Перечень заданий к лабораторной работе
1. Для 2-3 предприятий обладателей коммерческой тайны, составить перечень единовременных и текущих затрат на защиту информации.
2. В соответствии с этим перечнем рассчитать или взять из открытых источников данные по затратам.
3. Составить таблицу для сравнения всей номенклатуры затрат для выбранных предприятий.
4. Оценить относительный уровень защиты информации по каждому предприятию исходя из величины затрат.
СОДЕРЖАНИЕ ОТЧЕТА ПО ЛАБОРАТОРНОЙ РАБОТЕ
1. Представить номенклатуру показателей, по которым будет проводиться работы затрат.
2. Представить таблицу с расчетами показателей по каждому предприятию.
3. Сделать выводы об уровне защиты информации на предприятиях.
4. Отчет предоставляется на магнитном носителе и проверяется преподавателем.
ЛАБОРАТОРНАЯ РАБОТА №3 РАЗРАБОТКА НЕКОТОРЫХ РАЗДЕЛОВ БИЗНЕС-ПЛАНА ОРГАНИЗАЦИИ ДЕПАРТАМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
Цель работы:
- Обоснование экономичной целесообразности выбора варианта организационно-правовой формы предприятия (отдела, департамента) по защите информации;
- Разработка финансового плана в качестве раздела бизнес-плана департамента информационной безопасности.
Теоретическая часть
СОВОКУПНАЯ СТОИМОСТЬ ВЛАДЕНИЯ ПОДСИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Отечественный ИТ-рынок в последние несколько лет динамично развивается, по оценкам экспертов его рост превышает 10% в год. При этом сектор информационной безопасности (ИБ) развивается еще более быстрыми темпами - более чем на 25% в год. Такой рост определяется в основном двумя факторами: возросшим вниманием руководства к обеспечению ИБ и недостаточным уровнем ИБ в существующих информационных системах (ИС).
Понятно, что долго такие темпы роста сектора ИБ сохраняться не смогут, они замедлятся, и вопросы оценки эффективности затрат в области ИБ встанут весьма остро. Уже сейчас в отечественных ИС с повышенными требованиями в области ИБ (банковские системы, ответственные производства, и т.д.) затраты на обеспечение режима ИБ составляют до 30% всех затрат на ИС.
По ИБ в компании можно вообще не заниматься, и не исключен такой вариант, что принятый риск себя вполне оправдает. А можно потратить на создание корпоративной системы защиты информации немало денег, и при этом останется некоторая уязвимость, которая рано или поздно приведет к утечке или хищению конфиденциальной информации.
Эксперты-практики в области защиты информации считают, что стоимость системы ИБ должна составлять примерно 10-20% от стоимости КИС, в зависимости от конкретных требований к режиму информационной безопасности. Это и есть та самая оценка на основе практического опыта (best practice), которой можно уверенно оперировать, если не производить детальные расчеты.
Методика расчета совокупной стоимости владения (ССВ) позволяет рассчитать всю расходную часть информационных активов компании, включая прямые и косвенные затраты на аппаратно-программные средства, организационные мероприятия, обучение и повышение квалификации сотрудников компании, реорганизацию, реструктуризацию бизнеса и т. д.
Показатель ССВ можно использовать как инструмент для оптимизации расходов на обеспечение требуемого уровня защищенности и обоснование бюджета на ИБ. При этом в компании эти работы могут выполняться самостоятельно, с привлечением системных интеграторов в области защиты информации или совместно предприятием и интегратором.
В целом методика ССВ компании Gartner Group позволяет:
· Получить адекватную информацию об уровне защищенности вычислительной среды и совокупной стоимости владения корпоративной системы защиты информации.
· Сравнить подразделения службы ИБ компании, как между собой, так и с аналогичными подразделениями других предприятий в данной отрасли.
· Оптимизировать инвестиции на ИБ компании с учетом реального значения показателя ССВ.
Показатель ССВ может использоваться практически на всех основных этапах жизненного цикла корпоративной системы защиты информации.
Сравнение определенного показателя ССВ с аналогичными показателями ССВ по отрасли (с аналогичными компаниями) и с «лучшими в группе» позволяет объективно и независимо обосновать затраты компании на ИБ. Ведь часто оказывается довольно трудно или даже практически невозможно оценить прямой экономический эффект от затрат на ИБ. Сравнение же «родственных» показателей ССВ позволяет убедиться в том, что проект создания или реорганизации корпоративной системы защиты информации компании является оптимальным по сравнению с некоторым среднестатистическим проектом в области защиты информации по отрасли.
