Структурирование затрат на информационную безопасность хозяйствующего субъекта.

Структурирование затрат на информационную безопасность состоит в определении перечня затрат на обеспечение ИБ ХС и распределение их по категориям.

Главной задачей сбора данных о затратах и их структурирования является обеспечение руководства ХС эффективным инструментом управления. Типовой перечень затрат на обеспечение ИБ ХС приведен в приложении 3.

Особенно важно, чтобы отдельные позиции перечня затрат имели конкретное название и были четко определены для различных категорий, таких как:

- структурного подразделения ХС;

- защищаемого ресурса (по всем типам ресурсов);

- рабочего места пользователя информационной системы ХС;

- рисков по каждой категории информации.

Требования по формированию перечня затрат должны быть установлены руководством ХС или его службы безопасности для собственного (внутреннего) использования. Система обеспечения информационной безопасности, а следовательно и система учета и анализа затрат на нее должны учитывать особенности функционирования конкретного ХС. Система обеспечения информационной безопасности должна быть встроена в структуру ХС.

Еще одна задача состоит в определении затрат на обеспечение ИБ. После того, как создана система классификации и кодирования затрат на безопасность, выявляются источники данных о затратах. Такая информация уже может существовать, часть ее достаточно легко получить, в то время как другие данные определить будет значительно труднее, а некоторые могут быть недоступны.

Структурирование затрат на контроль политики ИБ (приложение 3) показывает, что основной объем затрат составляет оплата труда персонала IT-безопасности и персонала предприятия, занятого проверками и испытаниями. Эти затраты могут быть определены весьма точно. Остальные затраты в основном связаны с оплатой некоторых специальных работ и услуг внешних организаций и текущим материально-техническим обеспечением СОИБ. Они могут быть определены непосредственно.

Структурирование внутренних затрат на компенсацию нарушений политики ИБ ХС связано с определенными трудностями. Легко устанавливаются затраты на приобретение и обновление программных средств защиты информации, технических средств защиты, восстановление информационных ресурсов, внедрение дополнительных средств защиты и другие подобные категории.

Труднее выявить объемы заработной платы и накладные расходы при проведении дополнительных испытаний и проверок, утилизации скомпрометированных ресурсов, проведении мероприятий по контролю достоверности данных, подвергшихся атаке и расследований нарушений политики безопасности. Относительная сложность при этом связана с тем, что перечисленные затраты связаны с деятельностью различных подразделений: IT, плановым, службой безопасности, бухгалтерией и другими. Кроме этого каждый привлеченный к такой работе сотрудник подразделения, как правило не в течении всего рабочего дня решает проблемы, связанные нарушениями политики безопасности, поэтому оценка потерь должна быть произведена с учетом реально затраченного на эту деятельность времени. Таким образом, основные виды затрат этой категории могут быть определены с достаточной степенью точности.

Структурирование внешних затрат на компенсацию нарушений политики ИБ. Часть внешних затрат на компенсацию нарушений политики безопасности связана с тем, что в зависимости от обстоятельств могут быть скомпрометированы (нарушена конфиденциальность) коммерческие данные партнеров, персональные данные потребителей услуг предприятия и другие. Затраты, связанные с компенсацией возможных потерь и заключающиеся в восстановлении делового имиджа и доверия ХС, определяются так же, как и в случае внутренних потерь.

Однако существуют и другие затраты, которые определить достаточно сложно. В их числе: затраты на проведение дополнительных стратегических исследований, затраты связанные с наличием «узких мест» в снабжении, производстве и сбыте продукции, потери от компрометации производимой предприятием продукции и некоторые другие.

Внешние потери, связанные с подрывом имиджа предприятия и снижением доверия к его продукции и услугам вычислить точно невозможно, в связи с чем руководство многих ХС заинтересовано в сокрытии уязвимостей своих систем, сервисов и ресурсов. Руководство многих предприятий просто не учитывают данный вид затрат на том основании, что их нельзя установить с определенной точностью.

Структурирование затрат на предупредительные мероприятия. Под предупредительными понимаются такие мероприятия, проводимые на предприятии, которые имеют превентивный характер по отношению к угрозам ИБ. К таким мероприятиям можно отнести: моделирование и оценка рисков ИБ, проведение занятий, инструктажей со всеми категориями персонала, проверок режима ИБ и другие. Эти затраты наиболее сложно оценить, поскольку предупредительные мероприятия проводятся в разных отделах, затрагивают многие структурные подразделения ХС и имеют место на всех этапах жизненного цикла ресурсов информационной среды предприятия: планирования, организации, приобретения, ввода в действие и других.

Большую часть этих затрат составляет оплата труда персонала IT-безопасности и накладные расходы. Точность определения этих затрат также зависит от точности установления времени, затраченного каждым сотрудником в отдельности на данный вид работ.

Некоторые затраты на проведение предупредительных мероприятий достаточно легко выявить напрямую. К таковым относятся: оплата работ сторонних организаций по обслуживанию и настройке программных и программно-аппаратных средств защиты, операционных систем, сетевого оборудования; проведение инженерно-технических работ по установлению сигнализации, оборудованию хранилищ конфиденциальных документов, защите телефонных линий связи, средств вычислительной техники и т. п.; доставку конфиденциальной информации; проведение консультаций, обучение и другие.

В процессе структурирования затрат необходимо определить источники сведений о них. Например, затраты на приобретение и ввод в действие технических, программных, программно-аппаратных средств защиты информации могут быть получены из накладных, актов выполненных работ, записей в складской документации и подобных документов. Выплаты персоналу берутся из платежных документов.

Классификация затрат на обеспечение информационной безопасность и распределение их по категориям должны стать частью повседневной внутренней работы ХС.