Обоснование бюджета на информационную безопасность. Что нужно знать?

Сергей Рысин. 

Главный специалист по технической защите в Headhunter Group.

Выпускник кафедры компьютерной безопасности МИРЭА – Российского технологического университета.

В 2006 году начал работу на должности инженера службы технической поддержки в ЗАО «Компания объединенных кредитных карточек».
Работу совмещал с учебой, неоднократно проводил расследования в области ИБ.
В 2010 году перешел на должность заместителя генерального директора в ОАО «Торжокский завод полиграфических красок» и выполнял задачи автоматизации и защиты информации.
В 2013 году перешел в ООО «СтройГазКонсалтинг», где курировал задачи проведения внутренних расследований в области информационной безопасности.
В 2015 году перешел на должность советника директора по безопасности в ПАО «Государственная Транспортная Лизинговая компания», где курировал вопросы автоматизации компьютерной безопасности и информационной безопасности.

На сегодняшний день занимается защитой информации в HeadHunter

Большинство работает по принципу “беда пришла - будем решать”, а надо делать стратегию и прогнозировать проблемы и риски. Для этого, помимо всего, необходимо иметь четкое технико-экономическое обоснование, отсутствие которого может пошатнуть авторитет ИБ перед руководством.

При планировании стратегии и бюджетов перед отделом ИБ чаще всего стоят такие вопросы:

• Какой бюджет заложить на следующий год?
• Как обосновать высшему руководству необходимость инвестирования финансов в развитие безопасности?
• Как доказать эффективность выполненных работ и приобретенных продуктов?
• Стоит ли тратить немалые деньги на разрекламированное решение производителя по безопасности или аналогичный результат можно достичь более простыми и уже имеющимися средствами?

В рамках данного мастер-класса мы найдем на эти вопросы ответы таким образом, чтобы вы смогли на понятном бизнесу языке дать объяснение того, что вы делаете и, более того, показать как на том заработать.

Смотрим на ИБ с новой экономической стороны

• Факторы при выборе конкретных решений
• Поиск наиболее оптимального способа решения задачи
• Учет специфики отрасли
• Обеспечение максимального эффекта с минимальными вложениями
• Использование различных инструментов финансового планирования и показателей оценки эффективности внедряемых проектов

Формирование стратегии развития ИБ

• 4 основных этапа для формирования эффективной стратегии

Аудит имеющейся ИТ и ИБ инфраструктуры

• Методика совокупной стоимости владения (ССВ)
• 9 вопросов, на которые позволяет ответить Методика ССВ Gartner Group
• ССВ для системы ИБ

Изучение стратегии развития компании

• Интервью с руководством
• Рекомендации по составлению предложений и отчетов для руководства
• Описание целевой системы ИБ (СОИБ)

Затраты на безопасность

• Общий смысл сбора данных по затратам на ИБ
• Правильное определение позиций перечня затрат
• Как определит затраты на ИБ?
• Что такое затраты на информационную безопасность – куда мы тратим деньги?
• Единовременные и систематические затраты
• Неизбежные затраты
• Зависимость между затратами на ИБ и уровнем защищенности
• Формула расчета затрат на ИБ

Формирование дорожной карты для достижения целевых показателей СОИБ

• Показатели эффективности внедряемого решения
• Увеличиваем ROI
• ROSI
• Снижаем TCO
• Уменьшаем Payback