарий получения мет­рики и меры безопасности, а для этого привлечь руководство компании (как ее собственника) к оценке стоимости защищаемой информации, определений возможностей реализации потенциальных угроз и уязвимостей, а также потенциального ущерба. Наиболее известный показатель, позволяющий характеризовать меру безопасности, сравнивать защищенность различных систем ИТ, сравнивать эффективность контрмер – есть риск ИБ. Через риск достаточно эффективно считается наиболее экономичный вариант реализации контрмер.

Второй подход (практический) состоит в следующем: можно попро­бовать найти инвариант разумной стоимости корпоративной системы защиты ин­формации. Ведь существуют аналогичные инварианты в других областях, где зна­чимые для бизнеса события носят вероятностный характер. Например, на рынке автострахования некоторая общая оценка разумной стоимости такой услуги, как страхование собственного автомобиля, составляет от 5 до 15% его рыночной цены - в зависимости от локальных условий эксплуатации, культуры и опыта вож­дения водителя, интенсивности движения, состояния дорог и т.д. Эксперты-практики в области защиты информации нашли некий оптимум, позволяющий чувствовать себя относительно уверенно, - стоимость системы ИБ должна составлять пример­но 10-20% от стоимости КИС - в зависимости от уровня конфиденциальности информации (но надо их еще правильно вложить). Это и есть та самая оценка на основе практического опыта (best practice), на которую можно положиться. И на вопрос «А почему для создания адекватной целям и задачам бизнеса корпоративной системы защиты информации требуется сто тысяч долларов?» отвечать «Потому что на сегодняшний день сто­имость нашей КИС составила один миллион долларов!». Очевидно, что второй подход не лишен недостатков. Здесь, скорее всего, не уда­стся заставить руководство глубоко осознать проблемы ИБ. Но зато можно смело прогнозировать объем бюджета на ИБ и существенно сэкономить на услугах внеш­них консультантов.

Под риском информационной безопасности будем понимать возможные потери собственника или пользователя информации и поддерживающей инфраструктуры связанные с реализацией некоторой угрозы.

1. Риск нарушения конфиденциальности информации (информация - товар).

2. Риск нарушения целостности информации (Магнитогорск, Dr Paper).

3. Риск нарушения доступности информации, доступности сервисов – Владивосток. Организации сейчас жестко завязаны на автоматизацию, на сервисы, несут огромные потери от их простаивания (это ущерб). Не даром сейчас вводят такого рода процессы, как управление доступностью сервисов, управление непрерывностью и т.д.

1.2. Информация как товар

Современное общество называется информационным. Широкое развитие средств вычислительной техники и связи позволило собирать, хранить, обрабатывать и передавать информацию в таких объемах и с такой оперативностью, которые были немыслимы раньше. Благодаря новым информационным технологиям производственная и не производственная деятельность человека, его повседневная сфера общения безгранично расширяются за счет вовлечения опыта, знаний и духовных ценностей, выработанных мировой цивилизацией, и сама экономика все в меньшей степени характеризуется как производство материальных благ и все большей - как распространение информационных продуктов и услуг. И уже вряд ли стоит возражать против сложившихся и укоренившихся в теории и практике употребления таких словосочетаний как "информация - это товар". Тем более, что отнесение информации к категории "товара" юридически закреплено законодательно: информационные ресурсы могут быть товаром.

Как любой товар, информация может покупаться, продаваться, и т.д.

Информация сейчас – важнейший ресурс экономики. Кто владеет информацией – владеет всем!

Следующим важнейшим свойством информации, как товара, является ее цена. Главная черта рыночного ценообразования состоит в том, что реальный процесс формирования цен здесь происходит не в среде производства, а в среде реализации продукции, т.е. на рынке под воздействием спроса и предложения. Цена товара и его полезность проходят проверку рынком и окончательно формируются на рынке. Формирование цены на информационные продукты и услуги осуществляется на основе анализа рентабельности предлагаемой информации и конъюнктуры рынка. Например, создание автоматизированных баз данных. Факторами, влияющими на установление цен, являются затраты на разработку информационного продукта, качество представленной информации, а также ожидаемый спрос на тот или иной информационный продукт.
Цена информации в предпринимательской деятельности может также определяться, как величина ущерба, который может быть нанесен фирме в результате использования коммерческой информации конкурентами. Или наоборот прибыли (дохода), который может быть получен фирмой в результате получения коммерческой информации.

