Журнал "Системы Безопасности" № 1‘2021

К О М П Л Е К С Н А Я Б Е З О П А С Н О С Т Ь , П Е Р И М Е Т Р О В Ы Е С И С Т Е М Ы 120 С егодня в практически любой области дея- тельности невозможно избежать встречи с автоматизированными системами, причем каж- дый из нас является, как правило, пользовате- лем как минимум двух-трех. Кроме того, неко- торые сотрудники в той или иной мере высту- пают владельцами существующих или проекти- руемых систем в части определения целей, задач и методов их выполнения. Владельцем системы может быть и руководитель крупного департамента, и начальник отдела, и ведущий инженер или администратор. Каждый владелец рано или поздно сталкивает- ся с необходимостью дополнительного финан- сирования для поддержания деятельности системы либо для создания новой. При поиске источников финансирования владельцы долж- ны быть готовы ответить на ряд вопросов, глав- ный из которых, без сомнения, – "Сколько система будет стоить?". Другими словами, необходимо оценить совокупную стоимость владения. Инвесторы также не оставят без вни- мания окупаемость системы и ее вклад в финансовые показатели организации. И если для ИТ-систем уже предпринимаются робкие попытки расчета таких оценок, то в системах безопасности, как говорится, еще и конь не валялся. Поэтому предлагаю вашему вниманию методологию расчета совокупной стоимости владения, которую я и мои коллеги используем для расчета экономического эффек- та автоматизированных систем (АС). Определения Самая частая проблема, возникающая у без- опасников при коммуникации с финансовыми подразделениями и владельцами бизнеса, – отсутствие единой цели. Мы мыслим совершен- но непохожими категориями, так как имеем различные устремления. Следовательно, и сло- варем пользуемся разным. Поэтому начнем с самого начала – с уточнения понятий. Говорить мы будем о совокупной стоимости владения (для автоматизированных систем вообще), ее можно назвать и стоимостью жизненного цикла (больше применимо для ИТ- и ИБ-систем). В целом эти термины экви- валентны. Совокупная стоимость владения, или ТСО (от англ. Total Cost of Ownership – TCO), – общая величина целевых затрат, которые вынужден нести владелец с момента вступления в состоя- ние владения до момента выхода из состояния владения и исполнения владельцем полного объема обязательств, связанных с владением. Из определения TCO, согласно западной мето- дологии, вытекают два фундаментальных поня- тия о затратах: l CAPEX (от англ. Capital Expenditure) – капи- тальные расходы компаний на приобретение или модернизацию физических активов; l OPEX (от англ. Operating Expense, Operating Expenditure, Operational Expense, Operational Expenditure) – операционные расходы, повсе- дневные затраты компании на ведение биз- неса, производство товаров и услуг. В нашей же методологии мы пользуемся сле- дующими понятиями: l прямые затраты; l косвенные затраты. Почему? Во-первых, данные понятия есть в Налоговом кодексе РФ и ПБУ (Положении о бухгалтерском учете). Во-вторых, это упроща- ет отнесение затрат по статьям расходов. Далее мы не будем пользоваться понятиями CAPEX и OPEX. Если от вас требуют расчеты с четким разделением на CAPEX и OPEX, вы смо- жете самостоятельно разнести затраты, исходя из данной методологии. Основной (упрощен- ный) принцип такой: если затрата единоразо- вая, то это CAPEX, все остальное – OPEX. Прямые затраты Если вы поищете в Интернете определение пря- мых затрат, то найдете следующее: прямые затраты – это то, что потрачено на производство конкретных товаров или услуг. Такие расходы, например стоимость сырья и зарплаты сотруд- ников, работавших над продуктом, можно включить в себестоимость. Точное определение представлено в ст. 318 Налогового кодекса РФ и содержит перечисле- ние того, что входит в данный вид затрат. Применимо к нашей теме для расчета совокупной стоимости владения автоматизированной систе- мой под прямыми затратами на АС мы будем понимать то, что непосредственно потрачено на создание, эксплуатацию, масштабирование и раз- витие автоматизированной системы. Косвенные затраты Общее определение косвенных затрат звучит так: косвенные затраты – это расходы, связан- ные с производством, которые нельзя напря- мую включить в себестоимость конкретного вида изделия. Точное определение представле- но все в той же ст. 318 Налогового кодекса РФ. Для расчета TCO для автоматизированных систем мы будем использовать следующее определение косвенных затрат: косвенные затраты на АС – другие (сопутствующие) затра- ты, необходимые для создания, эксплуатации, масштабирования и развития автоматизиро- ванной системы, не входящие в перечень пря- мых затрат. Если вы немного запутались, что относить к пря- мым затратам, а что к косвенным, не отчаивай- тесь. Данные виды затрат отличает один при- знак: в зависимости от организации и проекта при создании АС без косвенных затрат можно обойтись, а без прямых – нет. Пример необходимости расчета TCO Одно очень крупное российское промышленное предприятие решило внедрить у себя комплекс- ную систему защиты. В рамках внедрения была запланирована система двухфакторной аутен- тификации с помощью токена (защищенной USB-флешки). Подрядчик закупил токены (несколько тысяч штук) и необходимое ПО, все было готово к внедрению. Итогом стал провал внедрения подсистемы, токены так и остались лежать в коробках. Основные причины провала: 1. Противодействие со стороны ИТ-службы при внедрении подсистемы. Процедура требовала организации, учета, замены и вывода из обра- щения старых флешек, а также организации обучения пользователей новым правилам. ИТ- служба должна была понести значительные финансовые и временные затраты, что, к сожа- лению, не было учтено при проектировании. 2. Внутренние регламенты предполагали, что сотрудники будут использовать токены только во время работы, получая их у своего руково- дителя под роспись. После окончания работы токены необходимо было сдавать и хранить, например, в сейфе. Расходы на эти и другие процедуры также не были учтены. Таким образом, ключевой проблемой стал учет только прямых расходов на систему. Методика расчета совокупной стоимости владения Не существует самой общей и полной методики расчета TCO, так как большинство затрат по статьям и размерам зависит от специфики кон- февраль – март 2021 www.secuteck.ru Дмитрий Дудко Руководитель отдела проектирования и внедрения департамента информационной безопасности компании "ЛАНИТ" Вопросы совокупной стоимости владения и эксплуатации комплексных систем безопасности В наши дни проблема обеспечения безопасности систем, самых различных, от инже- нерных сетей жилого дома и до многочисленных систем мощного производственного предприятия, стоит весьма остро. Для крупных и средних организаций очень важно, чтобы системы безопасности не "жили каждая сама по себе", а были комплексными. Во что это обойдется компании? Как рассчитать прямые и косвенные затраты? Дмитрий Дудко поделился своим опытом в решении таких вопросов