вторник, 24 июля 2012 г.

СЗПДн. Анализ. Сколько сотрудников необходимо для организации обработки и обеспечения безопасности ПДн (UPD)


Ни  для кого не секрет, что федеральный закон 152-ФЗ “О персональных данных” и подзаконные акты требуют от Оператора ПДн выполнения определенных мероприятий и соответственно накладывают на него дополнительные затраты: приобретение оборудования, оплата услуг консультантов, зарплата дополнительным сотрудникам.

В данной заметке хочу опустить разовые затраты Оператора на разработку первоначального комплекта документов и первоначального внедрения системы защиты персональных данных.

Пусть эти работы уже проведены, внедрена СЗПДн, комплект документов по ПДн в наличие. На этом затраты Оператора связанные с 152-ФЗ закончились?

Нет. В ИСПДн постоянно происходят изменения: появляются новые формы отчетности, появляется необходимость информационного взаимодействия, меняется системное и прикладное ПО, увольняются сотрудники, устраиваются на работу новые, выходит из эксплуатации техника и закупается новая. В связи со всеми изменениями ИСПДн законодательство требует принятия определенных мер.

Уже внедренные средства защиты требуют ещё определенных действий в рамках их эксплуатации и изменениях в ИСПДн.

Если вы планируете начать обрабатывать ПДн или если вы уже обрабатываете ПДн, но до выполнения требований руки дошли только сейчас - удобно иметь под рукой оценку будущих затрат.

Для определенности был взят оператор ПДн имеющий 100 пользователей ПДн и обрабатывающий данные 50000 субъектов ПДн. В расчете сделано предположение, что в рамках эксплуатации ИСПДн оператор не использует аутсорсинг, не поручает обработку, не использует специализированные систему управления ПДн, централизованные системы управления ИБ.
Получаем следующий расчет трудозатрат в год в часах.


Всего получается трудозатрат в год = 5670 часов или 5670/1920 = 2.95 ~= 3 сотрудника. То есть в нашем примере получается, что надо нанять дополнительно 3 сотрудников. В деньгах это 60000 (стоимость владения сотрудником в регионах) * 12 * 3 = 2 160 000 руб. в год. И 120000 (стоимость владения сотрудником в Москве) * 12 * 3 = 4 320 000 руб. в год.

Если отметить что трудозатраты на мероприятия 1-24 пропорциональны количеству пользователей ИСПДн, а трудозатраты на мероприятия 25-38 пропорциональны количеству субъектов ПДн получаем примерную формулу для других организаций:

Трудозатраты на выполнение 152-ФЗ при эксплуатации в год = 2260*X + 3410*Y часов (где X = количество пользователей ИСПДн/100,  Y = количество обрабатываемых субъектов ПДн/50000).

Готов рассмотреть предложения и замечания. Если интересует большая детализация расчета для использования в конкретной задаче, пишите в личку с указанием организации и задачи - поделюсь.

UPD. Для реализации "метода Дельфи" необходимо ещё 2 эксперта, которые готовы будут поучаствовать в оценке типовых трудозатрат.

26 комментариев:

Andrey Prozorov комментирует...

Не, что-то вы перемудрили. По моим прикидкам первым раза в 3. Основной посыл: "простые задачи автоматизируем/ передаем на исполнение дешевым исполнителям (например в отдел кадров)" завтра посмотрю подробнее и отпишусь.

Сергей Борисов комментирует...

Готов подробнее рассмотреть по пунктам.

На всякий случай отмечу что речь идет о том объеме работ, который оператор мог не делать раньше, но стал обязан делать после выхода 152-ФЗ и подзаконных актов.

От того что вы распихаете это трудозатраты по разным подразделениям сам факт этих трудозатрат не пропадет.

И при чем сдесь отдел кадров. В примере у нас 50000 субъектов. Это скорее клиенты, абоненты, партнеры, пациенты.

