Κόστος για την ασφάλεια πληροφοριών της εταιρείας. Ασφάλεια πληροφοριών στις βιομηχανίες. Οργανωτικές δαπάνες για τεχνολογίες πληροφορικής και επικοινωνιών

Επενδύουν σε διάφορες τεχνολογίες ασφάλειας υπολογιστών - από πλατφόρμες για την πληρωμή μπόνους για τον εντοπισμό τρωτών σημείων σε προγράμματα έως τη διάγνωση και την αυτοματοποιημένη δοκιμή προγραμμάτων. Αλλά πάνω απ 'όλα τους ελκύουν οι τεχνολογίες ελέγχου ταυτότητας και διαχείρισης πληροφοριών ταυτότητας - περίπου 900 εκατομμύρια δολάρια επενδύθηκαν σε νεοφυείς επιχειρήσεις που ασχολούνται με αυτές τις τεχνολογίες στα τέλη του 2019.

Οι επενδύσεις σε startups εκπαίδευσης στον κυβερνοχώρο έφτασαν τα 418 εκατομμύρια δολάρια το 2019, με επικεφαλής την KnowBe4, η οποία συγκέντρωσε 300 εκατομμύρια δολάρια. Η startup προσφέρει μια πλατφόρμα προσομοίωσης επίθεσης phishing και μια σειρά εκπαιδευτικών προγραμμάτων.

Το 2019, εταιρείες που ασχολούνται με την ασφάλεια του Διαδικτύου των Πραγμάτων έλαβαν περίπου 412 εκατομμύρια δολάρια. Ηγέτης σε αυτή την κατηγορία όσον αφορά τον όγκο επενδύσεων είναι η SentinelOne, η οποία το 2019 έλαβε 120 εκατομμύρια δολάρια για την ανάπτυξη τεχνολογιών προστασίας τελικών σημείων.

Ταυτόχρονα, οι αναλυτές της Metacurity παρέχουν άλλα στοιχεία που χαρακτηρίζουν την κατάσταση στην αγορά χρηματοδότησης επιχειρηματικών συμμετοχών στον τομέα της ασφάλειας πληροφοριών. Το 2019, ο όγκος των επενδύσεων εδώ έφτασε τα 6,57 δισεκατομμύρια δολάρια, αυξάνοντας από 3,88 δισεκατομμύρια δολάρια το 2018. Αυξήθηκε και ο αριθμός των συναλλαγών - από 133 σε 219. Παράλληλα, ο μέσος όγκος των επενδύσεων ανά συναλλαγή παρέμεινε ουσιαστικά αμετάβλητος και διαμορφώθηκε στα 29,2 εκατ. στο τέλος του 2019, όπως υπολογίζει το Metacurity.

2018

Ανάπτυξη κατά 9% στα 37 δισ. δολάρια - Canalys

Το 2018, οι πωλήσεις εξοπλισμού, λογισμικόκαι οι υπηρεσίες που προορίζονται για την ασφάλεια πληροφοριών (IS), έφτασαν τα 37 δισεκατομμύρια δολάρια, σημειώνοντας αύξηση 9% σε σύγκριση με ένα χρόνο πριν (34 δισεκατομμύρια δολάρια). Τέτοια στοιχεία δημοσιεύτηκαν από τους αναλυτές της Canalys στις 28 Μαρτίου 2019.

Παρά το γεγονός ότι πολλές εταιρείες δίνουν προτεραιότητα στην προστασία των περιουσιακών στοιχείων, των δεδομένων, των τελικών σημείων, των δικτύων, των εργαζομένων και των πελατών τους, η κυβερνοασφάλεια αντιπροσώπευε μόνο το 2% των συνολικών δαπανών πληροφορικής το 2018, είπαν. Ωστόσο, όλο και περισσότερες νέες απειλές εμφανίζονται, γίνονται πιο περίπλοκες και συχνότερες, γεγονός που παρέχει στους κατασκευαστές λύσεων ασφάλειας πληροφοριών νέες ευκαιρίες ανάπτυξης. Οι συνολικές δαπάνες για την ασφάλεια στον κυβερνοχώρο αναμένεται να ξεπεράσουν τα 42 δισεκατομμύρια δολάρια το 2020.

Ο αναλυτής της Canalys Matthew Ball πιστεύει ότι η μετάβαση σε νέα μοντέλα εφαρμογής ασφάλειας πληροφοριών θα επιταχυνθεί. Οι πελάτες αλλάζουν τη φύση των προϋπολογισμών πληροφορικής τους χρησιμοποιώντας δημόσιες υπηρεσίες cloud και ευέλικτες υπηρεσίες που βασίζονται σε συνδρομές.

Περίπου το 82% των αναπτύξεων ασφάλειας πληροφοριών το 2018 αφορούσαν τη χρήση παραδοσιακού υλικού και λογισμικού. Στο υπόλοιπο 18% των περιπτώσεων χρησιμοποιήθηκαν υπηρεσίες εικονικοποίησης, δημόσιας cloud και ασφάλειας πληροφοριών.

Μέχρι το 2020, το μερίδιο των παραδοσιακών μοντέλων για την ανάπτυξη συστημάτων ασφάλειας πληροφοριών θα μειωθεί στο 70%, καθώς οι νέες λύσεις στην αγορά κερδίζουν δημοτικότητα.

Οι προμηθευτές θα πρέπει να δημιουργήσουν ένα ευρύ φάσμα επιχειρηματικών μοντέλων για να υποστηρίξουν αυτή τη μετάβαση, καθώς διαφορετικά προϊόντα ταιριάζουν διαφορετικά ΔΙΑΦΟΡΕΤΙΚΟΙ ΤΥΠΟΙαναπτύξεις. Η κύρια πρόκληση για πολλούς σήμερα είναι να κάνουν τα νέα μοντέλα πιο εστιασμένα σε συνδεδεμένα κανάλια και να τα ενσωματώσουν με τα υπάρχοντα προγράμματα συνεργατών, ειδικά με τις συναλλαγές πελατών μέσω πλατφορμών cloud. Ορισμένες αγορές cloud έχουν ήδη ανταποκριθεί σε αυτό επιτρέποντας στους συνεργάτες να προσφέρουν προσαρμοσμένες προσφορές και τιμές απευθείας στους πελάτες παρακολουθώντας εγγραφές και εκπτώσεις σε συμφωνίες, ανέφερε ο Matthew Ball σε μια ανάρτηση στις 29 Μαρτίου 2019.

Σύμφωνα με τον αναλυτή της Canalys, Ketaki Borade, κορυφαίοι προμηθευτές τεχνολογίας κυβερνοασφάλειας έχουν εισαγάγει νέα μοντέλα διανομής προϊόντων που περιλαμβάνουν εταιρείες που μετακινούνται σε ένα μοντέλο συνδρομής και αυξάνουν τις λειτουργίες στην υποδομή cloud.


Η αγορά κυβερνοασφάλειας παρέμεινε εξαιρετικά δυναμική και σημείωσε δραστηριότητα και όγκο συναλλαγών ρεκόρ ως απάντηση στην αυξανόμενη ρυθμιστική και τεχνικές απαιτήσεις, καθώς και τον συνεχιζόμενο εκτεταμένο κίνδυνο παραβίασης δεδομένων, λέει ο συνιδρυτής και διευθύνων συνεργάτης της Momentum Cyber ​​Eric McAlpine. «Πιστεύουμε ότι αυτή η δυναμική θα συνεχίσει να ωθεί τον κλάδο σε νέα επικράτεια καθώς επιδιώκει να αντιμετωπίσει τις αναδυόμενες απειλές και να εδραιωθεί ενόψει της κόπωσης των προμηθευτών και των αυξανόμενων ελλείψεων δεξιοτήτων».

2017

Οι δαπάνες για την κυβερνοασφάλεια ξεπέρασαν τα 100 δισεκατομμύρια δολάρια

Το 2017, οι παγκόσμιες δαπάνες για την ασφάλεια πληροφοριών (IS) - προϊόντα και υπηρεσίες - έφτασαν τα 101,5 δισεκατομμύρια δολάρια, δήλωσε η εταιρεία ερευνών Gartner στα μέσα Αυγούστου 2018. Στο τέλος του 2017, οι ειδικοί υπολόγισαν αυτή την αγορά στα 89,13 δισ. Δολ. Δεν αναφέρεται τι προκάλεσε τη σημαντική αύξηση της αποτίμησης.

Οι CISO προσπαθούν να βοηθήσουν τους οργανισμούς τους να χρησιμοποιούν με ασφάλεια τεχνολογικές πλατφόρμες για να γίνουν πιο ανταγωνιστικές και να οδηγήσουν την επιχειρηματική ανάπτυξη, λέει ο Siddharth Deshpande, διευθυντής έρευνας στη Gartner. - Οι συνεχιζόμενες ελλείψεις δεξιοτήτων και οι ρυθμιστικές αλλαγές, όπως ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) στην Ευρώπη, οδηγούν σε περαιτέρω ανάπτυξη στην αγορά υπηρεσιών κυβερνοασφάλειας.

Οι ειδικοί πιστεύουν ότι ένας από τους βασικούς παράγοντες που συμβάλλει στο αυξημένο κόστος ασφάλειας πληροφοριών είναι η εισαγωγή νέων μεθόδων ανίχνευσης και αντιμετώπισης απειλών, οι οποίες έγιναν η κορυφαία προτεραιότητα ασφάλειας για τους οργανισμούς το 2018.

Σύμφωνα με εκτιμήσεις της Gartner, το 2017, οι οργανισμοί που δαπανήθηκαν για υπηρεσίες κυβερνοπροστασίας παγκοσμίως ξεπέρασαν τα 52,3 δισεκατομμύρια δολάρια. Το 2018, το κόστος αυτό θα ανέλθει στα 58,9 δισεκατομμύρια δολάρια.

Το 2017, οι εταιρείες ξόδεψαν 2,4 δισεκατομμύρια δολάρια για την προστασία εφαρμογών, 2,6 δισεκατομμύρια δολάρια για την προστασία δεδομένων, υπηρεσίες cloud- 185 εκατομμύρια δολάρια

Οι ετήσιες πωλήσεις λύσεων για διαχείριση ταυτότητας και πρόσβασης (Identity And Access Management) αποδείχθηκαν 8,8 δισ. Οι πωλήσεις εργαλείων προστασίας υποδομής πληροφορικής αυξήθηκαν στα 12,6 δισ. $.

Η μελέτη επισημαίνει επίσης 10,9 δισεκατομμύρια δολάρια σε δαπάνες για εξοπλισμό που χρησιμοποιείται για την παροχή ασφάλειας δικτύου. Οι κατασκευαστές τους κέρδισαν 3,9 δισεκατομμύρια δολάρια από συστήματα διαχείρισης κινδύνου ασφάλειας πληροφοριών.

Οι δαπάνες για την ασφάλεια των καταναλωτών στον κυβερνοχώρο για το 2017 υπολογίζονται από τους αναλυτές σε 5,9 δισεκατομμύρια δολάρια, σύμφωνα με μελέτη της Gartner.

Η Gartner υπολόγισε το μέγεθος της αγοράς στα 89,13 δισεκατομμύρια δολάρια

Τον Δεκέμβριο του 2017, έγινε γνωστό ότι οι παγκόσμιες δαπάνες εταιρειών για την ασφάλεια πληροφοριών (IS) το 2017 θα ανήλθαν σε 89,13 δισεκατομμύρια δολάρια. Σύμφωνα με την Gartner, οι εταιρικές δαπάνες για την ασφάλεια στον κυβερνοχώρο θα υπερβούν το ποσό των 82,2 δισεκατομμυρίων δολαρίων του 2016 κατά σχεδόν 7 δισεκατομμύρια δολάρια.

