- •Оглавление
- •1. Задачи ткб иткс
- •1.1. Цель и задачи курса
- •1.2. Основные понятия
- •1.3. Проблемы защиты информации в иткс
- •1.4. Виды информации, защищаемой техническими средствами
- •1.5. Угрозы безопасности иткс
- •1.6. Принципы организации и разработки ткб иткс
- •2. Объекты защиты информации в иткс
- •2.1. Системный подход к защите информации
- •2.2. Представление иткс как объекта защиты
- •2.3 Свойства информации как объекта защиты
- •2.4. Вероятностная оценка уязвимости информации в иткс
- •2.5. Задачи защиты информации в иткс, способы и средства их решения
- •2.5. Общая характеристика информационного конфликта как формы взаимодействия объекта защиты (иткс) и объекта воздействия («нарушителя»)
- •2.6. Моделирование процессов защиты информации в иткс
- •3. Способы несанкционированного доступа к иткс
- •3.1. Особенности утечки информации
- •3.2. Основные принципы и этапы добывания информации
- •3.3. Видовая и комплексная обработка данных и сведений
- •3.4. Роль разведки в деятельности государств и коммерческих структур
- •3.5. Принципы ведения разведки
- •3.6. Условия установления разведывательного контакта
- •3.7. Виды нсд к источникам информации
- •3.8. Добывание информации без нарушения границ контролируемой зоны
- •4. Техническая разведка объектов иткс
- •4.1. Классификация технической разведки по физической природе носителя
- •4.2. Возможности технической разведки в мирное время
- •4.2.1 Наземная разведка
- •4.2.2 Морская разведка
- •4.2.3 Воздушная разведка
- •4.2.4 Космическая разведка
- •5. Основные направления ткб в организации
- •5.1. Концепция охраны объектов
- •5.2. Демаскирующие признаки объектов
- •5.3. Системы физической защиты объектов
- •6. Материально-техническое и нормативно методическое обеспечение ткб иткс
- •6.1. Построение системы защиты в организации
- •6.2. Структура государственных органов, обеспечивающих безопасность информационных технологий
- •6.3. Нормативно-правовая база инженерно-технической защиты информации
- •6.4. Основные направления ткб в организации
- •6.5. Организационные и технические меры по ткб в организации
- •7. Контроль эффективности ткб иткс
- •7.1. Задачи и виды контроля эффективности ткб
- •7.2. Методы оценки эффективности ткб иткс
- •7.3. Количественная оценка эффективности ткб иткс
- •7.4. Выбор показателей эффективности и критериев оптимальности ткб иткс
- •8. Методическое обеспечение ткб иткс
- •8.1. Методические рекомендации по разработке мер защиты. Основные способы и средства защиты информации от типовых вариантов угроз
- •8.2. Рекомендации по оценке затрат на защиту
- •8.3. Комплексирование мер защиты
- •8.4. Оптимизация проекта системы (предложений) защиты информации
- •Библиографический список
- •394026 Воронеж, Московский просп., 14
8.2. Рекомендации по оценке затрат на защиту
Эффективные приемы обоснования затрат на обеспечение информационной безопасности (ИБ) являются важнейшим условием успешного продвижения этой услуги в предпринимательской среде. Должное внимание к ИБ позволит отечественному предпринимательству подняться на современный уровень, более защищенный от недобросовестной конкуренции на внутреннем и внешнем рынках, а также от криминальных угроз.
Некорректная формализация коммерческого процесса или его фрагмента, взаимосвязанного с вопросами ИБ, ведет к существенным различиям между математически "оптимальным" решением и реально целесообразными затратами. Расхождения между моделью и реальными экономическими процессами, несомненно, должны учитываться при анализе возможностей и конечных целей использования математических методов. В современных условиях оптимизационные расчеты целесообразно рассматривать как исходный материал для формирования достоверных и объективных ориентиров при окончательном принятии решения, а не самих решении.
При этом необходимо обращать внимание на положение предприятия или организации в общей иерархии экономической системы. Руководители крупных предприятии не только понимают актуальность ИБ, но также в состоянии осуществлять эти мероприятия с помощью специалистов служб безопасности, которые готовят необходимые решения по вопросам ИБ и реализуют их. Более сложная ситуация складывается в сфере малых и средних хозяйствующих субъектов из-за ограниченных возможностей по обеспечению общей и информационной безопасности. Их затраты на ИБ составляют всего 1-3% от прибыли. Тем не менее, именно две последние категории в значительной степени определяют общую стабильность национальной экономики.
