GlobalTrust Information Security Forum User Cp  |  Register  |  Members  |  Search  |  Help
    |- Информационная безопасность > Общие вопросы информационной безопасности Post New Topic   Post A Reply
Бюджет на информационную безопасность printer friendly version
next newest post | next oldest post
Author Messages
Anton Pershin
Private First Class

Gender: Unspecified
Location: Moscow
Registered: Mar 2006
Status: Offline
Posts: 19

Click here to see the profile for Anton Pershin Send email to Anton Pershin Send private message to Anton Pershin Find more posts by Anton Pershin Edit or delete this message Reply w/Quote
Posted Thursday, March 18, 2004 @ 19:54:09    ICQ

Hi All!

Может быть кто-то знает/посоветует какие-либо исследования, касающиеся того, какой процент от оборота тратят компании на обеспечение ИБ?

Заранее спасибо.

Alexander
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 76

Click here to see the profile for Alexander Send email to Alexander Send private message to Alexander Find more posts by Alexander Edit or delete this message Reply w/Quote
Posted Monday, March 22, 2004 @ 11:13:03  

Антон, думается мне, что в очередной раз стоит вспомнить основы, – а именно оценку рисков. Считаете и решаете, стоит ли Вам тратиться или нет в каждом конкретном случае. По мне, не корректно говорить о проценте, тем более от оборота. При чем здесь оборот???
Anton Pershin
Private First Class

Gender: Unspecified
Location: Moscow
Registered: Mar 2006
Status: Offline
Posts: 19

Click here to see the profile for Anton Pershin Send email to Anton Pershin Send private message to Anton Pershin Find more posts by Anton Pershin Edit or delete this message Reply w/Quote
Posted Tuesday, March 23, 2004 @ 13:40:05    ICQ

Александр, я, честно говоря, не про теорию спрашивал. Как узнать много или мало на практике тратит компания на информационную безопасность? Согласитесь, все относительно! Можно (и нужно)посмотреть внутрь компании - какие средства используются, адекватно ли настроены, какие процедуры прописаны и т.д., грубо говоря, переводить в деньги, суммировать стоимость этих услуг для компании (TCO если позволите )и... и хотелось бы сравнить с показателями других компаний в отрасли, чтобы ответить на вопрос, может наши услуги ИБ намного дороже, чем у других?

Причем здесь оборот? По данному показателю можно определить примерное равенство компаний по размерам. Наверняка можно взять процент и от других финансовых цифр, но я таких зависимостей, к сожалению, не встречал. :rolleyes:

Alexander
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 76

Click here to see the profile for Alexander Send email to Alexander Send private message to Alexander Find more posts by Alexander Edit or delete this message Reply w/Quote
Posted Thursday, March 25, 2004 @ 14:17:32  

А я не про теорию отвечал. Что значит много или мало? Если Вам эти затраты жизненно необходимы, пожалуйста, тратьте на здоровье. И оборот, извините, не показатель. Разные ИС, разные ресурсы, разные риски, различные требования к безопасности (ожидания бизнеса), и, как результат, - различные деньги. То, что приемлемо для одних, для других недопустимо (работал в одной финансовой организации, которая на слуху и очень здорово растет, - так вот им вообще по барабану, - есть ИБ или ее нет, что собственно не мешает им зарабатывать немалые деньги). Что же, попробуйте суммировать стоимость перечисленных Вами услуг, - потратите много времени и получите очень и очень субъективный показатель. Много проще продемонстрировать стоимость Ваших конкретных услуг (ну, например, разработка политики ИБ, аудит безопасности той или иной системы) и сравнить их со стоимостью аутсорсинга (или услуг других компаний, если Вы сами предоставляете услуги аутсорсинга). Пример, я дважды сертифицированный специалист, провел за год – нное количество аудиторских проверок и разработал нное количество документов (стоимость – моя з.п. плюс (как минимум) деньги, которые тратятся на обеспечение моего рабочего места). Если бы моя организация воспользовалась услугами аналогичного специалиста (ов) какой-нибудь большой четверки, она бы потратила за аналогичные услуги денег в 2-3-4 (в зависимости от предмета аудита) раза больше.
Anton Pershin
Private First Class

Gender: Unspecified
Location: Moscow
Registered: Mar 2006
Status: Offline
Posts: 19

