Вопросы совокупной стоимости владения и эксплуатации комплексных систем безопасности

В наши дни проблема обеспечения безопасности систем, самых различных, от инженерных сетей жилого дома и до многочисленных систем мощного производственного предприятия, стоит весьма остро. Для крупных и средних организаций очень важно, чтобы системы безопасности не "жили каждая сама по себе", а были комплексными. Во что это обойдется компании? Как рассчитать прямые и косвенные затраты? Дмитрий Дудко поделился своим опытом в решении таких вопросов.

Сегодня в практически любой области деятельности невозможно избежать встречи с автоматизированными системами, причем каждый из нас является, как правило, пользователем как минимум двух-трех. Кроме того, некоторые сотрудники в той или иной мере выступают владельцами существующих или проектируемых систем в части определения целей, задач и методов их выполнения. Владельцем системы может быть и руководитель крупного департамента, и начальник отдела, и ведущий инженер или администратор.

Каждый владелец рано или поздно сталкивается с необходимостью дополнительного финансирования для поддержания деятельности системы либо для создания новой. При поиске источников финансирования владельцы должны быть готовы ответить на ряд вопросов, главный из которых, без сомнения, – "Сколько система будет стоить?". Другими словами, необходимо оценить совокупную стоимость владения. Инвесторы также не оставят без внимания окупаемость системы и ее вклад в финансовые показатели организации.

И если для ИТ-систем уже предпринимаются робкие попытки расчета таких оценок, то в системах безопасности, как говорится, еще и конь не валялся. Поэтому предлагаю вашему вниманию методологию расчета совокупной стоимости владения, которую я и мои коллеги используем для расчета экономического эффекта автоматизированных систем (АС).

Определения

Самая частая проблема, возникающая у безопасников при коммуникации с финансовыми подразделениями и владельцами бизнеса, – отсутствие единой цели. Мы мыслим совершенно непохожими категориями, так как имеем различные устремления. Следовательно, и словарем пользуемся разным. Поэтому начнем с самого начала – с уточнения понятий.

Говорить мы будем о совокупной стоимости владения (для автоматизированных систем вообще), ее можно назвать и стоимостью жизненного цикла (больше применимо для ИТ- и ИБ-систем). В целом эти термины эквивалентны.

Совокупная стоимость владения, или ТСО (от англ. Total Cost of Ownership – TCO), – общая величина целевых затрат, которые вынужден нести владелец с момента вступления в состояние владения до момента выхода из состояния владения и исполнения владельцем полного объема обязательств, связанных с владением.

Из определения TCO, согласно западной методологии, вытекают два фундаментальных понятия о затратах:

• CAPEX (от англ. Capital Expenditure) – капитальные расходы компаний на приобретение или модернизацию физических активов;
• OPEX (от англ. Operating Expense, Operating Expenditure, Operational Expense, Operational Expenditure) – операционные расходы, повседневные затраты компании на ведение бизнеса, производство товаров и услуг.
  

• прямые затраты;
• косвенные затраты.

Почему? Во-первых, данные понятия есть в Налоговом кодексе РФ и ПБУ (Положении о бухгалтерском учете). Во-вторых, это упрощает отнесение затрат по статьям расходов. Далее мы не будем пользоваться понятиями CAPEX и OPEX. Если от вас требуют расчеты с четким разделением на CAPEX и OPEX, вы сможете самостоятельно разнести затраты, исходя из данной методологии. Основной (упрощенный) принцип такой: если затрата единоразовая, то это CAPEX, все остальное – OPEX.

Прямые затраты

Если вы поищете в Интернете определение прямых затрат, то найдете следующее: прямые затраты – это то, что потрачено на производство конкретных товаров или услуг. Такие расходы, например стоимость сырья и зарплаты сотрудников, работавших над продуктом, можно включить в себестоимость.

Точное определение представлено в ст. 318 Налогового кодекса РФ и содержит перечисление того, что входит в данный вид затрат.

Применимо к нашей теме для расчета совокупной стоимости владения автоматизированной системой под прямыми затратами на АС мы будем понимать то, что непосредственно потрачено на создание, эксплуатацию, масштабирование и развитие автоматизированной системы.

Косвенные затраты

Общее определение косвенных затрат звучит так: косвенные затраты – это расходы, связанные с производством, которые нельзя напрямую включить в себестоимость конкретного вида изделия. Точное определение представлено все в той же ст. 318 Налогового кодекса РФ.

Для расчета TCO для автоматизированных систем мы будем использовать следующее определение косвенных затрат: косвенные затраты на АС – другие (сопутствующие) затраты, необходимые для создания, эксплуатации, масштабирования и развития автоматизированной системы, не входящие в перечень прямых затрат.

