Оцінка загальної вартості витрат на впровадження систем захисту інформації

ОЦІНКА ЗАГАЛЬНОЇ ВАРТОСТІ ВИТРАТ НА ВПРОВАДЖЕННЯ СИСТЕМ ЗАХИСТУ ІНФОРМАЦІЇ

 

 

Інструкція до практичної роботи № 3

з курсу: «Менеджмент у сфері захисту інформації»

для студентів спеціальностей:

7.17010302 «Адміністративний менеджмент в сфері захисту інформації»,

8.17010301 «Управління інформаційною безпекою»,

8.17010302 «Адміністративний менеджмент в сфері захисту інформації»

 

Затверджено

На засіданні кафедри

«Захист інформації»

Протокол №… від ….2013 р.

 

Львів 2013

Оцінка загальної вартості витрат на впровадження систем захисту інформації: Інструкція до практичної роботи № 3 з курсу «Менеджмент у сфері захисту інформації» для студентів спеціальностей 7.17010302 «Адміністративний менеджмент в сфері захисту інформації», 8.17010301 «Управління інформаційною безпекою», 8.17010302 «Адміністративний менеджмент в сфері захисту інформації» / Укл.: В. А. Ромака, Ю. Р. Гарасим, М. М. Рибій – Львів: НУ «ЛП», 2013. – 10 с.

 

Укладачі: Володимир Афанасійович Ромака, д.т.н., проф.

Юрій Романович Гарасим, к.т.н.

Мар’яна Михайлівна Рибій, магістрант

 

 

Відповідальний за випуск: Ромака Володимир Афанасійович, д.т.н., проф.

 

Рецензенти: Хома Володимир Васильович, д.т.н., проф.

 

Мета роботи – засвоїти на практиці використання методики оцінки загальної вартості витрат на впровадження систем захисту інформації.

 

ОСНОВНІ ВІДОМОСТІ

 

Визначення ефективності заходів інформаційної безпеки (ІБ) в компанії передбачає деяку оцінку витрат на її впровадження, а також досягнутого при цьому ефекту (кількість успішно відбитих вірусних атак, виявлених спам повідомлень, швидкість оброблення інцидентів тощо). Дійсно, порівняння цих оцінок дає змогу отримати уявлення про те, як повертаються інвестиції в ІБ, а також економічно коректно планувати бюджет компанії на ІБ і керувати ним.

Багато рішень в галузі ІБ часто приймаються на інтуїтивно-понятійному рівні, без будь-яких економічних розрахунків і обґрунтувань. Проте, настійно рекомендується звертатися до обґрунтованих техніко-економічних методів і засобів, що дає змогу кількісно вимірювати рівень захищеності компанії, а також визначати економічну ефективність витрат на ІБ.

На цей час оцінювати ефективність корпоративної системи захисту інформації (СЗІ) рекомендується за допомогою деяких критеріїв ефективності, наприклад: показників загальної вартості володіння (англ. Total cost of ownership, TCO), економічної ефективності СЗІ, коефіцієнтів повернення інвестицій в ІБ (англ. Return on Investment, ROI ) та інші.

Методику ТСО можна використовувати для доведення економічної ефективності існуючих корпоративних СЗІ. Вона дає змогу керівникам служб інформаційної безпеки обґрунтовувати бюджет на ІБ, а також доводити ефективність роботи співробітників служби/відділу ІБ.

Оскільки економічну ефективність корпоративної СЗІ можна виміряти, з’являється можливість оперативно вирішувати завдання контролю і коректування показників економічної ефективності, зокрема показника ТСО. Таким чином, цей показник може бути інструментом оптимізації витрат на забезпечення необхідного рівня захищеності корпоративної мережі зв’язку (КМЗ) та обґрунтування бюджету на ІБ.

Прийняття рішень

Усі виявлені причини нанесення збитку заслуговують проведення коригувальних заходів, проте, керівник шукає ті області, які дадуть найбільшу віддачу у відповідь на витрачені зусилля. Саме тому, він може розглянути в першу чергу область своїх витрат, яка пов’язана з впровадженням системи передавання звітів на сервер протоколювання.

Ретельний аналіз може зумовити керівника відділу ІБ до висновку про те, що краще почати попереджувальні заходи з механізмів захисту, які мають не найбільшу витратну частину.

Необхідно зазначити: витрати на ІБ можуть бути мінімізовані в значній мірі, якщо вдасться виявити специфічні причини витрат і врахувати їх в програмі зменшення ризиків. У всі рекомендації слід включати (за можливості) дані про вартість реалізації запропонованих програм. Заходи зниження рівня ризику повинні переслідувати таку мету – з найменшими витратами отримати найкращі результати.