Andrey Prozorov комментирует...

Ну, ок. Теперь длинный комментарий, как обещал.

Общие моменты:

1. Считаю завышенными стоимость работников. Я бы ориентировался на от 15-30 тр. в регионах и 30-60 тр. в Москве. Не имеет смысла брать высококвалифицированного специалиста на такие задачи (т.к. СЗПДн уже вроде как построена). В крайнем случае можете добавить 15-50 тр. на обучение по ПДн + обучение по СЗИ (считать отдельно). Ну уж совсем в крайнем случае раз в 1 год-2 года нанимайте стороннего консултанта, чтобы он дорабатывал документы (100 тр.-1 млнр., это как договоритесь и с кем).

2. В целом считаю и трудозатраты завышенными. Надеюсь, что правильно Вас понял и мы говорим про трудозатраты, а не длительность. По итогам (см. ниже) получилось завышение примерно в 3-3,5 раза

3. В перечне не увидел такой задачи как Аудит (контроль соответствия). Также можете заложить часов 20 на поиск, анализ и подготовку рекомендаций при изменении законодательства :)))

4. Сразу оговорюсь, что это мое личное экспертное мнение. Если вам удасться протолкнуть/обосновать такой бюджет, то вы молодец (если вы работаете в коммерческой организации) или "не молодец" и пост Навального по вам плачет (если работаете в гос.учреждении).

Andrey Prozorov комментирует...

Прикидки по работам:
- 1) я бы рекомендовал это сделать 1 раз, в приказе и перечне лиц прописывать не фамилии, а должности (для высокого уровня зрелости -роли). Необходимость в пофамильном предоставлении доступа минимальна. В крайнем случае раз в 2-3 года пересматривайте, такой точности будет более чем достаточно для compliance. Пока вашу цифру оставляем.
- 2) вполне можно отдать в HR (ну, или рук.подразделений), суть проста. Пусть читают документы и расписываются в журнале. Пока вашу цифру оставляем.
- 3) ок
- 4) допустим ок
- 5) и 6) если уж решили заморачиваться с журналом учета установки СЗИ, то дело ваше. Однако мало вероятно, что будете так часто устанавливать / переустанавливать.
- 7) считаю, что завышено. Оптимизируйте. Обратите внимание, что это вы говорите на 100 СЗИ и только по НСД
- 8), 9), 10), 11), 12), 13) считаю что завышены трудозатраты. Постарайтесь сократить раза в 2, а лучше в 3. Решение: корп.стандарты на конфигурацию, автоматическое обновление и резервное копирование, автоматический сбор и анализ логов, увеличение периодичности процессов управления изменениями и мониторинга, снижение кол-во отчетов
- 14) допустим
- 15), 16), 17) ок
- 18) если сделано 1й раз хорошо и не вносились принципиальные изменения в ИТ-инфраструктуру и требования регуляторов, то вполне можно сократить в 2-5 раз
- 19) вроде как уже частично повторяетесь. Попробуйте понизить уровень детализации и не так часто актуализировать. Сократить в 2-5 раз
- 20) проверка сроков и мест установки - минутное дело (особенно с учетом того, как вы детально собрались вести описание СЗИ), иницация продления сертификатов не такая частая процедура. Итого сократить в 4-10 раз
- 21) не совсем понятно, что будете делать тут (кстати, про метрики эффективности я у вас нигде не нашел)... Или это внутренний аудит? Пока ваши сроки оставляем
- 22) Автоматизируйте и оптимизируйте процедуру. Сократить сроки в 2 раза
- 23) А надо ли отдельно? включите в общий внутренний аудит. Если вы не занимаетесь спецпроверками и/или просто замеров уровня инфосигнала, толщины стен, расстояний до следующих зданий и пр. То следует сократить в 2 раза.
- 24) ну, допустим. Хотя и не уверен, что будете столько времени уделять. но ладно
- 25), 26), 27) опять аналоги у Вас уже были (кажется, что повторяетесь, но ладно). Врядли СИЛЬНО будет система меняться за год. я бы сократил трудозатраты в 2-5 раз
- 28) оптимизируйте процесс. По факту сбор согласия с субъекта для оператора не так сложно, просто дать на подпись еще 1 бумажку... Сократить в 10-20 раз
- 29)-32), 36) в теории может быть, но на практике у вас так много запросов? Сократить в 2-5 раза
- 33) Сделайте шаблон ответов и рассылайте его. Сократиь срок в 5-7 раз
- 34) в теории может быть, но на практике у вас так много запросов? Сократить в 3 раза
- 35) и 37) а это еще не было сделано (вы же построили СЗПДн)? В последующие годы будет заметно ниже (раз 5-10), ну или у вас плохо построена процесс получения согласия (это для 35). Сейчас пока вашу цифру оставляем
- 38) процесс не эффективен. Сократите в 3-4 раза




Итого, запрашиваемые трудозатраты я считаю что можно сократить ~на 4000 часов (я не поленился посчитать, однако это примерные прикидки), т.е в 3,4 раза меньше Ваше прикидки. А это значит, что 1го человека вполне дростаточно. Но да, нужен выделенный человек, навесить эти задачи на существующих сотрудников будет сложно...

Andrey Prozorov комментирует...

Прикидки по работам:
- 1) я бы рекомендовал это сделать 1 раз, в приказе и перечне лиц прописывать не фамилии, а должности (для высокого уровня зрелости -роли). Необходимость в пофамильном предоставлении доступа минимальна. В крайнем случае раз в 2-3 года пересматривайте, такой точности будет более чем достаточно для compliance. Пока вашу цифру оставляем.
- 2) вполне можно отдать в HR (ну, или рук.подразделений), суть проста. Пусть читают документы и расписываются в журнале. Пока вашу цифру оставляем.
- 3) ок
- 4) допустим ок
- 5) и 6) если уж решили заморачиваться с журналом учета установки СЗИ, то дело ваше. Однако мало вероятно, что будете так часто устанавливать / переустанавливать.
- 7) считаю, что завышено. Оптимизируйте. Обратите внимание, что это вы говорите на 100 СЗИ и только по НСД
- 8), 9), 10), 11), 12), 13) считаю что завышены трудозатраты. Постарайтесь сократить раза в 2, а лучше в 3. Решение: корп.стандарты на конфигурацию, автоматическое обновление и резервное копирование, автоматический сбор и анализ логов, увеличение периодичности процессов управления изменениями и мониторинга, снижение кол-во отчетов
- 14) допустим
- 15), 16), 17) ок
- 18) если сделано 1й раз хорошо и не вносились принципиальные изменения в ИТ-инфраструктуру и требования регуляторов, то вполне можно сократить в 2-5 раз
- 19) вроде как уже частично повторяетесь. Попробуйте понизить уровень детализации и не так часто актуализировать. Сократить в 2-5 раз
- 20) проверка сроков и мест установки - минутное дело (особенно с учетом того, как вы детально собрались вести описание СЗИ), иницация продления сертификатов не такая частая процедура. Итого сократить в 4-10 раз
- 21) не совсем понятно, что будете делать тут (кстати, про метрики эффективности я у вас нигде не нашел)... Или это внутренний аудит? Пока ваши сроки оставляем
- 22) Автоматизируйте и оптимизируйте процедуру. Сократить сроки в 2 раза
- 23) А надо ли отдельно? включите в общий внутренний аудит. Если вы не занимаетесь спецпроверками и/или просто замеров уровня инфосигнала, толщины стен, расстояний до следующих зданий и пр. То следует сократить в 2 раза.
- 24) ну, допустим. Хотя и не уверен, что будете столько времени уделять. но ладно
- 25), 26), 27) опять аналоги у Вас уже были (кажется, что повторяетесь, но ладно). Врядли СИЛЬНО будет система меняться за год. я бы сократил трудозатраты в 2-5 раз
- 28) оптимизируйте процесс. По факту сбор согласия с субъекта для оператора не так сложно, просто дать на подпись еще 1 бумажку... Сократить в 10-20 раз
- 29)-32), 36) в теории может быть, но на практике у вас так много запросов? Сократить в 2-5 раза
- 33) Сделайте шаблон ответов и рассылайте его. Сократиь срок в 5-7 раз
- 34) в теории может быть, но на практике у вас так много запросов? Сократить в 3 раза
- 35) и 37) а это еще не было сделано (вы же построили СЗПДн)? В последующие годы будет заметно ниже (раз 5-10), ну или у вас плохо построена процесс получения согласия (это для 35). Сейчас пока вашу цифру оставляем
- 38) процесс не эффективен. Сократите в 3-4 раза