ИБ обеспечивается комплексом мер на всех этапах жизненного цикла ИС, совокупная стоимость владения для системы ИБ в общем случае складывается из стоимости:
• Проектных работ.
• Закупки и настройки программно-технических средств защиты, включающих следующие основные группы: межсетевые экраны, средства криптографии, антивирусы и AAA (средства аутентификации, авторизации и администрирования).
• Затрат на обеспечение физической безопасности.
• Обучения персонала.
• Управления и поддержки системы (администрирование безопасности).
• Аудита ИБ.
• Периодической модернизации системы ИБ.
Под показателем ССВ понимается сумма прямых и косвенных затрат на организацию (реорганизацию), эксплуатацию и сопровождение корпоративной системы защиты информации в течении года.
При этом прямые затраты включают как капитальные компоненты затрат (ассоциируемые с фиксированными активами или «собственностью»), так и трудозатраты, которые учитываются в категориях операций и административного управления. Сюда же относят затраты на услуги удаленных пользователей и др., связанные с поддержкой деятельности организации.
В свою очередь косвенные затраты отражают затраты на операции и поддержку (не относящиеся к прямым затратам). Очень часто косвенные затраты играют значительную роль.
В целом определение затрат компании на ИБ подразумевает решение следующих трех задач:
• Оценка текущего уровня ССВ корпоративной системы защиты информации и КИС в целом.
• Аудит ИБ компании на основе сравнения уровня защищенности компании и рекомендуемого (лучшая мировая практика) уровня ССВ.
• Формирование целевой модели ССВ.
В ходе работ по оценке текущего уровня ССВ проводится сбор информации и расчет показателей ССВ организации по следующим направлениям:
• Существующие компоненты ИС (включая систему защиты информации) и информационные активы компании (серверы, клиентские компьютеры, периферийные устройства, сетевые устройства);
• Существующие расходы на аппаратные и программные средства защиты информации (расходные материалы, амортизация);
• Существующие расходы на организацию ИБ в компании (обслуживание СЗИ, а также штатных средств защиты периферийных устройств, серверов, сетевых устройств, планирование и управление процессами защиты информации, разработку концепции и политики безопасности и пр.);
• Существующие расходы на организационные меры защиты информации;
• Существующие косвенные расходы на организацию ИБ в компании и, в частности, обеспечение непрерывности или устойчивости бизнеса компании.
По результатам аудита проводится анализ:
· Политики безопасности;
· Организационных вопросов управления подсистемой безопасности;
· Управления информационными ресурсами;
· Управления персоналом;
· Физической безопасности;
· Администрирования компьютерных систем и сетей;
· Управления доступом к системам;
· Разработки и сопровождения систем;
· Планирования бесперебойной работы организации;
· Проверки системы на соответствие требованиям ИБ.
На основе проведенного анализа выбирается модель ССВ, сравнимая со средними и оптимальными значениями для репрезентативной группы аналогичных организаций, имеющих схожие с рассматриваемой организацией показатели по объему бизнеса.
По результатам проведенного аудита моделируется целевая (желаемая) модель, учитывающая перспективы развития бизнеса и корпоративной системы защиты информации (активы, сложность, методы “лучшей практики”, типы СЗИ, квалификация сотрудников компании и т. п.).
Затраты на обеспечение ИБ могут составлять от 2 % до 20 % и более от объема продаж (оборота предприятия). Приведенная оценка получена из опыта работы российских компаний, специализирующихся в области защиты информации на основе анализа состояния защищенности информационной среды предприятий металлургической отрасли и отрасли связи.
Затраты на потери = 70% от общих затрат (внешние и внутренние) на безопасность |
Затраты на контроль = 25% от общих затрат на безопасность |
Затраты на предупре- = 5% от общих затрат дительные мероприятия на безопасность |
Рис. 3 Типичное разделение затрат, связанных с ИБ |
ПРИМЕРНЫЙ ПЕРЕЧЕНЬ ЗАТРАТ ОРГАНИЗАЦИИ НА ОБЕСПЕЧЕНИЕ ИБ
Управление системой защиты информации:
• Затраты на планирование системы защиты информации предприятия;
• Затраты на изучение возможностей информационной инфраструктуры предприятия по обеспечению безопасности информации ограниченного распространения;
• Затраты на осуществление технической поддержки производственного персонала при внедрении средств защиты и процедур, а также планов по защите информации;
• Проверка сотрудников на лояльность, выявление угроз безопасности;
• Организация системы допуска исполнителей и сотрудников конфиденциального делопроизводства с соответствующими штатами и оргтехникой.