Таким образом, информация как особый вид ресурсов и фактор общественного развития становиться и особым видом продукта с присущими ему всеми свойствами товара. Наблюдается переход от индустриальной экономики к экономике, основанной на информации, на новой информационной технологии как совокупности информационно- технологических процессов.

На сегодня рынок информации в России многообразен и динамичен. Активно используя самые совершенные технологии, он расширяется за счет формирования новых общественных потребностей и начинает доминировать в российской экономике наряду с энергетическим рынком. Чтобы оценить масштабность рынка информации, достаточно посмотреть на его структуру. В число основных секторов этого рынка входят:

• 
  традиционные средства массовой информации (телевидение, радио, газеты);
  
• 
  справочные издания (энциклопедии, учебники, словари, каталоги и т.д.);
  
• 
  справочно-информационные службы (телефонные службы, справочные бюро, доски объявлений и др.);
  
• 
  консалтинговые службы (юридические, маркетинговые, налоговые и др.);
  
• 
  компьютерные информационные системы и базы данных
  

Как уже было сказано, часть информации обращающейся в фирме представляет собой конфиденциальную информацию, чаще она называется коммерческой тайной (КТ).

Под КТ предприятия понимаются не относящиеся к государственным секретам сведения, связанные с производством, технологией, управлением, финансами и другой деятельностью предприятия, разглашение (передача, утечка) которых может нанести ущерб его интересам.

Состав и объем сведений составляющих КТ, определяются руководством предприятия. Для того, чтобы иметь возможность контролировать деятельность предприятий, Правительство России выпустило 05.12.91 г. Постановление № 35 "О перечне сведений, которые не могут составлять коммерческую тайну".

Перечень сведений, относящихся к КТ и носящий рекомендательный характер, может быть сгруппирован по тематическому принципу. Сведения, включенные в данный перечень, могут быть КТ только с учетом особенностей конкретного предприятия (организации).

1. Сведения о финансовой деятельности - прибыль, кредиты, товарооборот; финансовые отчеты и прогнозы; коммерческие замыслы; фонд заработной платы; стоимость основных и оборотных средств; кредитные условия платежа; банковские счета; плановые и отчетные калькуляции.

2. Информация о рынке - цены, скидки, условия договоров, спецификация продукции, объем, история, тенденции производства и прогноз для конкретного продукта; рыночная политика и планирование; маркетинг и стратегия цен; отношения с потребителем и репутация; численность и размещения торговых агентов; каналы и методы сбыта; политика сбыта; программа рекламы.

3. Сведения о производстве продукции - сведения о техническом уровне, технико-экономических характеристиках разрабатываемых изделий; сведения о планируемых сроках создания разрабатываемых изделий; сведения о применяемых и перспективных технологиях, технологических процессах, приемах и оборудовании; сведения о модификации и модернизации ранее известных технологий, процессов, оборудования; производственные мощности; состояние основных и оборотных фондов; организация производства; размещение и размер производственных помещений и складов; перспективные планы развития производства; технические спецификации существующей и перспективной продукции; схемы и чертежи новых разработок; оценка качества и эффективности.

4. Сведения о научных разработках - новые технологические методы, новые технические, технологические и физические принципы; программы НИР; новые алгоритмы; оригинальные программы.

5. Сведения о материально-техническом обеспечении - сведения о составе торговых клиентов, представителей и посредников; потребности в сырье, материалах, комплектующих узлах и деталях, источники удовлетворения этих потребностей; транспортные и энергетические потребности.

6. Сведения о персонале предприятия - численность персонала предприятия; определение лиц, принимающих решения.

7. Сведения о принципах управления предприятием - сведения о применяемых и перспективных методах управления производством; сведения о фактах ведения переговоров, предметах и целей совещаний и заседаний органов управления; сведения о планах предприятия по расширению производства; условия продажи и слияния фирм.

8. Прочие сведения - важные элементы системы безопасности, кодов и процедур доступа, принципы организации защиты коммерческой тайны.

Законом РФ от 02.12.90г. "О банках и банковской деятельности" введено понятие "банковской тайны".