Причина недостаточного понимания важности ИБ кроется в неполной информированности отечественных руководителей по этому вопросу. В экономической литературе до сих пор не имеется четкого обоснования полезности товаров и услуг сферы информационной безопасности. То обстоятельство, что чрезвычайно важная для организации информация подвержена множеству различных опасностей, не всегда осознается лицами, принимающими соответствующие решения. Проблема заключается еще и в том, что системные администраторы и прочие ответственные за информационную безопасность специалисты не научились обоснованно убеждать в экономической целесообразности своих услуг и продукции. Отсюда и возник особый спрос на методы экономического обоснования затрат на ИБ и оценки ее эффективности.
Последние несколько лет в мировой практике размер и направление инвестиций в ИТ и ИБ определяется на основе методологии оценки совокупной стоимости владения.
Методика ТСО (total cost of ownerships) предназначена помочь руководителям предприятий в определении прямых и косвенных затрат и выгоды, связанных с любым компонентом компьютерных систем. Цель ее применения – получить реальное отражение действительных затрат, связанных с приобретением определенных средств и технологий, с учетом всех аспектов их последующего использования. Однако в нашей стране, скорее всего, нет ни одной организации, в которой бы велась регулярная оценка показателя совокупной стоимости владения собственной информационной системой в расчете на одно рабочее место.
Сейчас в сфере учета затрат на ИБ происходит миграция от бесперспективной модели общей стоимости компьютерной собственности к значительно более сложной и трудоемкой методике детального анализа стоимости всех составляющих затрат на информационную безопасность. Это вызвано следующими причинами:
резким повышением сложности и увеличением размеров корпоративных систем;
непрогнозируемым ростом дополнительных затрат, вызванных широким спектром используемых технологий;
существенно возросшей ролью человеческого фактора.
В связи с этим представляется целесообразным рассмотреть следующие основные направления затрат, которые могут послужить базой для формирования бюджета службы ИБ.
Таблица 10
Основные направления затрат в сфере ИБ
Наименование статьи затрат |
Примечания |
|
Бухгалтерская отчетность, документация службы закупок (информация единой системы учета затрат). Все затраты, связанные с закупкой клиентских рабочих мест, серверов, сетевого и периферийного оборудования.
|
|
Бухгалтерская отчетность, документация службы закупок (информация единой системы учета затрат). Все затраты, связанные с закупкой связанного с оборудованием п.1 программного обеспечения. |
|
Все затраты по всей организации по факту. |
|
Автоматизированные системы расчета оплаты труда (включаются накладные расходы, премии, налоги и другие платежи). Для учета непредвиденных расходов предлагается увеличить затраты на 30%. |
|
Бухгалтерская отчетность по основным фондам и нематериальным активам, относящимся к КИС; в основном- по ускоренному методу в расчете на три года. |
|
По факту. |
|
По факту. |
|
Если контракт на сопровождение был оплачен один раз на несколько лет вперед, то его нужно учитывать в каждом разделе по частям, как амортизацию капитальных вложений. |
|
Включает полную сумму компенсации, премии, налоги и повышение оплаты в течении периода расчета. |
|
Бизнес-приложения (приложения для бухгалтерского учета, обработки счетов, продаж, заработной платы, складского учета, управление персоналом). Инфраструктурные приложения для поддержания системной инфраструктуры (приложения для управления системами, коммуникационное ПО, СУБД и комплекты программ для офисной деятельности). |
|
Оплата услуг консультантов или сервисных организаций в части развития. |
|
|
|
Учитываются ежемесячные повторяющиеся затраты на коммутируемые и выделенные каналы. |
|
Оплата удаленного доступа к локальной сети, затраты на Webхостинг, платежи провайдерам Internet. |
|
Затраты, связанные с пользованием сетями передачи данных большой дальности (WAN). |
|
Связанные с ИТ затраты, которые не входят в бюджеты и не измеряются большинством служб ИБ. |
|
До 40 часов в год; стоимость 1 машино-часа. |
|
До 40 часов в год; стоимость 1 машино-часа. |
|
Среднее время недоступности компьютеров или программ- 2 часа в месяц на пользователя. |
Учет затрат по предложенным направлениям позволит не только сопоставлять их величины на разных временных интервалах, но и структурировать для выявления финансовых приоритетов и возможностей сокращения затрат на ИБ.