Rambler's Top100
Статьи ИКС № 9 2007
К. СОКОЛОВ  17 сентября 2007

Как сэкономить на внедрении СЗИ

Считается, что внедрение системы защиты информации (СЗИ) – это всегда дополнительные затраты. Между тем практика показывает, что при комплексном подходе, основанном на глубокой интеграции систем безопасности и информационных технологий, экономическая эффективность СЗИ вполне достижима.

СЗИ как часть бизнес-структуры компании

Необходимость применения на предприятии средств защиты информации зачастую объясняют желанием соответствовать принятым нормам, не отставать от конкурентов, ссылаются на международные источники, пугающие мир эпидемией угроз безопасности, и т.д. Однако, если исключить случаи, когда внедрение СЗИ является самоцелью или механизмом «освоения бюджета», управление информационной безопасностью компании основывается в первую очередь на экономических предпосылках, на требованиях непрерывности бизнеса в условиях возрастающей конкуренции, а следовательно, несет в себе основные черты стратегического менеджмента, такие как:

  • разработка и реализация концепции ИБ как основного документа, описывающего стратегии поведения организации при соблюдении режима ИБ и взаимодействия с внешним миром, в частности с компетентными органами при расследовании инцидентов;
  • разработка и реализация стратегии развития режима ИБ применительно к бизнес-процессам организации;
  • разработка и реализация стратегии в отношении персонала организации.

Все эти положения, созданные в ходе подготовки к внедрению СЗИ, должны лечь в основу концепции информационной безопасности компании, войти в качестве дополнений к трудовым соглашениям и другим корпоративным документам. Тогда управление режимом информационной безопасности компании, в частности внедрение непосредственно систем и средств защиты информации, становится частью общекорпоративного стратегического управления, подчиняется тем же законам, служит тем же целям и задачам, а значит, экономия - требование эффективности бизнеса.

Главные «точки приложения» СЗИ, наиболее чувствительные для бизнес-процессов организации, - это непосредственные затраты на введение и поддержание режима ИБ, а также опосредованные расходы, связанные со снижением уровня комфортности работы из-за необходимости соблюдать регламентирующие правила и выполнять процедуры, продиктованные режимом ИБ.

Ни для кого не секрет, что сложившаяся в нашей стране практика редко полностью и досконально учитывает даже непосредственные затраты на внедрение и эксплуатацию СЗИ. Что же касается комфортности работы после развертывания СЗИ и введения режима ИБ, то таковая достигается в основном путем гласных или негласных послаблений сотрудникам, что зачастую сводит на нет целесообразность внедрения СЗИ, делая вложения в информационную безопасность просто убыточными.

Приняв решение создать в своей компании эффективную систему защиты информации и в дальнейшем эксплуатировать ее как часть инфраструктуры в расчете на получение стратегических преимуществ на рынке, прежде всего следует оценить возможности оптимизации затрат.

 

Без оптимизации нет экономии

Все работы по созданию и внедрению СЗИ можно объединить в три крупных блока, или стадии:

а) обследования, оценки рисков, категорирование информации и т.д., подготовка технических заданий;
б) проектирование;
в) собственно внедрение, эксплуатация и доработка систем.

Рассмотрим возможности непосредственной экономии на примере поэтапного проведения этого процесса. Для этого сравним два разных подхода к проектированию СЗИ: совместное с информационной инфраструктурой организации (1) и встраивание системы защиты в готовую инфраструктуру (2).

При втором подходе каждый этап (стадия) работ проводится отдельно, обычно по завершении внедрения ИС. Казалось бы, очевидно, что результаты предпроектного обследования, необходимого для внедрения информационной составляющей, могут и должны использоваться в качестве исходных данных при проектировании СЗИ. Однако на практике всё сложнее. Провести оценку рисков и классификацию угроз, а также категорирование информации на основании только этих данных не представляется возможным - требуется дополнительное обследование, в рамках которого проверяются достоверность и актуальность полученных ранее сведений. А поскольку информация, собираемая и для создания СЗИ, и для информатизации бизнеса, - это частично пересекающиеся множества, появляется возможность сэкономить на одновременном выполнении этих работ, что может быть реализовано лишь при комплексном подходе.

Точно так же обстоит дело и с двумя другими стадиями. Многие работы этих этапов тоже пересекаются - так зачем же платить за одно и то же дважды?

 

Производитель нам поможет

Как это ни удивительно, но сэкономить на внедрении СЗИ могут помочь производители оборудования и ПО. Речь, конечно, идет не об альтруизме производителей, интегрирующих в свои продукты средства и технологии ИБ, создающих комплексные системы управления, поддерживающие как инфраструктурное оборудование, так и широкий спектр средств безопасности. Отточенные в условиях жесткой конкуренции оборудование и ПО, несущие в себе достаточно широкий функционал по обеспечению ИБ, позволяют существенно снизить первоначальные затраты на внедрение и совокупную стоимость владения (TCO - Total Cost Ownership) при условии совместного проектирования, внедрения и эксплуатации информационных систем и СЗИ.

