Визначення обсягу витрат на безпеку

Перше завдання – визначити перелік витрат, які відносяться до діяльності компанії, та розділити їх за категоріями.

Друге – скласти перелік таким чином, щоб зміст кожної позиції (кожного елемента) був зрозумілим співробітникам компанії.

Третє – призначити кодові символи для кожної позиції переліку. Це може бути, наприклад, цифра, буква або їх комбінація.

Загальний зміст збору даних за витратами на ІБ – надати керівництву компанії інструмент управління.

Особливо важливо, щоб позиції переліку витрат були визначені в тому вигляді, як вони названі і розділені для різних категорій, в тому числі для:

− підрозділу або якої-небудь ділянки;

− ресурсу, що захищається (за всіма типами ресурсів);

− якого-небудь робочого місця користувача інформаційної системи компанії;

− ризиків за кожною категорією інформації.

Вимоги встановлюються самою компанією для власного (внутрішнього) користування. Проте, при цьому не слід забувати, що зібраної інформації повинно бути достатньо для проведення подальшого аналізу.

Звіт за витратами на інформаційну безпеку

Результати аналізу витрат на ІБ і підсумковий звіт повинні показати об’єктивну картину, яка відображатиме стан інформаційної безпеки.

Аналіз витрат на інформаційну безпеку – інструмент управління, який призначений для визначення досягнутого рівня захищеності інформаційного активу і виявлення проблем при постановці завдань підтримання необхідного рівня ІБ.

Представлений у фінансових термінах і складений простою мовою звіт про витрати на ІБ має значні переваги перед іншими видами звітів щодо дослідження ІБ інформаційного активу компанії та аналізу ризиків.

Зміст такого звіту залежить від того, яку роль відіграє в рамках підприємства та особа, якій він призначений.

Керівництву слід надати звіт у вигляді загальних форм. У звіті повинна бути представлена загальна картина стану ІБ компанії, яка викладена зазвичай у фінансових термінах. Іншими словами, в цьому випадку необхідний доступно написаний звіт, що містить лише об’єктивну інформацію.

Керівники підрозділів ІТ та ІБ потребують детальніших відомостей про досягнутий рівень захищеності тих інформаційних активів компанії, за які вони відповідають. Звіт повинен бути детальним і містити дані про типи ресурсів, види загроз тощо.

Метою проведення аналізу витрат на ІБ є отримання результатів у формі, яка буде корисною і зручною для тих, хто в них зацікавлений.

Особа, що читає звіт, повинна отримати інформацію, яка надасть змогу:

− порівняти поточний рівень захищеності з рівнем минулого періоду, тобто визначити тенденції;

− порівняти поточний рівень з поставленими цілями;

− виявити значні області витрат;

− вибрати області для покращення;

− оцінити ефективність програм з покращення.

 

Керівник очікує отримати звіт за витратами на ІБ, який:

− проінформує його лише про речі, що належать до сфери його відповідальності, і ні про що більше;

− написаний легкою для розуміння мовою, не «напханий» спеціальними термінами;

− викладений чітко і коротко і містить всю необхідну інформацію;

− надасть змогу визначити першочергові завдання та напрямки діяльності.

Прийняття рішень

Усі виявлені причини нанесення збитку заслуговують проведення коригувальних заходів, проте, керівник шукає ті області, які дадуть найбільшу віддачу у відповідь на витрачені зусилля. Саме тому, він може розглянути в першу чергу область своїх витрат, яка пов’язана з впровадженням системи передавання звітів на сервер протоколювання.

Ретельний аналіз може зумовити керівника відділу ІБ до висновку про те, що краще почати попереджувальні заходи з механізмів захисту, які мають не найбільшу витратну частину.

Необхідно зазначити: витрати на ІБ можуть бути мінімізовані в значній мірі, якщо вдасться виявити специфічні причини витрат і врахувати їх в програмі зменшення ризиків. У всі рекомендації слід включати (за можливості) дані про вартість реалізації запропонованих програм. Заходи зниження рівня ризику повинні переслідувати таку мету – з найменшими витратами отримати найкращі результати.