Οι ειδικοί θεωρούν ότι οι υπηρεσίες ασφάλειας πληροφοριών είναι το μεγαλύτερο στοιχείο δαπανών: το 2017, οι εταιρείες θα διαθέσουν πάνω από 53 δισεκατομμύρια δολάρια για αυτούς τους σκοπούς σε σύγκριση με 48,8 δισεκατομμύρια δολάρια το 2016. Το δεύτερο μεγαλύτερο τμήμα της αγοράς ασφάλειας πληροφοριών είναι οι λύσεις προστασίας υποδομών, το κόστος των οποίων το 2017 θα ανέλθει σε 16,2 δισεκατομμύρια δολάρια αντί για 15,2 δισεκατομμύρια δολάρια πριν από ένα χρόνο. Ο εξοπλισμός ασφάλειας δικτύου βρίσκεται στην τρίτη θέση (10,93 δισεκατομμύρια δολάρια).

Η δομή των δαπανών ασφάλειας πληροφοριών περιλαμβάνει επίσης καταναλωτικό λογισμικό για την ασφάλεια πληροφοριών και τα συστήματα αναγνώρισης και διαχείρισης πρόσβασης (Identity and Access Management, IAM). Η Gartner υπολογίζει το κόστος σε αυτούς τους τομείς το 2017 σε 4,64 δισεκατομμύρια και 4,3 δισεκατομμύρια δολάρια, ενώ το 2016 τα στοιχεία ήταν 4,57 δισεκατομμύρια και 3,9 δισεκατομμύρια δολάρια, αντίστοιχα.

Οι αναλυτές αναμένουν περαιτέρω ανάπτυξη στην αγορά ασφάλειας πληροφοριών: το 2018, οι οργανισμοί θα αυξήσουν τις δαπάνες για την προστασία στον κυβερνοχώρο κατά άλλο 8% και θα διαθέσουν συνολικά 96,3 δισεκατομμύρια δολάρια για αυτούς τους σκοπούς. Μεταξύ των παραγόντων ανάπτυξης, οι εμπειρογνώμονες αναφέρουν την αλλαγή κανονισμών στον τομέα της ασφάλειας πληροφοριών και συνειδητοποίηση των νέων απειλών και ο άξονας των εταιρειών σε μια ψηφιακή επιχειρηματική στρατηγική.

Γενικά, οι δαπάνες για την ασφάλεια στον κυβερνοχώρο καθοδηγούνται σε μεγάλο βαθμό από την ανταπόκριση των εταιρειών σε περιστατικά ασφάλειας πληροφοριών, καθώς ο αριθμός των υψηλού προφίλ κυβερνοεπιθέσεων και διαρροών πληροφοριών που επηρεάζουν οργανισμούς σε όλο τον κόσμο αυξάνεται, λέει ο Ruggero Contu, διευθυντής ερευνών στη Gartner, σχολιάζοντας την πρόβλεψη. .

Τα λόγια του αναλυτή επιβεβαιώνονται από στοιχεία που έλαβε η Gartner το 2016 κατά τη διάρκεια έρευνας στην οποία συμμετείχαν 512 οργανισμοί από οκτώ χώρες: Αυστραλία, Καναδάς, Γαλλία, Γερμανία, Ινδία, Σιγκαπούρη και ΗΠΑ.

Το 53% των ερωτηθέντων ανέφερε τους κινδύνους στον κυβερνοχώρο ως την κύρια κινητήρια δύναμη πίσω από τις αυξημένες δαπάνες για την ασφάλεια στον κυβερνοχώρο. Από αυτόν τον αριθμό, το υψηλότερο ποσοστό των ερωτηθέντων είπε ότι η απειλή των κυβερνοεπιθέσεων επηρεάζει περισσότερο τις αποφάσεις σχετικά με τις δαπάνες για την ασφάλεια των πληροφοριών.

Η πρόβλεψη της Gartner για το 2018 απαιτεί αυξημένες δαπάνες σε όλους τους κύριους τομείς. Έτσι, περίπου 57,7 δισεκατομμύρια δολάρια (+4,65 δισεκατομμύρια δολάρια) θα δαπανηθούν για υπηρεσίες κυβερνοπροστασίας, περίπου 17,5 δισεκατομμύρια δολάρια (+1,25 δισεκατομμύρια δολάρια) θα δαπανηθούν για τη διασφάλιση της ασφάλειας των υποδομών και 11,67 δισεκατομμύρια δολάρια (+ 735 εκατομμύρια δολάρια), για λογισμικό καταναλωτών - 4,74 δισεκατομμύρια δολάρια ( +109 εκατομμύρια δολάρια) και για συστήματα IAM - 4,69 δισεκατομμύρια δολάρια (+416 εκατομμύρια δολάρια).

Οι αναλυτές πιστεύουν επίσης ότι έως το 2020, περισσότερο από το 60% των οργανισμών στον κόσμο θα επενδύουν ταυτόχρονα σε πολλά εργαλεία προστασίας δεδομένων, συμπεριλαμβανομένων εργαλείων πρόληψης απώλειας πληροφοριών, κρυπτογράφησης και ελέγχου. Στο τέλος του 2017, το μερίδιο των εταιρειών που αγοράζουν τέτοιες λύσεις υπολογιζόταν σε 35%.

Ένα άλλο σημαντικό στοιχείο των εταιρικών δαπανών για την ασφάλεια των πληροφοριών θα είναι η συμμετοχή τρίτων ειδικών. Αναμένεται ότι, στο πλαίσιο της έλλειψης προσωπικού στον τομέα της κυβερνοασφάλειας, της αυξανόμενης τεχνικής πολυπλοκότητας των συστημάτων ασφάλειας πληροφοριών και των αυξανόμενων απειλών στον κυβερνοχώρο, το κόστος της εταιρείας για την εξωτερική ανάθεση ασφάλειας πληροφοριών το 2018 θα αυξηθεί κατά 11% και θα ανέλθει σε 18,5 δισεκατομμύρια δολάρια .

Η Gartner εκτιμά ότι μέχρι το 2019, οι εταιρικές δαπάνες για τρίτους εμπειρογνώμονες στον τομέα της κυβερνοασφάλειας θα αντιπροσωπεύουν το 75% των συνολικών δαπανών λογισμικού και υλικού στον κυβερνοχώρο, από 63% το 2016.

Η IDC προβλέπει ότι το μέγεθος της αγοράς θα είναι 82 δισεκατομμύρια δολάρια

Τα δύο τρίτα του κόστους θα προέλθουν από μεγάλες και πολύ μεγάλες εταιρείες. μεγάλη δουλειά. Μέχρι το 2019, σύμφωνα με αναλυτές της IDC, το κόστος των εταιρειών με περισσότερους από 1.000 υπαλλήλους θα ξεπεράσει το όριο των 50 δισεκατομμυρίων δολαρίων.

2016: Όγκος αγοράς 73,7 δισεκατομμύρια δολάρια, ανάπτυξη 2 φορές μεγαλύτερη από την αγορά πληροφορικής

Τον Οκτώβριο του 2016, η αναλυτική εταιρεία IDC παρουσίασε σύντομα αποτελέσματα μελέτης της παγκόσμιας αγοράς ασφάλειας πληροφοριών. Η ανάπτυξή του αναμένεται να είναι διπλάσια από αυτή της αγοράς πληροφορικής.

Η IDC υπολόγισε ότι οι παγκόσμιες πωλήσεις εξοπλισμού, λογισμικού και υπηρεσιών για την προστασία στον κυβερνοχώρο θα φτάσουν περίπου τα 73,7 δισεκατομμύρια δολάρια το 2016 και το 2020 ο αριθμός θα ξεπεράσει τα 100 δισεκατομμύρια δολάρια, που ανέρχεται σε 101,6 δισεκατομμύρια δολάρια. Την περίοδο από το 2016 έως το 2020, η αγορά ασφάλειας πληροφοριών - Η τεχνολογία θα αναπτύσσεται με μέσο ρυθμό 8,3% ετησίως, που είναι διπλάσιος από τον αναμενόμενο ρυθμό ανάπτυξης του κλάδου της πληροφορικής.


Οι μεγαλύτερες δαπάνες για την ασφάλεια πληροφοριών (8,6 δισεκατομμύρια δολάρια) στο τέλος του 2016 αναμένονται στις τράπεζες. Στη δεύτερη, τρίτη και τέταρτη θέση ως προς το μέγεθος τέτοιων επενδύσεων θα βρίσκονται οι διακριτές επιχειρήσεις παραγωγής, οι κρατικοί φορείς και οι επιχειρήσεις συνεχούς παραγωγής, αντίστοιχα, που θα αντιπροσωπεύουν περίπου το 37% των δαπανών.

Οι αναλυτές δίνουν ηγετικό ρόλο στη δυναμική της αύξησης των επενδύσεων στην ασφάλεια πληροφοριών στην υγειονομική περίθαλψη (αναμένεται μέση ετήσια αύξηση 10,3% το 2016-2020). Το κόστος της κυβερνοπροστασίας στον τομέα των τηλεπικοινωνιών, της στέγασης, των κρατικών υπηρεσιών και στην αγορά επενδύσεων και κινητών αξιών θα αυξάνεται κατά περίπου 9% ετησίως.

Οι ερευνητές αποκαλούν την αμερικανική αγορά τη μεγαλύτερη αγορά ασφάλειας πληροφοριών, ο όγκος της οποίας θα φτάσει τα 31,5 δισ. δολάρια το 2016. Οι τρεις πρώτες θα περιλαμβάνουν επίσης τη Δυτική Ευρώπη και την περιοχή Ασίας-Ειρηνικού (πλην Ιαπωνίας). Δεν υπάρχουν πληροφορίες για τη ρωσική αγορά στη σύντομη έκδοση της μελέτης IDC.

Διευθύνων Σύμβουλοςτης ρωσικής εταιρείας Security Monitor, ο Dmitry Gvozdev προβλέπει αύξηση του μεριδίου των υπηρεσιών στις συνολικές δαπάνες ασφαλείας της Ρωσίας από 30-35% σε 40-45%, και προβλέπει επίσης την ανάπτυξη της δομής πελατών της αγοράς - από τη συνολική κυριαρχία των τομέων της κυβέρνησης, του χρηματοπιστωτικού και της ενέργειας προς τις μεσαίες επιχειρήσεις από ένα ευρύτερο φάσμα βιομηχανιών.

Μία από τις τάσεις θα πρέπει να είναι η ανάπτυξη του μεριδίου των εγχώριων προϊόντων λογισμικού σε σχέση με ζητήματα υποκατάστασης εισαγωγών και την κατάσταση της εξωτερικής πολιτικής. Ωστόσο, ο βαθμός στον οποίο αυτό θα αντικατοπτρίζεται στους χρηματοοικονομικούς δείκτες θα εξαρτηθεί σε μεγάλο βαθμό από τη συναλλαγματική ισοτιμία του ρουβλίου και την τιμολογιακή πολιτική των ξένων πωλητών, οι οποίοι εξακολουθούν να καταλαμβάνουν τουλάχιστον το ήμισυ της εγχώριας αγοράς λύσεις λογισμικούκαι έως τα δύο τρίτα στην κατηγορία εξοπλισμού. Το τελικό ετήσιο οικονομικό αποτέλεσμα ολόκληρης της ρωσικής αγοράς λύσεων ασφάλειας πληροφοριών μπορεί επίσης να συνδεθεί με εξωτερικούς οικονομικούς παράγοντες, δήλωσε ο Gvozdev σε συνομιλία με το TAdviser.

