TCO и ROSI систем защиты информации предприятий связи (TCO&ROSI 104 Total Cost of Ownership for Security - TCO and Return on Investment for Security – ROSI)

Ориентирован на: CIO, CEO и CISO;  менеджеров по развитию; экономистов, сотрудников отдела маркетинга, менеджеров департамента внутреннего контроля; внутренних и внешних аудиторов; сотрудников департамента контроля качества; сотрудников служб информационной, физической  и экономической безопасности, администраторов информационной безопасности, менеджеров информационной безопасности.

Предварительный уровень подготовки: средний. Вы должны обладать соответствующим опытом работы и иметь представления о международных стандартах семейства ISO/IEC 9000, ISO/IEC 20000, ISO/IEC 27000, ITIL, CobIT, BS 25999.

Продолжительность: 3 дня, 24 часа.

Методические материалы: методические материалы ассоциации WLAN Secrurity.

 

Программа курса

1. Сравнительный анализ  известных методов

• Совокупная стоимость владения Total Cost of Ownership (TCO)
• Методика Applied Information Economics (AIE)
• Потребительский индексCustomer Index (CI)
• Методика вычисления добавленной стоимости (Economic Value Added)
• Методика определения исходной экономической стоимости Economic Value Sourced (EVS)
• Методика управления портфелем активов Portfolio Management (PM)
• Оценка действительных возможностей Real Option Valuation (ROV)
• Метод жизненного цикла искусственных систем System Life Cycle Analysis (SLCA)
• Система сбалансированных показателей Balanced Scorecard (BSC)
• Функционально-стоимостной анализ Activity Based Costing (ABC)
• Метод ожидаемых потерь
• Метод оценки свойств системы безопасности (Security Attribute Evaluation Method – SAEM)
• Анализ дерева ошибок  (Fault Tree Analysis).
• Метод оценки целесообразности затрат на систему ИБ, Return on Investment for Security

2. Основные положения методики Total Cost of Ownership

• Оценка текущего уровня ТСО
• Аудит информационной безопасности компании
• Формирование целевой модели ТСО.
• Расчет требуемых расходов и трудозатрат для перехода от текущей к целевой модели
• Модельные характеристики снижения совокупных затрат (ТСО).

3. Управление видами затрат на ИБ
3.1. Затраты на формирование и поддержание звена управления системой защиты информации (организационные затраты).

• Затраты на приобретение и ввод в эксплуатацию программно-технических средств: серверов, компьютеров конечных пользователей (настольные и мобильные), периферийных устройств и сетевых компонентов.
• Затраты приобретение и настройку средств защиты информации.
• Затраты на содержание персонала, стоимость работ и аутсорсинг.
• Затраты на формирование политики безопасности предприятия.

3.2. Затраты на контроль (определение и подтверждение достигнутого уровня защищенности ресурсов предприятия).

• Затраты на контроль
• Плановые проверки и испытания;
• Затраты на проверки и испытания программно-технических средств защиты информации;
• Затраты на проверку навыков эксплуатации средств защиты персоналом предприятия;
• Затраты на обеспечение работы лиц, ответственных за реализацию конкретных процедур безопасности по подразделениям;
• Оплата работ по контролю правильности ввода данных в прикладные системы;
• Оплата инспекторов по контролю требований, предъявляемых к защитным средствам при разработке любых систем (контроль выполняется на стадии проектирования и спецификации требований)
• Внеплановые проверки и испытания
• Оплата работы испытательного персонала специализированных организаций;
• Обеспечение испытательного персонала (внутреннего и внешнего) материально-техническими средствами
• Контроль за соблюдением политики информационной безопасности
• Затраты на контроль реализации функций, обеспечивающих управление защитой коммерческой тайны;
• Затраты на организацию временного взаимодействия и координации между подразделениями для решения конкретных повседневных задач;
• Затраты на проведение аудита безопасности по каждой автоматизированной информационной системе, выделенной в информационной среде предприятия;
• Материально-техническое обеспечение системы контроля доступа к объектам и ресурсам предприятия.
• Затраты на внешний аудит
• Затраты на контрольно-проверочные мероприятия, связанные с лицензионно-разрешительной деятельностью в сфере защиты информации.

3.3. Внутренние затраты на ликвидацию последствий нарушений политики информационной безопасности (затраты, понесенные организацией в результате того, что требуемый уровень защищенности не был достигнут).

