Прямые и косвенные затраты на защиту информации предприятии

Как уже отмечалось, безопасность предприятия обеспечивается комплексом мер на всех этапах его жизненного цикла, его информационной системы и в общем случае складывается из стоимости:

  • - проектных работ;
  • - закупки и настройки программно-технических средств защиты;
  • - затрат на обеспечение физической безопасности;
  • - обучения персонала;
  • - управления и поддержки системы;
  • - аудита защиты информации;
  • - периодической модернизации системы защиты информации и т.д.

Стоимостным показателем экономической эффективности комплексной системы защиты информации будет сумма прямых и косвенных затрат на организацию, эксплуатацию и сопровождение системы защиты информации в течение года.

Он может рассматриваться как ключевой количественный показатель эффективности организации защиты информации в компании, так как позволит не только оценить совокупные затраты на защиту, но управлять этими затратами для достижения требуемого уровня защищенности предприятия. При этом прямые затраты включают как капитальные компоненты затрат, так и трудозатраты, которые учитываются в категориях операций и административного управления. Сюда же относят затраты на услуги удаленных пользователей и др., связанные с поддержкой деятельности организации.

В свою очередь, косвенные затраты отражают влияние комплексной системы безопасности и подсистемы защиты информации на служащих посредством таких измеримых показателей, как простои и «зависания» корпоративной системы защиты информации и комплексной системы безопасности в целом, затраты на операции и поддержку.

Очень часто косвенные затраты играют значительную роль, так как они обычно изначально не отражаются в бюджете на комплексную систему безопасности, а выявляются явно при анализе затрат в последствии, что в конечном счете приводит к росту «скрытых» затрат компании. Рассмотрим, как можно определить прямые и косвенные затраты на комплексную систему безопасности. Предположим, что руководство предприятия проводит работы по внедрению на предприятии комплексной системы защиты информации. Уже определены объекты и цели защиты, угрозы информационной безопасности и меры по противодействию им, приобретены и установлены необходимые средства защиты информации.

Как правило, затраты на информационную безопасность подразделяются на следующие категории:

  • - затраты на формирование и поддержание звена управления системой защиты информации;
  • - затраты на контроль, то есть на определение и подтверждение достигнутого уровня защищенности ресурсов предприятия;
  • - внутренние затраты на ликвидацию последствий нарушения информационной безопасности - затраты, понесенные организацией в результате того, что требуемый уровень защищенности не был достигнут;
  • -внешние затраты на ликвидацию последствий нарушения информационной безопасности - компенсация потерь при нарушениях политики безопасности в случаях, связанных с утечкой информации, потерей имиджа компании, утратой доверия партнеров и потребителей и т.п.;
  • -затраты на техническое обслуживание системы защиты информации и мероприятия по предотвращению нарушений политики безопасности предприятия.

При этом обычно выделяют единовременные и систематические затраты.

Единовременные, затраты на формирование безопасности предприятия: организационные затраты и затраты на приобретение и установку средств защиты.

Систематические, затраты на эксплуатацию и обслуживание. Классификация затрат условна, так как сбор, классификация и анализ затрат на информационную безопасность - внутренняя деятельность предприятий, и детальная разработка перечня зависят от особенностей конкретной организации.

Главное при определении затрат на систему безопасности -взаимопонимание и согласие по статьям расходов внутри предприятия.

Кроме того, категории затрат должны быть постоянными и не должны дублировать друг друга. Невозможно полностью исключить затраты на безопасность, однако они могут быть приведены к приемлемому уровню.

Некоторые виды затрат на безопасность являются абсолютно необходимыми, а некоторые могут быть существенно уменьшены или исключены. Последние - это те, которые могут исчезнуть при отсутствии нарушений безопасности или сократятся, если количество и разрушающее воздействие нарушений уменьшатся.

При соблюдении безопасности и проведении профилактики нарушений можно исключить или существенно уменьшить следующие затраты:

  • - на восстановление системы безопасности до соответствия требованиям безопасности;
  • - на восстановление ресурсов информационной среды предприятия;
  • - на переделки внутри системы безопасности;
  • - на юридические споры и выплаты компенсаций;
  • - на выявление причин нарушения безопасности.