2015

ΤΟ ΜΕΓΕΘΟΣ ΤΗΣ ΑΓΟΡΑΣ

ΟΜΟΣΠΟΝΔΙΑΚΕΣ ΔΑΠΑΝΕΣ

ΚΥΒΕΡΝΟΕΓΚΛΗΜΑ

ΚΟΣΤΟΣ ΑΝΑ ΠΑΡΑΒΑΣΗ

ΧΡΗΜΑΤΟΠΙΣΤΩΤΙΚΕΣ ΥΠΗΡΕΣΙΕΣ

Διεθνές

ΑΝΑΛΥΤΙΚΑ ΑΣΦΑΛΕΙΑΣ

2013: Η αγορά της EMEA αυξήθηκε στα 2,5 δισεκατομμύρια δολάρια.

Ο όγκος της αγοράς εξοπλισμού ασφαλείας στην περιοχή EMEA (Ευρώπη, Μέση Ανατολή και Αφρική) αυξήθηκε κατά 2,4% σε σύγκριση με το 2012 και ανήλθε σε 2,5 δισεκατομμύρια δολάρια. Οι αναλυτές χαρακτήρισαν πολυλειτουργικά συστήματα λογισμικού και υλικού για προστασία το μεγαλύτερο και ταχύτερα αναπτυσσόμενο τμήμα της αγοράς υπό εξέταση. δίκτυα υπολογιστών– Λύσεις UTM (Ενοποιημένη διαχείριση απειλών). Την ίδια στιγμή, η IDC προέβλεψε ότι η αγορά τεχνικά μέσαΗ ασφάλεια των πληροφοριών θα φτάσει τα 4,2 δισεκατομμύρια δολάρια σε όρους αξίας έως το 2018 με μέση ετήσια αύξηση 5,4%.

Στα τέλη του 2013, η Check Point κατέλαβε την ηγετική θέση μεταξύ των προμηθευτών όσον αφορά τα έσοδα από τις πωλήσεις εξοπλισμού ασφάλειας πληροφοριών στην περιοχή EMEA. Σύμφωνα με την IDC, τα έσοδα του πωλητή σε αυτό το τμήμα για το 2013 αυξήθηκαν κατά 3,8% και ανήλθαν σε 374,64 εκατομμύρια δολάρια, που αντιστοιχεί σε μερίδιο αγοράς 19,3%.

2012: Πρόβλεψη PAC: Η αγορά ασφάλειας πληροφοριών θα αυξάνεται κατά 8% ετησίως

Η παγκόσμια αγορά ασφάλειας πληροφοριών θα αυξάνεται κατά 8% ετησίως μέχρι το 2016, όταν θα μπορούσε να φτάσει τα 36 δισεκατομμύρια ευρώ, αναφέρει η μελέτη.

Υπάρχουν δύο κύριες προσεγγίσεις για την αιτιολόγηση του κόστους της ασφάλειας των πληροφοριών.

Επιστημονική προσέγγιση. Για να γίνει αυτό, είναι απαραίτητο να εμπλακεί η διοίκηση της εταιρείας (ή ο ιδιοκτήτης της) στην αξιολόγηση του κόστους των πόρων πληροφοριών και στον προσδιορισμό της εκτίμησης πιθανής ζημίας από παραβιάσεις στον τομέα της ασφάλειας πληροφοριών.

1. Εάν το κόστος των πληροφοριών είναι χαμηλό, δεν υπάρχουν σημαντικές απειλές για τα στοιχεία ενεργητικού της εταιρείας και η πιθανή ζημιά είναι ελάχιστη, διασφαλίζοντας ότι η ασφάλεια των πληροφοριών απαιτεί λιγότερη χρηματοδότηση.

2. Εάν οι πληροφορίες έχουν μια ορισμένη αξία, οι απειλές και οι πιθανές ζημίες είναι σημαντικές και καθορισμένες, τότε τίθεται το ζήτημα της συμπερίληψης του κόστους για το υποσύστημα ασφάλειας πληροφοριών στον προϋπολογισμό. Σε αυτή την περίπτωση, είναι απαραίτητο να κατασκευαστεί εταιρικό σύστημαπροστασία πληροφοριών.

Πρακτική προσέγγισησυνίσταται στον καθορισμό της επιλογής πραγματικού κόστους για ένα εταιρικό σύστημα ασφάλειας πληροφοριών που βασίζεται σε παρόμοια συστήματα σε άλλους τομείς. Οι επαγγελματίες στον τομέα της ασφάλειας πληροφοριών πιστεύουν ότι το κόστος ενός συστήματος ασφάλειας πληροφοριών πρέπει να είναι περίπου 10-20% του κόστους μιας εταιρείας σύστημα πληροφορίων, ανάλογα με τις ειδικές απαιτήσεις για το καθεστώς ασφάλειας πληροφοριών.

Γενικά αποδεκτές απαιτήσεις για τη διασφάλιση του καθεστώτος ασφάλειας πληροφοριών «βέλτιστης πρακτικής» (βάσει πρακτικής εμπειρίας), που επισημοποιείται σε μια σειρά προτύπων, για παράδειγμα το ISO 17799, εφαρμόζονται στην πράξη κατά την ανάπτυξη ειδικών μεθόδων για την αξιολόγηση της αποτελεσματικότητας ενός συστήματος ασφάλειας πληροφοριών.

Η χρήση σύγχρονων μεθόδων για την εκτίμηση του κόστους της ασφάλειας πληροφοριών καθιστά δυνατό τον υπολογισμό ολόκληρου του αναλώσιμου μέρους των στοιχείων ενεργητικού ενός οργανισμού, συμπεριλαμβανομένων των άμεσων και έμμεσων δαπανών για υλικό και λογισμικό, οργανωτικές εκδηλώσεις, εκπαίδευση και επαγγελματική ανάπτυξη εργαζομένων, αναδιοργάνωση, αναδιάρθρωση επιχειρήσεων κ.λπ.

Είναι απαραίτητα για απόδειξη οικονομική αποτελεσματικότηταυφιστάμενα συστήματα εταιρικής προστασίας και επιτρέπουν στους επικεφαλής των υπηρεσιών ασφάλειας πληροφοριών να αιτιολογούν τον προϋπολογισμό για την ασφάλεια των πληροφοριών, καθώς και να αποδεικνύουν την αποτελεσματικότητα του έργου των υπαλλήλων της σχετικής υπηρεσίας. Οι μέθοδοι εκτίμησης κόστους που χρησιμοποιούνται από ξένες εταιρείες επιτρέπουν:

Λάβετε επαρκείς πληροφορίες σχετικά με το επίπεδο ασφάλειας ενός κατανεμημένου υπολογιστικού περιβάλλοντος και το συνολικό κόστος ιδιοκτησίας ενός εταιρικού συστήματος ασφάλειας πληροφοριών.

Συγκρίνετε τα τμήματα ασφάλειας πληροφοριών του οργανισμού τόσο μεταξύ τους όσο και με παρόμοια τμήματα άλλων οργανισμών του κλάδου.

Βελτιστοποιήστε τις επενδύσεις στην ασφάλεια πληροφοριών του οργανισμού.


Μία από τις πιο γνωστές μεθόδους για την εκτίμηση του κόστους σε σχέση με ένα σύστημα ασφάλειας πληροφοριών είναι η μέθοδος συνολικό κόστος ιδιοκτησίας (TCO)εταιρεία Gartner Group Ο δείκτης TCO νοείται ως το άθροισμα των άμεσων και έμμεσων δαπανών για την οργάνωση (αναδιοργάνωση), τη λειτουργία και τη συντήρηση ενός εταιρικού συστήματος ασφάλειας πληροφοριών κατά τη διάρκεια του έτους. Χρησιμοποιείται σχεδόν σε όλα τα κύρια στάδια κύκλος ζωήςεταιρικό σύστημα ασφάλειας πληροφοριών και καθιστά δυνατή την αντικειμενική και ανεξάρτητη αιτιολόγηση της οικονομικής σκοπιμότητας εισαγωγής και χρήσης συγκεκριμένων οργανωτικών και τεχνικών μέτρων και μέσων ασφάλειας πληροφοριών. Για την αντικειμενικότητα της απόφασης, είναι επίσης απαραίτητο να ληφθεί επιπλέον υπόψη η κατάσταση του εξωτερικού και εσωτερικού περιβάλλοντος της επιχείρησης, για παράδειγμα, δείκτες της τεχνολογικής, του προσωπικού και της οικονομικής ανάπτυξης της επιχείρησης.

Η σύγκριση ενός συγκεκριμένου δείκτη TCO με παρόμοιους δείκτες TCO στον κλάδο (με παρόμοιες εταιρείες) σας επιτρέπει να δικαιολογήσετε αντικειμενικά και ανεξάρτητα το κόστος του οργανισμού για την ασφάλεια των πληροφοριών. Άλλωστε, συχνά αποδεικνύεται ότι είναι αρκετά δύσκολο ή και πρακτικά αδύνατο να εκτιμηθεί η άμεση οικονομική επίδραση αυτών των δαπανών.

Το συνολικό κόστος ιδιοκτησίας για ένα σύστημα ασφάλειας πληροφοριών γενικά αποτελείται από το κόστος:

Σχεδιαστική εργασία,

Αγορές και διαμόρφωση εργαλείων προστασίας λογισμικού και υλικού, συμπεριλαμβανομένων των ακόλουθων κύριων ομάδων: τείχη προστασίας, εργαλεία κρυπτογράφησης, antivirus και AAA (εργαλεία ελέγχου ταυτότητας, εξουσιοδότησης και διαχείρισης),

Κόστος για την εξασφάλιση φυσικής ασφάλειας,

Εκπαίδευση προσωπικού,

Διαχείριση και υποστήριξη συστήματος (διαχείριση ασφάλειας),

Έλεγχος ασφάλειας πληροφοριών, - περιοδικός εκσυγχρονισμός του συστήματος ασφάλειας πληροφοριών.

Το άμεσο κόστος περιλαμβάνει τόσο στοιχεία κόστους κεφαλαίου (που σχετίζονται με πάγια στοιχεία ενεργητικού ή «ακίνητα») όσο και το κόστος εργασίας, που περιλαμβάνονται στις κατηγορίες λειτουργιών και διοικητικής διαχείρισης. Αυτό περιλαμβάνει επίσης κόστος για υπηρεσίες απομακρυσμένων χρηστών κ.λπ., που σχετίζονται με την υποστήριξη των δραστηριοτήτων του οργανισμού.

Με τη σειρά του, το έμμεσο κόστος αντικατοπτρίζει τον αντίκτυπο του εταιρικού συστήματος πληροφοριών και του υποσυστήματος ασφάλειας πληροφοριών στους υπαλλήλους του οργανισμού μέσω μετρήσιμων δεικτών όπως ο χρόνος διακοπής λειτουργίας και το πάγωμα του εταιρικού συστήματος ασφάλειας πληροφοριών και του συστήματος πληροφοριών στο σύνολό του, λειτουργικές και δαπάνες υποστήριξης (όχι που σχετίζονται με άμεσο κόστος). Πολύ συχνά, το έμμεσο κόστος παίζει σημαντικό ρόλο, καθώς συνήθως δεν αντανακλάται αρχικά στον προϋπολογισμό ασφάλειας πληροφοριών, αλλά αποκαλύπτεται αργότερα στην ανάλυση κόστους.

Ο υπολογισμός των δεικτών TCO του οργανισμού πραγματοποιείται στους παρακάτω τομείς.

Στοιχεία ενός εταιρικού πληροφοριακού συστήματος(συμπεριλαμβανομένου του συστήματος ασφάλειας πληροφοριών) και των δραστηριοτήτων πληροφοριών του οργανισμού (διακομιστές, υπολογιστές-πελάτες, περιφερειακές συσκευές, συσκευές δικτύου).