• Пересмотр политики информационной безопасности предприятия (проводится периодически)
• Затраты на идентификацию угроз безопасности;
• Затраты на поиск уязвимостей системы защиты информации;
• Оплата работы специалистов, выполняющих работы по определению возможного ущерба и переоценке степени риска.
• Затраты на ликвидацию последствий нарушения режима информационной безопасности
• Восстановление системы безопасности до соответствия требованиям политики безопасности;
• Установка патчей или приобретение последних версий программных средств защиты инфомрации;
• Приобретение технических средств взамен пришедших в негодность;
• Проведение дополнительных испытаний и проверок технологических информационных систем;
• Затраты на утилизацию скомпрометированных ресурсов.
• Восстановление информационных ресурсов предприятия
• Затраты на восстановление баз данных и прочих информационных массивов;
• Затраты на проведение мероприятий по контролю достоверности данных, подвергшихся атаке на целостность.
• Затраты на выявление причин нарушения политики безопасности
• Затраты на проведение расследований нарушений политики безопасности (сбор данных о способах совершения, механизме и способах сокрытия неправомерного деяния, поиск следов, орудий, предметов посягательства, выявление мотивов неправомерных действий и т.д.);
• Затраты на обновление планов обеспечения непрерывности деятельности службы безопасности.
• Затраты на переделки
• Затраты на внедрение дополнительных средств защиты, требующих существенной перестройки системы безопасности;
• Затраты на повторные проверки и испытания системы защиты информации.

3.4. Внешние затраты на ликвидацию последствий нарушения политики информационной безопасности.

• Внешние затраты на ликвидацию последствий нарушения политики безопасности
• Обязательства перед государством и партнерами;
• Затраты на юридические споры и выплаты компенсаций;
• Потери в результате разрыва деловых отношений с партнерами.
• Потеря новаторства
• Затраты на проведение дополнительных исследований и разработки новой рыночной стратегии;
• Отказ от организационных, научно-технических или коммерческих решений, ставших неэффективными в результате утечки сведений и затраты на разработку новых средств ведения конкурентной борьбы;
• Потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно-технические достижения.
• Прочие затраты
• Заработная плата секретарей и служащих, организационные и прочие расходы, которые непосредственно связаны с предупредительными мероприятиями;
• Другие виды возможного ущерба предприятию, в том числе связанные с невозможностью выполнения функциональных задач, определенных его Уставом.

3.5. Затраты на техническое обслуживание системы защиты информации и мероприятия по предотвращению нарушений политики безопасности предприятия (предупредительные мероприятия).

• Затраты на управление системой защиты информации:
• Затраты на планирование системы защиты информации предприятия;
• Затраты на изучение возможностей информационной инфраструктуры предприятия по обеспечению безопасности информации ограниченного распространения;
• Затраты на осуществление технической поддержки производственного персонала при внедрении средств защиты и процедур, а также планов по защите информации;
• Проверка сотрудников на лояльность, выявление угроз безопасности;
• Организация системы допуска исполнителей и сотрудников конфиденциального делопроизводства с соответствующими штатами и оргтехникой.
• Регламентное обслуживание средств защиты информации
• Затраты, связанные с обслуживанием и настройкой программно-технических средств защиты, операционных систем и используемого сетевого оборудования;
• Затраты, связанные с организацией сетевого взаимодействия и безопасного использования информационных систем;
• Затраты на поддержание системы резервного копирования и ведения архива данных;
• Проведение инженерно-технических работ по установлению сигнализации, оборудованию хранилищ конфиденциальных документов, защите телефонных линий связи, вычислительной техники и т.п.
• Аудит системы безопасности
• Затраты на контроль изменений состояния информационной среды предприятия;
• Затраты на систему контроля за действиями исполнителей.
• Обеспечение должного качества информационных технологий
• Затраты на обеспечение соответствия требованиям качества информационных технологий, в том числе анализ возможных негативных аспектов информационных технологий, которые влияют на целостность и доступность информации;
• Затраты на доставку (обмен) конфиденциальной информации;
• Удовлетворение субъективных требований пользователей: стиль, удобство интерфейса и др.
• Обеспечение требований стандартов
• Затраты на обеспечение соответствия принятым стандартам и требованиям, достоверности информации, действенности средств защиты.
• Обучение персонала
• Повышение квалификации сотрудников предприятия в вопросах использования имеющихся средств защиты, выявления и предотвращения угроз безопасности;
• Развитие нормативной базы службы безопасности.

4. Приемы расчета TCO и ROSI

• Оценка текущего уровня ТСО
• Аудит информационной безопасности
• Формирование целевой модели ТСО.
• Расчет требуемых затрат для перехода к целевой модели TCO
• Модельные характеристики снижения совокупных затрат (ТСО)
• Оценка ROSI
• Оптимизация затрат и повышения отдачи от инвестиций в ИБ.

 

Зарегистрироваться

Жалобы-предложения