Необходимые затраты - это те, которые необходимы даже если уровень угроз безопасности достаточно низкий. Это затраты на поддержание достигнутого уровня защищенности информационной среды предприятия.

Неизбежные затраты могут включать:

  • а) обслуживание технических средств защиты;
  • б) конфиденциальное делопроизводство;
  • в) функционирование и аудит системы безопасности;
  • г) минимальный уровень проверок и контроля с привлечением специализированных организаций;
  • д) обучение персонала методам информационной безопасности.

Однако существуют и другие затраты, которые определить достаточно сложно. В их числе:

  • а) затраты на проведение дополнительных исследований и разработку новой рыночной стратегии;
  • б) потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно-технические достижения;
  • в) затраты, связанные с ликвидацией «узких мест» в снабжении, производстве и сбыте продукции;
  • г) потери от компрометации производимой предприятием продукции и снижения цен на нее;
  • д) возникновение трудностей в приобретении оборудования или технологий, в том числе повышение цен на них, ограничение объема поставок.

Перечисленные затраты могут быть вызваны действиями персонала различных отделов, например, проектного, технологического, планово-экономического, юридического, хозяйственного, отдела маркетинга, тарифной политики и ценообразования.

Поскольку сотрудники всех этих отделов вряд ли будут заняты полный рабочий день вопросами внешних потерь, то установление объема затрат необходимо вести с учетом реально затраченного времени. Один из элементов внешних потерь невозможно точно вычислить - это потери, связанные с подрывом имиджа предприятия, снижением доверия потребителя к продукции и услугам предприятия. Именно по этой причине многие корпорации скрывают, что их сервис небезопасен. Корпорации боятся обнародования такой информации даже больше, чем атаки в той или иной форме.

Однако многие предприятия игнорируют эти затраты на основании того, что их нельзя установить с какой-либо степенью точности - они только предположительны. Затраты на предупредительные мероприятия. Эти затраты, вероятно, наиболее сложно оценить, поскольку предупредительные мероприятия проводятся в разных отделах и затрагивают многие службы. Эти затраты могут появляться на всех этапах жизненного цикла ресурсов информационной среды предприятия:

  • - планирования и организации;
  • - приобретения и ввода в действие;
  • - доставки и поддержки;
  • - мониторинга процессов, составляющих информационную технологию.

В дополнение к этому, большинство затрат данной категории связано с работой персонала службы безопасности. Затраты на предупредительные мероприятия в основном включают заработную плату и накладные расходы. Однако точность их определения в большей степени зависит от точности установления времени, затраченного каждым сотрудником в отдельности. Некоторые предупредительные затраты легко выявить напрямую. Они, в частности, могут включать оплату различных работ сторонних организаций, например:

  • - обслуживание и настройку программно-технических средств защиты, операционных систем и используемого сетевого оборудования;
  • - проведение инженерно-технических работ по установлению сигнализации, оборудованию хранилищ конфиденциальных документов, защите телефонных линий связи, средств вычислительной техники и т.п.;
  • - доставку конфиденциальной информации;
  • - консультации;
  • - курсы обучения.

Источники сведений о рассмотренных затратах. При определении затрат на обеспечение ИБ необходимо помнить, что:

  • - затраты на приобретение и ввод в действие программно-технических средств могут быть получены из анализа накладных, записей в складской документации и т.п.;
  • - выплаты персоналу могут быть взяты из ведомостей;
  • - объемы выплат заработной платы должны быть взяты с учетом реально затраченного времени на проведение работ по обеспечению информационной безопасности если только часть времени сотрудника затрачивается на деятельность по обеспечению информационной безопасности, то целесообразность оценки каждой из составляющих затрат его времени не должна подвергаться сомнению;
  • - классификация затрат на безопасность и распределение их по элементам должны стать частью повседневной работы внутри предприятия.
 
< Пред   СОДЕРЖАНИЕ   Загрузить   След >