Если вы немного запутались, что относить к прямым затратам, а что к косвенным, не отчаивайтесь. Данные виды затрат отличает один признак: в зависимости от организации и проекта при создании АС без косвенных затрат можно обойтись, а без прямых – нет.

Пример необходимости расчета TCO

Одно очень крупное российское промышленное предприятие решило внедрить у себя комплексную систему защиты. В рамках внедрения была запланирована система двухфакторной аутентификации с помощью токена (защищенной USB-флешки). Подрядчик закупил токены (несколько тысяч штук) и необходимое ПО, все было готово к внедрению. Итогом стал провал внедрения подсистемы, токены так и остались лежать в коробках.
Основные причины провала:

1. Противодействие со стороны ИТ-службы при внедрении подсистемы. Процедура требовала организации, учета, замены и вывода из обращения старых флешек, а также организации обучения пользователей новым правилам. ИТслужба должна была понести значительные финансовые и временные затраты, что, к сожалению, не было учтено при проектировании.
2. Внутренние регламенты предполагали, что сотрудники будут использовать токены только во время работы, получая их у своего руководителя под роспись. После окончания работы токены необходимо было сдавать и хранить, например, в сейфе. Расходы на эти и другие процедуры также не были учтены.
   

Таким образом, ключевой проблемой стал учет только прямых расходов на систему.

Методика расчета совокупной стоимости владения

Не существует самой общей и полной методики расчета TCO, так как большинство затрат по статьям и размерам зависит от специфики конкретной организации. Подход, о котором я хотел бы рассказать, – часть большой методики оценки эффективности внедрения и эксплуатации автоматизированных систем, которую ЛАНИТ использует в проектах. Описываемый метод подходит в первую очередь для бюджетной оценки внедрения АС, которая, как правило, применяется на стадии формулирования потребности и решения. Бюджетная оценка обладает значимой погрешностью (до 18%), ее устранение требует проведения дополнительных работ по оценке и анализу бизнес-процессов заказчика.

Полная оценка внедрения, планирование инвестиций в среднесрочном периоде (3–5 лет), а тем более оценка влияния на финансовые показатели лежат вне рамок небольшой журнальной статьи. Если вам требуется взвешенная и обоснованная оценка, обратитесь к специалистам.

Итак, методика расчета совокупной стоимости, в сущности, сводится к суммированию перечня планируемых затрат. Данный метод позволяет производить оценку в среднесрочном периоде, увидеть влияние на производственные и непроизводственные процессы, учитывать разные источники финансирования, валюты закупок, способы оплаты и расчета с поставщиками.

Планируемые затраты:

1. Прямые затраты на внедрение АС.
2. Прямые затраты на сопровождение АС.
3. Косвенные затраты на внедрение АС.
4. Косвенные затраты на сопровождение АС.

Прямые затраты на внедрение АС

Это самый простой и очевидный перечень затрат. Прямые затраты на внедрение включают следующие пункты:

1. Закупка аппаратных компонентов АС. Затраты на аппаратные компоненты АС (это могут быть блоки управления, считыватели, камеры и т.д. – все те компоненты АС, которые покупаются с НДС). К данной статье затрат не относится серверное оборудование.
2. Закупка программного обеспечения АС.
   Затраты на программные компоненты АС, в большинстве случаев это будут лицензии или неисключительные права использования на программное обеспечение, то есть компоненты, покупаемые без НДС.
3. Закупка серверного оборудования. Затраты на покупку серверов и систем хранения данных.
   Данная статья расходов выделена отдельно, так как серверное хозяйство может быть представлено физическими или виртуальными серверами либо размещаться в облачной инфраструктуре. В общем случае это компьютеры, на которых будут установлены программные компоненты АС.
4. Закупка автоматизированных рабочих мест.
   Затраты на покупку рабочих мест пользователей и администраторов. В рамках проекта могут использоваться существующие компьютеры, а также возможна их модернизация либо закупка новых.
5. Закупка программного обеспечения (общесистемного). Затраты на программное обеспечение серверов и рабочих станций.
   В 90% случае это затраты на закупку дополнительных лицензий операционной системы, офисного пакета и другого ежедневно используемого ПО.
6. Закупка программного обеспечения (инфраструктурного). Затраты на ПО, обеспечивающее беспрерывную работу оборудования АС. Наиболее часто встречается расширение лицензий СУБД, систем администрирования и резервного копирования.
7. Закупка программного обеспечения (специализированного). Закупка программного обеспечения, не входящего в другие категории, например дозакупка лицензий на дополнительные камеры видеонаблюдения, считыватели СКУД и т.п.
8. Закупка инфраструктурного оборудования.
   Затраты на инфраструктурное оборудование, которое будет обеспечивать беспрерывную работу АС. Сюда включаются дополнительные маршрутизаторы для нового сегмента сети, дополнительные диски для архивирования, увеличение оперативной памяти и пропускной способности серверов и маршрутизаторов.
9. Затраты на средства информационной безопасности. Затраты на средства информационной безопасности АС включают в себя антивирусы, средства защиты от НСД, межсетевые экраны, VPN и т.д.
10. Затраты на средства физической безопасности. Затраты на средства физической защиты: решетки, сейфы, видеокамеры, размещение дополнительных постов охраны, организацию пропускного режима и т.п.
11. Закупка монтажных комплектов и соединений. Все закупленное оборудование необходимо установить, смонтировать и подключить. В подавляющем большинстве случаев крепеж серверов, а также кабели подключения не входят в комплект поставки. Данный раздел не учитывают чаще всего. К нему относятся серверные стойки, ИБП, монтажные комплекты серверов, трансиверы, оптоволоконные кабели и кабели питания.
12. Проектные работы. Работы по созданию необходимого комплекта проектной и организационно-распорядительной документации.
13. Монтаж, настройка и пусконаладка АС.
14. Обучение администраторов. Курсы повышения квалификации для администраторов – обучение работе с новой системой.

Прямые затраты на сопровождение АС

Прямые затраты на сопровождение – это затраты на поддержание работы системы в течение определенного периода времени (обычно один год). Они включают следующие позиции:

1. Оплата вендорского технического сопровождения и обновления ПО. Затраты на техническую поддержку закупленного ПО (всех видов), обычно на срок 12 или 36 месяцев.
2. Продление гарантии на аппаратные компоненты АС.
3. Зарплата администраторов АС. В большинстве случае зарплата ИТ-персонала коррелирует с количеством и сложностью систем, находящихся в его ведении. Чем больше систем, тем выше зарплата и/или больше администраторов требуется.
4. Затраты на поиск, наем и оформление новых сотрудников необходимой квалификации. Обычно данные затраты ложатся на отдел кадров.
5. Затраты на техническое сопровождение АС.
   

Затраты, связанные с эксплуатацией и масштабированием АС. Сюда же относятся изменения организационных процессов, выпуск новых регламентов по работе и приему заявок от пользователей, организация ремонта и замены элементов АС, привлечение субподрядной организации для технического сопровождения. Таким образом, в данную статью включается, все то, что вовлеченные подразделения должны организовать для штатного функционирования системы.

Косвенные затраты на внедрение АС

Косвенные затраты на внедрение – это затраты на внедрение, которые обычно не включаются в стоимость контракта с исполнителем и обеспечиваются заказчиком.

1. Организационные работы по внедрению. Любое внедрение системы требует большой подготовительной работы со стороны заказчика, включает в себя организацию внедрения, разработку соответствующих приказов и распоряжений, завоз и вывоз оборудования подрядчиков и многое другое. Чаще всего данный процесс сопровождается вовлечением большого количества структурных подразделений, чьих сотрудников отвлекают от текущих задач. Все это является затратами для заказчика.
2. Затраты на помещения. Для размещения новых рабочих мест и оборудования может потребоваться новое помещение, которое необходимо привести в порядок, отремонтировать или построить.
3. Затраты на мебель. В случае организации новых рабочих мест могут понадобиться новые столы, стулья, шкафы и т.п.
4. Затраты на электричество и охлаждение. Они чаще всего возникают при размещении оборудования в ЦОД, где может не быть дополнительных электрических и охлаждающих мощностей под новое оборудование, так что потребуется проведение новой электрической ветки или установка нового кондиционера.
5. Затраты на обучение пользователей.

Косвенные затраты на сопровождение АС

Косвенные затраты на сопровождение – это все дополнительные затраты в течение срока сопровождения АС.

1. Затраты на помещения. Аналогичны косвенным затратам на внедрение АС. Дополнительно пересчитываются в случае масштабирования или переезда АС.
2. Затраты на электричество и охлаждение. Аналогичны косвенным затратам на внедрение АС.
   Дополнительно пересчитываются в случае масштабирования или переезда АС.
3. Затраты на обучение новых пользователей и сотрудников.

Заключение

Получив оценку по каждой статье расходов, вы оцените совокупную стоимость внедрения вашей системы. Этот метод позволит руководителям подразделений безопасности и ИТ точнее определить потребность в финансировании и перевести общение на язык цифр и денег.

Опубликовано в журнале "Системы безопасности" №1/2021