هزینه های امنیت اطلاعات شرکت امنیت اطلاعات در صنایع هزینه های سازمانی در زمینه فناوری اطلاعات و ارتباطات

آنها در فناوری‌های مختلف امنیت رایانه سرمایه‌گذاری می‌کنند - از پلتفرم‌هایی برای پرداخت پاداش برای شناسایی آسیب‌پذیری‌ها در برنامه‌ها تا تشخیص و آزمایش خودکار برنامه‌ها. اما بیشتر از همه آنها جذب فناوری های مدیریت اطلاعات هویت و احراز هویت می شوند - حدود 900 میلیون دلار در استارتاپ هایی که در پایان سال 2019 با این فناوری ها سروکار دارند سرمایه گذاری شد.

سرمایه‌گذاری در استارت‌آپ‌های آموزش امنیت سایبری در سال ۲۰۱۹ به ۴۱۸ میلیون دلار رسید که رهبری آن توسط KnowBe4، ۳۰۰ میلیون دلار جمع‌آوری کرد. این استارت‌آپ یک پلت فرم شبیه‌سازی حملات فیشینگ و طیف وسیعی از برنامه‌های آموزشی را ارائه می‌دهد.

در سال 2019، شرکت‌های مرتبط با امنیت اینترنت اشیا حدود 412 میلیون دلار دریافت کردند. پیشرو در این رده از نظر حجم سرمایه گذاری SentinelOne است که در سال 2019 مبلغ 120 میلیون دلار برای توسعه فناوری های محافظت از نقطه پایانی دریافت کرد.

در همان زمان، تحلیلگران Metacurity داده‌های دیگری را ارائه می‌کنند که وضعیت بازار تامین مالی خطرپذیر در بخش امنیت اطلاعات را مشخص می‌کند. در سال 2019، حجم سرمایه گذاری در اینجا به 6.57 میلیارد دلار رسید که از 3.88 میلیارد دلار در سال 2018 افزایش یافته است. تعداد تراکنش ها نیز افزایش یافت - از 133 به 219. در همان زمان، میانگین حجم سرمایه گذاری در هر تراکنش تقریباً بدون تغییر باقی ماند و در پایان سال 2019 به 29.2 میلیون رسید که توسط Metacurity محاسبه شده است.

2018

رشد 9 درصدی به 37 میلیارد دلار - Canalys

در سال 2018، فروش تجهیزات، نرم افزارو خدمات در نظر گرفته شده برای امنیت اطلاعات (IS) به 37 میلیارد دلار رسیده است که نسبت به سال گذشته (34 میلیارد دلار) 9 درصد افزایش داشته است. چنین داده هایی توسط تحلیلگران Canalys در 28 مارس 2019 منتشر شد.

آنها گفتند با وجود اینکه بسیاری از شرکت ها حفاظت از دارایی ها، داده ها، نقاط پایانی، شبکه ها، کارمندان و مشتریان خود را در اولویت قرار می دهند، امنیت سایبری تنها 2 درصد از کل هزینه های فناوری اطلاعات در سال 2018 را به خود اختصاص داده است. با این حال، تهدیدهای جدید بیشتر و بیشتری در حال ظهور هستند، آنها پیچیده تر و متداول تر می شوند، که به تولید کنندگان راه حل های امنیت اطلاعات فرصت های جدیدی برای رشد می دهد. انتظار می رود مجموع هزینه های امنیت سایبری در سال 2020 از 42 میلیارد دلار فراتر رود.

متیو بال، تحلیلگر Canalys معتقد است که انتقال به مدل های جدید پیاده سازی امنیت اطلاعات تسریع خواهد شد. مشتریان ماهیت بودجه فناوری اطلاعات خود را با استفاده از خدمات ابر عمومی و خدمات مبتنی بر اشتراک انعطاف پذیر تغییر می دهند.

حدود 82 درصد از استقرار امنیت اطلاعات در سال 2018 شامل استفاده از سخت افزار و نرم افزار سنتی بود. در 18 درصد بقیه موارد، از مجازی سازی، ابرهای عمومی و خدمات امنیت اطلاعات استفاده شد.

تا سال 2020، با افزایش محبوبیت راه حل های جدید در بازار، سهم مدل های سنتی برای استقرار سیستم های امنیت اطلاعات به 70 درصد کاهش می یابد.

تامین کنندگان باید طیف گسترده ای از مدل های کسب و کار را برای حمایت از این انتقال ایجاد کنند زیرا محصولات مختلف با هم متفاوت هستند انواع متفاوتاستقرارها چالش اصلی بسیاری از افراد امروزه این است که مدل های جدید را بیشتر بر کانال های وابسته متمرکز کنند و آنها را با مدل های موجود ادغام کنند. برنامه های وابستهبه خصوص در مورد معاملات مشتری از طریق پلتفرم های ابری. متیو بال در پستی در 29 مارس 2019 گزارش داد که برخی از بازارهای ابری قبلاً با اجازه دادن به شرکای خود برای ارائه پیشنهادات و قیمت‌های متناسب با ردیابی ثبت نام معاملات و تخفیف‌ها، به این امر پاسخ داده‌اند.

به گفته کتکی بوراد، تحلیلگر Canalys، فروشندگان پیشرو فناوری امنیت سایبری مدل‌های توزیع محصول جدیدی را معرفی کرده‌اند که شامل حرکت شرکت‌ها به مدل اشتراک و افزایش عملیات در زیرساخت ابری است.


بازار امنیت سایبری بسیار پویا باقی ماند و شاهد فعالیت و حجم معاملات بی سابقه در پاسخ به قوانین و مقررات رو به رشد بود. الزامات فنیاریک مک آلپاین، موسس و شریک مدیریت Momentum Cyber ​​می‌گوید، و همچنین خطر گسترده نقض داده‌ها ادامه دارد. ما بر این باوریم که این حرکت به سمت سوق دادن بخش به قلمروی جدید ادامه خواهد داد، زیرا به دنبال مقابله با تهدیدهای نوظهور و تحکیم در مواجهه با خستگی تامین کنندگان و کمبود مهارت های فزاینده است.

2017

هزینه های امنیت سایبری بیش از 100 میلیارد دلار است

شرکت تحقیقاتی گارتنر در اواسط آگوست 2018 اعلام کرد در سال 2017، هزینه های جهانی برای امنیت اطلاعات (IS) - محصولات و خدمات - به 101.5 میلیارد دلار رسید. در پایان سال 2017 کارشناسان این بازار را 89.13 میلیارد دلار تخمین زدند که علت افزایش قابل توجه ارزش گذاری گزارش نشده است.

سیدارث دشپاند، مدیر تحقیقات گارتنر، می گوید که CISO ها به دنبال کمک به سازمان های خود هستند که به طور ایمن از پلت فرم های فناوری استفاده کنند تا رقابتی تر شوند و رشد کسب و کار را هدایت کنند. - تداوم کمبود مهارت ها و تغییرات نظارتی مانند مقررات عمومی حفاظت از داده ها (GDPR) در اروپا باعث رشد بیشتر در بازار خدمات امنیت سایبری می شود.

کارشناسان معتقدند یکی از عوامل کلیدی در افزایش هزینه‌های امنیت اطلاعات، معرفی روش‌های جدید شناسایی و پاسخگویی به تهدیدات است که در سال ۲۰۱۸ به اولویت‌های امنیتی سازمان‌ها تبدیل شد.

طبق برآوردهای گارتنر، در سال 2017، سازمان‌ها برای خدمات حفاظت سایبری در سطح جهان بیش از 52.3 میلیارد دلار هزینه کردند و در سال 2018، این هزینه‌ها به 58.9 میلیارد دلار افزایش خواهد یافت.

در سال 2017، شرکت ها 2.4 میلیارد دلار برای محافظت از برنامه ها، 2.6 میلیارد دلار برای حفاظت از داده ها هزینه کردند. خدمات ابری- 185 میلیون دلار

فروش سالانه راهکارهای مدیریت هویت و دسترسی (Identity And Access Management) برابر با 8.8 میلیارد دلار بوده است. فروش ابزارهای حفاظت از زیرساخت فناوری اطلاعات به 12.6 میلیارد دلار افزایش یافته است.

این مطالعه همچنین به هزینه 10.9 میلیارد دلاری برای تجهیزات مورد استفاده برای تامین امنیت شبکه اشاره می کند. تولیدکنندگان آنها 3.9 میلیارد دلار از سیستم های مدیریت ریسک امنیت اطلاعات کسب کردند.

بر اساس مطالعه گارتنر، هزینه های امنیت سایبری مصرف کننده برای سال 2017 توسط تحلیلگران 5.9 میلیارد دلار برآورد شده است.

گارتنر اندازه بازار را 89.13 میلیارد دلار تخمین زد

در دسامبر 2017 مشخص شد که هزینه شرکت های جهانی برای امنیت اطلاعات (IS) در سال 2017 بالغ بر 89.13 میلیارد دلار خواهد بود. به گفته گارتنر، هزینه شرکت ها در امنیت سایبری تقریباً 7 میلیارد دلار از مبلغ 82.2 میلیارد دلار در سال 2016 فراتر خواهد رفت.

کارشناسان خدمات امنیت اطلاعات را بزرگترین اقلام هزینه می دانند: در سال 2017، شرکت ها بیش از 53 میلیارد دلار برای این اهداف در مقایسه با 48.8 میلیارد دلار در سال 2016 اختصاص خواهند داد. دومین بخش بزرگ بازار امنیت اطلاعات، راه حل های حفاظت از زیرساخت است که هزینه های آن در سال 2017 به جای 15.2 میلیارد دلار در سال گذشته به 16.2 میلیارد دلار خواهد رسید. تجهیزات امنیتی شبکه در جایگاه سوم قرار دارند (10.93 میلیارد دلار).

ساختار هزینه های امنیت اطلاعات همچنین شامل نرم افزار مصرف کننده برای امنیت اطلاعات و سیستم های شناسایی و مدیریت دسترسی (Identity and Access Management, IAM) می شود. گارتنر هزینه های این مناطق را در سال 2017 4.64 میلیارد دلار و 4.3 میلیارد دلار برآورد می کند، در حالی که در سال 2016 این ارقام به ترتیب 4.57 و 3.9 میلیارد دلار بود.

تحلیلگران انتظار رشد بیشتر در بازار امنیت اطلاعات را دارند: در سال 2018، سازمان ها هزینه های حفاظت سایبری را تا 8 درصد دیگر افزایش خواهند داد و در مجموع 96.3 میلیارد دلار برای این اهداف اختصاص خواهند داد. در میان عوامل رشد، کارشناسان تغییر مقررات در بخش امنیت اطلاعات و آگاهی از تهدیدات جدید و محور شرکت ها به یک استراتژی کسب و کار دیجیتال.

روگرو کانتو، مدیر تحقیقات گارتنر، در مورد این پیش‌بینی می‌گوید: به‌طور کلی، هزینه‌های مربوط به امنیت سایبری عمدتاً ناشی از واکنش شرکت‌ها به حوادث امنیت اطلاعات است، زیرا تعداد حملات سایبری و نشت اطلاعاتی که سازمان‌ها را در سراسر جهان تحت تأثیر قرار می‌دهد در حال افزایش است. .

گفته های این تحلیلگر با داده های به دست آمده توسط گارتنر در سال 2016 در طی یک نظرسنجی شامل 512 سازمان از هشت کشور استرالیا، کانادا، فرانسه، آلمان، هند، سنگاپور و ایالات متحده تایید می شود.

53 درصد از پاسخ دهندگان، خطرات امنیت سایبری را به عنوان نیروی محرکه اصلی افزایش هزینه های امنیت سایبری نام بردند. از این تعداد، بالاترین درصد پاسخ دهندگان گفتند که تهدید حملات سایبری بیشترین تأثیر را بر تصمیمات هزینه های امنیت اطلاعات دارد.