Методика оцінки ТСО

Застосування методики оцінки TCO (Dell Systems) для галузі ІБ може містити в собі:

− вартість спеціалізованого програмно-апаратного забезпечення (наприклад, SIEM (системи управління інформацією та подіями ІБ), DLP (системи запобігання витоку конфіденційної інформації), веб-фільтри, антиспам системи, IDS/IPS (системи виявлення/запобігання втручанням), Firewall (міжмережеві екрани), WAF (міжмережеві екрани для веб-додатків), сканери вразливостей тощо);

− навчання співробітників;

− витрати на електроенергію (розраховуються за технічними характеристиками серверів, робочих станцій, моніторів, ноутбуків, які використовуються в процесі забезпечення ІБ);

− зарплата керівництва і технічних співробітників відділів ІТ, ІБ;

− втрати компанії від вірусних атак (за даними NCSA, один зі ста ПК піддається атакам раз на місяць, при цьому в 46% випадків відновлення займає 19 днів);

− підвищення кваліфікації співробітників;

− оплата простоїв персоналу через несправність техніки або КМЗ (в середньому відмови комп’ютерів і серверів brand-name «білої збірки» складають 3% в перші три роки експлуатації і 6% при середньому часі ремонту один тиждень);

− втрати доходу компанії через простої засобів ІБ;

− втрати компанії через використання застарілих засобів ІБ;

− витрати на усунення несправностей;

− транспортні витрати на доставку засобів ІБ в ремонт при неможливості провести його силами своїх співробітників.

Витрати на оплату праці співробітників у цій схемі розраховуються таким чином:

, (1)

, (2)

, (3)

, (4)

де – основна заробітна плата виконавців, – трудозатрати виконавця i -ої посади (міс), – кількість виконавців i -ої посади, – коефіцієнт додаткової заробітної плати, – коефіцієнт нарахувань на заробітну плату (наприклад, 21%), – місячна тарифна ставка або (оклад) i -го виконавця.

Оплату пов’язаних з «простоями» співробітників слід розраховувати виходячи з кількості годин їх вимушеного простою та заробітної плати.

 

 

Приклад 1. Розрахунок вартості простою сервера (згідно методики Dell Systems) Нижче наведено приклад розрахунку вартості простою сервера, результат якого використовується в загальній методиці розрахунку загальної вартості володіння (ТСО). 1. Необхідні дані для розрахунку: − кількість працівників (A1); − кількість адміністраторів (A2); − середній робочий тиждень (робочих годин в день і робочих днів на тиждень) (A3; A4); − річний валовий дохід компанії (A5); − годинна оплата праці адміністратора (A6); − годинна оплата праці працівника (A7).   В годинну оплату праці співробітників входять усі види виплат (зарплата, премії, опціони), крім того, витрати на страховку. 2. Плановані відключення сервера (включають в себе відключення, які зумовлені операціями резервного копіювання вмісту сервера і переконфігурування): − кількість відключень кожного місяця (A8); − середня тривалість відключень (A9); − кількість користувачів, які відключені при цьому (A10); − кількість адміністраторів, задіяних для цього (A11).   3. Позапланові відключення сервера (включають в себе відключення, які зумовлені збоями електроживлення, виходом з ладу обладнання, програмними помилками і помилками людини): − кількість відключень кожного місяця (A12); − середня тривалість відключень (A13); − кількість користувачів, які відключені при цьому (A14); − кількість адміністраторів, задіяних для цього (A15).   Після введення даних необхідно розрахувати проміжні показники. − Дохід на кожного працівника (грн. / годину) B8 = A5 / ((A3 * A4 * 50) * A1). − Плановані відключення (годин) B9 = A8 * 12 * A9 * (A10 + A11). − Позапланові відключення (годин) B10 = A12 * 12 * A13 * (A14 + A15). − Планові витрати на відключення сервера (грн. / рік) B12 = B13 + B14. − Планові витрати на адміністраторів (грн. / рік) B13 = A8 * 12 * A9 * A11 * A6. − Планові витрати на кінцевих користувачів (грн. / рік) B14 = A8 * 12 * A9 * A10 * A7. − Позапланові витрати на відключення сервера (грн. / рік) B16 = B17 + B18. − Позапланові витрати на адміністраторів (грн. / рік) B17 = A12 * 12 * A13 * A15 * A6. − Позапланові витрати на кінцевих користувачів (грн. / рік) B18 = A12 * 12 * A13 * A14 * A7.   В результаті отримуємо основні показники. − Втрачений дохід (грн. / рік) B7 = B8 * (B9 + B10). − Загальні витрати на зупинки сервера (грн. / рік) B21 = B7 + B12 + B16. − Витрати на кожну годину зупинки сервера B23 = B21 / ((A8 * 12 * A9) + (A12 * 12 * A13)).   Таким чином розраховуються й інші показники для обчислення загальної вартості володіння.