• Получить реалистичную информацию об уровне защищенности КИС исовокупной стоимости владения системой защиты;
• Сравнивать подразделения службы ИБ компании не только между собой, но и с аналогичными подразделениями в других компаниях отрасли;
• Оптимизировать инвестиции на ИБ компании с учетом реального значения показателя ТСО.
Под показателем ТСО понимается сумма прямых и косвенных затрат на организацию (реорганизацию), эксплуатацию и сопровождение системы защиты в течение года. С помощью ТСО можно не только оценивать совокупные затраты на ИБ, но и управляя этими затратами достигать требуемый уровень защищенности КИС.
Прямые затраты включают капитальные составляющие (ассоциируемые с фиксированными активами или «собственностью») и трудозатраты, учитываемые в категориях операций и административного управления. Сюда же относят затраты на услуги удаленных пользователей, сторонние услуги и др., связанные с деятельностью организации.
Косвенные затраты показывают влияние КИС и системы защиты на пользователей посредством таких измеряемых показателей, как простои и «зависание» системы защиты и КИС в целом, затраты на операции и поддержку, не отнесенные к прямым затратам.
Подход к оценке ТСО базируется на результатах аудита ИБ и КИС в целом, включая действия сотрудников ИТ подразделения, службы ИБ и пользователей. Сбор и анализ статистики по структуре прямых и косвенных затрат проводится в течение достаточно длительного периода времени, как правило в течение 1 года. Полученные данные оцениваются по ряду критериев с учетом сравнения с аналогичными компаниями по отрасли.
Методика ТСО дает неплохие результаты при оценке и сравнении состояния защищенности КИС компании с некоторым типовым профилем защиты. Экономическая точка зрения на состояние и развитие системы защиты может быть выражена следующим образом: «сейчас мы тратим на ИБ столько-то, если будем тратить столько-то по таким направлениям ИБ, то получим такой-то эффект».
Сбор информации для расчета показателей ТСО охватывает следующие позиции:
• компоненты КИС, включая систему защиты информации (серверы, пользовательские ПК, сетевые устройства, периферийное оборудование и пр.);
• расходы на программные и аппаратные средства защиты (амортизация, расходные материалы);
• затраты на организацию ИБ в компании ( обслуживание средств защиты и контроля СОСТОЯ1ШЯ безопасности, штатных средств защиты периферийных устройств, серверов, сетевых устройств, планирование и управлении процессами защиты информации, разработка политики и концепции ИБ и пр.);
• расходы на организационные меры защиты информации;
• косвенные расходы на ИБ, в частности на обеспечение непрерывности и устойчивости бизнеса компании.
Решение к заданию 6
Формула для расчета ущерба:
• единовременный ущерб от реализации угрозы SLE=AV*EF
• ежегодный ущерб от реализации угрозы ALE—SLE* ARO
SLE=AV*EF=1млн. долл. * 50% =500 000 долл.
ALE=SLE*ARO= 500 000 долл. * 0.1 = 50 000 долларов
Интерпретация результата
Ежегодно требуется тратить 50 000 долларов, чтобы предотвратить или снизить отрицательное влияние на ИТ инфраструктуру такого события как пожар.
Обоснование целесообразности страхования ИТ инфраструктуры
Период |
Стоимость оборудования |
Страховая премия |
1 год |
1млн. |
1млн.*0,03 = 30 000 |
2 год |
1млн-(1млн.*0,25)=750 000 |
750 000*0,03 = 22 500 |
3 год |
750 000 - (750 000*0,25) = 562 500 |
562 500*0,03= 16 875 |
… |
… |
… |
10 год |
… |
… |
Вывод.
Страхование экономически оправдано, т.к. уже за первый год размер выплат страховщику меньше потенциальных затрат, которые должна понести компания вследствие существующей угрозы.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.