پیش‌بینی گارتنر برای سال 2018 مستلزم افزایش هزینه‌ها در تمام حوزه‌های اصلی است. بنابراین، حدود 57.7 میلیارد دلار (+ 4.65 میلیارد دلار) برای خدمات حفاظت سایبری، حدود 17.5 میلیارد دلار (+ 1.25 میلیارد دلار) برای تضمین امنیت زیرساخت ها و 11.67 میلیارد دلار (+ 735 میلیون دلار) برای نرم افزار مصرف کننده - 4.74 میلیارد دلار هزینه خواهد شد. + 109 میلیون دلار) و برای سیستم های IAM - 4.69 میلیارد دلار (+ 416 میلیون دلار).

تحلیلگران همچنین بر این باورند که تا سال 2020، بیش از 60 درصد سازمان‌ها در جهان به طور همزمان در چندین ابزار حفاظت از داده‌ها از جمله ابزارهای پیشگیری از دست دادن اطلاعات، رمزگذاری و ممیزی سرمایه‌گذاری خواهند کرد. تا پایان سال 2017، سهم شرکت های خریدار چنین راه حل هایی 35 درصد برآورد شد.

یکی دیگر از موارد مهم هزینه های شرکت برای امنیت اطلاعات، مشارکت متخصصان شخص ثالث خواهد بود. پیش بینی می شود که با توجه به کمبود پرسنل در حوزه امنیت سایبری، پیچیدگی فزاینده فنی سیستم های امنیت اطلاعات و افزایش تهدیدات سایبری، هزینه های شرکت برای برون سپاری امنیت اطلاعات در سال 2018 با 11 درصد افزایش به 18.5 میلیارد دلار برسد. .

گارتنر تخمین می‌زند که تا سال 2019، هزینه‌های شرکت‌ها برای کارشناسان امنیت سایبری شخص ثالث، 75 درصد از کل هزینه‌های نرم‌افزار و سخت‌افزار امنیت سایبری را تشکیل می‌دهد که این رقم در سال 2016، 63 درصد بود.

IDC اندازه بازار را 82 میلیارد دلار پیش بینی کرده است

دو سوم هزینه ها از سوی شرکت های بزرگ و بسیار بزرگ تامین خواهد شد. کسب و کار بزرگ. به گفته تحلیلگران IDC، تا سال 2019، هزینه های شرکت هایی با بیش از 1000 کارمند از مرز 50 میلیارد دلار فراتر خواهد رفت.

2016: حجم بازار 73.7 میلیارد دلار، رشد 2 برابر بیشتر از بازار فناوری اطلاعات

در اکتبر 2016، شرکت تحلیلی IDC نتایج مختصری از مطالعه بازار جهانی امنیت اطلاعات ارائه کرد. انتظار می رود رشد آن دو برابر بازار فناوری اطلاعات باشد.

IDC محاسبه کرده است که فروش جهانی تجهیزات، نرم‌افزار و خدمات حفاظت سایبری در سال 2016 به حدود 73.7 میلیارد دلار خواهد رسید و در سال 2020 این رقم از 100 میلیارد دلار فراتر خواهد رفت که بالغ بر 101.6 میلیارد دلار است. در بازه زمانی 2016 تا 2020، بازار امنیت اطلاعات - فناوری سالانه با نرخ متوسط ​​8.3 درصد رشد خواهد کرد که دو برابر نرخ رشد مورد انتظار صنعت فناوری اطلاعات است.


بیشترین هزینه امنیت اطلاعات (8.6 میلیارد دلار) در پایان سال 2016 در بانک ها پیش بینی می شود. در رتبه های دوم، سوم و چهارم از نظر حجم این سرمایه گذاری ها به ترتیب بنگاه های تولیدی گسسته، سازمان های دولتی و بنگاه های تولید مستمر قرار خواهند گرفت که حدود 37 درصد هزینه ها را به خود اختصاص خواهند داد.

تحلیلگران در پویایی افزایش سرمایه‌گذاری‌های امنیت اطلاعات در مراقبت‌های بهداشتی پیشتاز هستند (متوسط ​​رشد سالانه 10.3٪ در سال‌های 2016-2020 پیش‌بینی می‌شود). هزینه های حفاظت سایبری در بخش مخابرات، مسکن، سازمان های دولتی و در بازار سرمایه گذاری و اوراق بهادار تقریباً 9 درصد در سال افزایش می یابد.