Под банковской тайной подразумевается обязанность кредитного учреждения сохранять тайну по операциям клиентов, ограждение банковских операций от ознакомления с ними посторонних лиц, прежде всего конкурентов того или иного клиента, тайну по операциям, счетам и вкладам своих клиентов и корреспондентов. Иначе банковскую тайну можно определить как личную тайну банка. В итоге КТ банка включает КТ самого банка и личную тайну вкладчика.

Нецелесообразно превращать информацию в коммерческую тайну идеи и сведения, которые общеизвестны. То есть следует различать информацию, имеющую коммерческую ценность, и информацию, представляющую научный и теоретический интерес.
Американцы, например, (в "Практике защиты коммерческой тайны в США") предлагают двухчленное деление сведений, составляющих КТ: технология и деловая информация.

Первая группа коммерческих секретов представляет интерес для конкурентов потому, что может быть применена ими для производства таких же товаров с использованием технических и технологических решений данного предприятия.

Вторая группа - деловая информация, содержащая КТ, может учитываться конкурентом в борьбе с предприятием за рынок сбыта клиентов, покупателей, для навязывания невыгодных сделок.
Коммерческая информация может быть ранжирована по степени ее важности для предприятия с тем, чтобы регулировать ее распространение среди работающих на предприятии, указывать пользователей этой информации, уровень ее защиты и т.д.

Для обозначения степени важности коммерческой информации для предприятия можно предложить систему обозначения степени ее секретности:

Коммерческая тайна - строго конфиденциально (КТ-СК).
Коммерческая тайна - конфиденциально (КТ-К).
Коммерческая тайна (КТ).
РАЗДЕЛ 2. СТОИМОСТЬ КОРПОРАТИВНОЙ СЗИ

2.1 Кривая затрат на информационную безопасность. Связь затрат на информационную безопасность и уровень достигаемой защищенности. Анализ кривой затрат на ИБ

Общие затраты на безопасность складываются из:

1. 
   затрат на предупредительные мероприятия;
   
2. 
   затрат на контроль;
   
3. 
   затрат на восполнение потерь (внешних и внутренних).
   

С из­менением уровня защищенности информационной среды изменяются величины составляющих общих затрат и, соответственно, их сумма - общие затраты на безо­пасность. Взаимосвязь между всеми затратами на безопасность, общими затратами на безопасность и уровнем защищенности информационной среды предприятия мо­жет быть представлена так, как это изображено на рисунке ниже.

.Снижение общих затрат

Из примера, представленного на рисунке видно, что достигаемый уровень защищенности измеряется в категориях «большой риск» и «риск отсутствует» (совершенная защита). Рассматривая левую сторону графика (большой риск), мы видим, что общие затраты на безопасность высоки в основном потому, что ве­лики потери на компенсацию при нарушениях политики безопасности. Расходы же на обслуживание системы безопасности очень малы.

При движении по графику вправо достигаемый уровень защищенности возрас­тает (снижается информационный риск). Это происходит за счет увеличения объ­ема предупредительных мероприятий, связанных с обслуживанием системы защи­ты. Расходы на компенсацию НПБ уменьшаются в результате предупредительных действий. Как показано на графике, на этой стадии расходы из-за потерь падают быстрее, нежели растут затраты на предупредительные мероприятия. В результа­те общие затраты на безопасность становятся меньше. Изменения объема затрат на контроль незначительны.

Увеличение общих затрат

Если двигаться по графику вправо, за точку экономического равновесия (то есть в область, где достигаемый уровень защищенности повышается), ситуация начи­нает меняться. Мы видим, что стремление добиться устойчивого снижения затрат на компенсацию нарушений политики безопасности приводит к более быстрому возрастанию затрат на предупредительные мероприятия. Получается, что ценой расходования значительного объема средств удается достичь сравнительно мало­го снижения уровня риска.

Экономическое равновесие

График на рис. П7.4 отражает только общий случай, так как построен с учетом некоторых допущений, не всегда отвечающих реальным ситуациям.

Первое допущение заключается в том, что предупредительная деятельность по техническому обслуживанию комплекса программно-технических средств защиты информации и предупреждению нарушений политики безопасности предприятия соответствует правилу Парето: в первую очередь рассматривают­ся те проблемы, решение которых дает наибольший эффект в части снижения информационного риска. Если не следовать этой модели, то вид графика ста­нет совсем иным.

В соответствии со вторым допущением предполагается, что так называемое эко­номическое равновесие не изменяется во времени. В реальности все обстоит не­сколько иначе, поскольку на графике не учитываются два важных фактора:

• 
  во-первых, предупредительная (превентивная) деятельность на практике - не просто порча бумаги, она позволяет не повторять допущенные ранее ошибки; но такая деятельность требует больших затрат, и экономический баланс мо­жет сдвигаться вправо по диаграмме;
  

во-вторых, разработчики средств защиты не успевают за активностью зло­умышленников, изыскивающих все новые и новые бреши в системах защиты. Кроме того, информатизация предприятия может породить новые проблемы, решение которых потребует дополнительных предупредительных затрат. Все это в состоянии сместить экономическое равновесие по направлению к лево­му краю диаграммы.
2.2 Стоимостные характеристики IT-проектов и проектов ИБ

Применение ИТ и СИБ в бизнесе современного предприятия обходится весьма недешево. Общая стоимость ИС зависит от множества различных факторов, начиная от выбора аппаратного и программного обеспечения, и заканчивая структурой отделов автоматизации предприятия и конечной производительностью каждого сотрудника. Значительную долю в общей стоимости информационной системы (ИС) составляют затраты на ее обслуживание, поддержку в рабочем состоянии и т. д. Когда компания решает вопрос о выборе информационной системы, выводы о затратах на обслуживание сделать гораздо сложнее. Поставщики обычно заявляют, что их система после установки работает в полностью автономном режиме. Но на практике поддержка в работоспособном состоянии информационной системы в любом случае будет требовать вложений, так как правила игры в бизнесе постоянно изменяются, и любая компания должна к ним приспосабливаться.

Обычно нужно оценить расходы, связанные с владением покупкой на протяжении нескольких лет. Методы такой оценки существуют и известны под названием TCO - total cost of ownership, или совокупная стоимость владения, которая помогает оценить затраты, связанные с использованием всех составляющих элементов ИС за период их жизненного цикла.

В принципе модель ТСО призвана помочь руководителям ИТ-отделов (в том числе ответственным за безопасность) распределить средства таким образом, чтобы добиться максимальной отдачи от инвестиций в ИТ и при этом уложиться в бюджет, выделенный на внедрение. ТСО нередко оказывается решающим фактором при выборе и внедрении (или при отказе от внедрения) какого-либо информационного продукта.

Не менее важным является вопрос о том как снизить ТСО. По экспертным оценкам, при правильном подходе к снижению непродуктивных затрат, реальная экономия может составить до трети общих расходов на ИТ.

Основными направлениями снижения ТСО можно назвать:

• 
  внедрение аутсорсинга;.
  
• 
  максимальную централизацию обработки и хранения информации, централизация средств администрирования (Site Protector);
  
• 
  уменьшение числа специализированных элементов (прежде всего компьютеров с прикладным ПО);
  
• 
  перенос прикладного ПО на серверы приложений;
  
• 
  обеспечение возможности входа в систему с любой точки;
  
• 
  обеспечение единообразного доступа, как по внутренней, так и по внешней телекоммуникационным сетям.
  

Конечный смысл оценки TCO в том, чтобы заранее определить узкие места и минимизировать затраты, заранее предвидеть все сложности и сообщить о них клиенту, а главное, попытаться предупредить эти проблемы еще на этапе внедрения. Ключевым моментом является сравнение ТСО данного IT-проекта (например, ТСО в пересчете на одного пользователя системы) с ТСО других компаний аналогичного профиля. Сравнение происходит как правило со средними показателями по отрасли (аналогичным компаниям) и с «лучшими в группе». Средние и лучшие показатели рассчитываются и отслеживаются экспертами Gartner Group по многим предприятиям различных отраслей.

Методика Gartner Group

В основу модели ТСО положены две категории расходов: прямые (бюджетные) и косвенные. Источниками покрытия этих расходов служат бюджеты соответствующих подразделений компании (если существует многоуровневая система бюджетов).

Прямые расходы включают в себя следующие группы затрат:

• 
  проектные работы;
  
• 
  капитальные затраты (оборудование и ПО), закупка программно-технических средств защиты (МЭ, криптография, антивирусы, сервера и т.д.)
  
