среда, 12 декабря 2012 г.

Как Нефтегаз Украины купил аудит ИБ за ~12 миллионов

   ... естественно, рублей. Тем не менее, с учетом жестких временных рамок - с 01.09.2012 по 31.12.2012 посмотрим что же нужно сделать, и во сколько это обошлось Нефтегазу (читать - Украине):
   Анализ кадровой политики, политики обращения с мобильными носителями информации (хоть там и нет ФСТЭКа, но готов поспорить на деньги, что учитывать флэшки по номерам пытаются) - по хорошему, для квалифицированного аудитора это часов 40 на обе политики, включая обсуждение с менеджментом и выработку заключений. Все равно несоответствий бест практисам будет вагон (организация-то государственная), а рекомендации будут массово урезаться в угоду заказчикам
   Проверка на безопасность телекоммуникационного оборудования - будут смотреть конфиги цисок что ли? Ну тогда пусть часов 100 (цисок там хоть и не так много, зато дочек много, и разного вида твиков сделанных в доисторических времена должно быть "выше крыши")
   Проверка системы безопасности внутренней сети и электронной почты - похоже на white-box pentest, но с тем же успехом может оказаться и комплаенс аудитом на соответствие соответствующим разделам корпоративных политик, либо каким-то экспертным аудитом. В общем, базируясь на физобьемах (в аппарате Нефтегаза по грубым прикидкам сотен 6 ПК, единиц сетевого оборудования наверное до сотни, количество серверов прикинуть сложно, но оно ограничено - Нефтегаз не ведет производственной деятельности, это просто офис на центральной улице Киева). В общем. оценить такой обьем сложно, но допустим это все же white-box pentest, тогда это неделя работы команды экспертов (т.е. 40*5=200)
   Проверска электросети - непонятно что это, заземление проверяют или ПЭМИН-подобные вещи (сиречь прослушку и т.п.)?.. Проигнорируем и посмотрим на итог:
   340 человекочасов обошлось Нефтегазу в ~12 млн рублей, т.е. коммерческая ставка будет ~35 000 рублей за час. Цифра серьезная, но, давайте посчитаем по другому методу (вдруг я ошибся?:)

   Итак, допустим все как обычно - команда из 4-ех человек поступает в распоряжение заказчика на весь срок действия контракта. Т.е. это 4*16 (недель) * 40 (рабочая неделя) = 2560 ч. Ставка уже хуже - ~4 700 рублей, но тоже ничего.

   Однако, раз уже Нефтегазу так нравится аудит (вынесем за рамки какой именно его вид) посмотрим во что ему встанет содержание команды аудиторов круглогодично... Кстати, не забудем что через год внешний аудит придется повторить, данные то устареют..

   Итак, 4 аудитора, для простоты каждому заплатим по 3к$ на руки (это для спеца-безопасника в Киеве просто отличная зарплата), ну там одному 4, трем другим 2,66 - особо разницы нет..
   После всех налогов, доплат, содержания офисов и пр. сумму можно будет смело удваивать на 2 - т.е. 6к (на человека)*4*12(месяцев) = 288к$ = 2,3 млн гривен, что явно на 20% дешевле чем разовый (хоть и длительный) аудит...

   Нет, конечно, можно сказать - Где Вы видели такие коэффициенты? Да только налоги и выплаты в фонды возьмут +100% к сумме на руки, нужно добавлять минимум еще 50%! Признаюсь, тогда арифметика должна чуть ползти... но только до того момента, когда мы вспоминаем, что зарплаты могут быть и меньше;)

   В общем, выводов сформировалось 2:
1) что-то очень дорого обходится Нефтегазу его аудит
2) содержание собственной команды аудиторов (пентестеров) в ряде случаев может быть рентабельным

Комментариев нет:

Отправить комментарий