Регламентное обслуживание средств защиты информации:
· Затраты, связанные с обслуживанием и настройкой программно-технических средств защиты, операционных систем и используемого сетевого оборудования;
· Затраты, связанные с организацией сетевого взаимодействия и безопасного использования информационных систем;
· Затраты на поддержание системы резервного копирования и ведение архива данных;
· Проведение инженерно-технических работ по установлению сигнализации, оборудованию хранилищ конфиденциальных документов, защите телефонных линий связи, средств вычислительной техники и т. п.
Аудит системы безопасности:
· Затраты на контроль изменений состояния информационной среды предприятия;
· Затраты на систему контроля за действиями исполнителей.
Обеспечение должного качества информационных технологий:
· Затраты на обеспечение соответствия требованиям качества информационных технологий, в том числе анализ возможных негативных аспектов информационных технологий, которые влияют на целостность и доступность информации;
· Затраты на доставку (обмен) конфиденциальной информации;
· Удовлетворение субъективных требований пользователей: стиль, удобство интерфейсов и др.
Обеспечение требований стандартов:
• Затраты на обеспечение соответствия принятым стандартам и требованиям, достоверности информации, действенности средств защиты.
Обучение персонала:
• Повышение квалификации сотрудников предприятия в вопросах использования имеющихся средств защиты, выявления и предотвращения угроз безопасности;
• Развитие нормативной базы службы безопасности.
Затраты на контроль:
• Плановые проверки и испытания;
• Затраты на проверки и испытания программно-технических средств защиты информации;
• Затраты на проверку навыков эксплуатации средств защиты персоналом предприятия;
• Затраты на обеспечение работы лиц, ответственных за реализацию конкретных процедур безопасности по подразделениям;
• Оплата работ по контролю правильности ввода данных в прикладные системы;
• Оплата инспекторов по контролю требований, предъявляемых к защитным средствам при разработке любых систем (контроль выполняется на стадии проектирования и спецификации требований).
Внеплановые проверки и испытания:
• Оплата работы испытательного персонала специализированных организаций;
• Обеспечение испытательного персонала (внутреннего и внешнего) материально-техническими средствами.
Контроль за соблюдением политики ИБ:
• Затраты на контроль реализации функций, обеспечивающих управление защитой коммерческой тайны;
• Затраты на организацию временного взаимодействия и координации между подразделениями для решения повседневных конкретных задач;
• Затраты на проведение аудита безопасности по каждой автоматизированной информационной системе, выделенной в информационной среде предприятия;
• Материально-техническое обеспечение системы контроля доступа к объектам и ресурсам предприятия.
Затраты на внешний аудит:
• Затраты на контрольно-проверочные мероприятия, связанные с лицензионно-разрешительной деятельностью в сфере защиты информации.
Пересмотр политики информационной безопасности предприятия (проводится периодически):
• Затраты на идентификацию угроз безопасности;
• Затраты на поиск уязвимостей системы защиты информации;
• Оплата работы специалистов, выполняющих работы по определению возможного ущерба и переоценке степени риска.
Затраты на ликвидацию последствий нарушения режима ИБ:
• Восстановление системы безопасности до соответствия требованиям политики безопасности;
• Установка патчей или приобретение последних версий программных средств защиты информации;
• Приобретение технических средств взамен пришедших в негодность;
• Проведение дополнительных испытаний и проверок технологических информационных систем;
• Затраты на утилизацию скомпрометированных ресурсов.
Восстановление информационных ресурсов предприятия:
• Затраты на восстановление баз данных и прочих информационных массивов;
• Затраты на проведение мероприятий по контролю достоверности данных, подвергшихся атаке на целостность.
Затраты на выявление причин нарушения политики безопасности:
• Затраты на проведение расследований нарушений политики безопасности (сбор данных о способах совершения, механизме и способах сокрытия неправомерного деяния, поиск следов, орудий и предметов посягательства; выявление мотивов неправомерных действий и т. д.).
• Затраты на обновление планов обеспечения непрерывности деятельности службы безопасности.
Затраты на переделки:
• Затраты на внедрение дополнительных средств защиты, требующих существенной перестройки системы безопасности.
• Затраты на повторные проверки и испытания системы защиты информации.
