- •Экономические аспекты зи
- •Принцип разумной достаточности, подходы к обоснованию стоимости корпоративной системы защиты
- •Принцип разумной достаточности, подходы к обоснованию стоимости корпоративной системы защиты
- •Принцип разумной достаточности, подходы к обоснованию стоимости корпоративной системы защиты
- •Принцип разумной достаточности, подходы к обоснованию стоимости корпоративной системы защиты
- •Принцип разумной достаточности, подходы к обоснованию стоимости корпоративной системы защиты
- •Стоимость корпоративной сзи
- •Кривая затрат на информационную безопасность, связь затрат на информационную безопасность и уровень достигаемой защищенности, анализ кривой затрат на иб
- •Кривая затрат на информационную безопасность, связь затрат на информационную безопасность и уровень достигаемой защищенности, анализ кривой затрат на иб
- •Стоимостные характеристики it-проектов и проектов иб
- •Стоимостные характеристики it-проектов и проектов иб
- •Методика gartner group
- •Методика gartner group
- •Методика gartner group
- •Методика gartner group
- •Пример расчета стоимости простоя сервера
- •Необходимые данные для расчета
- •Планируемые отключения сервера (включают в себя отключения, вызванные операциями резервного копирования содержимого сервера и переконфигурирование)
- •Внеплановые отключения сервера (включают в себя отключения, вызванные сбоями питания, выходом из строя оборудования, программными ошибками и ошибками человека)
- •Пример расчета стоимости простоя сервера
- •Пример классификации затрат на иб
- •1. Затраты на обслуживание системы безопасности (затраты на предупредительные мероприятия)
- •1.1. Управление системой защиты информации:
- •1.2. Регламентное обслуживание средств защиты информации:
- •Пример классификации затрат на иб
- •2.2. Внеплановые проверки и испытания:
- •2.3. Контроль за соблюдением политики иб:
- •Пример классификации затрат на иб
- •5. Прочие затраты:
- •Укрупненные методы расчета стоимости it-проектов
- •Особенности установки цен на информационные услуги
- •Особенности установки цен на информационные услуги
- •Особенности установки цен на информационные услуги
- •Особенности установки цен на информационные услуги
- •Риск информационной безопасности
- •Этапы управления рисками информационной безопасности
- •Оценка рисков иб
- •Оценка рисков иб
- •Оценка рисков иб
- •Техники сбора информации о системе
- •Техники сбора информации о системе
- •Обзор документов
- •Обзор документов
- •Обзор документов
- •Определение уязвимостей
- •Источники уязвимостей
- •Тестирование безопасности ис
- •Тестирование безопасности ис
- •Идентификация угроз
- •Идентификация угроз
- •Меры безопасности
- •Категории мер безопасности
- •Техники анализа мер безопасности
- •Техники анализа мер безопасности
- •Определение вероятности
- •Анализ влияния
- •Анализ влияния
- •Анализ влияния виды ущерба активам
- •Ущерб на уровне организации и владельцев ир
- •Положение об определении требований по категорированию ресурсов ас
- •1. Категории защищаемой информации
- •Положение об определении требований по категорированию ресурсов ас
- •Положение об определении требований по категорированию ресурсов ас
- •Положение об определении требований по категорированию ресурсов ас
- •Определение уровня риска
- •Матрица уровня риска
- •Описание уровня риска
- •Выработка рекомендаций
- •Документирование результатов
- •Документирование результатов
- •Управление рисками иб
- •Управление рисками иб
- •Управление рисками иб
- •Управление рисками иб
- •Управление рисками иб
- •Страхование информационных рисков
- •Страхование информационных рисков
- •Страхование информационных рисков
- •Страхование информационных рисков
- •Стоимость страхования
- •Стоимость страхования
- •Принятие решения об ограничении распространения информации
- •Принятие решения об ограничении распространения информации
- •Принятие решения об ограничении распространения информации
- •Принятие решения об ограничении распространения информации
- •Принятие решения об ограничении распространения информации
- •Интеллектуальная собственность предприятия и ее защита
- •Структура интеллектуальной собственности предприятия
- •Структура интеллектуальной собственности предприятия
- •Структура интеллектуальной собственности предприятия
- •Структура интеллектуальной собственности предприятия
- •Структура интеллектуальной собственности предприятия
- •Экономическая оценка объектов интеллектуальной собственности
- •Экономическая оценка объектов интеллектуальной собственности
- •Экспертные методы в задачах оценки рисков информационной безопасности
- •Экспертные методы в задачах оценки рисков информационной безопасности
- •Экспертные методы в задачах оценки рисков информационной безопасности
- •Экспертные методы в задачах оценки рисков информационной безопасности
- •Экспертные методы в задачах оценки рисков информационной безопасности
- •Оценка рисков иб с помощью метода анализа иерархий
- •Оценка рисков иб с помощью метода анализа иерархий
- •Оценка рисков иб с помощью метода анализа иерархий
- •Оценка рисков иб с помощью метода анализа иерархий