Простой пример. Наверняка многим приходилось сталкиваться с проблемой нехватки портов на коммутационном оборудовании для подключения средств защиты периметра сети или серверной фермы. Решить проблему можно по-разному: установить дополнительное оборудование либо изначально приобрести коммутатор с большим числом портов или слотов расширения. При этом стоимость дополнительного оборудования с учетом установки и настройки может оказаться в полтора раза выше. Можно, конечно, возразить, что отсутствие достаточного резерва портовой емкости - это огрехи проектирования инфраструктуры, но, с другой стороны, избыточность портов под задачи, которые перед инфраструктурой на момент ее проектирования не ставятся, есть не что иное, как экономически необоснованное замораживание средств.

 

«Экстремальные» способы снижения затрат

Итак, рассмотрев только два способа экономии (даже без их оценки в денежном эквиваленте), можно смело говорить о преимуществах комплексного подхода в нормальных экономических условиях. В его рамках существуют и другие - «экстремальные» - способы снижения затрат на СЗИ. В числе таковых - внешний аутсорсинг и ауттаскинг информационной безопасности компании и организация удаленной работы для части основного производственного персонала. В первом случае компания существенно экономит на высокооплачиваемых специалистах, на системах управления, оборудовании; при этом риски ИБ снижаются благодаря высокой квалификации и опыту сотрудников фирмы-аутсорсера. Во втором - экономия достигается за счет сокращения внутрихозяйственных расходов и повышения производительности труда благодаря более удобному графику и комфортным условиям работы. К сожалению, по разным причинам эти способы пока не получили широкого распространения среди российских компаний, но рано или поздно потребность в оптимизации затрат сделает их актуальными и на нашем рынке.

Еще один важный фактор, позволяющий снижать внутренние организационные издержки при интегрированном подходе к построению СЗИ, - это оптимизация процесса принятия решений. Необходимо, чтобы менеджмент разного уровня ответственности был кровно заинтересован в решении проблем, связанных с созданием и внедрением СЗИ. Поскольку корректное внедрение СЗИ часто затрагивает не только персонал, непосредственно управляющий режимом ИБ организации, но и информационный, экономический и стратегический менеджмент и даже подразделения, ответственные за внешние связи, то концентрация внимания всех ответственных менеджеров на оперативности принятия решений в части СЗИ позволяет значительно сократить процедуры согласования. При этом экономится дорогостоящее время работы высшего руководства и высвобождаются ресурсы операционного персонала.

Таким образом, неявные и в большинстве своем неучитываемые затраты на принятие решений при совместном внедрении становятся ниже - прежде всего за счет совместного ведения проектов, что вдобавок позволяет добиваться оперативности принятия решений и находить компромиссы между «безопасниками» и «айтишниками».

К факторам экономии можно в этом случае отнести и временной: сокращение сроков внедрения СЗИ снижает риски ИБ и минимизирует потери от возможных технологических перерывов, характерных для ввода в эксплуатацию СЗИ и ИС по отдельности.

 

Экономия на управлении и роль интеграции

Следующим важным шагом является подход к управлению персоналом в условиях развертывания СЗИ и режима ИБ в целом.

О роли человеческого фактора в функционировании режима ИБ организации сказано и написано немало. В предположении, что кадровая политика в компании адекватна и оперативное управление осуществляется четко, выделим две основные группы персонала: 1) ответственных за принятие решений и эксплуатацию информационных систем и СЗИ; 2) имеющих доступ к ИС в силу производственной необходимости.

Здесь следует отметить, что персонал, ответственный за ИТ и ИБ, намеренно объединен в одну группу, несмотря на необходимость административного разделения полномочий и подчиненности. Ведь при совместном внедрении инфраструктурных компонентов и СЗИ обе группы решают сопряженные, тесно переплетенные между собой задачи, что требует организации оперативного взаимодействия и совместного обучения.

В данной ситуации основными задачами по управлению персоналом являются:

  • организация перекрестного совместного обучения;
  • создание и регламентация оперативного горизонтального взаимодействия между информационными подразделениями и подразделениями, регулирующими режим ИБ;
  • сглаживание противоречий, возникающих между соответствующими подразделениями на технологической почве, а также связанных с разными требованиями режима ИБ и удобством в обслуживании ИС.

Решение этих задач позволит повысить оперативность принятия решений в нештатных ситуациях (как с ИС, так и с СЗИ), будет способствовать тщательному расследованию инцидентов, что должно привести к снижению рисков, связанных с ИТ и ИБ, и сокращению TCO в целом.

Для персонала, имеющего доступ к информационным ресурсам организации и не входящего в первую группу (т.е. практически для всех остальных сотрудников), основным индикатором внедрения СЗИ и введения режима ИБ становится изменение степени удобства выполнения своих непосредственных обязанностей и отсутствие возможности использовать вычислительную технику в личных целях.

Практика показывает, что внедрение средств защиты информации, тесно интегрированных с инфраструктурой и ИС, легче переносится конечными пользователями, а издержки, вызванные падением производительности труда в период адаптации сотрудников к новым требованиям ИС, ниже, чем при внедрении неинтегрированных систем.

И хотя не все преимущества интеграции можно оценить в денежном эквиваленте, использование (или неиспользование) интеграционного подхода становится, на мой взгляд, одним из критериев оценки эффективности стратегического управления организацией в целом, и отнюдь не последним.

Установка и настройка дополнительного оборудования в полтора раза дороже приобретения коммутатора с большим числом портов
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!
Поделиться: