Investují do různých technologií počítačové bezpečnosti – od platforem pro vyplácení bonusů za odhalování zranitelností v programech až po diagnostiku a automatizované testování programů. Nejvíce je ale lákají autentizace a technologie správy informací o identitě – do startupů zabývajících se těmito technologiemi bylo na konci roku 2019 investováno asi 900 milionů dolarů.

Investice do startupů zaměřených na školení v oblasti kybernetické bezpečnosti dosáhly v roce 2019 418 milionů dolarů v čele s KnowBe4, který získal 300 milionů dolarů. Startup nabízí platformu pro simulaci phishingových útoků a řadu školicích programů.

V roce 2019 obdržely společnosti zapojené do zabezpečení internetu věcí zhruba 412 milionů dolarů. Lídrem v této kategorii z hlediska objemu investic je SentinelOne, který v roce 2019 získal 120 milionů dolarů na vývoj technologií ochrany koncových bodů.

Analytici Metacurity zároveň poskytují další údaje charakterizující situaci na trhu rizikového financování v sektoru informační bezpečnosti. V roce 2019 zde objem investic dosáhl 6,57 miliardy USD, což je nárůst z 3,88 miliardy USD v roce 2018. Zvýšil se i počet transakcí - ze 133 na 219. Průměrný objem investic na jednu transakci přitom zůstal prakticky nezměněn a na konci roku 2019 činil 29,2 milionu podle výpočtu Metacurity.

2018

Růst o 9 % na 37 miliard dolarů – Canalys

V roce 2018 prodej vybavení, software a služby určené pro informační bezpečnost (IS) dosáhly 37 miliard USD, což je o 9 % více než před rokem (34 miliard USD). Taková data zveřejnili analytici Canalys 28. března 2019.

Přestože mnoho společností upřednostňuje ochranu svých aktiv, dat, koncových bodů, sítí, zaměstnanců a zákazníků, kybernetická bezpečnost představovala v roce 2018 pouze 2 % celkových výdajů na IT. Objevuje se však stále více nových hrozeb, stávají se komplexnějšími a častějšími, což poskytuje výrobcům řešení informační bezpečnosti nové možnosti růstu. Očekává se, že celkové výdaje na kybernetickou bezpečnost v roce 2020 překročí 42 miliard dolarů.

Analytik společnosti Canalys Matthew Ball věří, že přechod na nové modely implementace informační bezpečnosti se urychlí. Zákazníci mění povahu svých IT rozpočtů používáním veřejných cloudových služeb a flexibilních služeb založených na předplatném.

Přibližně 82 % nasazení informační bezpečnosti v roce 2018 zahrnovalo použití tradičního hardwaru a softwaru. Ve zbývajících 18 % případů byla využita virtualizace, veřejné cloudy a služby informační bezpečnosti.

Do roku 2020 klesne podíl tradičních modelů pro nasazení systémů informační bezpečnosti na 70 %, protože nová řešení na trhu získávají na popularitě.

Dodavatelé budou muset vytvořit širokou škálu obchodních modelů na podporu tohoto přechodu, protože různé produkty se hodí k různým odlišné typy nasazení. Hlavní výzvou pro mnohé je dnes vytvořit nové modely více zaměřené na přidružené kanály a integrovat je se stávajícími affiliate programy, zejména se zákaznickými transakcemi prostřednictvím cloudových platforem. Některá cloudová tržiště na to již zareagovala tím, že umožnila partnerům nabízet přizpůsobené nabídky a ceny přímo zákazníkům sledováním registrací nabídek a slev, uvedl Matthew Ball v příspěvku z 29. března 2019.

Podle analytika Canalys Ketaki Borade zavedli přední dodavatelé technologií pro kybernetickou bezpečnost nové modely distribuce produktů, které zahrnují společnosti přechod na model předplatného a zvýšení provozu v cloudové infrastruktuře.

Trh s kybernetickou bezpečností zůstal vysoce dynamický a zaznamenal rekordní aktivitu a objem obchodů v reakci na rostoucí regulační a regulační opatření technické požadavky, stejně jako pokračující rozšířené riziko narušení dat, říká spoluzakladatel a řídící partner Momentum Cyber ​​​​Eric McAlpine. „Věříme, že tato dynamika bude i nadále tlačit sektor do nových oblastí, protože se snaží řešit vznikající hrozby a konsoliduje se tváří v tvář únavě dodavatelů a rostoucímu nedostatku dovedností.“

2017

Náklady na kybernetickou bezpečnost přesáhly 100 miliard dolarů

V roce 2017 dosáhly globální výdaje na informační bezpečnost (IS) – produkty a služby – 101,5 miliardy dolarů, uvedla v polovině srpna 2018 výzkumná společnost Gartner. Na konci roku 2017 odborníci odhadovali tento trh na 89,13 miliard USD. Není uvedeno, co způsobilo výrazné zvýšení ocenění.

CISO chtějí svým organizacím pomoci bezpečně používat technologické platformy, aby se staly konkurenceschopnějšími a podporovaly růst podnikání, říká Siddharth Deshpande, ředitel výzkumu ve společnosti Gartner. - Pokračující nedostatek dovedností a regulační změny, jako je obecné nařízení o ochraně osobních údajů (GDPR) v Evropě, pohánějí další růst na trhu služeb kybernetické bezpečnosti.

Odborníci se domnívají, že jedním z klíčových faktorů přispívajících ke zvýšení nákladů na informační bezpečnost je zavádění nových metod detekce a reakce na hrozby, které se v roce 2018 staly nejvyšší bezpečnostní prioritou organizací.

Podle odhadů společnosti Gartner přesáhly v roce 2017 organizace vynaložené na služby kybernetické ochrany globálně 52,3 miliardy dolarů, v roce 2018 tyto náklady vzrostou na 58,9 miliardy dolarů.

V roce 2017 utratily společnosti 2,4 miliardy dolarů na ochranu aplikací, 2,6 miliardy dolarů na ochranu dat, cloudové služby- 185 milionů dolarů

Roční tržby za řešení pro správu identit a přístupu (Identity And Access Management) se rovnaly 8,8 mld. Prodeje nástrojů pro ochranu IT infrastruktury vzrostly na 12,6 mld. USD.

Studie také poukazuje na 10,9 miliardy dolarů ve výdajích na zařízení používaná k zabezpečení sítě. Jejich výrobci vydělali 3,9 miliardy dolarů na systémech řízení rizik informační bezpečnosti.

Spotřebitelské výdaje na kybernetickou bezpečnost za rok 2017 odhadují analytici podle studie Gartner na 5,9 miliardy dolarů.

Gartner odhadl velikost trhu na 89,13 miliardy dolarů

V prosinci 2017 bylo známo, že globální firemní výdaje na informační bezpečnost (IS) v roce 2017 dosáhnou 89,13 miliard USD.Výdaje společností na kybernetickou bezpečnost podle společnosti Gartner překročí částku z roku 2016 ve výši 82,2 miliard USD o téměř 7 miliard USD.

Odborníci považují služby informační bezpečnosti za největší výdajovou položku: v roce 2017 společnosti na tyto účely vyčlení přes 53 miliard USD oproti 48,8 miliardám USD v roce 2016. Druhým největším segmentem trhu informační bezpečnosti jsou řešení ochrany infrastruktury, jejichž náklady v roce 2017 dosáhnou 16,2 miliardy dolarů namísto 15,2 miliardy dolarů před rokem. Zařízení pro zabezpečení sítě je na třetím místě (10,93 miliardy dolarů).

Struktura nákladů na informační bezpečnost zahrnuje také spotřební software pro informační bezpečnost a systémy identifikace a řízení přístupu (Identity and Access Management, IAM). Gartner odhaduje náklady v těchto oblastech v roce 2017 na 4,64 miliardy USD a 4,3 miliardy USD, zatímco v roce 2016 byly tyto údaje na 4,57 miliardy USD a 3,9 miliardy USD.

Analytici očekávají další růst na trhu informační bezpečnosti: v roce 2018 organizace zvýší výdaje na kybernetickou ochranu o dalších 8 % a vyčlení na tyto účely celkem 96,3 miliard USD. povědomí o nových hrozbách a zaměření společností na digitální obchodní strategii.

Obecně platí, že výdaje na kybernetickou bezpečnost jsou z velké části řízeny reakcí společností na incidenty v oblasti informační bezpečnosti, protože počet vysoce profilovaných kybernetických útoků a úniků informací postihujících organizace po celém světě roste, říká Ruggero Contu, ředitel výzkumu společnosti Gartner, komentující prognózu. .

Slova analytika potvrzují i ​​data získaná společností Gartner v roce 2016 během průzkumu zahrnujícího 512 organizací z osmi zemí: Austrálie, Kanady, Francie, Německa, Indie, Singapuru a USA.

53 % respondentů označilo rizika kybernetické bezpečnosti za hlavní hnací sílu zvýšených výdajů na kybernetickou bezpečnost. Z tohoto počtu nejvyšší procento respondentů uvedlo, že hrozba kybernetických útoků nejvíce ovlivňuje rozhodování o výdajích na informační bezpečnost.

Prognóza Gartneru na rok 2018 volá po zvýšení výdajů ve všech hlavních oblastech. Na služby kybernetické ochrany bude tedy vynaloženo přibližně 57,7 miliardy USD (+ 4,65 miliardy USD), na zajištění bezpečnosti infrastruktury bude vynaloženo přibližně 17,5 miliardy USD (+ 1,25 miliardy USD) a 11,67 miliardy USD (+ 735 milionů USD) na spotřební software – 4,74 miliardy USD ( +109 milionů $) a pro systémy IAM - 4,69 miliardy $ (+416 milionů $).

Analytici se také domnívají, že do roku 2020 bude více než 60 % organizací na světě současně investovat do několika nástrojů na ochranu dat, včetně nástrojů prevence ztráty informací, šifrování a auditu. Ke konci roku 2017 byl podíl společností nakupujících taková řešení odhadován na 35 %.

Další významnou položkou firemních výdajů na informační bezpečnost bude zapojení specialistů třetích stran. Očekává se, že na pozadí nedostatku personálu v oblasti kybernetické bezpečnosti, rostoucí technické složitosti systémů informační bezpečnosti a zvyšujících se kybernetických hrozeb se náklady společnosti na outsourcing informační bezpečnosti v roce 2018 zvýší o 11 % a budou činit 18,5 miliardy USD. .

Gartner odhaduje, že do roku 2019 budou firemní výdaje na externí odborníky na kybernetickou bezpečnost činit 75 % celkových výdajů na software a hardware v oblasti kybernetické bezpečnosti, oproti 63 % v roce 2016.

IDC předpovídá velikost trhu na 82 miliard dolarů

Dvě třetiny nákladů budou pocházet od velkých a velmi velkých společností. velký byznys. Do roku 2019 podle analytiků IDC překročí náklady korporací s více než 1000 zaměstnanci hranici 50 miliard dolarů.

2016: Objem trhu 73,7 miliard USD, růst 2krát větší než trh IT

V říjnu 2016 představila analytická společnost IDC stručné výsledky studie globálního trhu informační bezpečnosti. Očekává se, že její růst bude dvojnásobný oproti trhu IT.

IDC vypočítalo, že celosvětové prodeje zařízení, softwaru a služeb pro kybernetickou ochranu dosáhnou v roce 2016 přibližně 73,7 miliardy USD a v roce 2020 toto číslo přesáhne 100 miliard USD, což bude činit 101,6 miliardy USD. V období od roku 2016 do roku 2020 trh informační bezpečnosti technologie poroste průměrným tempem 8,3 % ročně, což je dvojnásobek očekávaného tempa růstu IT průmyslu.

Největší výdaje na bezpečnost informací (8,6 miliardy USD) na konci roku 2016 se očekávají v bankách. Na druhém, třetím a čtvrtém místě z hlediska velikosti těchto investic budou diskrétní výrobní podniky, vládní agentury a podniky kontinuální výroby, které budou tvořit asi 37 % nákladů.

Analytici vedou v dynamice rostoucích investic do informační bezpečnosti do zdravotnictví (v letech 2016–2020 se očekává průměrný roční růst 10,3 %). Náklady na kybernetickou ochranu v sektoru telekomunikací, bydlení, vládních agentur a na trhu investic a cenných papírů porostou přibližně o 9 % ročně.

Za největší trh informační bezpečnosti vědci označují americký trh, jehož objem dosáhne v roce 2016 31,5 miliardy dolarů. Mezi první tři bude patřit také západní Evropa a asijsko-pacifický region (bez Japonska). V krátké verzi studie IDC nejsou žádné informace o ruském trhu.

výkonný ředitel ruské společnosti Security Monitor Dmitrij Gvozděv předpovídá zvýšení podílu služeb na celkových ruských bezpečnostních výdajích z 30-35 % na 40-45 % a dále předpovídá vývoj klientské struktury trhu - z celkové převahy vládního, finančního a energetického sektoru směrem ke středním podnikům z širšího spektra odvětví.

Jedním z trendů by měl být vývoj podílu domácích softwarových produktů v souvislosti s otázkami substituce dovozu a zahraničněpolitickou situací. Do jaké míry se to však promítne do finančních ukazatelů, bude do značné míry záviset na kurzu rublu a cenové politice zahraničních prodejců, kteří stále zabírají minimálně polovinu domácího trhu softwarová řešení a až dvě třetiny v segmentu výbavy. Konečný roční finanční výsledek celého ruského trhu řešení pro informační bezpečnost může být také spojen s vnějšími ekonomickými faktory, řekl Gvozdev v rozhovoru s TAdviser.

2015

VELIKOST TRHU

FEDERÁLNÍ VÝDAJE

kybernetický zločin

CENA ZA PORUŠENÍ

FINANČNÍ SLUŽBY

Mezinárodní

BEZPEČNOSTNÍ ANALYTIKY

2013: Trh EMEA vzrostl na 2,5 miliardy USD.