Методика оцінки ТСО

Застосування методики оцінки TCO (Dell Systems) для галузі ІБ може містити в собі:

− вартість спеціалізованого програмно-апаратного забезпечення (наприклад, SIEM (системи управління інформацією та подіями ІБ), DLP (системи запобігання витоку конфіденційної інформації), веб-фільтри, антиспам системи, IDS/IPS (системи виявлення/запобігання втручанням), Firewall (міжмережеві екрани), WAF (міжмережеві екрани для веб-додатків), сканери вразливостей тощо);

− навчання співробітників;

− витрати на електроенергію (розраховуються за технічними характеристиками серверів, робочих станцій, моніторів, ноутбуків, які використовуються в процесі забезпечення ІБ);

− зарплата керівництва і технічних співробітників відділів ІТ, ІБ;

− втрати компанії від вірусних атак (за даними NCSA, один зі ста ПК піддається атакам раз на місяць, при цьому в 46% випадків відновлення займає 19 днів);

− підвищення кваліфікації співробітників;

− оплата простоїв персоналу через несправність техніки або КМЗ (в середньому відмови комп’ютерів і серверів brand-name «білої збірки» складають 3% в перші три роки експлуатації і 6% при середньому часі ремонту один тиждень);

− втрати доходу компанії через простої засобів ІБ;

− втрати компанії через використання застарілих засобів ІБ;

− витрати на усунення несправностей;

− транспортні витрати на доставку засобів ІБ в ремонт при неможливості провести його силами своїх співробітників.

Витрати на оплату праці співробітників у цій схемі розраховуються таким чином:

, (1)

, (2)

, (3)

, (4)

де – основна заробітна плата виконавців, – трудозатрати виконавця i -ої посади (міс), – кількість виконавців i -ої посади, – коефіцієнт додаткової заробітної плати, – коефіцієнт нарахувань на заробітну плату (наприклад, 21%), – місячна тарифна ставка або (оклад) i -го виконавця.

Оплату пов’язаних з «простоями» співробітників слід розраховувати виходячи з кількості годин їх вимушеного простою та заробітної плати.

 

 

Приклад 1. Розрахунок вартості простою сервера (згідно методики Dell Systems) Нижче наведено приклад розрахунку вартості простою сервера, результат якого використовується в загальній методиці розрахунку загальної вартості володіння (ТСО). 1. Необхідні дані для розрахунку: − кількість працівників (A1); − кількість адміністраторів (A2); − середній робочий тиждень (робочих годин в день і робочих днів на тиждень) (A3; A4); − річний валовий дохід компанії (A5); − годинна оплата праці адміністратора (A6); − годинна оплата праці працівника (A7).   В годинну оплату праці співробітників входять усі види виплат (зарплата, премії, опціони), крім того, витрати на страховку. 2. Плановані відключення сервера (включають в себе відключення, які зумовлені операціями резервного копіювання вмісту сервера і переконфігурування): − кількість відключень кожного місяця (A8); − середня тривалість відключень (A9); − кількість користувачів, які відключені при цьому (A10); − кількість адміністраторів, задіяних для цього (A11).   3. Позапланові відключення сервера (включають в себе відключення, які зумовлені збоями електроживлення, виходом з ладу обладнання, програмними помилками і помилками людини): − кількість відключень кожного місяця (A12); − середня тривалість відключень (A13); − кількість користувачів, які відключені при цьому (A14); − кількість адміністраторів, задіяних для цього (A15).   Після введення даних необхідно розрахувати проміжні показники. − Дохід на кожного працівника (грн. / годину) B8 = A5 / ((A3 * A4 * 50) * A1). − Плановані відключення (годин) B9 = A8 * 12 * A9 * (A10 + A11). − Позапланові відключення (годин) B10 = A12 * 12 * A13 * (A14 + A15). − Планові витрати на відключення сервера (грн. / рік) B12 = B13 + B14. − Планові витрати на адміністраторів (грн. / рік) B13 = A8 * 12 * A9 * A11 * A6. − Планові витрати на кінцевих користувачів (грн. / рік) B14 = A8 * 12 * A9 * A10 * A7. − Позапланові витрати на відключення сервера (грн. / рік) B16 = B17 + B18. − Позапланові витрати на адміністраторів (грн. / рік) B17 = A12 * 12 * A13 * A15 * A6. − Позапланові витрати на кінцевих користувачів (грн. / рік) B18 = A12 * 12 * A13 * A14 * A7.   В результаті отримуємо основні показники. − Втрачений дохід (грн. / рік) B7 = B8 * (B9 + B10). − Загальні витрати на зупинки сервера (грн. / рік) B21 = B7 + B12 + B16. − Витрати на кожну годину зупинки сервера B23 = B21 / ((A8 * 12 * A9) + (A12 * 12 * A13)).   Таким чином розраховуються й інші показники для обчислення загальної вартості володіння.

 

 

ЗМІСТ ЗВІТУ

1. Мета роботи.

2. Короткі теоретичні відомості.

3. Повний текст завдання.

4. Результати виконання завдання

− опис процесів, які автоматизовує ІС;

− опис структури та архітектури ІС;

− розрахунок TCO для обраної ІС.

5. Висновки.

 

Контрольні запитання

1. Які критерії використовують для оцінки ефективності СЗІ компанії?

2. Для яких цілей слугують показники ТСО і ROI?

3. Як оцінити поточний рівень ТСО?

4. Як проводиться аудит ІБ компанії?

5. Як формується цільова модель ТСО?

6. Як визначити обсяги витрат на ІБ компанії?

7. Що повинен включати в себе звіт за витратами на ІБ?

8. Що передбачає аналіз витрат на ІБ?

9. Від чого залежить прийняття рішень в галузі ІБ компанії?

10. Поясніть методику оцінки TCO від Dell Systems.

РЕКОМЕНДОВАНА ЛІТЕРАТУРА

 

1. Ромака В. А. Менеджмент у сфері захисту інформації. Підручник / Ромака В. А., Гарасим Ю. Р., Корж Р. О. Дудикевич В. Б., Рибій М. М. – Львів: Видавництво Львівської політехніки, 2013. – 400 с.

2. Ромака В. А. Системи менеджменту інформаційної безпеки. Навчальний посібник / В. А. Ромака, В. Б. Дудикевич, Ю. Р. Гарасим, П. І. Гаранюк, І. О. Козлюк. – Львів: Видавництво Львівської політехніки, 2012. – 232 с.

3. Петренко С. А. Управление информационными рисками. Экономически оправдання безопасность / С. А. Петренко, С. В. Симонов. – М: Компания АйТи; ДМК Пресс, 2004. – 384 с.

 

Додаток А

 

Варіанти завдання та тип інформаційної системи

 

№ варіанта	Інформаційна система
	IBM Security Network Intrusion Prevention System
	Websense Web Security Gateway
	Arbor Pravail Availabilty Protection System (Pravail APS)
	McAfee Network Threat Behavior Analysis
	Juniper Networks IDP Series Intrusion Detection and Prevention Appliances
	IBM Security AppScan
	HP Fortify Software Security Center Server
	Juniper Networks SA Series SSL VPN Appliances
	IBM Security zSecure suite
	McAfee VirusScan Mobile
	Websense Email Security Gateway
	Imperva Database Activity Monitoring
	IBM InfoSphere Guardium
	Juniper Networks SRX Series Services Gateways
	McAfee Firewall Enterprise
	Arbor Peakflow SP Threat Management System (Peakflow SP TMS)
	HP ArcSight Security Intelligence platform
	IBM InfoSphere Optim
	Imperva SecureSphere for SharePoint
	Websense Data Security Gateway
	Juniper Networks Unified Access Control
	IBM Tivoli Endpoint Manager for Security and Compliance
	McAfee Network Security Manager
	Fortinet FortiGate® Network Security Platform
	Fortinet FortiVoice Phone Systems
	IBM Security Identity Manager
	Fortinet FortiWiFi™ Wireless Security Appliances
	Imperva Web Application Firewall
	McAfee Total Protection for Compliance
	IBM Security Access Manager for Enterprise Single Sign-On

 

Додаток Б

 

Приклад оформлення титульного аркушу звіту до виконання практичної роботи

 

МІНІСТЕРСТВО ОСВІТИ І НАУКИ, МОЛОДІ ТА СПОРТУ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»   Кафедра «Захист інформації»       ЗВІТ До виконання практичної роботи № 3 «Оцінка загальної вартості витрат на впровадження систем захисту інформації» з курсу: «Менеджмент інформаційної безпеки»   Виконав: ст. гр.   Перевірив: д.т.н., професор Ромака В.А.   Практична робота захищена з оцінкою ________ (_____________) __________ Ромака В.А. Оцінка Бали Підпис     Львів 2013

 

Для нотаток

 

№ …

від...2013 р.

 

НАВЧАЛЬНЕ ВИДАННЯ

 

 

ОЦІНКА ЗАГАЛЬНОЇ ВАРТОСТІ ВИТРАТ НА ВПРОВАДЖЕННЯ СИСТЕМ ЗАХИСТУ ІНФОРМАЦІЇ