Информационная безопасность
       

Анализ затрат на обеспечение ИБ


Отчет по затратам на безопасность

Результаты анализа затрат на безопасность и итоговый отчет должны показать объективную картину в отношении безопасности.

Анализ затрат на безопасность - инструмент управления, он используется руководством предприятия для определения достигнутого уровня защищенности информационной среды и обнаружения проблем при постановке задач по достижению требуемого уровня защищенности.

Представленный в финансовых терминах и составленный простым языком отчет по затратам на безопасность имеет значительные преимущества перед другими видами отчетов по исследованию безопасности информационной среды предприятия и анализу рисков.

Содержание отчета по затратам на безопасность в большей степени зависит от того, кому он предназначается и от того, какую роль играет в рамках предприятия тот, кому данный конкретный отчет предназначен.

Руководство должно получить краткий отчет, который предоставляет общую картину о состоянии системы безопасности предприятия. Отчет содержит финансовые термины, должен быть доступно написан и содержать только объективную информацию.

Руководители подразделений информатизации и защиты информации должны получить более детальную информацию о достигнутом уровне защищенности тех ресурсов информационной среды предприятия, за которые оно отвечает. Отчет должен быть очень подробным и представлять данные по типам ресурсов, видам угроз и т. д. Принципом проведения анализа затрат на безопасность является получение результатов в форме, наиболее полезной и удобной для тех, кому предназначен отчет.

Руководитель, читающий отчет, должен получить информацию, которая позволит:

  • Сравнить текущий уровень защищенности с уровнем прошлого периода, то есть выявить тенденции.

    • Сравнить текущий уровень с поставленными целями.

    Выявить наиболее значительные области затрат.

  • Выбрать области для улучшения.

  • Оценить эффективность программ по улучшению.

Руководитель ожидает получить отчет по затратам на безопасность, который:



  • Расскажет ему о тех вещах, которые относятся лишь к его сфере компетенции и ничего более.


    • Написан легким для понимания языком и не напичкан специальными терминами. Написан четко и кратко и содержит всю необходимую информацию.

    Позволяет определить первоочередные задачи и направления деятельности.


Отчет для руководителей подразделений информатизации и защиты информации может быть представлен в виде таблицы. Предположим, что составляется отчет за три информационных ресурса, например, "А", "В" и "С", которые различаются между собой только лишь видом содержащейся информации. Оценки стоимости ресурсов близкие, а технологии защиты схожи друг с другом. Например, отчет по затратам на безопасность может выглядеть следующим образом (Таб. 9).

Таблица 9. Отчет по затратам на безопасность (пример)

Затраты = Периоды = =
I II III IV
РЕСУРС "А" = = = =
Предупредительные 227 198 209 251
На контроль 593 616 606 614
На внутренние потери 985 1016 758 744
На внешние потери 503 528 482 427
Общие затраты на безопасность 2308 2358 2065 2036
Общие затраты на безопасность, отнесенные к объему продаж 1.0 % 1,05 % 0,9 % 0,85 %
Общие затраты на безопасность, отнесенные к трудоемкости 1,9 % 2 % 1,5 % 1,4 %
РЕСУРС "В " = = = =
Предупредительные 206 229 340 397
На контроль 894 949 916 925
На внутренние потери 1903 1935 1034 948
На внешние потери 620 598 613 632
Общие затраты на безопасность 3623 3711 2903 2902
Общие затраты на безопасность, отнесенные к объему продаж 1,1 % 1,15 % 0,9 % 0,9 %
Общие затраты на безопасность, отнесенные к трудоемкости 2,5 % 2,55 % 1,4 % 1,3 %
РЕСУРС "С" = = = =
Предупредительные 184 242 299 347
На контроль 815 859 831 802
На внутренние потери 1187 1191 910 893
На внешние потери 1101 1066 72 568
Общие затраты на безопасность 3287 3358 2762 261
Общие затраты на безопасность, отнесенные к объему продаж 1,2 % 1,2 % 1,0 % 0,9 %
Общие затраты на безопасность, отнесенные к трудоемкости 1,9 % 1,9 % 1,5 % 1,4 %

Содержание раздела