Objem trhu s bezpečnostním vybavením v regionu EMEA (Evropa, Střední východ a Afrika) vzrostl o 2,4 % ve srovnání s rokem 2012 a dosáhl 2,5 miliardy USD Analytici označili multifunkční softwarové a hardwarové systémy pro ochranu za největší a nejrychleji rostoucí segment trhu v úvahu. počítačové sítě– UTM řešení (Sjednocená správa hrozeb). Ve stejné době, IDC předpověděl, že trh technické prostředky informační bezpečnost dosáhne do roku 2018 hodnoty 4,2 miliardy USD s průměrným ročním růstem 5,4 %.

Vedoucí pozici mezi dodavateli z hlediska tržeb z prodeje zařízení pro informační bezpečnost v regionu EMEA zaujal na konci roku 2013 Check Point. Podle IDC tržby prodejce v tomto segmentu za rok 2013 vzrostly o 3,8 % a dosáhly 374,64 milionů USD, což odpovídá podílu na trhu 19,3 %.

2012: Předpověď PAC: Trh informační bezpečnosti poroste o 8 % ročně

Globální trh informační bezpečnosti poroste o 8 % ročně až do roku 2016, kdy by mohl dosáhnout 36 miliard eur, uvedla studie.

Existují dva hlavní přístupy k ospravedlnění nákladů na informační bezpečnost.

Vědecký přístup. K tomu je nutné zapojit vedení společnosti (resp. jejího vlastníka) do hodnocení nákladů na informační zdroje a stanovení hodnocení potenciálních škod z porušení v oblasti informační bezpečnosti.

1. Pokud jsou náklady na informace nízké, neexistují žádné významné hrozby pro informační aktiva společnosti a potenciální škody jsou minimální, zajištění bezpečnosti informací vyžaduje méně finančních prostředků.

2. Pokud mají informace určitou hodnotu, hrozby a potenciální škody jsou významné a definované, pak vyvstává otázka zahrnutí nákladů na subsystém bezpečnosti informací do rozpočtu. V tomto případě je nutné konstruovat podnikový systém ochrana informací.

Praktický přístup spočívá ve stanovení reálných nákladů na podnikový informační bezpečnostní systém založený na podobných systémech v jiných oblastech. Odborníci v oblasti informační bezpečnosti se domnívají, že náklady na systém informační bezpečnosti by měly být přibližně 10-20 % nákladů na podnikové informační systém, v závislosti na konkrétních požadavcích na režim informační bezpečnosti.

Obecně uznávané požadavky na zajištění režimu informační bezpečnosti „best practice“ (založené na praktických zkušenostech), formalizované v řadě norem, např. ISO 17799, jsou v praxi implementovány při vývoji specifických metod hodnocení účinnosti systému bezpečnosti informací.

Využití moderních metod pro odhad nákladů na informační bezpečnost umožňuje vypočítat celou opotřebitelnou část informačních aktiv organizace, včetně přímých a nepřímých nákladů na hardware a software, organizační akce, školení a profesní rozvoj zaměstnanců, reorganizace, restrukturalizace podniku atd.

Jsou nezbytné pro důkaz ekonomická účinnost stávající systémy podnikové ochrany a umožňují vedoucím služeb informační bezpečnosti odůvodnit rozpočet na informační bezpečnost a také prokázat efektivitu práce zaměstnanců příslušné služby. Metody odhadu nákladů používané zahraničními společnostmi umožňují:

Získejte adekvátní informace o úrovni zabezpečení distribuovaného výpočetního prostředí a celkových nákladech na vlastnictví podnikového informačního bezpečnostního systému.

Porovnejte oddělení informační bezpečnosti organizace jak mezi sebou, tak s podobnými odděleními jiných organizací v oboru.

Optimalizujte investice do informační bezpečnosti organizace.

Jednou z nejznámějších metod pro odhad nákladů ve vztahu k systému bezpečnosti informací je metoda celkové náklady na vlastnictví (TCO) společnost Gartner Group Ukazatelem TCO se rozumí součet přímých a nepřímých nákladů na organizaci (reorganizaci), provoz a údržbu systému podnikové informační bezpečnosti v průběhu roku. Používá se téměř ve všech hlavních fázích životní cyklus podnikový informační bezpečnostní systém a umožňuje objektivně a nezávisle zdůvodnit ekonomickou proveditelnost zavedení a použití konkrétních organizačně-technických opatření a prostředků informační bezpečnosti. Pro objektivitu rozhodnutí je také nutné dodatečně zohlednit stav vnějšího a vnitřního prostředí podniku, např. ukazatele technologického, personálního a finančního rozvoje podniku.

Porovnání určitého ukazatele TCO s podobnými ukazateli TCO v odvětví (s podobnými společnostmi) vám umožňuje objektivně a nezávisle zdůvodnit náklady organizace na informační bezpečnost. Ostatně posouzení přímého ekonomického efektu těchto nákladů se často ukazuje jako poměrně obtížné nebo dokonce prakticky nemožné.

Celkové náklady na vlastnictví systému bezpečnosti informací se obecně skládají z nákladů:

projekční práce,

Nákupy a konfigurace nástrojů ochrany softwaru a hardwaru, včetně následujících hlavních skupin: firewally, kryptografické nástroje, antiviry a AAA (nástroje pro ověřování, autorizaci a správu),

náklady na zajištění fyzické bezpečnosti,

školení personálu,

správa a podpora systému (správa zabezpečení),

Audit informační bezpečnosti, - periodická modernizace systému informační bezpečnosti.

Přímé náklady zahrnují jak složky kapitálových nákladů (spojené s dlouhodobým majetkem nebo "majetkem"), tak mzdové náklady, které jsou zahrnuty do kategorií provoz a administrativní řízení. Patří sem také náklady na služby vzdálených uživatelů atd. spojené s podporou činností organizace.

Nepřímé náklady zase odrážejí dopad podnikového informačního systému a subsystému informační bezpečnosti na zaměstnance organizace prostřednictvím takových měřitelných ukazatelů, jako jsou prostoje a zamrzání podnikového informačního systému a informačního systému jako celku, náklady na provoz a podporu (nikoli související s přímými náklady). Velmi často hrají významnou roli nepřímé náklady, protože se obvykle zpočátku neodrážejí v rozpočtu informační bezpečnosti, ale jsou odhaleny později v analýze nákladů.

Výpočet ukazatelů TCO organizace se provádí v následujících oblastech.

Komponenty podnikového informačního systému(včetně systému informační bezpečnosti) a informační činnosti organizace (servery, klientské počítače, periferní zařízení, síťová zařízení).

Náklady na hardware a software pro bezpečnost informací: spotřební materiál a odpisy nestojí ani servery, klientské počítače (stolní počítače a mobilní počítače), periferní zařízení a síťové komponenty.

Náklady na organizaci zabezpečení informací:údržba systémů informační bezpečnosti, standardní prostředky ochrany periferních zařízení, serverů, síťová zařízení, plánování a řízení procesů informační bezpečnosti, vývoj bezpečnostních koncepcí a politik a další.

Náklady na provoz informačního systému témata: přímé náklady na údržbu personálu, náklady na práci a outsourcing prováděný organizací jako celkem nebo službu k implementaci technická podpora a operace pro údržbu infrastruktury pro uživatele.

Správní náklady: přímé osobní náklady, provozní podpora a náklady interních/externích dodavatelů (vendorů) na podporu provozu včetně řízení, financování, pořízení a školení informačních systémů.

Transakční náklady koncového uživatele: Náklady na vlastní podporu koncových uživatelů, formální školení koncových uživatelů, neformální (neformální) školení, vývoj aplikací pro kutily, podpora místního souborového systému.

Náklady na prostoje: Roční ztráty produktivity koncových uživatelů v důsledku plánovaných i neplánovaných výpadků síťových zdrojů, včetně klientských počítačů, sdílených serverů, tiskáren, aplikačních programů, komunikačních zdrojů a komunikačního softwaru.

Jak zdůvodnit náklady na informační bezpečnost?

Přetištěno s laskavým svolením OJSC InfoTex Internet Trust
Zdrojový text je umístěn Tady.

Úrovně vyspělosti společnosti

Gartner Group identifikuje 4 úrovně vyspělosti společnosti z hlediska informační bezpečnosti (IS):

• úroveň 0:
• Nikdo se ve společnosti nezabývá informační bezpečností, vedení společnosti si neuvědomuje důležitost problémů informační bezpečnosti;
• Neexistuje žádné financování;
• IS se zavádí běžné prostředky operační systémy, DBMS a aplikace (ochrana heslem, řízení přístupu ke zdrojům a službám).
• Úroveň 1:
• Informační bezpečnost je managementem považována za čistě „technický“ problém, neexistuje jednotný program (koncepce, politika) pro rozvoj podnikového informačního bezpečnostního systému (ISMS);
• Financování je poskytováno v rámci celkového rozpočtu IT;
• Informační bezpečnost je realizována pomocí prostředků nulové úrovně + Rezervovat kopii, antivirové nástroje, firewally, nástroje pro organizaci VPN (tradiční bezpečnostní nástroje).
• Úroveň 2:
• Informační bezpečnost je managementem považována za komplex organizačních a technických opatření, existuje pochopení významu informační bezpečnosti pro výrobní procesy, existuje managementem schválený program rozvoje podnikového ISMS;
• Informační bezpečnost je implementována nástroji první úrovně + rozšířenými autentizačními nástroji, nástroji pro analýzu e-mailových zpráv a webového obsahu, IDS (systémy detekce narušení), nástroje pro analýzu zabezpečení, SSO (jednotné autentizační nástroje), PKI (infrastruktura) veřejné klíče) a organizační opatření (interní a externí audit, analýza rizik, politika bezpečnosti informací, předpisy, postupy, předpisy a směrnice).
• Úroveň 3:
• Informační bezpečnost je součástí firemní kultury, byl jmenován CISA (senior information security officer);
• Financování je poskytováno v rámci samostatného rozpočtu;
• Informační bezpečnost je realizována prostřednictvím systému řízení bezpečnosti informací druhé úrovně, CSIRT (tým pro reakci na incidenty informační bezpečnosti), SLA (smlouva o úrovni služeb).

Podle Gartner Group (data poskytnuta za rok 2001) je procento společností ve vztahu k popsaným 4 úrovním následující:
Úroveň 0–30 %,
Úroveň 1 – 55 %,
Úroveň 2 – 10 %,
Úroveň 3 – 5 %.

Prognóza Gartner Group na rok 2005 je následující:
Úroveň 0–20 %,
Úroveň 1 – 35 %,
Úroveň 2 – 30 %,
Úroveň 3 – 15 %.

Statistiky ukazují, že většina společností (55 %) má v současné době implementováno minimum potřebná sada tradiční technické prostředky ochrany (1. stupeň).

Při zavádění různých technologií a bezpečnostních opatření často vyvstávají otázky. Co implementovat jako první, systém detekce narušení nebo infrastrukturu PKI? Která bude účinnější? Stephen Ross, ředitel společnosti Deloitte&Touche, navrhuje následující přístup k hodnocení účinnosti jednotlivých opatření a nástrojů informační bezpečnosti.

Na základě výše uvedeného grafu je vidět, že nejdražší a nejméně efektivní jsou specializované nástroje (vlastní nebo na zakázku).

Nejdražší, ale zároveň nejúčinnější jsou ochranné přípravky kategorie 4 (úroveň 2 a 3 dle Gartner Group). Pro implementaci nástrojů v této kategorii je nutné použít postup analýzy rizik. Analýza rizik v tomto případě zajistí, že náklady na implementaci budou adekvátní existujícím hrozbám narušení bezpečnosti informací.

Nejlevnější, avšak s vysokou mírou účinnosti, zahrnují organizační opatření (interní a externí audit, analýza rizik, politika bezpečnosti informací, plán kontinuity podnikání, předpisy, postupy, předpisy a manuály).

Zavedení dodatečných prostředků ochrany (přechod na úroveň 2 a 3) vyžaduje značné finanční investice, a tedy i odůvodnění. Absence jednotného programu rozvoje ISMS schváleného a podepsaného vedením prohlubuje problém oprávněnosti investic do bezpečnosti.

Analýza rizik

Takovým zdůvodněním mohou být výsledky analýzy rizik a statistiky nashromážděné o incidentech. Mechanismy pro provádění analýzy rizik a shromažďování statistik by měly být specifikovány v politice bezpečnosti informací společnosti.

Proces analýzy rizik se skládá ze 6 po sobě jdoucích fází:

1. Identifikace a klasifikace chráněných objektů (firemní zdroje, které mají být chráněny);

3. Sestavení modelu útočníka;

4. Identifikace, klasifikace a analýza hrozeb a zranitelností;

5. Hodnocení rizik;

6. Výběr organizačních opatření a technických prostředků ochrany.

Na jevišti identifikace a klasifikace předmětů ochrany Je nutné provést inventuru zdrojů společnosti v následujících oblastech:

• Informační zdroje (důvěrné a důležité firemní informace);
• Softwarové zdroje (OS, DBMS, kritické aplikace, jako ERP);
• Fyzické zdroje (servery, pracovní stanice, síťová a telekomunikační zařízení);
• Zdroje služeb (e-mail, www atd.).

Kategorizace je určit úroveň důvěrnosti a kritičnosti zdroje. Důvěrnost se týká úrovně utajení informací, které jsou ukládány, zpracovávány a přenášeny zdrojem. Kritičnost je chápána jako míra vlivu zdroje na efektivitu výrobních procesů společnosti (např. v případě výpadku telekomunikačních zdrojů může poskytovatelská společnost zkrachovat). Přiřazením určitých kvalitativních hodnot parametrům důvěrnosti a kritičnosti můžete určit úroveň významnosti každého zdroje z hlediska jeho účasti ve výrobních procesech společnosti.

Chcete-li určit důležitost zdrojů společnosti z hlediska bezpečnosti informací, můžete získat následující tabulku:

Například soubory s informacemi o platové úrovni zaměstnanců společnosti mají hodnotu „přísně důvěrné“ (parametr důvěrnosti) a hodnotu „nevýznamné“ (parametr kritickosti). Dosazením těchto hodnot do tabulky můžete získat integrální ukazatel významu tohoto zdroje. Různé možnosti kategorizačních metod jsou uvedeny v mezinárodní normě ISO TR 13335.

Vytvoření modelu útočníka je proces klasifikace potenciálních narušitelů podle následujících parametrů:

• Typ útočníka (konkurent, klient, vývojář, zaměstnanec společnosti atd.);
• Postavení útočníka ve vztahu k předmětům ochrany (vnitřní, vnější);
• Úroveň znalostí o chráněných objektech a prostředí (vysoká, střední, nízká);
• Úroveň schopnosti přístupu k chráněným objektům (maximum, průměr, minimum);
• Doba působení (neustále, v určitých časových intervalech);
• Místo působení (předpokládaná poloha útočníka během útoku).

Přiřazením kvalitativních hodnot k uvedeným parametrům modelu útočníka lze určit útočníkův potenciál (nedílná charakteristika útočníkových schopností implementovat hrozby).

Identifikace, klasifikace a analýza hrozeb a zranitelností umožňují určit způsoby provádění útoků na chráněné objekty. Zranitelnosti jsou vlastnosti zdroje nebo jeho prostředí, které útočník používá k implementaci hrozeb. Seznam zranitelností softwarových prostředků lze nalézt na internetu.

Hrozby jsou klasifikovány podle následujících kritérií:

• název hrozby;
• typ útočníka;
• prostředky implementace;
• zneužitá zranitelnost;
• přijatá opatření;
• četnost provádění.

Hlavním parametrem je frekvence implementace hrozeb. Záleží na hodnotách parametrů „potenciál útočníka“ a „zabezpečení zdrojů“. Hodnota parametru „zabezpečení zdrojů“ je určena odbornými posudky. Při stanovení hodnoty parametru se berou v úvahu subjektivní parametry útočníka: motivace k implementaci hrozby a statistiky z pokusů o implementaci hrozeb tohoto typu(Pokud je k dispozici). Výsledkem fáze analýzy hrozeb a zranitelnosti je posouzení parametru „frekvence implementace“ pro každou hrozbu.

Na jevišti hodnocení rizik potenciální škody z hrozeb narušení informační bezpečnosti jsou určeny pro každý zdroj nebo skupinu zdrojů.

Kvalitativní ukazatel poškození závisí na dvou parametrech:

• Význam zdroje;
• Četnost implementace hrozby na tomto zdroji.

Na základě získaných posudků škod jsou přiměřeně zvolena adekvátní organizační opatření a technické prostředky ochrany.

Akumulace statistik o incidentech

Jediným slabým místem v navrhované metodice hodnocení rizik a tedy i zdůvodnění potřeby zavádění nových nebo změn stávajících ochranných technologií je stanovení parametru „frekvence výskytu hrozby“. Jediným způsobem, jak získat objektivní hodnoty tohoto parametru, je shromažďování statistik o incidentech. Kumulované statistiky například za rok vám umožní určit počet implementací hrozeb (určitého typu) na zdroj (určitého typu). Je vhodné provést práci na sběru statistik jako součást postupu zpracování incidentů.

Účel studie: analyzovat a určit hlavní trendy na ruském trhu informační bezpečnosti
Byla použita data Rosstat (formuláře statistického výkaznictví č. 3-Inform, P-3, P-4), účetní závěrky podniků atp.

Využití informačních a komunikačních technologií a nástrojů informační bezpečnosti organizacemi

• K přípravě této části byly využity agregované, geograficky oddělené divize a zastoupení (Formulář 3-Inform „Informace o využívání informačních a komunikačních technologií a výrobě počítačová technologie, software a poskytování služeb v těchto oblastech“.

Bylo analyzováno období 2012-2016. Údaje si nečiní nárok na úplnost (protože jsou shromažďovány podle omezený okruh podniky), ale podle našeho názoru je lze použít k posouzení trendů. Počet respondentů se za sledované období pohyboval v rozmezí 200 až 210 tisíc. To znamená, že vzorek je poměrně stabilní a zahrnuje nejpravděpodobnější spotřebitele (velké a střední podniky), kteří tvoří většinu tržeb.

Dostupnost osobních počítačů v organizacích

Podle formuláře statistického výkaznictví 3-Inform bylo v roce 2016 v ruských organizacích asi 12,4 milionu jednotek, které poskytly informace o tomto formuláři. osobní počítače(PC). V tomto případě PC znamená stolní a přenosné počítače, tento pojem nezahrnuje mobilní Mobily a kapesní osobní počítače.

Za posledních 5 let se počet PC jednotek v organizacích v Rusku jako celku zvýšil o 14,9 %. Nejlépe vybaveným federálním distriktem je Central Federal District, který představuje 30,2 % počítačů ve firmách. Nesporně vedoucím regionem tohoto ukazatele je město Moskva, podle údajů za rok 2016 mají moskevské společnosti asi 1,8 milionu počítačů. Nejnižší hodnota ukazatele byla zaznamenána v Severokavkazském federálním distriktu, organizace v okrese mají jen cca 300 tisíc jednotek PC, nejmenší počet je v Ingušské republice - 5,45 tisíce jednotek.

Rýže. 1. Počet osobních počítačů v organizacích, Rusko, milion jednotek.

Organizační náklady na informační a komunikační technologie

V období 2014-2015. Vzhledem k nepříznivé ekonomické situaci byly ruské firmy nuceny minimalizovat své náklady, včetně nákladů na informace a komunikační technologie. V roce 2014 pokles nákladů v ICT sektoru činil 5,7 %, ale na konci roku 2015 došlo k mírnému pozitivnímu trendu. V roce 2016 činily výdaje ruských společností na informační a komunikační technologie 1,25 bilionu. rub., převyšující předkrizový údaj z roku 2013 o 0,3 %.

Většina nákladů připadá na společnosti sídlící v Moskvě – více než 590 miliard rublů, tedy 47,2 % z celkových nákladů. Největší objemy výdajů organizací na informační a komunikační technologie v roce 2016 byly zaznamenány v: Moskevská oblast - 76,6 mld. rublů, Petrohrad - 74,4 mld. rublů, Ťumeňská oblast - 56,0 mld. rublů, Republika Tatarstán – 24,7 mld. rublů, Nižnij Novgorod region – 21,4 miliardy rublů. Nejnižší náklady byly zaznamenány v Ingušské republice – 220,3 milionů rublů.

Rýže. 2. Výše ​​výdajů společností na informační a komunikační technologie, Rusko, miliardy rublů.

Využití nástrojů informační bezpečnosti organizacemi

V Nedávno Lze zaznamenat významný nárůst počtu společností, které používají nástroje ochrany informační bezpečnosti. Roční tempo růstu jejich počtu je poměrně stabilní (s výjimkou roku 2014) a pohybuje se kolem 11-19 % ročně.

Podle oficiálních údajů Rosstatu Nejoblíbenějšími prostředky ochrany jsou v současnosti technické prostředky autentizace uživatele (tokeny, USB klíče, čipové karty). Z více než 157 tisíc firem označilo použití těchto konkrétních nástrojů jako ochranu informací 127 tisíc firem (81 %).

Rýže. 3. Rozdělení organizací pomocí prostředků zajišťujících informační bezpečnost v roce 2016, Rusko, %.

Podle oficiálních statistik využívalo v roce 2016 globální internet ke komerčním účelům 161 421 společností. Mezi organizacemi, které používají internet ke komerčním účelům a uvedly používání opatření k zabezpečení informací, je nejoblíbenější elektronický digitální podpis. Tento nástroj Jako prostředek ochrany uvedlo více než 146 tisíc společností, tedy 91 % z celkového počtu. Podle použití nástrojů informační bezpečnosti byly společnosti rozděleny takto:

• • Elektronické prostředky digitální podpis– 146 887 společností;
  • Pravidelně aktualizováno antivirové programy– 143 095 společností;
  • Software nebo hardware, který brání neoprávněnému přístupu malware z globálních informací nebo lokálních počítačové sítě(Firewall) – 101 373 společností;
  • Spamový filtr – 86 292 společností;
  • Šifrovací nástroje – 86 074 společností;
  • Počítačové nebo síťové systémy detekce narušení – 66 745 společností;
  • Softwarové nástroje pro automatizaci bezpečnostních analýz a kontrolních procesů počítačové systémy– 54 409 firem.

Rýže. 4. Distribuce společností využívajících internet ke komerčním účelům, prostřednictvím ochrany informací přenášených po globálních sítích, v roce 2016, Rusko, %.

V období 2012-2016 vzrostl počet firem využívajících internet ke komerčním účelům o 34,9 %. V roce 2016 využívalo internet ke komunikaci s dodavateli 155 028 společností a 110 421 společností internet ke komunikaci se spotřebiteli. Ze společností, které používají internet ke komunikaci s dodavateli, byl účel použití uveden:

• získávání informací o potřebném zboží (práce, služby) a jeho dodavatelích - 138 224 firem;
• poskytování informací o potřebách organizace na zboží (práce, služby) – 103 977 firem;
• zadávání objednávek zboží (práce, služby) nezbytného pro organizaci (kromě objednávek odeslaných prostřednictvím e-mailem) – 95 207 společností;
• platba za dodané zboží (práce, služby) – 89 279;
• příjem elektronických produktů – 62 940 firem.

Z celkového počtu společností, které používají internet ke komunikaci se spotřebiteli, byl účel použití uveden:

• poskytování informací o organizaci, jejím zboží (práce, služby) - 101 059 firem;
• (práce, služby) (mimo objednávky zaslané emailem) – 44 193 firem;
• implementace elektronických plateb se spotřebiteli – 51 210 společností;
• distribuce elektronických produktů – 12 566 firem;
• poprodejní servis (servis) – 13 580 firem.

Objem a dynamika rozpočtů federálních výkonných orgánů pro informační technologie v letech 2016-2017.

Celkový objem limitů na rozpočtové závazky na rok 2017, sdělený federálním výkonným orgánům (dále jen spolkový výkonný orgán) podle Spolkové státní pokladny, podle kódu druhu výdajů 242 „Nákup zboží, prací, služeb v oboru“ informačních a komunikačních technologií“, pokud jde o informace, které nepředstavují státní tajemství, k 1. srpnu 2017 činily 115,2 miliard rublů, což je přibližně o 5,1 % více než celkový rozpočet na informační technologie federálních výkonných orgánů v roce 2016 (109,6 miliard rublů, podle ministerstva telekomunikací a masových komunikací). Zatímco tedy celkový objem IT rozpočtů federálních resortů rok od roku stále roste, tempo růstu se snížilo (v roce 2016 se celkový objem IT rozpočtů zvýšil o 8,3 % oproti roku 2015). V čem Pokud jde o výdaje na informační a komunikační technologie, narůstá stratifikace mezi „bohatými“ a „chudými“. Nesporným lídrem nejen z hlediska velikosti rozpočtu, ale také z hlediska úspěchů v oblasti IT je Federální daňová služba. Její letošní rozpočet na ICT je více než 17,6 miliard rublů, což je více než 15 % rozpočtu všech federálních výkonných orgánů. Celkový podíl prvních pěti (Federální daňová služba, Penzijní fond Ruské federace, Ministerstvo financí, Ministerstvo vnitra, Ministerstvo telekomunikací a hromadných komunikací) je více než 53 %.

Rýže. 5. Struktura rozpočtových výdajů na nákup zboží, prací a služeb v oblasti informačních a komunikačních technologií federálními výkonnými orgány v roce 2017, %

Legislativní úprava v oblasti pořizování software pro potřeby státu a obcí

Od 1. ledna 2016 budou všechny státní a obecní orgány, státní korporace Rosatom a Roskosmos, řídící orgány státních mimorozpočtových fondů, jakož i státní a rozpočtové instituce provádějící zadávání zakázek v souladu s požadavky federálního zákona ze dne 5. dubna 2013 č. 44 -FZ „O smluvním systému v oblasti zadávání zakázek na zboží, práce, služby pro potřeby státu a obcí“, jsou povinni dodržovat zákaz přijímání softwaru pocházejícího ze zahraničí za účelem nákupu uspokojit potřeby státu a obcí. Zákaz byl zaveden nařízením vlády Ruské federace ze dne 16. listopadu 2015 č. 1236 „o zavedení zákazu přijímání softwaru pocházejícího z cizích zemí za účelem zadávání veřejných zakázek pro potřeby státu a obcí“. Při nákupu softwaru musí výše uvedení zákazníci přímo v oznámení o koupi uvést zákaz nákupu importovaného softwaru. Zákaz se vztahuje na nákup softwaru pro elektroniku počítače a databáze implementované bez ohledu na typ smlouvy na hmotném nosiči a (nebo) v v elektronické podobě prostřednictvím komunikačních kanálů, jakož i výhradní práva k takovému softwaru a práva k použití takového softwaru.

Existuje několik výjimek, kdy je nákup importovaného softwaru zákazníky povolen.

• obstarávání softwaru a (nebo) práv k němu diplomatickými misemi a konzulárními úřady Ruská Federace, obchodní mise Ruské federace při mezinárodních organizacích k zajištění jejich činnosti na území cizího státu;
• obstarávání softwaru a (nebo) práv k němu, informace o kterých a (nebo) jejichž nákup představuje státní tajemství.

Ve všech ostatních případech bude zákazník muset před zakoupením softwaru pracovat s jedním registrem Ruské programy pro elektronické počítače a databáze a klasifikátor programů pro elektronické počítače a databáze.
Vytvoření a vedení registru jako oprávněného federálního výkonného orgánu provádí Ministerstvo telekomunikací a masových komunikací Ruska.
Ke konci srpna 2017 registr obsahoval 343 softwarových produktů patřících do třídy „nástrojů pro bezpečnost informací“ od 98 ruských vývojových společností. Mezi nimi jsou softwarové produkty od takových velkých ruských vývojářů, jako jsou:

• OJSC „Informační technologie a komunikační systémy“ („InfoTeKS“) – 37 softwarových produktů;
• JSC Kaspersky Lab - 25 softwarových produktů;
• Security Code LLC - 19 softwarových produktů;
• Crypto-Pro LLC - 18 softwarových produktů;
• Doctor WEB LLC - 12 softwarových produktů;
• S-Terra CSP LLC - 12 softwarových produktů;
• CJSC "Aladdin R.D." — 8 softwarových produktů;
• JSC "Infowatch" - 6 softwarových produktů.

Analýza činnosti největších hráčů v oblasti informační bezpečnosti

• Jako základní informace pro analýzu činnosti největších hráčů na trhu informační bezpečnosti pro přípravu tato studie byly využity informace o zadávání veřejných zakázek v oblasti informačních a komunikačních činností a zejména informační bezpečnosti.

Pro analýzu trendů jsme vybrali 18 společností, které patří mezi lídry na trhu informační bezpečnosti a aktivně se zabývají státními zakázkami. Na seznamu jsou jak přímí vývojáři softwaru a hardwarových a softwarových bezpečnostních systémů, tak i ti největší systémových integrátorů. Celkové příjmy těchto společností v roce 2016 činily 162,3 miliardy rublů, což překonalo hodnotu z roku 2015 o 8,7 %.
Níže je uveden seznam společností vybraných pro studii.

Stůl 1. Společnosti vybrané pro studii

№	název	CÍN	Typ činnosti (OKVED 2014)
1	"I-Teco" JSC	7736227885	Činnosti spojené s využíváním výpočetní techniky a informační technologie, ostatní (62,09)
2	Croc Incorporated, JSC	7701004101
3	"Informzashita", CJSC NIP	7702148410	Výzkum a vývoj v oblasti společenských a humanitních věd (72,20)
4	"Softline Trade", JSC	7736227885
5	"Technoserv AS", LLC	7722286471	Velkoobchod s ostatními stroji a zařízeními (46.69)
6	"Elvis-plus", JSC	7735003794
7	"Asteros" JSC	7721163646	Velkoobchod s počítači, příslušenství k počítačům a softwaru (46.51
8	"Aquarius Production Company", LLC	7701256405
9	Lanit, CJSC	7727004113	Velkoobchod s ostatními kancelářskými stroji a vybavením (46.66)
10	Jet Infosystems, JSC	7729058675	Velkoobchod s počítači, periferními zařízeními pro počítače a softwarem (46.51)
11	"Dialognauka", JSC	7701102564	Vývoj počítačového softwaru (62.01)
12	"Factor-TS", LLC	7716032944	Výroba počítačů a periferních zařízení (26.20)
13	"InfoTeKS", JSC	7710013769	Vývoj počítačového softwaru (62.01)
14	"Uralské centrum pro bezpečnostní systémy", LLC	6672235068	Činnosti v oblasti architektury, inženýrství a technického poradenství v těchto oblastech (71.1)
15	"ICL-KPO VS", JSC	1660014361	Vývoj počítačového softwaru (62.01)
16	NVision Group, JSC	7703282175	Nespecializovaný velkoobchod (46,90)
17	"Důvěrná integrace", LLC	7811512250	Zpracování dat, poskytování hostingových služeb a související činnosti (63.11)
18	"Kaluga Astral", JSC	4029017981	Poradenská činnost a práce v oblasti výpočetní techniky (62.02

Ke konci října 2017 uzavřely společnosti z prezentovaného vzorku 1 034 smluv se státními úřady v hodnotě 24,6 miliardy rublů. Vedení dovnitř tento seznam z hlediska objemu uzavřených kontraktů má společnost I-Teco 74 kontraktů v hodnotě 7,5 miliardy rublů.
V posledních letech, s výjimkou krizového roku 2014, lze zaznamenat neustálý nárůst celkového objemu zakázek pro vybrané společnosti. Nejvýraznější dynamika nastala v období 2015-2016. V roce 2015 tak došlo k nárůstu objemu zakázek více než 3,5krát, v roce 2016 - 1,5krát. Podle dostupných údajů o smluvní činnosti společností za období leden-říjen 2017 lze předpokládat, že v roce 2017 bude celkový objem smluv s vládními úřady činit cca 37-38 miliard rublů, tedy pokles o cca 40 % se očekává.

Jak již bylo uvedeno, bezpečnost podniku je zajištěna souborem opatření ve všech fázích jeho životního cyklu, jeho informačním systémem a obecně se skládá z nákladů:

• - projekční práce;
• - pořízení a konfigurace nástrojů ochrany softwaru a hardwaru;
• - náklady na zajištění fyzické bezpečnosti;
• - školení personálu;
• - správa a podpora systému;
• - audit bezpečnosti informací;
• - periodická modernizace systému informační bezpečnosti atd.

Nákladovým ukazatelem ekonomické efektivnosti integrovaného systému informační bezpečnosti bude součet přímých a nepřímých nákladů na organizaci, provoz a údržbu systému informační bezpečnosti v průběhu celého roku.

Lze jej považovat za klíčový kvantitativní ukazatel efektivnosti organizace informační bezpečnosti v podniku, neboť umožní nejen odhadnout celkové náklady na ochranu, ale řídit tyto náklady tak, aby bylo dosaženo požadované úrovně podnikové bezpečnosti. Přímé náklady však zahrnují jak složky kapitálových nákladů, tak mzdové náklady, které jsou zahrnuty do kategorií operací a administrativního řízení. Patří sem také náklady na služby vzdálených uživatelů atd. spojené s podporou činností organizace.

Nepřímé náklady zase odrážejí dopad integrovaného bezpečnostního systému a subsystému informační bezpečnosti na zaměstnance prostřednictvím takových měřitelných ukazatelů, jako jsou prostoje a zamrzání podnikového informačního bezpečnostního systému a integrovaného bezpečnostního systému jako celku, náklady na provoz a podporu.

Velmi často hrají významnou roli nepřímé náklady, protože se obvykle zpočátku nepromítají do rozpočtu na komplexní bezpečnostní systém, ale jsou explicitně odhaleny při analýze nákladů později, což v konečném důsledku vede ke zvýšení „skrytých“ nákladů společnosti. Podívejme se, jak můžete určit přímé a nepřímé náklady na komplexní bezpečnostní systém. Předpokládejme, že vedení podniku pracuje na implementaci komplexního systému zabezpečení informací v podniku. Byly již identifikovány předměty a cíle ochrany, hrozby pro informační bezpečnost a opatření proti nim, byly zakoupeny a instalovány potřebné prostředky ochrany informací.

