ДонНТУ Портал магистров ДонНТУ

АНАЛИЗ ВОЗМОЖНОСТЕЙ ПРИМЕНЕНИЯ МЕТОДИКИ CCB GARTHER GROUP ДЛЯ ПОДСИСТЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ


Автор: Гриценко А.В.

Источник: Информатика и компьютерные технологии 2008 / Материалы IV научно-технической конференции молодых ученых и студентов. — Донецк, ДонНТУ — 2008, с. 161-163.

Сегодня в отечественных компаниях и предприятиях с повышенными требованиями в области информационной безопасности (банковских и билинговых системах, ответственных производствах и т. д.) затраты на обеспечение режима информационной безопасности (ИБ) составляют до 30% всех затрат на информационную систему (ИС), и владельцы информационных ресурсов серьезно рассматривают экономические аспекты обеспечения ИБ.

Обеспечение физической защиты объекта – это комплексная задача, включающая в себя управление доступом, обслуживание средств технической и пожарной охраны и многое другое в рамках единой информационной системы безопасности (ИСБ). При этом, если комплекс необходимых инженерно-технических задач, обеспечивающих безопасность объекта, выбор и размещение технических средств охраны и средств управления доступом хорошо формализован, то выбор информационной системы проблематичен и зависит от предпочтений разработчика. Хорошим объективным инструментом выбора информационной системы является оценка совокупной стоимости владения (ССВ), в оригинале – Total Cost of Ownership (TCO). Методика определения ССВ была выдвинута исследовательской компанией Gartner Group в конце 80-х гг.

Проанализировав источники [1,2] было выяснено предназначение методики ССВ, ее основные особенности и способы расчета. Основной целью расчета ССВ является выявление избыточных статей расхода и оценка возможности возврата инвестиций, вложенных в технологии безопасности. Таким образом, полученные данные по совокупной стоимости владения используются для выявления расходной части использования корпоративной системы защиты информации.

В целом методика ССВ компании Gartner Group позволяет:

  • получить адекватную информацию об уровне защищенности распределенной вычислительной среды и совокупной стоимости владения корпоративной системы защиты информации;
  • сравнить подразделения службы ИБ компании, как между собой, так и с аналогичными подразделениями других предприятий в данной отрасли;
  • оптимизировать инвестиции на ИБ компании с учетом реального значения показателя ССВ.

Совокупная стоимость владения информационной системой состоит из фиксированных, или капитальных вложений, и текущих затрат. К фиксированным затратам относятся стоимости:

  • первоначальной закупки аппаратного и программного обеспечения;
  • разработки и внедрения проекта.

Фиксированными эти затраты называются потому, что делаются, как правило, один раз, на первом этапе создания информационной системы. При этом выбор той или иной стратегии, аппаратной и программной платформ весьма существенно влияет на последующие текущие затраты, которые включают стоимости:

  • обновления и модернизации системы;
  • управления системой в целом;
  • обучения персонала и технической поддержки пользователей.

Условно составляющие ССВ разделены на «видимые» пользователю (первоначальные затраты) и «невидимые» (затраты на эксплуатацию и использование). При этом «видимая» часть ССВ составляет 32%, а по некоторым оценкам и 21%, а «невидимая» – 68 % или соответственно 79 %.

К группе «видимых» затрат относятся следующие:

  • стоимость лицензии;
  • стоимость внедрения;
  • стоимость обновления;
  • стоимость сопровождения.

Все эти затраты, за исключением внедрения, имеют фиксированную стоимость и могут быть определены еще до принятия решения о внедрении корпоративной системы защиты информации. Следует отметить, что и в «видимом» секторе поставщиками систем безопасности иногда могут использоваться скрытые механизмы увеличения стоимости для привлечения клиента.

Дополнительные затраты («невидимые») появляются у каждого предприятия, завершившего у себя внедрение корпоративной системы защиты информации. «Невидимые» затраты также разделяются на группы:

  • затраты на оборудование (включают в себя затраты на приобретение или обновление средств защиты информации, на организацию бесперебойного питания и резервного копирования информации, на установку новых устройств безопасности и пр.);
  • дополнительное программное обеспечение (системы управления безопасностью, VPN, межсетевые экраны, антивирусы и пр.);
  • персонал (например, ошибки и трудности в работе со средствами защиты, неприятие или даже саботаж новых средств защиты и т. д.);
  • стоимость возможностей – стоимость возможных альтернатив (приобретение или обновление корпоративной системы защиты информации/сделать это собственными силами или заказать сторонней организации);
  • другие (в этом случае оценивается степень и стоимость риска «выхода из строя» системы).

Показатель ССВ корпоративной системы информационной безопасности рассчитывается как сумма всех затрат, «видимых» и «невидимых». Затем этот показатель сравнивается с рекомендуемыми величинами для данного типа предприятия. Существует 17 типов предприятий, которые, в свою очередь, делятся на малые, средние и крупные.

Если полученная совокупная стоимость владения системы безопасности значительно превышает рекомендованное значение и приближается к предельному, то необходимо принять меры по снижению ССВ. Сокращения совокупной стоимости владения можно достичь следующими способами:

  • максимальной централизацией управления безопасностью;
  • уменьшением числа специализированных элементов;
  • настройкой прикладного программного обеспечения безопасности и пр.

В целом, определение затрат компании на ИБ подразумевает решение следующих трех задач:

  • оценку текущего уровня ССВ корпоративной системы защиты информации и КИС в целом;
  • аудит ИБ компании на основе сравнения уровня защищенности компании и рекомендуемого (лучшая мировая практика) уровня ССВ;
  • формирование целевой модели ССВ.

ССВ не измеряет ни прибыль, ни доход, из-за чего ценность методики падает в глазах специалистов по ИТ, которые желают получить готовые рецепты экономической выгоды. Даже после подсчетов ССВ и выявления критических составляющих стоимости владения экономия на бумаге не всегда перейдет в реальную сумму на счете в банке. Но если организация поднялась в уровне информационной безопасности от «фольклора» до «стандартный» и есть понимание проблемы необходимости защиты информации с использованием формальных моделей, то методология ССВ безусловно эффективна.



Литература

1. Петренко С. А., Терехова Е. М., «Оценка затрат на защиту информации», Журнал «Защита информации. Инсайд», №1, январь-февраль 2005 года
2. Скрипкин К.Г. Экономическая эффективность информационных систем. М.: ДМК Пресс, 2003.

© 2009 Анна Гриценко, ДонНТУ