• 
  расходы на техническую поддержку (конфигурирование, проведение регламентных, профилактических работ, администрирование безопасности);
  
• 
  обеспечение физической безопасности;
  
• 
  обучение персонала;
  
• 
  аудит ИБ;
  
• 
  расходы на аутсорсинг;
  
• 
  командировочные расходы;
  
• 
  расходы на услуги связи;
  
• 
  и др. (обычно выделяется до 10 групп расходов).
  

Косвенные расходы:

• 
  расходы, определяемые неработоспособностью системы (плановое время неработоспособности и сверхнормативное);
  
• 
  расходы, определяемые непроизводительными усилиями пользователя, связанные с информационными технологиями (самостоятельное восстановление работоспособности, самообучение и т.п.).
  

Какие данные нужны для расчета ТСО? В соответствии с методикой Gartner Group необходимо собрать следующую информацию:

• 
  о бюджете предприятия (валовый доход, прибыль и т.п.);
  
• 
  общие данные о рабочих местах (количество, закупочная стоимость доступные сервисы такие как печать файловый сервисы электронная почта и т.п.);
  
• 
  данные об оборудовании и программном обеспечении (детальная информация о прямых и косвенных затратах, в том числе по модернизации и ремонту);
  
• 
  данные о платежах за услуги (каналы связи аренда оборудования и т.п.);
  
• 
  данные об управлении информационной инфраструктурой (корпоративной сетью, информационными системами, хранением данных, эксплуатацией);
  
• 
  данные о разработке ПО (создание, тестирование, документирование, адаптация и доработка);
  
• 
  данные о действиях конечного пользователя влияющих на ТСО.
  

Более подробно можно становиться на определении стоимости «человеческого фактора» в ТСО. Методика Gartner Group учитывает следующие составные части этого вклада:

• 
  время, затрачиваемое административным персоналом на решение проблем пользователей;
  
• 
  время, затрачиваемое пользователем на самообразование взаимопомощь вместо обращения в службу поддержки;
  
• 
  время, затрачиваемое пользователями в связи с неоптимальными приемами работы;
  
• 
  Время, затрачиваемое пользователями на праздное время провождение и использование компьютера в личных целях;
  
• 
  расход времени, связанный с подключением переносных компьютеров (подключение к сети, инсталляция ПО, перенос данных и т.п.);
  
• 
  расходы, связанные с пропажей критически важных данных из компьютера пользователя ( в связи с вирусной атакой, аппаратным или программным сбоем или случайно удаленным пользователем);
  
• 
  расход времени на запланированные простои (модернизация обрудования, сети, обновление ПО);
  
• 
  расход времени на незапланированные простои (по техническим причинам, из-за вирусных атак, в связи с использованием устаревшей техники).
  

Итак, согласно методике Gartner Group, TCO включает в себя:

• 
  стоимость компьютеров и программного обеспечения;
  
• 
  техническое обслуживание программно-аппаратных комплексов;
  
• 
  затраты на обучение и переобучение сотрудников;
  
• 
  затраты на установку новых версий ПО;
  
• 
  стоимость потребляемой электроэнергии;
  
• 
  зарплата сотрудников IT-департаментов;
  
• 
  оплата сотрудникам вынужденного безделья во время простоя компьютеров;
  
• 
  «товарищеская» помощь пользователей друг другу при возникновении трудностей;
  
• 
  потери рабочего времени при самостоятельном устранении мелких неполадок.
  
• 
  конфигурацию сети;
  
• 
  однородность/неоднородность серверных, сетевых и клиентских платформ;
  
• 
  различное энергопотребление рабочих станций и экономичных «блокнотных» ПК;
  
• 
  квалификацию пользователя;
  
• 
  сложность вычислительной среды, в которой ведется работа;
  
• 
  методы управления корпоративной сетью;
  
• 
  организация работы информационных технологий;
  
• 
  распределенность сети.
  

Существует также методика оценки TCO Dell Systems, которая включает в себя:

• 
  стоимость компьютеров;
  
• 
  стоимость программного обучения;
  
• 
  обучение;
  
• 
  затраты электроэнергии (рассчитываются по техническим характеристикам серверов, рабочих станций, мониторов, ноутбуков);
  
• 
  зарплата руководства и технических сотрудников информационных отделов;
  
• 
  потери компании от вирусных атак ( по данным NCSA, один из ста ПК подвергается атакам раз в месяц, при этом в 46% случаев восстановление занимает 19 дней);
  
• 
  повышение квалификации;
  
• 
  оплата простоев персонала из-за неисправности компьютерной техники или сетей (в среднем отказы компьютеров и серверов brand-name «белой сборки» составляют 3% в первые три года эксплуатации и 6% при среднем времени ремонта одна неделя);
  
• 
  потери компании из-за использования устаревшей компьютерной техники и ПО (за основу берется предположение, что 100% устаревания парка потери рабочего времени составляют 15%);
  
• 
  затраты на устранение неисправностей;
  
• 
  содержание рабочих мест технических работников IT-отдела ( с учетом оборудования, приобретаемого для диагностики и ремонта, стоимость одного места может составить $400 в год);
  
• 
  транспортные расходы на доставку компьютеров в ремонт при невозможности провести его силами своих сотрудников.
  

Пример расчета стоимости простоя сервера

Ниже приведен пример расчета стоимости простоя сервера, результат которого используется в общей методике расчета совокупной стоимости владения.

1. 
   Необходимые данные для расчета
   
   • 
     Число работников (A1)
     
   • 
     Количество администраторов (A2)
     
   • 
     Средняя рабочая неделя (рабочих часов в день и рабочих дней в неделю) (A3;A4)
     
   • 
     Годовой валовой доход компании (A5)
     
   • 
     Часовая оплата труда администратора (A6)
     
   • 
     Часовая оплата труда работника (A7)
     

Примечание: в часовую оплату труда сотрудников входят все виды выплат (зарплата, премии, опционы), кроме того, расходы на страховку.

2. 
   Планируемые отключения сервера (включают в себя отключения, вызванные операциями резервного копирования содержимого сервера и переконфигурирование)
   
   • 
     отключений каждый месяц (A8)
     
   • 
     средняя продолжительность отключений (A9)
     
   • 
     количество пользователей, отключенных при этом (A10)
     
   • 
     количество администраторов, задействованных для этого (A11)
     
3. 
   Внеплановые отключения сервера (включают в себя отключения, вызванные сбоями питания, выходом из строя оборудования, программными ошибками и ошибками человека)
   
   • 
     отключений каждый месяц (A12)
     
   • 
     средняя продолжительность отключений (A13)
     
   • 
     количество пользователей, отключенных при этом (A14)
     
   • 
     количество администраторов, задействованных для этого (A15)
     

Теперь, после ввода исходных данных необходимо подсчитать промежуточные показатели.

• 
  Доход на каждого работника (долл./час) (B8) = A5/((A3*A4*50)*A1)
  
• 
  Планируемые отключения (часов) (B9) = A8*12*A9*(A10+A11)
  
• 
  Внеплановые отключения (часов) (B10) = A12*12*A13*(A14+A15)
  
• 
  Плановые расходы на отключение сервера (B12) = B13+B14
  
• 
  Плановые расходы на администраторов (долл./год) (B13) = A8*12*A9*A11*A6
  
• 
  Плановые расходы на конечных пользователей (долл./год) (B14) = A8*12*A9*A10*A7
  
• 
  Внеплановые расходы на отключение сервера (B16) = B17+B18
  
• 
  Внеплановые расходы на администраторов (долл./год) (B17) = A12*12*A13*A15*A6
  
• 
  Внеплановые расходы на конечных пользователей (долл./год) (B18) = A12*12*A13*A14*A7
  

В результате получаем основные показатели

• 
  Потерянный доход (долл./год) (B7) = B8*(B9+B10)
  
• 
  Общие расходы на остановы сервера (долл./год) (B21)) = B7+B12+B16
  
• 
  Затраты на каждый час остановки сервера (B23) = B21/((A8*12*A9)+(A12*12*A13))
  

Похожим образом рассчитываются и остальные показатели для вычисления совокупной стоимости владения. Кроме того, указанная информация сама по себе может быть интересна тому, кто хочет оценить эффективность работы своих серверов и сетей.

2.3 Пример классификации затрат на ИБ

Классификация затрат условна, так как сбор, классификация и анализ затрат на информационную безопасность — внутренняя деятельность предприятий, и детальная разработка перечня зависят от особенностей конкретной организации. Самое главное при определении затрат на систему безопасности — взаимопонимание и согласие по статьям расходов внутри предприятия. Кроме того, категории затрат должны быть постоянными и не должны дублировать друг друга. Пример классификации затрат приводится ниже.

следующая страница>