Click here to see the profile for Anton Pershin Send email to Anton Pershin Send private message to Anton Pershin Find more posts by Anton Pershin Edit or delete this message Reply w/Quote
Posted Friday, March 26, 2004 @ 21:01:02    ICQ

Очевидно, что ресурсы, риски, требования и бюджеты разные. Однако именно это и интересно сравнить. Компании, работающие в одной отрасли в общем, будут иметь схожие бизнес-требования по ИБ. Конечно, попадаются компании с вырожденными требованиями к безопасности, но они являются скорее исключением, чем правилом и их не интересно рассматривать. Пробовать суммировать стоимость указываемых услуг, на мой взгляд - абсолютно здравая мысль. Да, возможно, после первого подхода будет получен лишь приблизительный результат, но после нескольких упражнений (да разными методами), можно получить вполне реальную цифру.
Вы говорите о сравнении с услугами аутсорсинга - так вот почти об этом я и спрашивал, с той лишь разницей, что хочется сравнить с другими компаниями. Сорри, но пример с Вами не подходит. Вот если бы кроме аудиторских проверок и создания документации дополнительно лично просматривали трафик сети на сигнатуры, вручную терминировали VPN клиентов, персонально раздавали пароли пользователям, при этом не забывали фильтровать трафик (etc), тогда другое дело. Согласен, что оборот компании не показатель. Это половина показателя. Надо сравнивать именно по относительным величинам, как вариант бюджет ИБ от оборота компании. В принципе сранение может дать не только количественный ответ, но и качественный - как компания относится к ИБ. Посмотри на Cisco, она публикует такие расчеты: оборот растет (компания развивается), бюджет на ИТ также увеличивается, а соотношение остается постоянным.

Alexander
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 76

Click here to see the profile for Alexander Send email to Alexander Send private message to Alexander Find more posts by Alexander Edit or delete this message Reply w/Quote
Posted Monday, March 29, 2004 @ 10:20:25  

1. Да, да, суммируйте. И попросите суммировать компании с аналогичным оборотом (им ведь нечем больше заниматься), а потом предоставить данные Вам. Иначе как Вы будете сравнивать?
2. Пример со мной? Примеры, Антон, не претендуют на полноту, и догадаться расширить перечень услуг, ой как тяжело. Я потрясен, Вашими знаниями и предложенным (обязательным?) набором механизмов безопасности… Спасибо, раскрыли глаза.
3. Компании с "вырожденными" требованиями к безопасности являются правилом, а не исключением. Уверяю Вас.
4. Забавно полагать, что при увеличении оборота обязательно растет бюджет на ИТ (и наоборот?).
Anton Pershin
Private First Class

Gender: Unspecified
Location: Moscow
Registered: Mar 2006
Status: Offline
Posts: 19

Click here to see the profile for Anton Pershin Send email to Anton Pershin Send private message to Anton Pershin Find more posts by Anton Pershin Edit or delete this message Reply w/Quote
Posted Monday, March 29, 2004 @ 15:36:07    ICQ

Александр, я с большим уважением отношусь к Вам, как к специалисту и как к человеку, уверен, Вы таковым [уважаемым] и являетесь, жаль, что лично не знаком с Вами. Размещая здесь свои сообщения, я не ставил целью раскрыть кому-либо глаза, но, безусловно, рад, что был Вам полезен . К сожалению, мой вопрос и идею Вы, видимо, так и не поняли, поэтому думаю, что нецелесообразно отвечать на Ваши вопросы и комментировать ответы. Но в любом случае спасибо за Ваше мнение.

Quote:
Originally posted by Alexander
1. Да, да, суммируйте. И попросите суммировать компании с аналогичным оборотом (им ведь нечем больше заниматься), а потом предоставить данные Вам. Иначе как Вы будете сравнивать?
2. Пример со мной? Примеры, Антон, не претендуют на полноту, и догадаться расширить перечень услуг, ой как тяжело. Я потрясен, Вашими знаниями и предложенным (обязательным?) набором механизмов безопасности… Спасибо, раскрыли глаза.
3. Компании с "вырожденными" требованиями к безопасности являются правилом, а не исключением. Уверяю Вас.
4. Забавно полагать, что при увеличении оборота обязательно растет бюджет на ИТ (и наоборот?).

Alexander
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 76

Click here to see the profile for Alexander Send email to Alexander Send private message to Alexander Find more posts by Alexander Edit or delete this message Reply w/Quote
Posted Monday, March 29, 2004 @ 15:51:41  

Да и я погорячился...
Anton Pershin
Private First Class

Gender: Unspecified
Location: Moscow
Registered: Mar 2006
Status: Offline
Posts: 19

Click here to see the profile for Anton Pershin Send email to Anton Pershin Send private message to Anton Pershin Find more posts by Anton Pershin Edit or delete this message Reply w/Quote
Posted Tuesday, March 30, 2004 @ 10:44:21    ICQ

Кстати, сегодня (как по заказу ) попалась на глаза заметка в ComputerWorld о бюджетах ИБ. Там указывается, что "... в развитых странах предприятия расходуют на обеспечение информационной безопасности от 5 до 7% бюджета, отведенного на информационные технологии. В России же компании тратят на эти цели куда меньше - лишь 1-2%." Данные по России приводятся на основании исследования "Ассоциации защиты информации".
Alexander
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 76

Click here to see the profile for Alexander Send email to Alexander Send private message to Alexander Find more posts by Alexander Edit or delete this message Reply w/Quote
Posted Tuesday, March 30, 2004 @ 11:33:23  

Но ведь не весь бюджет ИБ можно рассматривать как часть ИТ бюджета? Не так ли? Мне кажется, вопрос слишком сложный и требует неоправданно высоких трудозатрат (если Вы действительно хотите получить сколь ни будь приличный результат). Вопрос - зачем это Вам (или Вашему начальству)?
Anton Pershin
Private First Class

Gender: Unspecified
Location: Moscow
Registered: Mar 2006
Status: Offline
Posts: 19

Click here to see the profile for Anton Pershin Send email to Anton Pershin Send private message to Anton Pershin Find more posts by Anton Pershin Edit or delete this message Reply w/Quote
Posted Tuesday, March 30, 2004 @ 16:42:16    ICQ

Согласен, что не весь и что вопрос очень сложный. Лично для меня, как представителя ИБ,стоимость услуг (и тем более сравнение с другими, пусть даже и не совсем правомерное )-ещё одна из возможностей обосновывать инвестиции (в смысле использовать в обосновании), так как у нас это какие-то сотые доли наверное , а для руководства - понимание, что ИБ не черная коробочка, где деньги исчезают, а вполне измеряемая вещь.
Alexander
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 76

Click here to see the profile for Alexander Send email to Alexander Send private message to Alexander Find more posts by Alexander Edit or delete this message Reply w/Quote
Posted Wednesday, March 31, 2004 @ 13:32:15  

В завершение дискуссии вернусь к ее началу. Дабы обосновать необходимость инвестиций следует доказать, что в противном случае (в случае успешной реализации риска) организация потеряет денег больше, чем эти самые инвестиции. Для каждого проекта (случая) обоснование будет относительно уникальным. Не будете же Вы оперировать процентами от бюджета некоторой аналогичной организации, доказывая необходимость, к примеру, приобретения того или иного средства защиты информации? Бизнес очень хорошо понимает обоснование на уровне рисков и их стоимости. Или я просто не могу представить ситуацию, когда утверждается бюджет организации на год, а там есть некая непонятная статья – расходы на ИБ – не менее nn-го количества процентов от бюджета организации? Тогда ИБ действительно черная коробочка.
Anton Pershin
Private First Class

Gender: Unspecified
Location: Moscow
Registered: Mar 2006
Status: Offline
Posts: 19

Click here to see the profile for Anton Pershin Send email to Anton Pershin Send private message to Anton Pershin Find more posts by Anton Pershin Edit or delete this message Reply w/Quote
Posted Wednesday, March 31, 2004 @ 17:22:52    ICQ

Да, все категорически верно. Это не минимально достаточный аргумент, а просто маленький и дополнительный
Alexander
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 76

Click here to see the profile for Alexander Send email to Alexander Send private message to Alexander Find more posts by Alexander Edit or delete this message Reply w/Quote
Posted Wednesday, March 31, 2004 @ 17:25:22  

УРА!!! Консенсус!!!
Anton Pershin
Private First Class

Gender: Unspecified
Location: Moscow
Registered: Mar 2006
Status: Offline
Posts: 19

Click here to see the profile for Anton Pershin Send email to Anton Pershin Send private message to Anton Pershin Find more posts by Anton Pershin Edit or delete this message Reply w/Quote
Posted Wednesday, March 31, 2004 @ 17:29:29    ICQ

Да, все категорически верно. Это не минимально достаточный аргумент, а просто маленький и дополнительный
Даже правильнее было бы сказать, что цель не добиться финансирования не меньше, чем у других, а наоборот, показать, что мы тратим не больше, чем другие. Если мы расходуем больше, то это повод задуматься о причинах (специфика ли, неоптимизированные ли процессы, может избыточность и т.д.)


Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Tuesday, April 6, 2004 @ 13:29:07  

Quote:
Originally posted by Anton Pershin
Hi All!

Может быть кто-то знает/посоветует какие-либо исследования, касающиеся того, какой процент от оборота тратят компании на обеспечение ИБ?

Заранее спасибо.

Расходы на ИТ:

Отрасль % от оборота

Машиностроение 0,83
Металлургия 0,64
Розничная торговля 0,95
Телекоммуникации 3,5
Производство ТНП 1,0
ТЭК 1,6
Транспорт 1,1
Финансы/страхование 3,87

Западные компании в среднем тратят на ИБ 7-8% ИТ-бюджета, наши < 5%.

Больше всех тратят финансовые, страховые и телекоммуникационные компании.

--------------------

Anton Pershin
Private First Class

Gender: Unspecified
Location: Moscow
Registered: Mar 2006
Status: Offline
Posts: 19

Click here to see the profile for Anton Pershin Send email to Anton Pershin Send private message to Anton Pershin Find more posts by Anton Pershin Edit or delete this message Reply w/Quote
Posted Tuesday, April 27, 2004 @ 20:21:21    ICQ

Спасибо за информацию!

Александр, а какое исследование? если не private конечно...

--------------------
"We are eating out own dog's food!"

Eugen Klimov
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 99

Click here to see the profile for Eugen Klimov Visit http://www.ibez.ru Send email to Eugen Klimov Send private message to Eugen Klimov Find more posts by Eugen Klimov Edit or delete this message Reply w/Quote
Posted Wednesday, January 26, 2005 @ 14:00:49    ICQ

Quote:
Originally posted by Anton Pershin
Спасибо за информацию!

Александр, а какое исследование? если не private конечно...

Присоединяюсь к вопросу



Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Wednesday, January 26, 2005 @ 14:05:52  

Уже не помню. Потерял эту презентацию.

--------------------

Eugen Klimov
Sergeant First Class

Gender: Unspecified
Location:
Registered: Mar 2006
Status: Offline
Posts: 99

Click here to see the profile for Eugen Klimov Visit http://www.ibez.ru Send email to Eugen Klimov Send private message to Eugen Klimov Find more posts by Eugen Klimov Edit or delete this message Reply w/Quote
Posted Wednesday, January 26, 2005 @ 14:15:11    ICQ

Жаль, ценная была вещь...
Неужели в КРОКе такая информация не нужна?


Gender:
Location:
Registered: Jan 1970
Status: Offline
Posts:

Click here to see the profile for Find more posts by Edit or delete this message Reply w/Quote
Posted Wednesday, January 26, 2005 @ 14:26:42  

Нужна конечно.
Если располагаете более свежими данными, поделитесь.

--------------------

Post New Topic   Post A Reply Jump to:
Contact Us | GlobalTrust Solutions | Privacy Policy All times are GMT +4 Hours.
Welcome to Our Forums, Guest!  
Login
Username :
Password :
In order to fully utilize the abilities of this board, you are required to register as a member. Registration is free, and allows you to do lots of things including turning on or off certain features of this board. Register now!
Forum Rules & Description
Who Can Read The Forum? Any registered user or guest
Who Can Post New Topics? Any registered user
Who Can Post Replies? Any registered user
Who Can Edit Posts? Any original author
Форум для обсуждения общих вопросов информационной безопасности, переехавший с ISACA.RU.
Currently Active Users: 19
There are currently 0 members and 19 guests on the boards. | Most users ever online was 224 on 11-02-2006 11:42:04
Search This Forum
Search Keywords: Search From:
Powered by CuteCast v2.0 BETA 2
Copyright © 2001-2003 ArtsCore Studios

Рейтинг@Mail.ru Rambler's Top100 Yandex