- •Определение согласованности мнений эксперта при формировании матрицы парных сравнений
- •Определение согласованности мнений эксперта при формировании матрицы парных сравнений
- •Определение согласованности мнений эксперта при формировании матрицы парных сравнений
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Часть 1
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Многокритериальный выбор альтернатив в методе анализа иерархий
- •Выбор контрмер наиболее эффективных контрмер по критерию «стоимость-эффективность» с помощью маи
- •Выбор контрмер наиболее эффективных контрмер по критерию «стоимость-эффективность» с помощью маи
- •Выбор контрмер наиболее эффективных контрмер по критерию «стоимость-эффективность» с помощью маи оценка инвенстиций в информационную безопасность
- •Методы оценки инвестиционной привлекательности проектов
- •Показатель чистой текущей стоимости (npv)
- •Показатель чистой текущей стоимости (npv)
- •Индекс рентабельности (pi)
- •Внутренняя норма прибыли инвестиции (irr)
- •Внутренняя норма прибыли инвестиции (irr)
- •Внутренняя норма прибыли инвестиции (irr)
- •Внутренняя норма прибыли инвестиции (irr)
- •Метод определения срока окупаемости инвестиций (pp, dpp)
- •Метод определения срока окупаемости инвестиций (pp, dpp)
- •Метод определения срока окупаемости инвестиций (pp, dpp)
- •Метод определения срока окупаемости инвестиций (pp, dpp)
- •Rosi – коэффициент возврата инвестиций
- •Пример оценки эффективности инвестиций
- •Международные стандарты в области управления ит-инфраструктурой и иб
- •Международные стандарты в области управления ит-инфраструктурой и иб
- •Международные стандарты в области управления ит-инфраструктурой и иб
- •Itsm (управление ит-сервисами)
- •Служба service desk
- •Служба service desk
- •Управление инцидентами
- •Управление инцидентами
- •Степень воздействия, срочность и приоритет
- •Степень воздействия, срочность и приоритет
- •Часть 1
- •Эскалация
- •Первая, вторая и n-линия поддержки
- •Преимущества использования процесса
- •Преимущества использования процесса
- •Виды деятельности
- •Виды деятельности
- •Классификация
- •Категория
- •Приоритет
- •Услуги (сервисы)
- •Группа поддержки
- •Решение и восстановление
- •Закрытие
- •Мониторинг хода решения и отслеживание
- •Контроль процесса
- •Управление проблемами
- •Виды деятельности
- •Идентификация и регистрация проблемы
- •Идентификация и регистрация проблемы
- •Расследование и диагностика
- •Проактивное управление проблемами
- •Управление конфигурациями
- •Управление конфигурациями
- •Управление конфигурациями
- •Управление конфигурациями
- •Атрибуты
- •Базисная конфигурация
- •Мониторинг статуса
- •Мониторинг статуса
- •Верификация и аудит
- •Верификация и аудит
- •Управление изменениями
- •Виды деятельности
- •Регистрация запросов на изменения
- •Прием в обработку
- •Классификация
- •Определение приоритета
- •Определение приоритета
- •Планирование
- •Политика проведения изменений
- •Совещания консультативного комитета (cab)
- •Координация
- •Подготовка изменения
- •Тестирование
- •Внедрение
- •Проведение срочных изменений
- •Проведение срочных изменений
- •Управление релизами
- •Управление релизами
- •Релизные единицы
- •Идентификация релизов
- •Типы релизов
- •Типы релизов
- •Библиотека эталонного программного обеспечения (dsl)
- •Склад эталонного аппаратного обеспечения (dhs)
- •Использования процесса
- •Преимущества использования процесса
- •Процесс
- •Виды деятельности
- •Виды деятельности
- •Проектирование, компоновка и конфигурирование
- •План возврата к исходному состоянию
- •План возврата к исходному состоянию
- •Тестирование и приемка релиза
- •Тестирование и приемка релиза
- •Планирование внедрения
- •Оповещение, подготовка и обучение
- •Распространение релизов и инсталляция
- •Управление уровнем сервиса
- •Требования к уровню услуг (service level requirements — slr)
- •Каталог услуг (service catalog)
- •Соглашение об уровне услуг (service level agreement — sla)
- •Программа улучшения сервиса (service improvement program — sip)
- •План обеспечения качества услуг (service quality plan — sqp)
- •Операционное соглашение об уровне услуг (operational level agreement — ola)
- •Внешний договор (underpinning contract — uc)
- •Преимущества использования процесса
- •Процесс
- •Процесс
- •Процесс
- •Преимущества использования процесса
- •Процесс
- •Процесс
- •Виды деятельности
- •Идентификация
- •Определение
- •Определение внешних стандартов
- •Определение внешних стандартов
- •Определение внешних стандартов
- •План обеспечения качества услуг (service quality plan — sqp)
- •Договор
- •Соглашение об уровне сервиса
- •Внешние договоры и операционные соглашения об уровне услуг
- •Каталог услуг
- •Управление уровнем сервиса
- •Мониторинг
- •Создание отчетов
- •Анализ (ревью)
- •Управление финансами ит
- •Управление финансами ит
- •Управление мощностями
- •Преимущества использования процесса
- •Преимущества использования процесса
- •Преимущества использования процесса
- •Управление непрерывностью ит-сервисов
- •Управление непрерывностью ит-сервисов
- •Управление непрерывностью ит-сервисов