Náklady na informační bezpečnost obvykle spadají do následujících kategorií:

• - náklady na vytvoření a údržbu propojení systému řízení informační bezpečnosti;
• - náklady na kontrolu, tj. na stanovení a potvrzení dosažené úrovně bezpečnosti podnikových zdrojů;
• - interní náklady na odstranění následků narušení informační bezpečnosti - náklady vzniklé organizaci v důsledku toho, že nebylo dosaženo požadované úrovně zabezpečení;
• - externí náklady na odstranění následků porušení informační bezpečnosti - náhrada ztrát v důsledku porušení bezpečnostní politiky v případech souvisejících s únikem informací, ztrátou image společnosti, ztrátou důvěry partnerů a spotřebitelů atd.;
• - náklady na údržbu systému bezpečnosti informací a opatření k zamezení porušování podnikové bezpečnostní politiky.

V tomto případě se obvykle rozlišují jednorázové a systematické náklady.

Jednorázové náklady na vytvoření podnikové bezpečnosti: organizační náklady a náklady na pořízení a instalaci ochranných prostředků.

Systematické, provozní a údržbové náklady. Klasifikace nákladů je podmíněná, protože shromažďování, klasifikace a analýza nákladů na informační bezpečnost jsou vnitřní činností podniků a podrobný vývoj seznamu závisí na vlastnostech konkrétní organizace.

Hlavní věcí při stanovení nákladů na zabezpečovací systém je vzájemné porozumění a dohoda o nákladových položkách v rámci podniku.

Kromě toho by kategorie nákladů měly být konzistentní a neměly by se navzájem duplikovat. Náklady na zabezpečení nelze zcela eliminovat, lze je však snížit na přijatelnou úroveň.

Některé náklady na zabezpečení jsou naprosto nezbytné a některé lze výrazně snížit nebo eliminovat. Posledně jmenované jsou ty, které mohou zmizet, pokud nedojde k narušení bezpečnosti, nebo se sníží, pokud se počet a destruktivní dopad narušení sníží.

Zachováním bezpečnosti a předcházením porušení lze eliminovat nebo výrazně snížit následující náklady:

• - obnovit bezpečnostní systém tak, aby vyhovoval bezpečnostním požadavkům;
• - obnovit zdroje informačního prostředí podniku;
• - pro změny v rámci bezpečnostního systému;
• - pro právní spory a kompenzační platby;
• - identifikovat příčiny narušení bezpečnosti.

Nezbytné náklady jsou ty, které jsou nutné, i když je úroveň bezpečnostních hrozeb poměrně nízká. Jedná se o náklady na udržení dosažené úrovně bezpečnosti podnikového informačního prostředí.

Nevyhnutelné náklady mohou zahrnovat:

• a) údržba technických ochranných prostředků;
• b) správa důvěrných záznamů;
• c) provoz a audit bezpečnostního systému;
• d) minimální úroveň inspekcí a kontroly se zapojením specializovaných organizací;
• e) školení personálu v metodách informační bezpečnosti.

Existují však další náklady, které je poměrně obtížné určit. Mezi nimi:

• a) náklady na provedení dalšího výzkumu a vývoj nové tržní strategie;
• b) ztráty ze snížení priority vědeckého výzkumu a nemožnosti patentovat a prodávat licence na vědecké a technické úspěchy;
• c) náklady spojené s odstraňováním úzkých míst v zásobování, výrobě a marketingu produktů;
• d) ztráty z kompromitace výrobků vyráběných podnikem a snížení jejich cen;
• e) výskyt obtíží při pořizování zařízení nebo technologií, včetně jejich zvyšování cen, omezování objemu dodávek.

Uvedené náklady mohou být způsobeny jednáním pracovníků různých oddělení, například projekční, technologické, ekonomické plánování, právní, ekonomické, marketingové, tarifní a cenové.

Vzhledem k tomu, že je nepravděpodobné, že by zaměstnanci všech těchto oddělení byli na plný úvazek zaneprázdněni otázkami externích ztrát, musí být stanovení výše nákladů provedeno s ohledem na skutečně vynaložený čas. Jeden z prvků vnějších ztrát nelze přesně vypočítat - jedná se o ztráty spojené s podkopáváním image podniku, snižující důvěru spotřebitelů v produkty a služby podniku. Z tohoto důvodu mnoho korporací skrývá skutečnost, že jejich služba není bezpečná. Korporace se bojí zveřejnění takových informací ještě více než útoků v té či oné podobě.

Mnoho podniků však tyto náklady ignoruje na základě toho, že je nelze určit s žádnou mírou přesnosti – jsou pouze odhadované. Náklady na preventivní opatření. Tyto náklady je pravděpodobně nejobtížnější odhadnout, protože preventivní aktivity se provádějí napříč různými odděleními a ovlivňují mnoho služeb. Tyto náklady se mohou objevit ve všech fázích životního cyklu zdrojů podnikového informačního prostředí:

• - plánování a organizace;
• - pořízení a uvedení do provozu;
• - dodání a podpora;
• - sledování procesů, které tvoří informační technologie.

Navíc většina nákladů v této kategorii souvisí s bezpečnostním personálem. Náklady na prevenci zahrnují především mzdy a režii. Přesnost jejich určení však do značné míry závisí na přesnosti určení času stráveného každým zaměstnancem individuálně. Některé preventivní náklady lze snadno přímo identifikovat. Mohou zahrnovat zejména platby za různá díla třetích stran, například:

• - údržba a konfigurace používaných softwarových a hardwarových ochranných nástrojů, operačních systémů a síťových zařízení;
• - provádění inženýrských a technických prací pro instalaci poplachových systémů, vybavení skladovacích prostor pro důvěrné dokumenty, ochranu telefonní linky komunikace, počítačové vybavení atd.;
• - poskytování důvěrných informací;
• - konzultace;
• - školení.

Zdroje informací o uvažovaných nákladech. Při stanovení nákladů na zajištění bezpečnosti informací je nutné pamatovat na to, že:

• - náklady na pořízení a zprovoznění softwaru a hardwaru lze získat z rozborů faktur, záznamů ve skladové dokumentaci apod.;
• - platby zaměstnancům lze převzít z výpisů;
• - objemy plateb mzdy by měl být zohledněn skutečný čas vynaložený na výkon práce k zajištění informační bezpečnosti; pokud je činnostmi k zajištění informační bezpečnosti věnována pouze část času zaměstnance, pak proveditelnost posouzení každé ze složek vynaloženého času neměl by být zpochybňován;
• - klasifikace nákladů na bezpečnost a jejich rozdělení mezi prvky by se mělo stát součástí každodenní práce v podniku.