Итого, запрашиваемые трудозатраты я считаю что можно сократить ~на 4000 часов (я не поленился посчитать, однако это примерные прикидки), т.е в 3,4 раза меньше Ваше прикидки. А это значит, что 1го человека вполне дростаточно. Но да, нужен выделенный человек, навесить эти задачи на существующих сотрудников будет сложно...

Andrey Prozorov комментирует...

блин, что-то не идет 2я часть

Andrey Prozorov комментирует...

Прикидки по работам:
- 1) я бы рекомендовал это сделать 1 раз, в приказе и перечне лиц прописывать не фамилии, а должности (для высокого уровня зрелости -роли). Необходимость в пофамильном предоставлении доступа минимальна. В крайнем случае раз в 2-3 года пересматривайте, такой точности будет более чем достаточно для compliance. Пока вашу цифру оставляем.
- 2) вполне можно отдать в HR (ну, или рук.подразделений), суть проста. Пусть читают документы и расписываются в журнале. Пока вашу цифру оставляем.
- 3) ок
- 4) допустим ок
- 5) и 6) если уж решили заморачиваться с журналом учета установки СЗИ, то дело ваше. Однако мало вероятно, что будете так часто устанавливать / переустанавливать.
- 7) считаю, что завышено. Оптимизируйте. Обратите внимание, что это вы говорите на 100 СЗИ и только по НСД
- 8), 9), 10), 11), 12), 13) считаю что завышены трудозатраты. Постарайтесь сократить раза в 2, а лучше в 3. Решение: корп.стандарты на конфигурацию, автоматическое обновление и резервное копирование, автоматический сбор и анализ логов, увеличение периодичности процессов управления изменениями и мониторинга, снижение кол-во отчетов
- 14) допустим
- 15), 16), 17) ок
- 18) если сделано 1й раз хорошо и не вносились принципиальные изменения в ИТ-инфраструктуру и требования регуляторов, то вполне можно сократить в 2-5 раз
- 19) вроде как уже частично повторяетесь. Попробуйте понизить уровень детализации и не так часто актуализировать. Сократить в 2-5 раз
- 20) проверка сроков и мест установки - минутное дело (особенно с учетом того, как вы детально собрались вести описание СЗИ), иницация продления сертификатов не такая частая процедура. Итого сократить в 4-10 раз

Andrey Prozorov комментирует...

- 21) не совсем понятно, что будете делать тут (кстати, про метрики эффективности я у вас нигде не нашел)... Или это внутренний аудит? Пока ваши сроки оставляем
- 22) Автоматизируйте и оптимизируйте процедуру. Сократить сроки в 2 раза
- 23) А надо ли отдельно? включите в общий внутренний аудит. Если вы не занимаетесь спецпроверками и/или просто замеров уровня инфосигнала, толщины стен, расстояний до следующих зданий и пр. То следует сократить в 2 раза.
- 24) ну, допустим. Хотя и не уверен, что будете столько времени уделять. но ладно
- 25), 26), 27) опять аналоги у Вас уже были (кажется, что повторяетесь, но ладно). Врядли СИЛЬНО будет система меняться за год. я бы сократил трудозатраты в 2-5 раз
- 28) оптимизируйте процесс. По факту сбор согласия с субъекта для оператора не так сложно, просто дать на подпись еще 1 бумажку... Сократить в 10-20 раз
- 29)-32), 36) в теории может быть, но на практике у вас так много запросов? Сократить в 2-5 раза
- 33) Сделайте шаблон ответов и рассылайте его. Сократиь срок в 5-7 раз
- 34) в теории может быть, но на практике у вас так много запросов? Сократить в 3 раза
- 35) и 37) а это еще не было сделано (вы же построили СЗПДн)? В последующие годы будет заметно ниже (раз 5-10), ну или у вас плохо построена процесс получения согласия (это для 35). Сейчас пока вашу цифру оставляем
- 38) процесс не эффективен. Сократите в 3-4 раза




Итого, запрашиваемые трудозатраты я считаю что можно сократить ~на 4000 часов (я не поленился посчитать, однако это примерные прикидки), т.е в 3,4 раза меньше Ваше прикидки. А это значит, что 1го человека вполне дростаточно. Но да, нужен выделенный человек, навесить эти задачи на существующих сотрудников будет сложно...

Сергей Борисов комментирует...

Андрей, спасибо за комментарии, отвечаю по-частям.
1. Стоимости работников были взяты в предположении средней месячной зарплаты в регионе 30 тыс. и в Москве 60 тыс.
Как вы наверное знаете стоимость владения сотрудником учитывает отпускные, больничные, налоги, организацию рабочего места.
В среднем месячная стоимость владения сотрудником = месячная зарплата * 2

Да, приведенные мной средние цифры по зарплате актуальны для ИТ и ИБ специалистов.
Например такая статистика http://u.to/ulYvAg

Да - зарплаты у сотрудников работающих с клиентами может быть меньше. Но существенная часть нагрузки по Организации обработки ПДн ложится на какого-то руководителя. Так что в среднем получается такая же картина.

Если и завышеная оценка - то не более чем на 10-15%

Сергей Борисов комментирует...

3. На счет Аудита.
Внутренний контроль в части Защиты ПДн заложен в работе 21.
Внутренний контроль в части Организации обработки ПДн заложен в цифрах по самим работам.

На счет внешнего аудита - есть ли явные требования обязывающие нас его делать?
Даже если есть - расчет стоимости внешнего аудита не входит в данную заметку.

Andrey Prozorov комментирует...

Про ЗП, ок, соглашусь. В целом тогда картина будет примерно такой, хотя я не имею статистики по стоимости владения.

Теперь давайте про трудозатраты)))

Сергей Борисов комментирует...

Детально по работам:
1) Из моей практики общения с Роскомнадзором вывод один - список должен быть поименным. Иначе нарушение п. 12, ж), п. 14 Постановления Правительства РФ от 17 ноября 2007 г №781.

Новые сотрудники у нас приходят не все скопом раз в год. Вариантов нарушения законодательства я не рассматриваю, поэтому начать обработку ПДн сотрудники могут только после допуска на основании списка, утвержденного оператором или уполномоченным лицом (например, приказа)

Сергей Борисов комментирует...

7)Считаем так:
В среднем у нас появляется 20 новых пользователей ИСПДн в год, которых необходимо прописать в СЗИ от НСД и предоставить им необходимый доступ и ограничить в остальном доступе. По 30 минут на пользователя.
это 20*0.5=10 часов в год.

Предполагаем что существенные обновления СЗИ от НСД выходят раз в год и на обновление тратится 15 минут.
100*15/60 = 25 ч.

