ц категориях операций и административного управления, сюда же относятся затраты на услуги удаленных пользователей, сторонние услуги и другие услуги, связанные с поддержкой деятельности организации. Косвенные затраты показывают, как влияют компьютерные информационные системы и подсистемы защиты информации на деятельность работников кредитных организаций посредством таких измеряемых показателей, как простои и «зависания» корпоративной системы защиты информации в целом. Косвенные затраты играют серьезную роль в бюджете на информационную безопасность, хотя они обычно выявляются лишь при анализе затрат впоследствии, что в итоге приводит к росту скрытых затрат кредитных организаций на информационную безопасность. Сравнение определенною в конкретной кредитной организации показателя 'ГСО с аналогичными показателями ТОО по отрасли (аналогичных кредитных организаций) и с «лучшими в группе» позволяет объективно и независимо обосновать затраты кредитных организаций на информационную безопасность. Без этого трудно, а иногда и практически невозможно оценить прямой экономический эффект от затрат на информационную безопасность. Сравнение же родственных показателей ТОО даст возможность убедиться в том, что проект' создания или реорганизации корпоративной системы защиты информации кредитных организаций является оптимальным по сравнению с некоторым среднестатическим проектом в области защиты информации по отрасли. Указанные сравнения удобно производить, пользуясь усредненными показателями ТСО по отрасли, рассчитанными экспертами Gamer Group или собственными экспертами кредитных организаций с помощью методов математической статистики и обработки наблюдений. Методика ТОО позволяет оценить и сравнить состояние защищенности информационных систем кредитных организаций с типовым профилем защиты, в том числе показать узкие места в организации защиты, на которые следует обратить внимание. Иными словами, на основе полученных данных можно сформировать понятную с экономической точки зрения стратегию и 37 |
38 основательным технико-экономическим методам и средствам, позволяющим количественно измерять уровень защищенности компании. Сегодня оценивать эффективность корпоративной системы защиты информации рекомендуется с помощью некоторых критериев эффективности, например, показателей совокупной стоимости владения (англ. Total Cost of Ownership TCO), коэффициентов возврата инвестиций на ИБ (англ. Return On Investment ROI). В частности, известная методика совокупной стоимости владения разработанная аналитической компанией Gartner Group в конце 80-х годов (1986-1987 гг.) изначально была предложена для оценки затрат на информационные технологии. Методика Gartner Group позволяет рассчитывать стоимость всей корпоративной информационной системы (КИС), включая прямые и косвенные расходы на аппаратно-программные средства, организационные мероприятия, обучение и повышение квалификации сотрудников компании, реорганизацию, ретсруктуризацию бизнеса и т.д. Под показателем ТСО понимается сумма прямых и косвенных затрат на организацию, эксплуатацию и сопровождение корпоративной системы защиты информации в течение года. При этом прямые затраты включают и капитальные компоненты затрат, и трудовые затраты, которые учитываются в категориях операций и административного управления. Сюда же относятся затраты на услуги удаленных пользователей, сторонние услуги и другие, услуги, связанные с поддержкой деятельности организации. Косвенные затраты показывают, как влияют компьютерные информационные системы и подсистемы защиты информации на деятельность сотрудников компании посредством таких измеряемых показателей, как простои и «зависания» корпоративной системы защиты информации и КИС в целом. Косвенные затраты играют серьезную роль, в бюджете на ИБ, хотя они обычно выявляются лишь при анализе затрат впоследствии, что в итоге приводит к росту скрытых затрат компании на ИБ. Сравнение определенного в конкретной компании показателя ТСО с аналогичными показателями ТСО по отрасли (аналогичных компаний) и с «лучшими в группе» позволяет объективно и независимо обосновать затраты компании па ИБ. Без этого трудно, а иногда и практически невозможно оценить прямой экономический эффект от затрат на ИБ. Сравнение же родственных показателей ТСО дает возможность убедиться в том, что проект создания или реорганизации корпоративной системы защиты информации компании является оптимальным по сравнению с некоторым среднестатическим проектом в области защиты информации по отрасли. Указанные сравнения удобно производить, пользуясь усредненными показателями ТСО по отрасли, рассчитанными экспертами Gatner Group или собственными экспертами компании с помощью методов математической статистики и обработки наблюдений. Методика ТСО позволяет оценить и сравнить состояние защищенности информационных систем компании с типовым профилем защиты, в том числе показать узкие места в организации защиты, на которые следует обратить внимание. Иными словами, па основе полученных данных можно сформировать попятную с экономической точки зрения стратегию и тактику развития корпоративной системы защиты информации, а именно: «сейчас мы тратим на информационную безопасность столько-то; если будем тратить столько-то по конкретным направлениям информационной безопасности, то получим такой-то экономический эффект». Широкое распространение в практике оценки эффективности информационной системы безопасности приобрели методы, основанные на оценке такого финансового показателя, как ROI. ROJ это интегральный критерий, позволяющий оцепить насколько эффективно работают вложенные в компанию деньги. Иными словами, 39 |