Внешние затраты на ликвидацию последствий нарушения политики безопасности:
• Обязательства перед государством и партнерами;
• Затраты на юридические споры и выплаты компенсаций;
• Потери в результате разрыва деловых отношений с партнерами.
Потеря новаторства:
• Затраты на проведение дополнительных исследований и разработки новой рыночной стратегии;
• Отказ от организационных, научно-технических или коммерческих решений, ставших неэффективными в результате утечки сведений и затраты на разработку новых средств ведения конкурентной борьбы;
• Потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно-технические достижения.
Прочие затраты:
• Заработная плата секретарей и служащих, организационные и прочие расходы, которые непосредственно связаны с предупредительными мероприятиями;
• Другие виды возможного ущерба предприятию, в том числе связанные с невозможностью выполнения функциональных задач, определенных его Уставом.
ФИНАНСОВЫЙ ПЛАН
Важнейшим разделом бизнес-плана является финансовый план. Он формируется для обеспечения потребности фирмы в денежных ресурсах и достижения (поддержания) устойчивого финансового состояния.
Необходимо выделить следующие основные подразделения:
· Источники собственных средств;
· Источники заемных средств;
· Прогноз объемов реализации продукции;
· Общие затраты;
· Заработная плата;
· Налоги и отчисления в бюджет;
· Отчет о движении денежных средств (простой и дисконтированный);
· График безубыточности;
· Отчет о прибылях и убытках.
Следует особо отметить, что структуризация разделов бизнес-плана позволяет реализовать такие основополагающие требования, как достаточность и доступность для восприятия (при наличии четкой структуры потенциальному партнеру, в том числе и инвестору, легче принять правильное решение о сотрудничестве).
При формировании финансового плана необходимо определить размеры собственных средств, вкладываемых в дело, а такие источники заемных средств с указанием размеров необходимо кредитов.
Раздел может быть дополнен вопросами, вязанными со стратегией финансирования бизнес-проекта. Например, уточняются план получения средств, их форма, период возврата капитала, величина прибылей.
СОДЕРЖАНИЕ ОТЧЕТА ПО ЛАБОРАТОРНОЙ РАБОТЕ
1) Представить разработанный перечень затрат на обеспечение информационной безопасности;
2) Расчеты величин элементов показателей ССВ для аналогичных предприятий по защите информации;
3) Затраты на аутсорсинг по обеспечению информационной безопасности для различных предприятий. Представить в таблице и провести их анализ;
4) Представить расчет следующих элементов финансового плана для бизнес-плана организации департамента информационной безопасности:
· Общие затраты;
· Источники собственных средств;
· Источники заемных средств;
· Отчет о прибылях и убытках.
ПЕРЕЧЕНЬ ЗАДАНИЙ К ЛАБОРАТОРНОЙ РАБОТЕ
1) Используя методику расчета совокупной стоимости владения подсистемы информационной безопасности, обосновать выбор варианта организационной формы предприятия по защите информации. Для этого рассчитать и сравнить показатели ССВ выбранного предприятия с показателями ССВ аналогичных компаний.
2) Составить примерный перечень на обеспечении информационной безопасности;
3) Рассчитать величину элементов показателей ССВ;
4) Провести анализ значений показателей ССВ и сделать выводы.
5) Рассчитать элементы финансового плана для бизнес-плана организации департамента информационной безопасности.
6) Предоставляется на магнитном носителе и проверяется преподавателем.
РЕКОМЕНДУЕМАЯ ЛИТЕРАТУРА
Нормативно правовые акты
1) «Об информации, информационных технологиях и защите информации»: Закон РФ от 27 июля 2006 г. № 149-ФЗ.
Основная литература
2) Экономика предприятия (фирмы). Практикум: Учебное пособие/ Под ред. В.Я. Позднякова, В.М. Прудникова.- 2-е изд..- С.: ИНФРА-М, 2010.-319 с.
3) Воронов В.В. Экономика и финансы предприятия: Учебник/РАГС при Президенте РФ. - М.:РАГС, 2009.-146с.
4) Липсиц И.В. Экономика: Учебник.-5-е изд., перераб..- М.: Омега-Л, 2010.-607 с.
5) Цуканова О.А., Смирнов С.Б. Экономика защиты информации: Учебное пособие. СПб ГУИТМО. 2007г. – 59с.
6) Экономика промышленного предприятия: Учебник. М.: ИНФРА-М, 2011. – 395с.
7) Гукасьян Г.М. Экономика от «А» до «Я»: Тематический справочник. - М.: Инфра - М, 2009.-480с.