Δαπάνες για υλικό και λογισμικό για την ασφάλεια των πληροφοριών: αναλώσιμα και απόσβεση δεν κοστίζει ούτε διακομιστές, υπολογιστές-πελάτες (επιτραπέζιοι και φορητούς υπολογιστές), περιφερειακές συσκευές και στοιχεία δικτύου.

Κόστος για την οργάνωση της ασφάλειας των πληροφοριών:συντήρηση συστημάτων ασφάλειας πληροφοριών, τυπικά μέσα προστασίας περιφερειακών συσκευών, διακομιστών, συσκευές δικτύου, σχεδιασμός και διαχείριση διαδικασιών ασφάλειας πληροφοριών, ανάπτυξη εννοιών και πολιτικών ασφάλειας και άλλα.

Δαπάνες λειτουργίας πληροφοριακών συστημάτωνθέματα: άμεσο κόστος συντήρησης προσωπικού, κόστος εργασίας και ανάθεση σε εξωτερικούς συνεργάτες που πραγματοποιούνται από τον οργανισμό στο σύνολό του ή υπηρεσία για την υλοποίηση τεχνική υποστήριξηκαι λειτουργίες για τη συντήρηση της υποδομής για τους χρήστες.

Έξοδα διοικητικής λειτουργίας: άμεσο κόστος προσωπικού, λειτουργική υποστήριξη και κόστος εσωτερικών/εξωτερικών προμηθευτών (προμηθευτών) για την υποστήριξη λειτουργιών, συμπεριλαμβανομένης της διαχείρισης, της χρηματοδότησης, της απόκτησης και της εκπαίδευσης πληροφοριακών συστημάτων.

Κόστος συναλλαγής τελικού χρήστη: Κόστος αυτοϋποστήριξης τελικού χρήστη, επίσημη εκπαίδευση τελικού χρήστη, περιστασιακή (ανεπίσημη) εκπαίδευση, ανάπτυξη εφαρμογών «φτιάξ' το μόνος σου», υποστήριξη τοπικού συστήματος αρχείων.

Κόστος διακοπής λειτουργίας: Ετήσιες απώλειες παραγωγικότητας τελικού χρήστη από προγραμματισμένες και μη προγραμματισμένες διακοπές πόρων δικτύου, συμπεριλαμβανομένων υπολογιστών-πελατών, κοινόχρηστων διακομιστών, εκτυπωτών, προγραμμάτων εφαρμογών, πόρων επικοινωνιών και λογισμικού επικοινωνιών.

Πώς να δικαιολογήσετε το κόστος της ασφάλειας των πληροφοριών;

Ανατύπωση με ευγενική άδεια OJSC InfoTex Internet Trust
Το κείμενο πηγής βρίσκεται Εδώ.

Επίπεδα ωριμότητας της εταιρείας

Ο Όμιλος Gartner προσδιορίζει 4 επίπεδα εταιρικής ωριμότητας όσον αφορά την ασφάλεια πληροφοριών (IS):

  • επίπεδο 0:
    • Κανείς δεν εμπλέκεται στην ασφάλεια των πληροφοριών στην εταιρεία· η διοίκηση της εταιρείας δεν αντιλαμβάνεται τη σημασία των προβλημάτων ασφάλειας πληροφοριών·
    • Δεν υπάρχει χρηματοδότηση.
    • Το IS εφαρμόζεται τακτικά μέσα λειτουργικά συστήματα, DBMS και εφαρμογές (προστασία με κωδικό πρόσβασης, έλεγχος πρόσβασης σε πόρους και υπηρεσίες).
  • Επίπεδο 1:
    • Η ασφάλεια των πληροφοριών θεωρείται από τη διοίκηση ως ένα καθαρά «τεχνικό» πρόβλημα· δεν υπάρχει ενιαίο πρόγραμμα (έννοια, πολιτική) για την ανάπτυξη του συστήματος ασφάλειας πληροφοριών της εταιρείας (ISMS).
    • Η χρηματοδότηση παρέχεται στο πλαίσιο του συνολικού προϋπολογισμού ΤΠ.
    • Η ασφάλεια των πληροφοριών υλοποιείται με μέσα μηδενικού επιπέδου + Κρατήστε αντίγραφο, εργαλεία προστασίας από ιούς, τείχη προστασίας, εργαλεία οργάνωσης VPN (παραδοσιακά εργαλεία ασφαλείας).
  • Επίπεδο 2:
    • Η ασφάλεια των πληροφοριών θεωρείται από τη διοίκηση ως ένα σύμπλεγμα οργανωτικών και τεχνικών μέτρων, υπάρχει κατανόηση της σημασίας της ασφάλειας πληροφοριών για τις παραγωγικές διαδικασίες, υπάρχει ένα πρόγραμμα για την ανάπτυξη του ISMS της εταιρείας που έχει εγκριθεί από τη διοίκηση.
    • Η ασφάλεια πληροφοριών υλοποιείται με εργαλεία πρώτου επιπέδου + βελτιωμένα εργαλεία ελέγχου ταυτότητας, εργαλεία για την ανάλυση μηνυμάτων email και περιεχομένου ιστού, IDS (συστήματα ανίχνευσης εισβολής), εργαλεία ανάλυσης ασφαλείας, SSO (ενιαία εργαλεία ελέγχου ταυτότητας), PKI (υποδομή) δημόσια κλειδιά) και οργανωτικά μέτρα (εσωτερικός και εξωτερικός έλεγχος, ανάλυση κινδύνου, πολιτική ασφάλειας πληροφοριών, κανονισμοί, διαδικασίες, κανονισμοί και κατευθυντήριες γραμμές).
  • Επίπεδο 3:
    • Η ασφάλεια των πληροφοριών αποτελεί μέρος της εταιρικής κουλτούρας, έχει διοριστεί ένας CISA (ανώτερος υπεύθυνος ασφάλειας πληροφοριών).
    • Η χρηματοδότηση παρέχεται σε χωριστό προϋπολογισμό.
    • Η ασφάλεια πληροφοριών υλοποιείται μέσω του δεύτερου επιπέδου + συστήματος διαχείρισης ασφάλειας πληροφοριών, CSIRT (ομάδα αντιμετώπισης περιστατικών ασφάλειας πληροφοριών), SLA (συμφωνία επιπέδου υπηρεσίας).

Σύμφωνα με τον Όμιλο Gartner (στοιχεία που παρέχονται για το 2001), το ποσοστό των εταιρειών σε σχέση με τα περιγραφόμενα 4 επίπεδα έχει ως εξής:
Επίπεδο 0 - 30%,
Επίπεδο 1 - 55%,
Επίπεδο 2 - 10%,
Επίπεδο 3 - 5%.

Η πρόβλεψη του Ομίλου Gartner για το 2005 έχει ως εξής:
Επίπεδο 0 - 20%,
Επίπεδο 1 - 35%,
Επίπεδο 2 - 30%,
Επίπεδο 3 - 15%.

Οι στατιστικές δείχνουν ότι η πλειονότητα των εταιρειών (55%) έχει σήμερα εφαρμόσει ελάχιστα απαραίτητο σετπαραδοσιακά τεχνικά μέσα προστασίας (επίπεδο 1).

Κατά την εφαρμογή διαφόρων τεχνολογιών και μέτρων ασφαλείας, συχνά προκύπτουν ερωτήματα. Τι να εφαρμόσετε πρώτα, ένα σύστημα ανίχνευσης εισβολής ή μια υποδομή PKI; Ποιο θα είναι πιο αποτελεσματικό; Ο Stephen Ross, διευθυντής της Deloitte&Touche, προτείνει την ακόλουθη προσέγγιση για την αξιολόγηση της αποτελεσματικότητας μεμονωμένων μέτρων και εργαλείων ασφάλειας πληροφοριών.

Με βάση το παραπάνω γράφημα, μπορεί να φανεί ότι τα πιο ακριβά και λιγότερο αποτελεσματικά είναι τα εξειδικευμένα εργαλεία (in-house ή custom-made).

Τα πιο ακριβά, αλλά ταυτόχρονα και τα πιο αποτελεσματικά, είναι τα προϊόντα προστασίας της κατηγορίας 4 (επίπεδα 2 και 3 σύμφωνα με την Gartner Group). Για την εφαρμογή εργαλείων αυτής της κατηγορίας, είναι απαραίτητο να χρησιμοποιηθεί μια διαδικασία ανάλυσης κινδύνου. Η ανάλυση κινδύνου σε αυτήν την περίπτωση θα διασφαλίσει ότι το κόστος υλοποίησης είναι επαρκές για τις υπάρχουσες απειλές παραβιάσεων της ασφάλειας των πληροφοριών.

Τα φθηνότερα, αλλά με υψηλό επίπεδο αποτελεσματικότητας, περιλαμβάνουν οργανωτικά μέτρα (εσωτερικός και εξωτερικός έλεγχος, ανάλυση κινδύνου, πολιτική ασφάλειας πληροφοριών, σχέδιο επιχειρηματικής συνέχειας, κανονισμούς, διαδικασίες, κανονισμούς και εγχειρίδια).

Η εισαγωγή πρόσθετων μέσων προστασίας (μετάβαση στα επίπεδα 2 και 3) απαιτεί σημαντικές οικονομικές επενδύσεις και, κατά συνέπεια, αιτιολόγηση. Η απουσία ενός ενιαίου προγράμματος ανάπτυξης ISMS εγκεκριμένου και υπογεγραμμένου από τη διοίκηση επιδεινώνει το πρόβλημα της αιτιολόγησης των επενδύσεων στην ασφάλεια.

Ανάλυση κινδύνου

Τέτοια αιτιολόγηση μπορεί να είναι τα αποτελέσματα της ανάλυσης κινδύνου και των στατιστικών που συσσωρεύονται για συμβάντα. Οι μηχανισμοί για την εφαρμογή ανάλυσης κινδύνου και τη συλλογή στατιστικών στοιχείων θα πρέπει να προσδιορίζονται στην πολιτική ασφάλειας πληροφοριών της εταιρείας.

Η διαδικασία ανάλυσης κινδύνου αποτελείται από 6 διαδοχικά στάδια:

1. Αναγνώριση και ταξινόμηση προστατευόμενων αντικειμένων (εταιρικοί πόροι προς προστασία).

3. Κατασκευή μοντέλου εισβολέα.

4. Προσδιορισμός, ταξινόμηση και ανάλυση απειλών και τρωτών σημείων.

5. Εκτίμηση κινδύνου.

6. Επιλογή οργανωτικών μέτρων και τεχνικών μέσων προστασίας.

Στη σκηνή αναγνώριση και ταξινόμηση αντικειμένων προστασίαςΕίναι απαραίτητο να γίνει απογραφή των πόρων της εταιρείας στους παρακάτω τομείς:

  • Πηγές πληροφοριών (εμπιστευτικές και κρίσιμες πληροφορίες εταιρείας).
  • Πόροι λογισμικού (OS, DBMS, κρίσιμες εφαρμογές, όπως ERP).
  • Φυσικοί πόροι (διακομιστές, σταθμοί εργασίας, εξοπλισμός δικτύου και τηλεπικοινωνιών).
  • Πόροι υπηρεσιών (email, www, κ.λπ.).

Κατηγοριοποίησηείναι ο προσδιορισμός του επιπέδου εμπιστευτικότητας και κρισιμότητας του πόρου. Η εμπιστευτικότητα αναφέρεται στο επίπεδο του απορρήτου των πληροφοριών που αποθηκεύονται, επεξεργάζονται και μεταδίδονται από έναν πόρο. Ως κρισιμότητα νοείται ο βαθμός επιρροής ενός πόρου στην αποτελεσματικότητα των παραγωγικών διαδικασιών της εταιρείας (για παράδειγμα, σε περίπτωση διακοπής λειτουργίας των τηλεπικοινωνιακών πόρων, η εταιρεία παροχής μπορεί να χρεοκοπήσει). Αποδίδοντας ορισμένες ποιοτικές τιμές στις παραμέτρους εμπιστευτικότητας και κρισιμότητας, μπορείτε να προσδιορίσετε το επίπεδο σημασίας κάθε πόρου όσον αφορά τη συμμετοχή του στις παραγωγικές διαδικασίες της εταιρείας.

Για να προσδιορίσετε τη σημασία των πόρων της εταιρείας από την άποψη της ασφάλειας πληροφοριών, μπορείτε να λάβετε τον ακόλουθο πίνακα:

Για παράδειγμα, τα αρχεία με πληροφορίες σχετικά με το επίπεδο μισθού των εργαζομένων της εταιρείας έχουν την τιμή «αυστηρά εμπιστευτικά» (παράμετρος εμπιστευτικότητας) και την τιμή «ασήμαντη» (παράμετρος κρισιμότητας). Αντικαθιστώντας αυτές τις τιμές στον πίνακα, μπορείτε να αποκτήσετε έναν αναπόσπαστο δείκτη της σημασίας αυτού του πόρου. Στο διεθνές πρότυπο ISO TR 13335 παρέχονται διάφορες επιλογές για μεθόδους κατηγοριοποίησης.

Δημιουργία μοντέλου επιτιθέμενουείναι η διαδικασία ταξινόμησης πιθανών παραβατών σύμφωνα με τις ακόλουθες παραμέτρους:

  • Τύπος εισβολέα (ανταγωνιστής, πελάτης, προγραμματιστής, υπάλληλος εταιρείας κ.λπ.)
  • Η θέση του επιτιθέμενου σε σχέση με τα αντικείμενα προστασίας (εσωτερικά, εξωτερικά).
  • Επίπεδο γνώσεων σχετικά με τα προστατευόμενα αντικείμενα και το περιβάλλον (υψηλό, μεσαίο, χαμηλό).
  • Επίπεδο ικανότητας πρόσβασης σε προστατευμένα αντικείμενα (μέγιστο, μέσος όρος, ελάχιστος).
  • Διάρκεια δράσης (συνεχώς, σε συγκεκριμένα χρονικά διαστήματα).
  • Τοποθεσία δράσης (η αναμενόμενη τοποθεσία του εισβολέα κατά τη διάρκεια της επίθεσης).

Εκχωρώντας ποιοτικές τιμές στις παραμέτρους του μοντέλου του εισβολέα, μπορεί κανείς να προσδιορίσει τις δυνατότητες του εισβολέα (ένα αναπόσπαστο χαρακτηριστικό των δυνατοτήτων του εισβολέα να εφαρμόζει απειλές).

Εντοπισμός, ταξινόμηση και ανάλυση απειλών και τρωτών σημείωνσας επιτρέπουν να προσδιορίσετε τρόπους υλοποίησης επιθέσεων σε προστατευμένα αντικείμενα. Τα τρωτά σημεία είναι ιδιότητες ενός πόρου ή του περιβάλλοντος του που χρησιμοποιούνται από έναν εισβολέα για την υλοποίηση απειλών. Μια λίστα με τρωτά σημεία πόρων λογισμικού μπορεί να βρεθεί στο Διαδίκτυο.

Οι απειλές ταξινομούνται σύμφωνα με τα ακόλουθα κριτήρια:

  • όνομα της απειλής·
  • τύπος εισβολέα?
  • μέσα υλοποίησης·
  • αξιοποιημένα τρωτά σημεία·
  • δράσεις που έχουν αναληφθεί;
  • συχνότητα υλοποίησης.

Η κύρια παράμετρος είναι η συχνότητα υλοποίησης της απειλής. Εξαρτάται από τις τιμές των παραμέτρων «δυνατικός εισβολέας» και «ασφάλεια πόρων». Η τιμή της παραμέτρου «ασφάλεια πόρων» προσδιορίζεται μέσω αξιολογήσεων ειδικών. Κατά τον προσδιορισμό της τιμής της παραμέτρου, λαμβάνονται υπόψη οι υποκειμενικές παράμετροι του εισβολέα: κίνητρο για την εφαρμογή της απειλής και στατιστικά στοιχεία από προσπάθειες υλοποίησης απειλών αυτού του τύπου(εάν είναι διαθέσιμο). Το αποτέλεσμα του σταδίου ανάλυσης απειλής και τρωτότητας είναι μια αξιολόγηση της παραμέτρου «συχνότητα υλοποίησης» για κάθε απειλή.

Στη σκηνή εκτιμήσεων κινδύνουη πιθανή ζημιά από απειλές παραβιάσεων της ασφάλειας πληροφοριών προσδιορίζεται για κάθε πόρο ή ομάδα πόρων.

Ο ποιοτικός δείκτης της ζημιάς εξαρτάται από δύο παραμέτρους:

  • Σημασία του πόρου.
  • Συχνότητα εφαρμογής απειλών σε αυτόν τον πόρο.

Με βάση τις εκτιμήσεις ζημιών που ελήφθησαν, επιλέγονται εύλογα τα κατάλληλα οργανωτικά μέτρα και τα τεχνικά μέσα προστασίας.

Συσσώρευση στατιστικών για περιστατικά

Το μόνο αδύναμο σημείο στην προτεινόμενη μεθοδολογία για την αξιολόγηση του κινδύνου και, κατά συνέπεια, για την αιτιολόγηση της ανάγκης εισαγωγής νέων ή αλλαγής υφιστάμενων τεχνολογιών προστασίας είναι ο προσδιορισμός της παραμέτρου «συχνότητα εμφάνισης απειλών». Ο μόνος τρόπος για να ληφθούν αντικειμενικές τιμές αυτής της παραμέτρου είναι η συσσώρευση στατιστικών στοιχείων για περιστατικά. Τα συσσωρευμένα στατιστικά στοιχεία, για παράδειγμα, σε διάστημα ενός έτους θα σας επιτρέψουν να προσδιορίσετε τον αριθμό των υλοποιήσεων απειλών (ορισμένου τύπου) ανά πόρο (ορισμένου τύπου). Συνιστάται η διεξαγωγή εργασιών για τη συλλογή στατιστικών στοιχείων ως μέρος της διαδικασίας επεξεργασίας συμβάντων.

Σκοπός της μελέτης: να αναλύσει και να καθορίσει τις κύριες τάσεις στη ρωσική αγορά ασφάλειας πληροφοριών
Χρησιμοποιήθηκαν δεδομένα της Rosstat (έντυπα στατιστικής αναφοράς No. 3-Inform, P-3, P-4), οικονομικές καταστάσεις επιχειρήσεων κ.λπ.

Χρήση τεχνολογιών πληροφοριών και επικοινωνιών και εργαλείων ασφάλειας πληροφοριών από οργανισμούς

  • Για την προετοιμασία αυτής της ενότητας, χρησιμοποιήθηκαν συγκεντρωτικά, γεωγραφικά χωριστά τμήματα και γραφεία αντιπροσωπείας (Έντυπο 3-Inform «Πληροφορίες σχετικά με τη χρήση των τεχνολογιών πληροφοριών και επικοινωνιών και την παραγωγή τεχνολογία υπολογιστών, λογισμικό και παροχή υπηρεσιών στους τομείς αυτούς».

Αναλύθηκε η περίοδος 2012-2016. Τα δεδομένα δεν ισχυρίζονται ότι είναι πλήρη (καθώς συλλέγονται σύμφωνα με περιορισμένος κύκλοςεπιχειρήσεις), αλλά, κατά τη γνώμη μας, μπορεί να χρησιμοποιηθεί για την αξιολόγηση των τάσεων. Ο αριθμός των ερωτηθέντων επιχειρήσεων για την υπό εξέταση περίοδο κυμάνθηκε από 200 έως 210 χιλιάδες. Δηλαδή, το δείγμα είναι αρκετά σταθερό και περιλαμβάνει τους πιθανότερους καταναλωτές (μεγάλες και μεσαίες επιχειρήσεις), που αντιπροσωπεύουν το μεγαλύτερο μέρος των πωλήσεων.

Διαθεσιμότητα προσωπικών υπολογιστών σε οργανισμούς

Σύμφωνα με το έντυπο στατιστικής αναφοράς 3-Inform, το 2016 υπήρχαν περίπου 12,4 εκατομμύρια μονάδες σε ρωσικούς οργανισμούς που παρείχαν πληροφορίες σε αυτό το έντυπο προσωπικούς υπολογιστές(Η/Υ). Στην περίπτωση αυτή, ο υπολογιστής σημαίνει επιτραπέζιους και φορητούς υπολογιστές· αυτή η έννοια δεν περιλαμβάνει κινητά Κινητά τηλέφωνακαι προσωπικούς υπολογιστές τσέπης.

Τα τελευταία 5 χρόνια, ο αριθμός των μονάδων Η/Υ σε οργανισμούς στη Ρωσία συνολικά αυξήθηκε κατά 14,9%.Η καλύτερα εξοπλισμένη ομοσπονδιακή περιφέρεια είναι η Κεντρική Ομοσπονδιακή Περιφέρεια, η οποία αντιπροσωπεύει το 30,2% των υπολογιστών σε εταιρείες. Η αδιαμφισβήτητη κορυφαία περιοχή για αυτόν τον δείκτη είναι η πόλη της Μόσχας· σύμφωνα με στοιχεία για το 2016, οι εταιρείες της Μόσχας διαθέτουν περίπου 1,8 εκατομμύρια υπολογιστές. Η χαμηλότερη τιμή του δείκτη σημειώθηκε στην Ομοσπονδιακή Περιφέρεια του Βορείου Καυκάσου· οι οργανισμοί στην περιοχή έχουν μόνο περίπου 300 χιλιάδες μονάδες Η/Υ· ο μικρότερος αριθμός είναι στη Δημοκρατία της Ινγκουσετίας - 5,45 χιλιάδες μονάδες.

Ρύζι. 1. Αριθμός προσωπικών υπολογιστών σε οργανισμούς, Ρωσία, εκατομμύρια μονάδες.

Οργανωτικές δαπάνες για τεχνολογίες πληροφορικής και επικοινωνιών

Την περίοδο 2014-2015. Λόγω της δυσμενούς οικονομικής κατάστασης, οι ρωσικές εταιρείες αναγκάστηκαν να ελαχιστοποιήσουν το κόστος τους, συμπεριλαμβανομένου του κόστους για πληροφορίες και τεχνολογίες επικοινωνίας. Το 2014, η μείωση του κόστους στον τομέα των ΤΠΕ ήταν 5,7%, αλλά στο τέλος του 2015 υπήρξε μια ελαφρά θετική τάση. Το 2016, οι δαπάνες των ρωσικών εταιρειών για τεχνολογίες πληροφοριών και επικοινωνιών ανήλθαν σε 1,25 τρισ. rub., υπερβαίνοντας το ποσοστό πριν από την κρίση του 2013 κατά 0,3%.

