Основные причины сложности в определении затрат и их характеристика. 
 
Основные причины сложности в определении затрат: 
1. задействуются сотрудники из разных подразделений; 
2. трекинг времени потраченного на вопросы обеспечения безопасности; 
3. вероятность наступления и оценка внешних потерь качественного характера; 
4. заинтересованность персонала в сокрытии правдивой информации. 
Для анализа затрат на обеспечение безопасности ХС их необходимо структурировать.
Главной задачей структурирования является обеспечение руководства ХС эффективным
инструментом для управления информационными рисками на основе сбора и анализа
информации о затратах на обеспечение ИБХС. 
Сами задачи можно перечислить как: 
₋
определение перечня затрат и разделение их по категориям; 
₋
составление перечня затрат с их обоснованием по каждому направлению; 
₋
определение адресности затрат, оцениваемых:
○ для конкретного подразделения или участка;
○ для каждого типа защищаемых ресурсов;
○ для рабочего места пользователя информационной системы ХС;
○ для рисков по каждой категории ресурсов, подлежащих защите. 
При сборе и анализе информация по затратам может существовать и ее достаточно легко
получить, также могут возникать сложности при получение или же вовсе ее невозможно
получить. 
Затраты разделяют на группы: 
-
затраты на контрольно – проверочные мероприятия; 
-
затраты на оценочные мероприятия. 
Оценка трудоемкости определения затрат. Основной объем затрат составляет оплата
 
 
 
труда персонала, задействованного в работах по обеспечению безопасности. Другие
затраты в основном связаны со стоимостью конкретных специальных работ и услуг
внешних организаций и материально-техническим обеспечением системы безопасности.
Внутренние затраты на компенсацию нарушений политики безопасности 
Достаточно легко выявить затраты на установку патчей, приобретение обновленных
версий ПСЗИ и ТС, восстановление БД, обеспечение непрерывности деятельности службы
безопасности, внедрение дополнительных средств защиты, требующих существенной
перестройки системы безопасности. 
Труднее выявить объемы заработной платы и накладных расходов: 

• по проведению дополнительных испытаний и проверок технологических
информационных систем; 
• по утилизации скомпрометированных ресурсов; 
• по проведению повторных проверок и испытаний системы защиты информации; 
• по проведению мероприятий контроля достоверности данных, подвергшихся
атаке на целостность; 
• по проведению расследований нарушений политики безопасности. 
Внешние затраты на компенсацию нарушений политики безопасности 
Затраты, величину которых выявить сложно: 
• затраты на проведение дополнительных исследований и разработку новой
рыночной стратегии; 
• потери от снижения приоритета в научных исследованиях и невозможности
патентования и продажи лицензий на научно-технические достижения; 
• затраты, связанные с ликвидацией "узких мест" в снабжении, производстве и
сбыте продукции; 
• потери от компрометации производимой предприятием продукции и снижения
цен на нее; 
• возникновение трудностей в приобретении оборудования или технологий
(повышение цен, ограничение объема поставок). 
Наиболее сложно оценить затраты на предупредительные мероприятия и затраты
появляются на всех этапах жизненного цикла информационных ресурсов. 
Затраты, величину которых можно выявить непосредственно: 
•
обслуживание
и
настройка
программно-технических
средств
защиты,
операционных систем и используемого сетевого оборудования; 
• проведение инженерно-технических работ по установлению сигнализации,
оборудованию хранилищ конфиденциальных документов, защите телефонных
линий связи, средств вычислительной техники и др.; 
• доставку конфиденциальной информации; 
• консультации; 
• курсы обучения. 
Информации о затратах может поступать из самых разных источников. 
Внутренние источники информации о затратах: 
-
учетная, отчетная и технологическая документация предприятия; 
-
ведомости заработной платы. 

Внешние источники информации о затратах: 
Затраты на оказание консалтинговых услуг, и других профильных работ могут быть взяты
из соответствующих договоров и отчетной документации. 
Классификация затрат на обеспечение безопасности и распределение их по категориям
(рассмотренным ранее) должны стать частью повседневной внутренней работы
сотрудников ХС, работа которых связана с реализацией проекта. Впоследствии, эти
данные могут лечь в основу финансовых планов, обеспечить поиск и оптимизацию основ
привлечения источников финансирования.