Реализация системы защиты информации.

Далее наступает этап реализации системы [7]. Идеальным считается вариант, когда система защиты строится одновременно с построением информационной системы. В этом случае существует возможность планирования архитектуры информационной системы с учетом вопросов безопасности, и компоненты защиты гармонично вольются в общую структуру. В действительности, как правило, системы обработки информации в организациях уже существуют, причем, некоторые из них построены достаточно хаотично. В связи с этим, построение системы защиты приходится проводить либо с учетом существующей топологии, либо при частичном изменении существующей топологии информационных систем.

Детальное рассмотрение процесса физического построения системы защиты информации на объекте мы опустим, так как это находится несколько в стороне от нашей темы, и частично будет рассмотрено далее. Как правило, реализацией технической составляющей системы защиты занимаются соответствующие организации – подрядчики (системные интеграторы), имеющие соответствующие лицензии и опыт работы.

В настоящее время многие системные интеграторы, говоря о преимуществах своих услуг, оперируют показателями: «Совокупная стоимость владения» (ТСО – total cost of ownership) и «Коэффициент возврата инвестиций» (ROI – return on investment). [34]

В теории, ROI определенным образом зависит как минимум от двух составляющих: ТСО (другими словами, инвестиций, необходимых для реализации проекта) и приносимой от их вложения прибыли. Здесь мы не будем задаваться вопросом точной зависимости от ТСО. Тем более, что в настоящее время в печати ведется достаточно острая полемика на эту тему. Важно другое. Если инвестиции «приносят» прибыль – все понятно: можно тем или иным образом определить ROI. А если прибыли от инвестиций нет и не подразумевается самим назначением проекта? Тогда для грамотной экономической оценки проекта остается лишь рассчитать ТСО.

Оценить прямой экономический эффект (получаемую прибыль) от реализации проекта по обеспечению информационной безопасности информационных систем практически невозможно. Даже если руководство организации убедилось в целесообразности реализации подобного проекта, то обычно сотруднику, отвечающему за информационную безопасность, необходимо пройти еще одну из самых трудных процедур – утвердить сметы затрат на реализацию проекта и доказать, что «сэкономить больше нельзя». В таких случаях определение ТСО становится как раз незаменимым инструментом. Наиболее наглядными являются два варианта оценки подобного проекта с использованием ТСО:

– Сравнение показателей ТСО уже реализованных в данной отрасли аналогичных проектов. Это позволило бы показать руководству организации, что уровень экономических показателей предлагаемого проекта не хуже (или лучше), чем в среднем по отрасли. Однако, такой подход требует наличия довольно большого объема статистического материала, что само по себе является достаточно трудоемкой задачей.

– Сравнение ТСО решений, предлагаемых разными производителями для реализации одного и того же проекта. Данный способ не требует такого объема необходимых статистических материалов, как в предыдущем случае, поэтому возможен практически всегда. Анализ результатов расчета может использоваться в качестве аргументации выбора того или иного исполнителя.

Методика определения ТСО изначально была выдвинута исследовательской компанией Garther Group в конце 80-х годов (1986 – 1987 гг.). В основу общей модели расчета ТСО положено разделение всех расходов (затрат) на две основные категории:

– прямые (бюджетные) расходы – это расходы, которые необходимо совершить фирме для запуска проекта и поддержания его в рабочем состоянии;

– косвенные расходы – расходы, которые понесет фирма (при условии реализации проекта) от влияния нововведений на работоспособность сотрудников фирмы.

Статьи прямых расходов можно разделить на следующие группы:

Единовременные расходы:

– Капитальные расходы: покупка необходимого оборудования, покупка/разработка необходимого программного обеспечения.

– Расходы на управление внедряемой системой: расходы на проектирование – разработка схем устройств, политики функционирования системы; расходы на администрирование (сопровождение) – изменение локальных политик функционирования системы, upgrade аппаратных платформ и т. д.; расходы на расширение системы; расходы на преодоление чрезвычайных ситуаций;

– расходы на интеграцию системы в уже существующую корпоративную систему – очень важная статья расходов, которая обычно не учитывается.

– Расходы на установку оборудования и программного обеспечения.

– Расходы на обучение обслуживающего персонала.

– Командировочные расходы.

– Прочие расходы, совершаемые для запуска проекта.

Ежегодные расходы:

– Расходы на техническую поддержку оборудования.

– Расходы на сопровождение программных средств.

– Расходы на оплату труда обслуживающего проект персонала.

– Расходы на услуги связи.

– Прочие расходы, совершаемые для поддержания проекта в рабочем состоянии.

