Как оценить стоимость защиты информации в организации?

Для оценки стоимости защиты информации в организации можно использовать, например, показатель совокупной стоимости владения (TCO). www.cfin.ru Это сумма прямых и косвенных затрат на внедрение, эксплуатацию и сопровождение системы защиты информации. www.cfin.ru

Прямые затраты включают все материальные расходы, такие как покупка оборудования и программного обеспечения, трудозатраты сотрудников. www.cfin.ru Косвенные затраты — это расходы на обслуживание системы защиты информации, а также потери от произошедших инцидентов. www.cfin.ru

Некоторые направления оценки стоимости защиты информации:

• Существующие компоненты системы защиты информации и информационные активы компании (серверы, клиентские компьютеры, периферийные устройства, сетевые устройства). citforum.ru
• Расходы на аппаратные и программные средства защиты информации (расходные материалы, амортизация). citforum.ru
• Расходы на организацию защиты информации (обслуживание средств защиты, планирование и управление процессами защиты информации, разработку концепции и политики безопасности и пр.). citforum.ru
• Расходы на организационные меры защиты информации. citforum.ru
• Косвенные расходы на организацию защиты информации, в частности обеспечение непрерывности или устойчивости бизнеса компании. citforum.ru

Для оценки стоимости информации также используют метод ожидаемых потерь ALE (Annualised Loss Expectency). backuprent.com Он показывает возможные потери организации в результате несоответствующих мер защиты информации. backuprent.com

При оценке стоимости защиты информации важно учитывать периодичность затрат, их возможность охвата планированием, а также затраты, зависящие от объёма производства (постоянные или переменные). www.audit-ib.ru