В соответствии с п. 15 ПП 781, раз в неделю проводим анализ журналов СЗИ от НСД. На анализ журнала каждого средства тратим 2 минуты.
100*12*4*2/60 = 160 ч.

5 раз в год создает отчеты о работе СЗИ. 1 раз в квартал и годовой. По часу = 5 ч.

Итого 200 часов.


Я ещё раз напоминаю что специализированных средств автоматизации и оптимизации ещё не используется (например, SIMS).
Мой расчет как раз пригодится для обоснования необходимости таких средств.

Andrey Prozorov комментирует...

Давайте создавать отчеты и смотреть логи реже)))

Логи раз в месяц или даже раз в квартал, Отчеты раз в пол года или даже раз в год.

Сергей Борисов комментирует...

Если логи смотреть меньше, то придется тратить больше времени на просмотр и анализ каждого лога.

Плюс с течением времени будет трудно определить было ли нарушение.
Вот прошел квартал, Вы стали анализировать логи и обнаружили подозрительную запись. Схватили за шиворот пользователя и давай его спрашивать зачем ходил, что делал?
А он справедливо отвечает, что не помнит.

Andrey Prozorov комментирует...

тут уж каждый решает сам... мой принцип 80/20 ))) Причем 80% - результат, 20% вложенные усилия ,а не наоборот...

p.s. отключите капчу, думаю, что к вам спама лезет мало, а обычным пользователям комментить неудобно.

Сергей Борисов комментирует...

Андрей, меня так-же возмущает большое количество трудозатрат и есть большое количество вариантов оптимизации, которые я хотел рассмотреть в следующих заметках.

В небольших операторах ПДн которые внедряют систему СЗПДн по-минимуму (а таких большинство), а так-же у крупных операторов которые перед проведением оптимизации получаются именно такие большие трудозатраты.

PS: Капчу отключил.

PPS: если есть фактические данные по эксплуатации СЗИ в небольших Операторах, делитесь

Сергей Борисов комментирует...

18) То что мы всё хорошо сделали в самом начале ещё не значит что потом ненадо ничего делать.

У нас есть Модель Угроз (МУ).
Она основывается на неких "исходных данных". В МУ определены случаи когда она должна пересматриваться.

У нас есть описание СЗПДн (например, эскизный проект). В описании зафиксирована некоторая текущая ситуация. Если она меняется - то надо и описание переделывать.

Акт классификации основан на некоторых исходных данных. Если данные меняются, то возможно акт надо менять.

В общем у нас в ИСПДн происходят изменения разной степени важности (в примере, 20 новых АРМ, 2 новых сервера, 5 изменений в приложениях и архитектуре, 5 изменений с составе БД).

Кто-то должен оценивать все изменения (управление изменениями) и принимать решения, требуется ли корректировка уже разработанных документов.

Иначе можно столкнуться с ситуацией, что проверяющие берут МУ или акт, а они не актуальны.

Сергей Борисов комментирует...

Для примера ещё 22)

п. 11, г) ПП 781 требует от нас возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

То есть надо регулярно (или после каждого изменения) делать резервные копии.

Я в расчете использовал следующие цифры:
5 баз с ПДн. еженедельно делается резервное копирование каждой базы, администратор проверяет успешность резервного копирования, заносит данные в журнал и уведомляет заинтересованные подразделения (на это 10 минут)
=12*4*5*10/60=40 ч.

Раз в квартал администратор проводит тестирование - восстанавливает базу из архива на тестовом сервере. 2 часа.
=5*4*2 = 40 ч.

Раз в год администратор восстанавливает реальную систему после сбоя и тратит на это 5 часов.

PS: Андрей, как вы видите у меня все цифры получены в результате некоторых расчетов. То есть моя позиция аргументирована.

Прошу и Вас так-же аргументировать свою позицию, хотя бы по какому-то пункту. Привести ваши расчеты или конкретные данные из жизни:
"организация выполняет такие-то мероприятия и тратит на это столько то ресурсов"

Andrey Prozorov комментирует...