Часть прямых расходов является обязательной – это покупка, установка и сопровождение необходимого оборудования и программных средств, привлечение дополнительного персонала и т. п., несение же другой части расходов зависит от конкретного проекта или пожеланий заказчика (услуги по обследованию существующей сети, аутсорсинг, услуги связи и т. п.). Поэтому при расчете ТСО имеет смысл все расходы разделить на следующие группы:

– расходы, обязательные к совершению (вероятность несения таких расходов 100%);

– расходы, возможные к совершению (вероятность несения таких расходов менее 100%).

Косвенные расходы часто находятся за рамками бюджетных затрат на информационные технологии, однако они могут играть существенную роль в оценке решений по проектам.

Можно выделить две группы источников возникновения косвенных расходов.

Первая группа косвенных расходов заключается в том, что, если информационная система спроектирована плохо (например, сервер дает частые сбои), то это вызывает непроизводительное расходование времени у пользователей (перерывы в работе) или даже потери в бизнесе. Как правило, косвенные расходы трудно определить напрямую. Однако их следует учитывать при проектировании информационных систем и организации технической поддержки. Для определения этой группы косвенных затрат нужно различать плановое время неработоспособности и сверхнормативное.

Вторая группа косвенных расходов отражает организационную сторону процесса использования информационных технологий и состоит в том, что, вследствие ненадлежащей поддержки со стороны штатных сотрудников информационных технологий, пользователи внутри компании вынуждены заниматься вопросами восстановления работоспособности, самообучением и т. д., что также уменьшает производительное время их работы.

Что касается расчета ТСО для систем информационной безопасности, то он относится аналитиками к числу наиболее сложных. Это происходит по следующим причинам:

– Применительно к системам безопасности необходимо учитывать такой фактор, как требования рынка к сертификации средств информационной безопасности. Этот фактор может найти свое отражение в расчете ТСО за счет более высокой цены продукта по сравнению с аналогом, не имеющим соответствующего сертификата, что в целом увеличит ТСО проекта, понизив при этом его привлекательность. Но при этом данный фактор останется одним из ключевых при принятии окончательного решения.

– Методика расчета экономической эффективности не в состоянии учитывать и такой важный фактор, как качество системы безопасности. Так, грубая ошибка в настройке или неизвестный «черный ход» в продукте могут свести на нет все экономические преимущества проекта, хотя его ТСО будет минимальна. Предсказать подобный исход на этапе финансового анализа, очевидно, невозможно.

Данные факторы могут и должны быть учтены в дополнение к основному определению ТСО. Причем некоторые параметры, прямо или косвенно влияющие на ТСО, придется оценивать экспертным методом.

К сожалению, из-за ограничения объема, на этом этапе описание методик придется завершить. С более полным описанием методик ТСО и ROI можно ознакомиться в соответствующей литературе, в частности в работе [34].

Само построение системы защиты производится согласно проекту, разработанному на основе созданной модели. Сдача объекта в эксплуатацию производится после проведения тестовых испытаний, и других приемо-сдаточных мероприятий. При необходимости, возможна предварительная сдача системы в опытную эксплуатацию. Опытная эксплуатация позволяет выявить и устранить возможные недостатки функционирования системы информационной безопасности, прежде чем запустить систему на объекте в полноценный рабочий режим.

Если в процессе опытной эксплуатации выявляются факты некорректной работы компонентов системы, то проводится корректировка настроек средств защиты, режимов их функционирования и т. п.

Подтверждение функциональной полноты системы безопасности и обеспечения требуемого уровня защищенности информационной системы организации обеспечивается при необходимости (в государственных организациях – в обязательном порядке) проведением аттестации системы соответствующими уполномоченными организациями.

Аттестация предусматривает комплексную проверку защищаемого объекта в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности.

Помимо сдачи системы безопасности, одновременно должны проводиться обучение и аттестация обслуживающего персонала, администраторов системы и других ответственных лиц.

На основе концепции безопасности создается итоговый документ – «Положение по защите информации» для организации, содержащий перечень всех необходимых требований по информационной безопасности. Для отдельных подразделений, сотрудники которых имеют доступ к защищаемым ресурсам, либо отдельных объектов информатизации, необходимо создание инструкций по защите информации. В инструкциях обязательно должны быть отражены предварительно разработанные организационные меры для всех, реально существующих групп пользователей. Так же, должны быть назначены ответственные лица, контролирующие выполнение сотрудниками организации, и другими допущенными лицами, требований инструкций и руководящих документов по защите информации. Лица, допущенные к обработке защищаемой информации, в обязательном порядке должны быть предупреждены об ответственности за нарушение требований по информационной безопасности.

Наши рекомендации