محققان بازار آمریکا را بزرگترین بازار امنیت اطلاعات می نامند که حجم آن در سال 2016 به 31.5 میلیارد دلار خواهد رسید. سه رتبه برتر نیز شامل اروپای غربی و منطقه آسیا و اقیانوسیه (به استثنای ژاپن) خواهند بود. در نسخه کوتاه مطالعه IDC هیچ اطلاعاتی در مورد بازار روسیه وجود ندارد.

مدیر عاملدیمیتری گووزدف از شرکت روسی Security Monitor افزایش سهم خدمات در کل هزینه های امنیتی روسیه را از 30-35٪ به 40-45٪ پیش بینی می کند و همچنین توسعه ساختار مشتری بازار - از غلبه کل را پیش بینی می کند. بخش‌های دولتی، مالی و انرژی به سمت شرکت‌های متوسط ​​از طیف وسیع‌تری از صنایع.

یکی از روندها باید توسعه سهم محصولات نرم افزاری داخلی در ارتباط با مسائل جایگزینی واردات و وضعیت سیاست خارجی باشد. با این حال، میزان انعکاس این موضوع در شاخص های مالی تا حد زیادی به نرخ مبادله روبل و سیاست قیمت گذاری فروشندگان خارجی بستگی دارد که هنوز حداقل نیمی از بازار داخلی را در اختیار دارند. راه حل های نرم افزاریو تا دو سوم در بخش تجهیزات. گووزدف در گفتگو با TAdviser گفت: نتیجه نهایی مالی سالانه کل بازار راه حل های امنیت اطلاعات روسیه نیز می تواند به عوامل اقتصادی خارجی مرتبط باشد.

2015

اندازه بازار

هزینه های فدرال

جرایم سایبری

هزینه به ازای هر نقض

خدمات مالی

بین المللی

تجزیه و تحلیل امنیتی

2013: بازار EMEA به 2.5 میلیارد دلار افزایش یافت.

حجم بازار تجهیزات امنیتی در منطقه EMEA (اروپا، خاورمیانه و آفریقا) 2.4 درصد نسبت به سال 2012 رشد کرد و به 2.5 میلیارد دلار رسید. تحت نظر گرفتن. شبکه های کامپیوتر– راهکارهای UTM (مدیریت یکپارچه تهدید). در همان زمان IDC پیش بینی کرد که بازار وسایل فنیامنیت اطلاعات تا سال 2018 از نظر ارزش به 4.2 میلیارد دلار با میانگین رشد سالانه 5.4 درصد خواهد رسید.

در پایان سال 2013، جایگاه پیشرو در میان تامین کنندگان از نظر درآمد حاصل از فروش تجهیزات امنیت اطلاعات در منطقه EMEA توسط Check Point به دست آمد. بر اساس IDC، درآمد فروشنده در این بخش برای سال 2013 با رشد 3.8 درصدی به 374.64 میلیون دلار رسید که معادل سهم بازار 19.3 درصدی است.

2012: پیش بینی PAC: بازار امنیت اطلاعات سالانه 8 درصد رشد خواهد کرد

بر اساس این مطالعه، بازار جهانی امنیت اطلاعات تا سال 2016 سالانه 8 درصد رشد خواهد کرد، زمانی که می تواند به 36 میلیارد یورو برسد.

دو رویکرد اصلی برای توجیه هزینه های امنیت اطلاعات وجود دارد.

رویکرد علمی. برای انجام این کار، مشارکت مدیریت شرکت (یا مالک آن) در ارزیابی هزینه منابع اطلاعاتی و تعیین ارزیابی آسیب احتمالی ناشی از تخلفات در حوزه امنیت اطلاعات ضروری است.

1. اگر هزینه اطلاعات کم باشد، هیچ تهدید قابل توجهی برای دارایی های اطلاعاتی شرکت وجود ندارد و آسیب احتمالی آن حداقل است، اطمینان از امنیت اطلاعات به بودجه کمتری نیاز دارد.

