Высокая. Антивирусная защита воспринимается как один из основных компонентов корпоративной системы защиты. Система антивирусной защиты тесно интегрирована в комплексную систему централизованного управления ИБ компании и обладает максимальной степенью автоматизации. При этом организационные меры по защите информации преобладают над техническими мерами. Стратегия защиты информации определяется исключительно стратегией развития бизнеса компании.
Также условно выделим три степени готовности системы контроля и управления доступом: базовая, средняя, высокая.
Базовая. Ведется учет серийных номеров рабочих станций и серверов, инвентаризационные таблички крепятся на соответствующее аппаратное обеспечение. Введена процедура контроля перемещения аппаратных средств КИС. Проводятся постоянные и периодические инструктажи персонала компании. Особое внимание уделяется мобильным компонентам КИС.
Средняя. Используются механические и электронные замки, шлюзовые кабины и турникеты. Организованы контрольно-пропускные пункты и проходные. Осуществляется видеонаблюдение на объекте информатизации. Требования к персоналу определены и доведены под роспись. Разработаны инструкции по действию в штатных и внештатных ситуациях. Задействованы частные и государственные охранные предприятия и структуры.
Высокая. Обеспечение физической безопасности аппаратных средств является частью единой политики безопасности, утвержденной руководством компании. Активно используется весь комплекс мер защиты информации, начиная с организационного и заканчивая техническим уровнем.
Проект по созданию корпоративной системы защиты информации от вирусов предполагает определенное развитие и переход от некоторого базового уровня (уровень 0) к более высокому (уровень 10). В табл. 10.3 приведены характеристики процесса развития корпоративной системы защиты информации на выделенных уровнях защиты.
Таблица 10.3.
Характеристики базового и повышенного уровней защиты
Таблица 10.3. Характеристики базового и повышенного уровней защиты (окончание)
В табл. 10.4 приведены список статей и возможный уровень снижения расходов при развитии процессов управления информационной безопасности и защиты от вирусов (начиная от уровня 0 и заканчивая уровнем 10) [4] .
Таблица 10.4. Статьи расходов базового и повышенного уровней защитыТаблица 10.4. Статьи расходов базового и повышенного уровней защиты (окончание)
В табл. 10.5 и на рис. 10.2 показан уровень снижения расходов при переходе на более высокий уровень защищенности КИС (переход с уровня 0 на уровень 10). Полученные данные о снижении ТСО в среднем на 230 тыс. долларов в год позволяют обосновать инвестиции в размере около 600 тыс. долларов на защиту от вирусов. При этом период окупаемости составляет не более трех лет.
Таблица 10.5. Уровень снижения расходов при внедрении лучших мировых методикРис. 10.2. Уровень снижения расходов при внедрении лучших мировых методик
Прокомментируем перечисленные расходы.
Расходы на аппаратные средства и программное обеспечение. Эта категория модели ТСО включает серверы, компьютеры клиентов (настольные и мобильные компьютеры), периферийные устройства и сетевые компоненты. Расходы на аппаратно-программные средства ИС также входят в эту категорию.
Расходы на операции ИС. Прямые затраты на содержание персонала, стоимость работ и аутсорсинг, произведенные компанией в целом, бизнес-подразделениями или службой ИС для осуществления технических задач и операций по поддержанию инфраструктуры для пользователей распределенных вычислений.
Административные расходы. Прямые затраты на персонал, обеспечение деятельности и расходы внутренних/внешних поставщиков (вендоров) на поддержку операций, включающих управление, финансирование, приобретение и обучение ИС.
Расходы на операции конечных пользователей. Это затраты на самоподдержку конечных пользователей, а также на поддержку их друг другом в противовес официальной поддержке ИС. Затраты включают: самостоятельную поддержку, официальное обучение конечных пользователей, нерегулярное (неофициальное) обучение, самостоятельные прикладные разработки, поддержку локальной файловой системы.
Расходы на простои. Данная категория учитывает ежегодные потери производительности конечных пользователей от запланированных и незапланированных отключений сетевых ресурсов, включая клиентские компьютеры, совместно используемые серверы, принтеры, прикладные программы, коммуникационные ресурсы и ПО для связи. Для анализа фактической стоимости простоев, которые связаны с перебоями в работе сети и которые оказывают влияние на производительность, исходные данные получают из обзора по конечным пользователям. Рассматриваются только те простои, которые ведут к потере производительности.
В табл. 10.6 и на рис. 10.3 показан пример расчета ТСО для организаций, обладающих средним уровнем защищенности КИС (уровень 5).
Таблица 10.6. Пример расчета ТСОРис. 10.3. Пример расчета ТСО
Таким образом, применение методики ТСО для обоснования инвестиций в проекты обеспечения информационной безопасности на предприятии вполне обосновано и имеет право на существование. При этом выбор конкретной методики оценки затрат на ИБ находится в сфере ответственности руководителей соответствующих служб и отделов защиты информации.
Структура ИТ-персонала
В данном примере показано оптимальное соотношение ИТ-персонала по выполнению задач управления информационными технологиями одной из организаций, полученное на основе анализа ТСО. В составе информационной системы было около 9 тыс. персональных компьютеров, около 300 серверов различной конфигурации, 3 тыс. периферийного оборудования. Предполагалось, что информационная система является системой средней сложности (коэффициент 5 при 10-балльной шкале) и при ее управлении не используются инструментальные средства, позволяющие применять лучшие мировые методики по управлению информационными технологиями (коэффициент 0 при 10-балльной шкале).
В составе ИТ-персонала были выделены следующие категории:
• администратор;
• аналитик бизнес-сервиса;
• менеджер ИТ-проектов;
• супервизор;
• системный администратор;
• администратор по информационной безопасности;
• администратор БД;
• руководитель информационной службы (CIO);
• технический директор информационной службы;
• инженер по ПК;
• старший оператор;
• администратор сети;
• эксперт по технической поддержке ПК;
• менеджер по закупкам;
• технический консультант по обучению и аудиту;
• инженер по технической поддержке.
В табл. 10.7—10.11 приводится итоговое распределение ИТ-персонала по техническим услугам, управлению планированием и процессами, финансовому и административному управлению, обучению ИТ-персонала и конечных пользователей, которое наиболее оптимально для данного предприятия.
Распределение персонала представлено в эквиваленте полной занятости (ЭПЗ, FTE, Full Time Equivalent). Концепция эквивалента полной занятости (ЭПЗ) используется при определении понятия «трудовые ресурсы». Для каждой категории трудовых ресурсов подсчитывается «логический» (а не «физический») персонал. ЭПЗ измеряется в календарном времени, один ЭПЗ – это работа сотрудника полный рабочий день на своем рабочем месте в течение одного года. Время отпуска, болезни, другой деятельности административного характера не вычитаются. Один физический сотрудник не может быть учтен более чем один логический сотрудник. Однако один физический сотрудник может быть учтен менее чем один логический сотрудник (это происходит, если не все рабочее время попадает в сферу анализа). Например, сотрудник, работающий на полставки, будет считаться как 0,5 FTE, а сотрудник, работающий целый день и имеющий 20 % переработки, – только как 1,0 FTE.
Технические услуги
Решение проблем среднего уровня
Учет трудозатрат и затрат на контракты, связанных с системными проблемами, сетями и приложениями, которые не могут быть решены персоналом сервисной службы уровня 1 и недостаточно серьезные для их передачи персоналу поддержки уровня 3 (эксперты). Ресурсы уровня 2 используются, когда сотруднику сервисной службы недостаточно набора стандартных решений для того, чтобы решить проблему; для этого необходимы более глубокие знания систем и т. п.