Το μεγαλύτερο μέρος του κόστους πέφτει σε εταιρείες που βρίσκονται στη Μόσχα - πάνω από 590 δισεκατομμύρια ρούβλια, ή το 47,2% του συνόλου. Οι μεγαλύτεροι όγκοι δαπανών των οργανισμών σε τεχνολογίες πληροφοριών και επικοινωνιών το 2016 καταγράφηκαν σε: Περιφέρεια Μόσχας - 76,6 δισεκατομμύρια ρούβλια, Αγία Πετρούπολη - 74,4 δισεκατομμύρια ρούβλια, περιοχή Tyumen - 56,0 δισεκατομμύρια ρούβλια, Δημοκρατία του Ταταρστάν - 24,7 δισεκατομμύρια ρούβλια, Νίζνι Νόβγκοροντ περιοχή - 21,4 δισεκατομμύρια ρούβλια. Το χαμηλότερο κόστος καταγράφηκε στη Δημοκρατία της Ινγκουσετίας - 220,3 εκατομμύρια ρούβλια.

Ρύζι. 2. Ποσό δαπανών των εταιρειών για τεχνολογίες πληροφοριών και επικοινωνιών, Ρωσία, δισεκατομμύρια ρούβλια.

Χρήση εργαλείων ασφάλειας πληροφοριών από οργανισμούς

ΣΕ ΠρόσφαταΜπορεί να σημειωθεί σημαντική αύξηση στον αριθμό των εταιρειών που χρησιμοποιούν εργαλεία προστασίας της ασφάλειας πληροφοριών. Ο ετήσιος ρυθμός αύξησης του αριθμού τους είναι αρκετά σταθερός (με εξαίρεση το 2014), και ανέρχεται σε περίπου 11-19% ετησίως.

Σύμφωνα με επίσημα στοιχεία της Rosstat, Τα πιο δημοφιλή μέσα προστασίας επί του παρόντος είναι τα τεχνικά μέσα ελέγχου ταυτότητας χρήστη (tokens, κλειδιά USB, έξυπνες κάρτες).Από περισσότερες από 157 χιλιάδες εταιρείες, οι 127 χιλιάδες εταιρείες (81%) ανέφεραν τη χρήση αυτών των συγκεκριμένων εργαλείων ως προστασίας πληροφοριών.

Ρύζι. 3. Κατανομή οργανισμών με τη χρήση μέσων που διασφαλίζουν την ασφάλεια των πληροφοριών το 2016, Ρωσία, %.

Σύμφωνα με επίσημα στατιστικά στοιχεία, το 2016, 161.421 εταιρείες χρησιμοποίησαν το παγκόσμιο Διαδίκτυο για εμπορικούς σκοπούς. Μεταξύ των οργανισμών που χρησιμοποιούν το Διαδίκτυο για εμπορικούς σκοπούς και έχουν υποδείξει τη χρήση μέτρων ασφάλειας πληροφοριών, η πιο δημοφιλής είναι η ηλεκτρονική ψηφιακή υπογραφή. Αυτό το εργαλείοΠάνω από 146 χιλιάδες εταιρείες, ή το 91% του συνόλου, δηλώθηκαν ως μέσα προστασίας. Σύμφωνα με τη χρήση εργαλείων ασφάλειας πληροφοριών, οι εταιρείες κατανεμήθηκαν ως εξής:

    • Ηλεκτρονικά μέσα ψηφιακή υπογραφή– 146.887 εταιρείες.
    • Ενημερώνεται τακτικά προγράμματα προστασίας από ιούς– 143.095 εταιρείες.
    • Λογισμικό ή υλικό που αποτρέπει τη μη εξουσιοδοτημένη πρόσβαση κακόβουλο λογισμικόαπό παγκόσμιες πληροφορίες ή τοπικές δίκτυα υπολογιστών(Firewall) – 101.373 εταιρείες.
    • Φίλτρο ανεπιθύμητης αλληλογραφίας – 86.292 εταιρείες.
    • Εργαλεία κρυπτογράφησης – 86.074 εταιρείες.
    • Συστήματα ανίχνευσης εισβολών σε υπολογιστή ή δίκτυο – 66.745 εταιρείες.
    • Εργαλεία λογισμικού για την αυτοματοποίηση των διαδικασιών ανάλυσης και ελέγχου ασφάλειας συστήματα υπολογιστών– 54.409 εταιρείες.

Ρύζι. 4. Διανομή εταιρειών που χρησιμοποιούν το Διαδίκτυο για εμπορικούς σκοπούς, μέσω προστασίας πληροφοριών που μεταδίδονται μέσω παγκόσμιων δικτύων, το 2016, Ρωσία, %.

Την περίοδο 2012-2016, ο αριθμός των εταιρειών που χρησιμοποιούν το Διαδίκτυο για εμπορικούς σκοπούς αυξήθηκε κατά 34,9%.Το 2016, 155.028 εταιρείες χρησιμοποίησαν το Διαδίκτυο για να επικοινωνήσουν με τους προμηθευτές και 110.421 εταιρείες χρησιμοποίησαν το Διαδίκτυο για να επικοινωνήσουν με τους καταναλωτές. Από τις εταιρείες που χρησιμοποιούν το Διαδίκτυο για να επικοινωνούν με προμηθευτές, ο σκοπός χρήσης ανέφερε:

  • λήψη πληροφοριών σχετικά με τα απαραίτητα αγαθά (έργα, υπηρεσίες) και τους προμηθευτές τους - 138.224 εταιρείες.
  • παροχή πληροφοριών σχετικά με τις ανάγκες του οργανισμού για αγαθά (έργα, υπηρεσίες) – 103.977 εταιρείες.
  • την τοποθέτηση παραγγελιών για τα αγαθά (εργασία, υπηρεσίες) που είναι απαραίτητα για τον οργανισμό (εξαιρουμένων των παραγγελιών που αποστέλλονται μέσω ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ) – 95.207 εταιρείες;
  • πληρωμή για παρεχόμενα αγαθά (έργα, υπηρεσίες) – 89.279.
  • παραλαβή ηλεκτρονικών προϊόντων – 62.940 εταιρείες.

Από τον συνολικό αριθμό των εταιρειών που χρησιμοποιούν το Διαδίκτυο για να επικοινωνούν με τους καταναλωτές, ο σκοπός χρήσης ανέφερε:

  • παροχή πληροφοριών για τον οργανισμό, τα αγαθά του (έργα, υπηρεσίες) - 101.059 εταιρείες.
  • (έργα, υπηρεσίες) (εξαιρουμένων των παραγγελιών που αποστέλλονται μέσω email) – 44.193 εταιρείες.
  • υλοποίηση ηλεκτρονικών πληρωμών με καταναλωτές – 51.210 εταιρείες.
  • διανομή ηλεκτρονικών προϊόντων – 12.566 εταιρείες.
  • εξυπηρέτηση μετά την πώληση (service) – 13.580 εταιρείες.

Όγκος και δυναμική των προϋπολογισμών των ομοσπονδιακών εκτελεστικών αρχών για την τεχνολογία πληροφοριών το 2016-2017.

Σύμφωνα με το Ομοσπονδιακό Υπουργείο Οικονομικών, ο συνολικός όγκος των ορίων των δημοσιονομικών υποχρεώσεων για το 2017, που κοινοποιήθηκε στις ομοσπονδιακές εκτελεστικές αρχές (εφεξής καλούμενες ως ομοσπονδιακή εκτελεστική αρχή) σύμφωνα με τον κωδικό τύπου δαπανών 242 «Αγορά αγαθών, έργων, υπηρεσιών επιτόπου τεχνολογιών πληροφοριών και επικοινωνιών» όσον αφορά πληροφορίες που δεν αποτελούν κρατικό μυστικό, την 1η Αυγούστου 2017 ανήλθαν σε 115,2 δισεκατομμύρια ρούβλια, ποσό που είναι περίπου 5,1% υψηλότερο από τον συνολικό προϋπολογισμό για την τεχνολογία πληροφοριών των ομοσπονδιακών εκτελεστικών αρχών το 2016 (109,6 δισεκατομμύρια ρούβλια, σύμφωνα με το Υπουργείο Τηλεπικοινωνιών και Μαζικών Επικοινωνιών). Έτσι, ενώ ο συνολικός όγκος των προϋπολογισμών πληροφορικής των ομοσπονδιακών τμημάτων συνεχίζει να αυξάνεται από έτος σε έτος, ο ρυθμός ανάπτυξης έχει μειωθεί (το 2016, ο συνολικός όγκος των προϋπολογισμών πληροφορικής αυξήθηκε κατά 8,3% σε σύγκριση με το 2015). Εν Υπάρχει μια αυξανόμενη διαστρωμάτωση μεταξύ «πλούσιων» και «φτωχών» όσον αφορά τις δαπάνες των τμημάτων για την τεχνολογία πληροφοριών και επικοινωνιών.Ο αδιαμφισβήτητος ηγέτης όχι μόνο ως προς το μέγεθος του προϋπολογισμού, αλλά και ως προς τα επιτεύγματα στον τομέα της πληροφορικής είναι η Ομοσπονδιακή Φορολογική Υπηρεσία. Ο προϋπολογισμός της για τις ΤΠΕ φέτος είναι πάνω από 17,6 δισεκατομμύρια ρούβλια, που είναι περισσότερο από το 15% του προϋπολογισμού όλων των ομοσπονδιακών εκτελεστικών αρχών. Το συνολικό μερίδιο της πρώτης πεντάδας (Ομοσπονδιακή Φορολογική Υπηρεσία, Ταμείο Συντάξεων της Ρωσικής Ομοσπονδίας, Υπουργείο Οικονομικών, Υπουργείο Εσωτερικών, Υπουργείο Τηλεπικοινωνιών και Μαζικών Επικοινωνιών) είναι περισσότερο από 53%.

Ρύζι. 5. Διάρθρωση των δαπανών του προϋπολογισμού για την αγορά αγαθών, έργων και υπηρεσιών στον τομέα των τεχνολογιών πληροφοριών και επικοινωνιών από ομοσπονδιακές εκτελεστικές αρχές το 2017, %

Νομοθετική ρύθμιση στον τομέα προμήθειας λογισμικού για κρατικές και δημοτικές ανάγκες

Από την 1η Ιανουαρίου 2016, όλοι οι κρατικοί και δημοτικοί φορείς, οι κρατικές εταιρείες Rosatom και Roscosmos, φορείς διαχείρισης κρατικών εξωδημοσιονομικών κεφαλαίων, καθώς και κρατικοί και δημοσιονομικοί οργανισμοί που πραγματοποιούν προμήθειες σύμφωνα με τις απαιτήσεις του ομοσπονδιακού νόμου της 5ης Απριλίου 2013 Αρ. 44 -FZ «Σχετικά με το σύστημα συμβάσεων στον τομέα των προμηθειών αγαθών, έργων, υπηρεσιών για την κάλυψη κρατικών και δημοτικών αναγκών», υποχρεούνται να συμμορφώνονται με την απαγόρευση εισαγωγής λογισμικού που προέρχεται από ξένες χώρες για σκοπούς προμήθειας για την κάλυψη κρατικών και δημοτικών αναγκών. Η απαγόρευση εισήχθη με το Διάταγμα της Κυβέρνησης της Ρωσικής Ομοσπονδίας της 16ης Νοεμβρίου 2015 αριθ. Κατά την αγορά λογισμικού, οι παραπάνω πελάτες πρέπει να αναφέρουν απευθείας στην ειδοποίηση αγοράς την απαγόρευση αγοράς εισαγόμενου λογισμικού. Η απαγόρευση ισχύει για την αγορά λογισμικού για ηλεκτρονικά Υπολογιστέςκαι βάσεις δεδομένων που υλοποιούνται ανεξάρτητα από το είδος της σύμβασης σε ένα απτό μέσο και (ή) σε σε ηλεκτρονική μορφήμέσω καναλιών επικοινωνίας, καθώς και αποκλειστικά δικαιώματα σε τέτοιο λογισμικό και δικαιώματα χρήσης αυτού του λογισμικού.