- •Превентивные меры
- •Выбор способов восстановления
- •Выбор способов восстановления
- •Выбор способов восстановления
- •Выбор способов восстановления
- •Организация процесса и планирование внедрения
- •Применение превентивных мер и способов восстановления
- •Разработка планов и процедур восстановления
- •План восстановления
- •План восстановления
- •Процедуры
- •Начальное тестирование
- •Обучение и осведомление
- •Анализ и аудит
- •Тестирование
- •Управление доступностью
- •Управление доступностью
- •Управление доступностью
- •Управление доступностью
- •Определение требований к доступности сервиса
- •Определение требований к доступности сервиса
- •Проектирование систем для достижения требуемого уровня доступности
- •Проектирование систем для достижения требуемого уровня обслуживания
- •Ключевые вопросы безопасности
- •Управление обслуживанием
- •Проведение измерений и составление отчетов
- •Проведение измерений и составление отчетов
- •Проведение измерений и составление отчетов
- •Разработка плана обеспечения доступности
- •Инструментальные средства
- •Методы и методики
- •Анализ влияния отказа компонентов (cfia)
- •Анализ влияния отказа компонентов (cfia)
- •Расчеты доступности сервиса
- •Расчеты доступности сервиса
- •Программное обеспечение автоматизации процессов itil
- •Управление иб
- •Cobit - «цели контроля для информации и связанных с ней технологий»
- •Cobit - «цели контроля для информации и связанных с ней технологий»
- •Cobit - «цели контроля для информации и связанных с ней технологий»
- •Cobit - «цели контроля для информации и связанных с ней технологий»
- •Cobit - «цели контроля для информации и связанных с ней технологий»
- •Модель команды mof
- •Модель управления рисками mof
- •Модель управления рисками mof
- •О сайте
- •Учебники
Методика gartner group
- данные об управлении информационной инфраструктурой (корпоративной сетью, информационными системами, хранением данных, эксплуатацией);
- данные о разработке ПО (создание, тестирование, документирование, адаптация и доработка);
- данные о действиях конечного пользователя влияющих на ТСО.
Более подробно можно становиться на определении стоимости «человеческого фактора» в ТСО. Методика Gartner Group учитывает следующие составные части этого вклада:
- время, затрачиваемое административным персоналом на решение проблем пользователей;
- время, затрачиваемое пользователем на самообразование взаимопомощь вместо обращения в службу поддержки;
- время, затрачиваемое пользователями в связи с неоптимальными приемами работы;
- Время, затрачиваемое пользователями на праздное время провождение и использование компьютера в личных целях;
- расход времени, связанный с подключением переносных компьютеров (подключение к сети, инсталляция ПО, перенос данных и т.п.);
- расходы, связанные с пропажей критически важных данных из компьютера пользователя ( в связи с вирусной атакой, аппаратным или программным сбоем или случайно удаленным пользователем);
- расход времени на запланированные простои (модернизация обрудования, сети, обновление ПО);
- расход времени на незапланированные простои (по техническим причинам, из-за вирусных атак, в связи с использованием устаревшей техники).
Итак, согласно методике Gartner Group, TCOвключает в себя:
- стоимость компьютеров и программного обеспечения;
- техническое обслуживание программно-аппаратных комплексов;
- затраты на обучение и переобучение сотрудников;
Методика gartner group
- затраты на установку новых версий ПО;
- стоимость потребляемой электроэнергии;
- зарплата сотрудников IT-департаментов;
- оплата сотрудникам вынужденного безделья во время простоя компьютеров;
- «товарищеская» помощь пользователей друг другу при возникновении трудностей;
- потери рабочего времени при самостоятельном устранении мелких неполадок.
- конфигурацию сети;
- однородность/неоднородность серверных, сетевых и клиентских платформ;
- различное энергопотребление рабочих станций и экономичных «блокнотных» ПК;
- квалификацию пользователя;
- сложность вычислительной среды, в которой ведется работа;
- методы управления корпоративной сетью;
- организация работы информационных технологий;
- распределенность сети.
Существует также методика оценки TCO Dell Systems, которая включает в себя:
- стоимость компьютеров;
- стоимость программного обучения;
- обучение;
- затраты электроэнергии (рассчитываются по техническим характеристикам серверов, рабочих станций, мониторов, ноутбуков);
- зарплата руководства и технических сотрудников информационных отделов;
- потери компании от вирусных атак ( по данным NCSA, один из ста ПК подвергается атакам раз в месяц, при этом в 46% случаев восстановление занимает 19 дней);
- повышение квалификации;
- оплата простоев персонала из-за неисправности компьютерной техники или сетей (в среднем отказы компьютеров и серверов brand-name «белой сборки» составляют 3% в первые три года эксплуатации и 6% при среднем времени ремонта одна неделя);
- потери компании из-за использования устаревшей компьютерной техники и ПО (за основу берется предположение, что 100% устаревания парка потери рабочего времени составляют 15%);