Ну, ок. Давайте попробуем договориться хотя бы по 1му пункту.
Давайте возьмем № 8 про VPN (т.к. громадные трудозатраты и всего 1 VPN). Сейчас у Вас заявлено 408ч, а это значит, что в среднем ЕЖЕДНЕВО админ будет заниматься VPN-ом чуть больше 1,5 часов (я беру 249 рабочих дней 2012 года). Мне эта цифра кажется странной...

Andrey Prozorov комментирует...

Кстати, посмотрите методику "PERT" для оценки трудозатрат проектов. Она мне нравится, я ее использую последние несколько лет. Удобно, качество прогнозов повышается.

Для сложных вопрогнозов мы с Вами можем попробовать "Метод Делфи", тоже могут получиться более точные результаты, только тут наших 2х мнений мало, надо еще экспертных мнений для этого метода.

Посмотрите, может и Вам они пригодятся.

Сергей Борисов комментирует...

8) VPN
У меня расчет был такой.
VPN используется постоянно - трафик до удаленного подразделения + 20 клиентов.
Ответственный за VPN совмещает обязанности как администратора VPN так и оператора VPN.
Как у оператора у него на одном из мониторов постоянно запущено окно мониторинга состояния VPN - он отслеживает работоспособность устройства, наличие ошибок в подключениях и параллельно просматривает и анализирует журналы подключений.
Тратит на это 1 час в день. Итого 250 ч. в год.

Раз в 2 недели он как администратор выполняет изменения конфигурации криптошлюза (меняется адресация сетей, добавляются новые маршруты, публикуются новые сервисы). Криптошлюз не из самых простых, администратору приходится регулярно обращатся к документации, техподдержке производителя. После каждого изменения конфигурации - делаем резервное копирование. В среднем на одну существенную переконфигурацию тратится 6 часов.
12*2*6=144 ч.

Раз в год выполняем обновление и замену ключей. 4 ч.

Раз в квартал и раз в год - отчеты о работе по 2 ч. = 10 ч.

Сергей Борисов комментирует...

Для PERT есть какое-то ПО (желательно бесплатное) чтобы можно было протестировать удобство?
Но боюсь и там от экспертной оценки не уйти.

На счет "Метода Делфи" - я только за.
если найдется ещё пара желающих экспертов с богатым опытом, готов буду разослать файлики для оценки.
Потом опубликуем скорректированный вариант расчета.

Andrey Prozorov комментирует...

Да, с Делфи мне идея нравится, готов поучаствовать.

Про PERT: это именно экспертная оценка. А зачем вам ПО? Там же простая формула ((min+max+4*обычное)/6), тут либо в уме считать, либо в exel/

Сергей Борисов комментирует...

на счет PERT
http://ru.wikipedia.org/wiki/PERT

"PERT была разработана главным образом для упрощения планирования на бумаге и составления графиков больших и сложных проектов. PERT предназначена для очень масштабных, единовременных, сложных, нерутинных проектов. Техника подразумевала наличие неопределённости, давая возможность разработать рабочий график проекта без точного знания деталей и необходимого времени для всех его составляющих.

Самой популярной частью PERT является Метод критического пути, опирающийся на построение сетевого графика
(сетевой диаграммы PERT)."

Просто не вижу как мне это поможет.
Я то считаю наоборот рутинные повторяющиеся операции.

Andrey Prozorov комментирует...

Дык считайте.

Вот простой пример: берем, например, тот же самый VPN (его обслуживание)

min в год: 2ч (ну, если совсем ни чего не менять и пару раз проверить);

max в год: 560ч (если совсем будет все плохо... на самом деле я бы взял намного меньше, но уважительно отношусь к вашей предварительной оценке)

обычное: 120ч (мой прогноз, его можно уточнить спросив у экспертов "как оно обычно бывает?")


PERT = 174ч