Υπάρχουν αρκετές εξαιρέσεις όταν επιτρέπεται η αγορά εισαγόμενου λογισμικού από πελάτες.

  • προμήθεια λογισμικού και (ή) δικαιωμάτων σε αυτό από διπλωματικές αποστολές και προξενικά γραφεία Ρωσική Ομοσπονδία, εμπορικές αποστολές της Ρωσικής Ομοσπονδίας σε διεθνείς οργανισμούς για να εξασφαλίσουν τις δραστηριότητές τους στην επικράτεια ξένου κράτους.
  • προμήθεια λογισμικού και (ή) δικαιωμάτων σε αυτό, πληροφορίες σχετικά με τα οποία και (ή) η αγορά του οποίου αποτελεί κρατικό μυστικό.

Σε όλες τις άλλες περιπτώσεις, ο πελάτης θα πρέπει να εργαστεί με ένα μόνο μητρώο πριν αγοράσει λογισμικό Ρωσικά προγράμματαγια ηλεκτρονικούς υπολογιστές και βάσεις δεδομένων και ταξινομητή προγραμμάτων για ηλεκτρονικούς υπολογιστές και βάσεις δεδομένων.
Ο σχηματισμός και η τήρηση του μητρώου ως εξουσιοδοτημένου ομοσπονδιακού εκτελεστικού οργάνου πραγματοποιείται από το Υπουργείο Τηλεπικοινωνιών και Μαζικών Επικοινωνιών της Ρωσίας.
Στα τέλη Αυγούστου 2017, το μητρώο περιλάμβανε 343 προϊόντα λογισμικού που ανήκουν στην κατηγορία των «εργαλείων ασφάλειας πληροφοριών» από 98 ρωσικές εταιρείες ανάπτυξης.Μεταξύ αυτών είναι προϊόντα λογισμικού από τόσο μεγάλους Ρώσους προγραμματιστές όπως:

  • OJSC «Τεχνολογίες Πληροφορικής και Συστήματα Επικοινωνίας» («InfoTeKS») – 37 προϊόντα λογισμικού.
  • JSC Kaspersky Lab - 25 προϊόντα λογισμικού.
  • Security Code LLC - 19 προϊόντα λογισμικού.
  • Crypto-Pro LLC - 18 προϊόντα λογισμικού.
  • Doctor WEB LLC - 12 προϊόντα λογισμικού.
  • S-Terra CSP LLC - 12 προϊόντα λογισμικού.
  • CJSC "Aladdin R.D." — 8 προϊόντα λογισμικού.
  • JSC "Infowatch" - 6 προϊόντα λογισμικού.

Ανάλυση των δραστηριοτήτων των μεγαλύτερων παικτών στον τομέα της ασφάλειας πληροφοριών

  • Ως βασικές πληροφορίες για την ανάλυση των δραστηριοτήτων των μεγαλύτερων παικτών στην αγορά ασφάλειας πληροφοριών για προετοιμασία αυτή η μελέτηχρησιμοποιήθηκαν πληροφορίες σχετικά με τις δημόσιες συμβάσεις στον τομέα των δραστηριοτήτων πληροφόρησης και επικοινωνίας και, ειδικότερα, για την ασφάλεια των πληροφοριών.

Για να αναλύσουμε τις τάσεις, επιλέξαμε 18 εταιρείες που είναι μεταξύ των κορυφαίων στην αγορά ασφάλειας πληροφοριών και συμμετέχουν ενεργά στις κρατικές προμήθειες. Η λίστα περιλαμβάνει τόσο τους άμεσους προγραμματιστές λογισμικού και συστημάτων ασφαλείας υλικού και λογισμικού, όσο και τους μεγαλύτερους ολοκληρωμένων συστημάτων. Τα συνολικά έσοδα αυτών των εταιρειών το 2016 ανήλθαν σε 162,3 δισεκατομμύρια ρούβλια, υπερβαίνοντας το ποσοστό του 2015 κατά 8,7%.
Ακολουθεί μια λίστα με τις εταιρείες που επιλέχθηκαν για τη μελέτη.

Τραπέζι 1. Εταιρείες που επιλέχθηκαν για τη μελέτη

Ονομα ΚΑΣΣΙΤΕΡΟΣ Τύπος δραστηριότητας (OKVED 2014)
1 "I-Teco" JSC 7736227885 Δραστηριότητες που σχετίζονται με τη χρήση της τεχνολογίας των υπολογιστών και Τεχνολογίες πληροφορικής, άλλο (62.09)
2 Croc Incorporated, JSC 7701004101
3 "Informzashita", CJSC NIP 7702148410 Έρευνα και ανάπτυξη στον τομέα των κοινωνικών και ανθρωπιστικών επιστημών (72.20)
4 «Softline Trade», JSC 7736227885
5 "Technoserv AS", LLC 7722286471 Χονδρικό εμπόριο λοιπών μηχανημάτων και εξοπλισμού (46.69)
6 «Elvis-plus», JSC 7735003794
7 «Αστέρος» Α.Ε 7721163646 Χονδρικό εμπόριο ηλεκτρονικών υπολογιστών, περιφερειακές συσκευέςσε υπολογιστές και λογισμικό (46.51
8 "Aquarius Production Company", LLC 7701256405
9 Lanit, CJSC 7727004113 Χονδρικό εμπόριο άλλων μηχανημάτων και εξοπλισμού γραφείου (46.66)
10 Jet Infosystems, JSC 7729058675 Χονδρικό εμπόριο ηλεκτρονικών υπολογιστών, περιφερειακών συσκευών για υπολογιστές και λογισμικού (46.51)
11 «Διαλογναύκα», JSC 7701102564 Ανάπτυξη λογισμικού υπολογιστών (62.01)
12 "Factor-TS", LLC 7716032944 Παραγωγή ηλεκτρονικών υπολογιστών και περιφερειακού εξοπλισμού (26.20)
13 «InfoTeKS», JSC 7710013769 Ανάπτυξη λογισμικού υπολογιστών (62.01)
14 "Ural Center for Security Systems", LLC 6672235068 Δραστηριότητες στον τομέα της αρχιτεκτονικής, της μηχανικής και των τεχνικών συμβουλών σε αυτούς τους τομείς (71.1)
15 «ICL-KPO VS», JSC 1660014361 Ανάπτυξη λογισμικού υπολογιστών (62.01)
16 NVision Group, JSC 7703282175 Μη εξειδικευμένο χονδρικό εμπόριο (46,90)
17 "Confidential-Integration", LLC 7811512250 Δραστηριότητες επεξεργασίας δεδομένων, παροχή υπηρεσιών φιλοξενίας και συναφείς δραστηριότητες (63.11)
18 "Kaluga Astral", JSC 4029017981 Συμβουλευτικές δραστηριότητες και εργασίες στον τομέα της τεχνολογίας υπολογιστών (62.02

Στα τέλη Οκτωβρίου 2017, οι εταιρείες από το παρουσιαζόμενο δείγμα συνήψαν 1.034 συμβάσεις με κυβερνητικές υπηρεσίες ύψους 24,6 δισεκατομμυρίων ρούβλια. Κορυφαίος μέσα αυτή τη λίσταόσον αφορά τον όγκο των συμβάσεων που έχουν συναφθεί, η εταιρεία I-Teco έχει 74 συμβάσεις αξίας 7,5 δισεκατομμυρίων ρούβλια.
Τα τελευταία χρόνια, με εξαίρεση τη χρονιά της κρίσης του 2014, διαπιστώνεται σταθερή αύξηση του συνολικού όγκου των συμβάσεων για τις επιλεγμένες εταιρείες. Η πιο σημαντική δυναμική σημειώθηκε την περίοδο 2015-2016. Έτσι, το 2015, σημειώθηκε αύξηση του όγκου των συμβάσεων κατά περισσότερο από 3,5 φορές, το 2016 - κατά 1,5 φορές. Σύμφωνα με τα διαθέσιμα στοιχεία για τις συμβατικές δραστηριότητες των εταιρειών για την περίοδο Ιανουαρίου-Οκτωβρίου 2017, μπορεί να υποτεθεί ότι το 2017 ο συνολικός όγκος των συμβάσεων με κρατικούς φορείς θα είναι περίπου 37-38 δισεκατομμύρια ρούβλια, δηλαδή μείωση περίπου 40 % αναμένεται.

Όπως έχει ήδη σημειωθεί, η ασφάλεια μιας επιχείρησης διασφαλίζεται από ένα σύνολο μέτρων σε όλα τα στάδια του κύκλου ζωής της, το σύστημα πληροφοριών της και, γενικά, αποτελείται από το κόστος:

  • - εργασίες σχεδιασμού.
  • - προμήθεια και διαμόρφωση εργαλείων προστασίας λογισμικού και υλικού·
  • - δαπάνες για την εξασφάλιση φυσικής ασφάλειας.
  • - εκπαίδευση προσωπικού·
  • - διαχείριση και υποστήριξη συστήματος·
  • - έλεγχος ασφάλειας πληροφοριών·
  • - περιοδικός εκσυγχρονισμός του συστήματος ασφάλειας πληροφοριών κ.λπ.

Ο δείκτης κόστους της οικονομικής απόδοσης ενός ολοκληρωμένου συστήματος ασφάλειας πληροφοριών θα είναι το άθροισμα των άμεσων και έμμεσων δαπανών για την οργάνωση, λειτουργία και συντήρηση του συστήματος ασφάλειας πληροφοριών καθ' όλη τη διάρκεια του έτους.

Μπορεί να θεωρηθεί ως βασικός ποσοτικός δείκτης της αποτελεσματικότητας της οργάνωσης ασφάλειας πληροφοριών σε μια εταιρεία, καθώς θα επιτρέψει όχι μόνο την εκτίμηση του συνολικού κόστους προστασίας, αλλά και τη διαχείριση αυτών των δαπανών για την επίτευξη του απαιτούμενου επιπέδου ασφάλειας της επιχείρησης. Ωστόσο, το άμεσο κόστος περιλαμβάνει τόσο τις συνιστώσες του κόστους κεφαλαίου όσο και το κόστος εργασίας, που περιλαμβάνονται στις κατηγορίες λειτουργιών και διοικητικής διαχείρισης. Αυτό περιλαμβάνει επίσης κόστος για υπηρεσίες απομακρυσμένων χρηστών κ.λπ., που σχετίζονται με την υποστήριξη των δραστηριοτήτων του οργανισμού.

Το έμμεσο κόστος, με τη σειρά του, αντικατοπτρίζει τον αντίκτυπο του ολοκληρωμένου συστήματος ασφάλειας και του υποσυστήματος ασφάλειας πληροφοριών στους εργαζομένους μέσω μετρήσιμων δεικτών όπως ο χρόνος διακοπής λειτουργίας και το πάγωμα του εταιρικού συστήματος ασφάλειας πληροφοριών και του ολοκληρωμένου συστήματος ασφαλείας στο σύνολό του, λειτουργιών και κόστους υποστήριξης.

Πολύ συχνά, τα έμμεσα κόστη παίζουν σημαντικό ρόλο, καθώς συνήθως δεν αντανακλώνται αρχικά στον προϋπολογισμό για ένα ολοκληρωμένο σύστημα ασφαλείας, αλλά αποκαλύπτονται ρητά κατά την ανάλυση κόστους αργότερα, γεγονός που οδηγεί τελικά σε αύξηση του «κρυφού» κόστους της εταιρείας. Ας εξετάσουμε πώς μπορείτε να προσδιορίσετε το άμεσο και έμμεσο κόστος ενός ολοκληρωμένου συστήματος ασφαλείας. Ας υποθέσουμε ότι η διοίκηση μιας επιχείρησης εργάζεται για την εφαρμογή ενός ολοκληρωμένου συστήματος ασφάλειας πληροφοριών στην επιχείρηση. Τα αντικείμενα και οι στόχοι προστασίας, οι απειλές για την ασφάλεια των πληροφοριών και τα μέτρα αντιμετώπισής τους έχουν ήδη εντοπιστεί, έχουν αγοραστεί και εγκατασταθεί τα απαραίτητα μέσα προστασίας των πληροφοριών.

