Методика ТСО Gartner Group позволяет ответить на следующие актуальные вопросы:
· Какие ресурсы и денежные средства тратятся на ИБ?
· Оптимальны ли затраты на ИБ для бизнеса компании?
· Насколько эффективна работа службы ИБ компании по сравнению с другими?
· Как эффективно управлять инвестированием в защиту информации?
· Какие выбрать направления развития корпоративной системы защиты информации?
· Как обосновать бюджет компании на ИБ?
· Как доказать эффективность существующей корпоративной системы защиты информации и службы ИБ компании в целом?
· Какова оптимальная структура службы ИБ компании?
· Как правильно оценить аутсортинговые услуги по сопровождению корпоративной системы защиты информации?
· Как оценить эффективность проекта в области защиты информации?
В целом, определение затрат компании на ИБ подразумевает решение следующих трех задач:
1. оценку текущего уровня ТСО корпоративной системы защиты информации и КИС в целом;
2. аудит ИБ предприятия на основе сравнения уровня защищенности предприятия и рекомендуемого уровня ТСО;
3. формирование целевой модели ТСО.
Рассмотрим каждую из перечисленных задач.
Оценка текущего уровня ТСО. В ходе работ по оценке ТСО проводится сбор информации и расчет показателей ТСО организации по следующим направлениям:
· существующие компоненты КИС (включая систему защиты информации) и информационные активы компании (серверы, клиентские компьютеры, периферийные устройства, сетевые устройства);
· существующие расходы на аппаратные и программные средства защиты информации (расходные материалы, амортизация);
· существующие расходы на организацию ИБ в компании (обслуживание систем защиты информации (СЗИ) и систем корпоративной защиты информации (СКЗИ), а также штатных средств защиты периферийных устройств, серверов, сетевых устройств, планирование и управление процессами защиты информации, разработку концепции и политики безопасности и пр.);
· существующие расходы на организационные меры защиты информации;
· существующие косвенные расходы на организацию ИБ в компании и в частности обеспечение непрерывности или устойчивости деятельности компании.
По результатам собеседования с TOP-менеджерами компании и проведения инструментальных проверок уровня защищенности организации проводится анализ следующих основных аспектов: политики безопасности; организации защиты; классификации и управления информационными ресурсами; управления персоналом; физической безопасности; администрирования компьютерных систем и сетей; управления доступом к системам; разработки и сопровождения систем; планирования бесперебойной работы организации; проверки системы на соответствие требованиям ИБ.
На основе проведенного анализа выбирается модель ТСО, сравнимая со средними и оптимальными значениями для репрезентативной группы аналогичных организаций, имеющих схожие с рассматриваемой организацией показатели по объему бизнеса. Такая группа выбирается из банка данных по эффективности затрат на ИБ и эффективности соответствующих профилей защиты аналогичных компаний.
Сравнение текущего показателя ТСО проверяемой компании с модельным значением показателя ТСО позволяет провести анализ эффективности организации ИБ компании, результатом, которого является определение “узких” мест в организации, причин их появления и выработка дальнейших шагов по реорганизации корпоративной системы защиты информации и обеспечения требуемого уровня защищенности КИС.
Формирование целевой модели ТСО. По результатам проведенного аудита моделируется целевая (желаемая) модель, учитывающая перспективы развития бизнеса и корпоративной системы защиты информации (активы, сложность, методы лучшей практики, типы СЗИ и СКЗИ, квалификация сотрудников компании и т. п.).
Кроме того, рассматриваются капитальные расходы и трудозатраты, необходимые для проведения преобразований текущей среды в целевую среду. В трудозатраты на внедрение включаются затраты на планирование, развертывание, обучение и разработку. Сюда же входят возможные временные увеличения затрат на управление и поддержку.
Для обоснования эффекта от внедрения новой корпоративной системы защиты информации (ROI) могут быть использованы модельные характеристики снижения совокупных затрат (ТСО), отражающие возможные изменения в корпоративной системе защиты информации.
Расходы на операции конечных пользователей. Это затраты на самоподдержку конечных пользователей, а также на поддержку пользователей друг друга в противовес официальной ИС поддержке. Затраты включают: самостоятельную поддержку, официальное обучение конечных пользователей, нерегулярное (неофициальное) обучение, самостоятельные прикладные разработки, поддержку локальной файловой системы.
Расходы на простои. Данная категория учитывает ежегодные потери производительности конечных пользователей от запланированных и незапланированных отключений сетевых ресурсов, включая клиентские компьютеры, совместно используемые серверы, принтеры, прикладные программы, коммуникационные ресурсы и программное обеспечение для связи.
Для анализа фактической стоимости простоев, которые связаны с перебоями в работе сети и которые оказывают влияние на производительность, исходные данные получают из обзора по конечным пользователям. Рассматриваются только те простои, которые ведут к потере производительности.
Вместе с методикой ТСО можно использовать разнообразные методы для расчета возврата инвестиций (ROI). Как правило, для оценки доходной части сначала анализируют те цели, задачи и направления бизнеса, которые нужно достигнуть с помощью внедрения или реорганизации существующих проектов в области системной интеграции, автоматизации и информационной безопасности. Далее используют некоторые измеримые показатели эффективности бизнеса для оценки эффекта отдельно по каждому решению. Допустим, с целью сокращения операционных расходов, обеспечения приемлемой конкурентной способности, улучшения внутреннего контроля и т. д. Указанные показатели не надо выдумывать, они существуют в избыточном виде. Далее можно использовать методики расчета коэффициентов возврата инвестиций в инфраструктуру предприятия (ROI), например, также Gartner Group.
Достаточно результативно использовать следующую комбинацию: ТСО как расходную часть и ROI как расчетную. Кроме того, сегодня существуют и другие разнообразные методы и технологии расчета и измерения различных показателей экономической эффективности
Для исключения лишних расходов по защите вся информация делится на категории в соответствии с требуемой степенью защиты. Эта степень определяется, исходя из:
· возможного ущерба для владельца при несанкционированном доступе к защищаемой информации;
· экономической целесообразности преодоления защиты для противника.
Естественно, производить такую оценку для каждого документа было бы слишком трудоёмко. Поэтому сложилась практика определения категорий секретности документов, по которым документы распределяются по формальным признакам. Например, в наших государственных органах принято 4 категории секретности: