Административные расходы. Прямые затраты на персонал, обеспечение деятельности и расходы внутренних/внешних поставщиков (вендоров) на поддержку операций, включающих управление, финансирование, приобретение и обучение ИС.
Расходы на операции конечных пользователей. Это затраты на самоподдержку конечных пользователей, а также на поддержку их друг другом в противовес официальной поддержке ИС. Затраты включают: самостоятельную поддержку, официальное обучение конечных пользователей, нерегулярное (неофициальное) обучение, самостоятельные прикладные разработки, поддержку локальной файловой системы.
Расходы на простои. Данная категория учитывает ежегодные потери производительности конечных пользователей от запланированных и незапланированных отключений сетевых ресурсов, включая клиентские компьютеры, совместно используемые серверы, принтеры, прикладные программы, коммуникационные ресурсы и ПО для связи. Для анализа фактической стоимости простоев, которые связаны с перебоями в работе сети и которые оказывают влияние на производительность, исходные данные получают из обзора по конечным пользователям. Рассматриваются только те простои, которые ведут к потере производительности.
В табл. 10.6 и на рис. 10.3 показан пример расчета ТСО для организаций, обладающих средним уровнем защищенности КИС (уровень 5).
Таблица 10.6. Пример расчета ТСО Рис. 10.3. Пример расчета ТСО
Таким образом, применение методики ТСО для обоснования инвестиций в проекты обеспечения информационной безопасности на предприятии вполне обосновано и имеет право на существование. При этом выбор конкретной методики оценки затрат на ИБ находится в сфере ответственности руководителей соответствующих служб и отделов защиты информации.
В данном примере показано оптимальное соотношение ИТ-персонала по выполнению задач управления информационными технологиями одной из организаций, полученное на основе анализа ТСО. В составе информационной системы было около 9 тыс. персональных компьютеров, около 300 серверов различной конфигурации, 3 тыс. периферийного оборудования. Предполагалось, что информационная система является системой средней сложности (коэффициент 5 при 10-балльной шкале) и при ее управлении не используются инструментальные средства, позволяющие применять лучшие мировые методики по управлению информационными технологиями (коэффициент 0 при 10-балльной шкале).
В составе ИТ-персонала были выделены следующие категории:
