Как рассчитать стоимость владения решением для защиты от целевых атак на 5 лет?

Проблема: Невозможно точно спрогнозировать бюджет на 5 лет без разложения capex/opex по компонентам системы защиты от APT (EDR, NTA, песочница, SOAR, SIEM). Итоговая стоимость всегда превышает initial license, если не учтены скрытые расходы.

Причины:
1. Инфраструктура — железо/виртуализация под SIEM (хранение логов 365+ дней) и песочницу (multi-OS VM). В РФ — требования к сертификации ФСТЭК (доп. 20-40% к стоимости железа).
2. Вендор-лок — ежегодное продление подписки (20-30% от стоимости лицензии). Рост цены на 10-15% годовых (курс валют, импортозамещение).
3. Персонал — FTE (1-2 инженера на обслуживание) + сертификация (CISSP, SANS FOR5xx). Ошибка: считают только ПО, забывают зарплату SOC (300-500k ₽/мес на аналитика).
4. Обновление правил/контента — платные фиды TI (MISP, Intergard), стоимость обновления сигнатур (если не OpenSource).
5. Аутсорс — MSSP (Managed Security Service Provider) обойдется в 2-3x от стоимости лицензии за 5 лет.

Решение (формула TCO на 5 лет):

TCO₅ = (Лицензия × 1.2) + (Инфраструктура × 2) + (Поддержка × 5) + (Персонал × 5) + (Обучение + Аудит).

Где:
- Лицензия — стоимость EDR/NTA/Sandbox (включите NGFW и продление на 5 лет). Пример: Kaspersky Anti-APT — 2.5 млн ₽/год на 500 хостов → 12.5 млн за 5 лет.
- Инфраструктура (однократно) — серверы (Dell R750, HPE Synergy) + СХД (NetApp/IBM) + лицензии VMWare/Hyper-V. На SIEM под 500 хостов: ≈ 4-6 млн ₽.
- Поддержка — ежегодно (включена в лицензию у российских вендоров? Уточнить).
- Персонал — 1 L3-аналитик (200k ₽/мес) = 2.4 млн ₽/год → 12 млн за 5 лет.
- Обучение — сертификация PT (ASTRA/OSCP) ≈ 400k ₽/чел, раз в 2 года.

Пример расчета (в рублях) для 500 хостов, 5 лет:
1. Лицензии (Kaspersky Anti-APT + KATA) = 12.5 млн
2. Инфраструктура = 5 млн
3. Поддержка (включена в лицензию — 0, иначе +15% ежегодно)
4. Персонал = 12 млн (1 FTE)
5. Обучение + сертификация = 1.2 млн
Итого: ~30.7 млн ₽ (без учета амортизации и риска утечки данных).

Важно: Указать в бюджете резерв на миграцию (импортозамещение) — +25% к инфраструктуре. Проверить, не требует ли ФСТЭК сертифицированную криптографию (КриптоПро) — добавить 1.5 млн на 5 лет.