Συνήθως, το κόστος ασφάλειας πληροφοριών εμπίπτει στις ακόλουθες κατηγορίες:

  • - δαπάνες για τη δημιουργία και τη συντήρηση του συνδέσμου διαχείρισης συστημάτων ασφάλειας πληροφοριών·
  • - κόστος ελέγχου, δηλαδή προσδιορισμού και επιβεβαίωσης του επιτυγχανόμενου επιπέδου ασφάλειας των πόρων της επιχείρησης.
  • - εσωτερικά κόστη για την εξάλειψη των συνεπειών μιας παραβίασης της ασφάλειας πληροφοριών - δαπάνες που επιβαρύνουν τον οργανισμό ως αποτέλεσμα του γεγονότος ότι δεν επιτεύχθηκε το απαιτούμενο επίπεδο ασφάλειας.
  • - Εξωτερικό κόστος για την εξάλειψη των συνεπειών παραβίασης της ασφάλειας πληροφοριών - αποζημίωση για απώλειες λόγω παραβιάσεων της πολιτικής ασφάλειας σε περιπτώσεις που σχετίζονται με διαρροή πληροφοριών, απώλεια της εικόνας της εταιρείας, απώλεια εμπιστοσύνης συνεργατών και καταναλωτών κ.λπ.
  • - κόστος συντήρησης του συστήματος ασφάλειας πληροφοριών και μέτρα για την πρόληψη παραβιάσεων της πολιτικής ασφάλειας των επιχειρήσεων.

Στην περίπτωση αυτή, συνήθως διακρίνονται τα εφάπαξ και τα συστηματικά κόστη.

Εφάπαξ κόστος για τη δημιουργία εταιρικής ασφάλειας: οργανωτικές δαπάνες και δαπάνες για την απόκτηση και εγκατάσταση προστατευτικού εξοπλισμού.

Συστηματικό, λειτουργικό και κόστος συντήρησης. Η ταξινόμηση των δαπανών είναι υπό όρους, καθώς η συλλογή, ταξινόμηση και ανάλυση του κόστους για την ασφάλεια των πληροφοριών είναι εσωτερικές δραστηριότητες των επιχειρήσεων και η λεπτομερής ανάπτυξη του καταλόγου εξαρτάται από τα χαρακτηριστικά ενός συγκεκριμένου οργανισμού.

Το κύριο πράγμα κατά τον προσδιορισμό του κόστους ενός συστήματος ασφαλείας είναι η αμοιβαία κατανόηση και συμφωνία για τα στοιχεία κόστους εντός της επιχείρησης.

Επιπλέον, οι κατηγορίες κόστους θα πρέπει να είναι συνεπείς και να μην αλληλοεπικαλύπτονται. Είναι αδύνατο να εξαλειφθούν πλήρως τα κόστη ασφαλείας, αλλά μπορούν να μειωθούν σε αποδεκτό επίπεδο.

Ορισμένα κόστη ασφαλείας είναι απολύτως απαραίτητα και μερικά μπορούν να μειωθούν σημαντικά ή να εξαλειφθούν. Οι τελευταίες είναι αυτές που μπορεί να εξαφανιστούν ελλείψει παραβιάσεων ασφάλειας ή θα μειωθούν εάν μειωθεί ο αριθμός και ο καταστροφικός αντίκτυπος των παραβιάσεων.

Διατηρώντας την ασφάλεια και αποτρέποντας τις παραβιάσεις, τα ακόλουθα κόστη μπορούν να εξαλειφθούν ή να μειωθούν σημαντικά:

  • - να αποκαταστήσει το σύστημα ασφαλείας ώστε να πληροί τις απαιτήσεις ασφαλείας.
  • - για την αποκατάσταση των πόρων του περιβάλλοντος πληροφοριών της επιχείρησης.
  • - για αλλαγές στο σύστημα ασφαλείας·
  • - για δικαστικές διαφορές και πληρωμές αποζημιώσεων·
  • - να εντοπίσει τα αίτια των παραβιάσεων της ασφάλειας.

Απαραίτητα κόστη είναι αυτά που είναι απαραίτητα ακόμη και αν το επίπεδο των απειλών για την ασφάλεια είναι αρκετά χαμηλό. Αυτά είναι τα κόστη διατήρησης του επιτυγχανόμενου επιπέδου ασφάλειας του επιχειρηματικού περιβάλλοντος πληροφοριών.

Το αναπόφευκτο κόστος μπορεί να περιλαμβάνει:

  • α) συντήρηση τεχνικού προστατευτικού εξοπλισμού·
  • β) διαχείριση εμπιστευτικών αρχείων.
  • γ) λειτουργία και έλεγχος του συστήματος ασφαλείας.
  • δ) ελάχιστο επίπεδο επιθεωρήσεων και ελέγχου με τη συμμετοχή εξειδικευμένων οργανισμών.
  • ε) εκπαίδευση του προσωπικού σε μεθόδους ασφάλειας πληροφοριών.

Ωστόσο, υπάρχουν και άλλα κόστη που είναι αρκετά δύσκολο να προσδιοριστούν. Ανάμεσα τους:

  • α) το κόστος διεξαγωγής πρόσθετης έρευνας και ανάπτυξης νέας στρατηγικής αγοράς·
  • β) ζημίες από τη μείωση της προτεραιότητας στην επιστημονική έρευνα και την αδυναμία κατοχύρωσης και πώλησης αδειών για επιστημονικά και τεχνικά επιτεύγματα·
  • γ) κόστος που σχετίζεται με την εξάλειψη των σημείων συμφόρησης στην προμήθεια, παραγωγή και εμπορία προϊόντων·
  • δ) ζημίες από παραβίαση προϊόντων που κατασκευάζει η επιχείρηση και μείωση των τιμών για αυτά·
  • ε) την εμφάνιση δυσκολιών στην απόκτηση εξοπλισμού ή τεχνολογιών, συμπεριλαμβανομένης της αύξησης των τιμών για αυτά, περιορίζοντας τον όγκο των προμηθειών.

Το αναγραφόμενο κόστος μπορεί να προκληθεί από τις ενέργειες του προσωπικού διαφόρων τμημάτων, για παράδειγμα, σχεδιασμός, τεχνολογικός, οικονομικός σχεδιασμός, νομικός, οικονομικός, μάρκετινγκ, τιμολογιακή πολιτική και τιμολόγηση.

Δεδομένου ότι οι υπάλληλοι όλων αυτών των τμημάτων είναι απίθανο να είναι απασχολημένοι με πλήρη απασχόληση με θέματα εξωτερικών απωλειών, ο καθορισμός του ποσού των δαπανών πρέπει να πραγματοποιείται λαμβάνοντας υπόψη τον πραγματικό χρόνο που δαπανάται. Ένα από τα στοιχεία των εξωτερικών ζημιών δεν μπορεί να υπολογιστεί με ακρίβεια - πρόκειται για ζημίες που σχετίζονται με την υπονόμευση της εικόνας της επιχείρησης, τη μείωση της εμπιστοσύνης των καταναλωτών στα προϊόντα και τις υπηρεσίες της επιχείρησης. Αυτός είναι ο λόγος που πολλές εταιρείες κρύβουν το γεγονός ότι η υπηρεσία τους δεν είναι ασφαλής. Οι εταιρείες φοβούνται τη δημοσιοποίηση τέτοιων πληροφοριών ακόμη περισσότερο από ό,τι φοβούνται επιθέσεις με τη μία ή την άλλη μορφή.

Ωστόσο, πολλές επιχειρήσεις αγνοούν αυτές τις δαπάνες με βάση ότι δεν μπορούν να προσδιοριστούν με κανένα βαθμό ακρίβειας - είναι μόνο εικασίες. Κόστος προληπτικών μέτρων. Αυτά τα κόστη είναι πιθανώς τα πιο δύσκολα να εκτιμηθούν, επειδή οι προληπτικές δραστηριότητες πραγματοποιούνται σε διαφορετικά τμήματα και επηρεάζουν πολλές υπηρεσίες. Αυτά τα κόστη μπορούν να εμφανιστούν σε όλα τα στάδια του κύκλου ζωής των πόρων του εταιρικού περιβάλλοντος πληροφοριών:

  • - Σχεδιασμός και οργάνωση·
  • - απόκτηση και θέση σε λειτουργία·
  • - παράδοση και υποστήριξη·
  • - παρακολούθηση των διαδικασιών που συνθέτουν την τεχνολογία της πληροφορίας.

Επιπλέον, το μεγαλύτερο μέρος του κόστους αυτής της κατηγορίας σχετίζεται με το προσωπικό ασφαλείας. Το κόστος πρόληψης περιλαμβάνει κυρίως μισθούς και γενικά έξοδα. Ωστόσο, η ακρίβεια του προσδιορισμού τους εξαρτάται σε μεγάλο βαθμό από την ακρίβεια του προσδιορισμού του χρόνου που αφιερώνει ο κάθε εργαζόμενος ξεχωριστά. Ορισμένα προληπτικά κόστη είναι εύκολο να προσδιοριστούν άμεσα. Μπορούν, ειδικότερα, να περιλαμβάνουν πληρωμή για διάφορα έργα τρίτων, για παράδειγμα:

  • - συντήρηση και διαμόρφωση εργαλείων προστασίας λογισμικού και υλικού, λειτουργικών συστημάτων και εξοπλισμού δικτύου που χρησιμοποιείται·
  • - εκτέλεση μηχανικών και τεχνικών εργασιών για την εγκατάσταση συστημάτων συναγερμού, τον εξοπλισμό αποθήκευσης εμπιστευτικών εγγράφων, την προστασία τηλεφωνικές γραμμέςεπικοινωνίες, εξοπλισμός υπολογιστών, κ.λπ.
  • - παράδοση εμπιστευτικών πληροφοριών·
  • - διαβουλεύσεις·
  • - μαθήματα κατάρτισης.

Πηγές πληροφοριών σχετικά με το εξεταζόμενο κόστος. Κατά τον προσδιορισμό του κόστους παροχής ασφάλειας πληροφοριών, είναι απαραίτητο να θυμάστε ότι:

  • - το κόστος για την απόκτηση και τη θέση σε λειτουργία λογισμικού και υλικού μπορεί να ληφθεί από την ανάλυση τιμολογίων, εγγραφών στην τεκμηρίωση της αποθήκης κ.λπ.
  • - οι πληρωμές στο προσωπικό μπορούν να λαμβάνονται από καταστάσεις.
  • - όγκοι πληρωμών μισθοίθα πρέπει να λαμβάνεται υπόψη ο πραγματικός χρόνος που δαπανάται για την εκτέλεση εργασιών για τη διασφάλιση της ασφάλειας των πληροφοριών· εάν μόνο μέρος του χρόνου ενός εργαζομένου αφιερώνεται σε δραστηριότητες για τη διασφάλιση της ασφάλειας των πληροφοριών, τότε η σκοπιμότητα αξιολόγησης καθενός από τα στοιχεία της δαπάνης του χρόνου του δεν πρέπει να αμφισβητείται.
  • - η ταξινόμηση των δαπανών ασφαλείας και η κατανομή τους μεταξύ στοιχείων πρέπει να αποτελούν μέρος της καθημερινής εργασίας εντός της επιχείρησης.