2. اگر اطلاعات دارای ارزش مشخصی باشد، تهدیدها و آسیب های احتمالی قابل توجه و تعریف شده باشد، این سوال مطرح می شود که هزینه های زیر سیستم امنیت اطلاعات در بودجه لحاظ شود. در این صورت لازم است ساخت سیستم شرکتیحفاظت از اطلاعات

رویکرد عملیشامل تعیین گزینه هزینه واقعی برای یک سیستم امنیت اطلاعات شرکت بر اساس سیستم های مشابه در سایر زمینه ها است. متخصصان در زمینه امنیت اطلاعات معتقدند که هزینه یک سیستم امنیت اطلاعات باید تقریباً 10-20٪ هزینه یک شرکت باشد. سیستم اطلاعاتبسته به الزامات خاص برای رژیم امنیت اطلاعات.

الزامات پذیرفته شده عمومی برای اطمینان از رژیم امنیت اطلاعات "بهترین عملکرد" ​​(بر اساس تجربه عملی)، که در تعدادی از استانداردها رسمیت یافته است، به عنوان مثال ISO 17799، در هنگام توسعه روش های خاص برای ارزیابی اثربخشی یک سیستم امنیت اطلاعات در عمل اجرا می شود.

استفاده از روش‌های نوین برای برآورد هزینه‌های امنیت اطلاعات، محاسبه کل بخش قابل مصرف دارایی‌های اطلاعاتی یک سازمان اعم از هزینه‌های مستقیم و غیرمستقیم برای سخت‌افزار و نرم افزار، رویدادهای سازمانی، آموزش و توسعه حرفه ای کارکنان، سازماندهی مجدد، تجدید ساختار کسب و کار و غیره.

آنها برای اثبات لازم هستند بهره وری اقتصادیسیستم های حفاظتی شرکت موجود و به روسای خدمات امنیت اطلاعات اجازه می دهد تا بودجه امنیت اطلاعات را توجیه کنند و همچنین اثربخشی کار کارکنان سرویس مربوطه را اثبات کنند. روش های برآورد هزینه مورد استفاده توسط شرکت های خارجی اجازه می دهد:

کسب اطلاعات کافی در مورد سطح امنیت یک محیط محاسباتی توزیع شده و کل هزینه مالکیت یک سیستم امنیت اطلاعات شرکتی.

دپارتمان های امنیت اطلاعات سازمان را هم در بین خود و هم با بخش های مشابه سایر سازمان های صنعت مقایسه کنید.

بهینه سازی سرمایه گذاری در امنیت اطلاعات سازمان.


یکی از شناخته شده ترین روش ها برای برآورد هزینه ها در رابطه با یک سیستم امنیت اطلاعات، روش است کل هزینه مالکیت (TCO)شرکت Gartner Group شاخص TCO به عنوان مجموع هزینه های مستقیم و غیرمستقیم برای سازمان (سازماندهی مجدد)، عملیات و نگهداری یک سیستم امنیت اطلاعات شرکت در طول سال درک می شود. تقریباً در تمام مراحل اصلی استفاده می شود چرخه زندگیسیستم امنیت اطلاعات شرکت ها و توجیه عینی و مستقل امکان سنجی اقتصادی معرفی و استفاده از اقدامات و ابزارهای سازمانی و فنی خاص و ابزارهای امنیت اطلاعات را ممکن می سازد. برای عینی بودن تصمیم، علاوه بر این لازم است که وضعیت محیط خارجی و داخلی شرکت، به عنوان مثال، شاخص های توسعه فنی، پرسنلی و مالی شرکت نیز در نظر گرفته شود.

مقایسه یک شاخص TCO خاص با شاخص های TCO مشابه در صنعت (با شرکت های مشابه) به شما این امکان را می دهد که به طور عینی و مستقل هزینه های سازمان را برای امنیت اطلاعات توجیه کنید. از این گذشته، اغلب به نظر می رسد که ارزیابی تأثیر مستقیم اقتصادی این هزینه ها بسیار دشوار یا حتی عملاً غیرممکن است.

هزینه کل مالکیت برای یک سیستم امنیت اطلاعات به طور کلی شامل هزینه های زیر است:

کار طراحی،

خرید و پیکربندی ابزارهای حفاظتی نرم افزاری و سخت افزاری شامل گروه های اصلی زیر: فایروال ها، ابزارهای رمزنگاری، آنتی ویروس ها و AAA (ابزارهای احراز هویت، مجوز و مدیریت)،

هزینه های تضمین امنیت فیزیکی،

آموزش پرسنل،

مدیریت و پشتیبانی سیستم (اداره امنیت)،

ممیزی امنیت اطلاعات، - نوسازی دوره ای سیستم امنیت اطلاعات.

هزینه های مستقیم هم شامل اجزای هزینه سرمایه (مرتبط با دارایی های ثابت یا "اموال") و هم هزینه های نیروی کار است که در دسته های عملیات و مدیریت اداری قرار می گیرد. این شامل هزینه های خدمات کاربران راه دور و غیره نیز می شود که با پشتیبانی از فعالیت های سازمان مرتبط است.

به نوبه خود، هزینه‌های غیرمستقیم تأثیر سیستم اطلاعات شرکت و زیرسیستم امنیت اطلاعات بر کارکنان سازمان را از طریق شاخص‌های قابل اندازه‌گیری مانند زمان از کار افتادگی و انجماد سیستم امنیت اطلاعات شرکت و سیستم اطلاعاتی به طور کلی، عملیات و هزینه‌های پشتیبانی منعکس می‌کنند. مربوط به هزینه های مستقیم). اغلب، هزینه‌های غیرمستقیم نقش مهمی ایفا می‌کنند، زیرا معمولاً در ابتدا در بودجه امنیت اطلاعات منعکس نمی‌شوند، اما بعداً در تجزیه و تحلیل هزینه آشکار می‌شوند.

محاسبه شاخص های TCO سازمان در زمینه های زیر انجام می شود.

اجزای یک سیستم اطلاعات شرکتی(از جمله سیستم امنیت اطلاعات) و فعالیت های اطلاعاتی سازمان (سرورها، رایانه های مشتری، دستگاه های جانبی، دستگاه های شبکه).

هزینه های سخت افزار و نرم افزار برای امنیت اطلاعات: هزینه مواد مصرفی و استهلاک نه سرورها، رایانه های مشتری (رومیزی و کامپیوترهای موبایل، دستگاه های جانبی و اجزای شبکه.

هزینه های سازماندهی امنیت اطلاعات:نگهداری از سیستم های امنیت اطلاعات، ابزار استاندارد حفاظت از دستگاه های جانبی، سرورها، دستگاه های شبکه، برنامه ریزی و مدیریت فرآیندهای امنیت اطلاعات، توسعه مفاهیم و سیاست های امنیتی و غیره.

هزینه های عملیات سیستم اطلاعاتیموضوعات: هزینه های مستقیم پرسنل، هزینه کار و برون سپاری که توسط سازمان به عنوان یک کل یا خدمات برای اجرا انجام می شود. پشتیبانی فنیو عملیات برای حفظ زیرساخت برای کاربران.

هزینه های اداری: هزینه های مستقیم پرسنل، پشتیبانی عملیاتی و هزینه های تامین کنندگان داخلی/خارجی (فروشندگان) برای پشتیبانی از عملیات، از جمله مدیریت، تامین مالی، خرید و آموزش سیستم های اطلاعاتی.

هزینه های تراکنش کاربر نهایی: هزینه های خود پشتیبانی کاربر نهایی، آموزش رسمی کاربر نهایی، آموزش غیررسمی (غیررسمی)، توسعه برنامه کاربردی، پشتیبانی از سیستم فایل محلی.

هزینه های خرابی: تلفات سالانه بهره وری کاربر نهایی ناشی از قطعی برنامه ریزی شده و برنامه ریزی نشده منابع شبکه، از جمله رایانه های مشتری، سرورهای مشترک، چاپگرها، برنامه های کاربردی، منابع ارتباطی و نرم افزارهای ارتباطی.

چگونه هزینه های امنیت اطلاعات را توجیه کنیم؟

تجدید چاپ با اجازه مهربان OJSC InfoTex Internet Trust
متن منبع قرار دارد اینجا.

سطوح بلوغ شرکت

گروه گارتنر 4 سطح از بلوغ شرکت را از نظر امنیت اطلاعات (IS) شناسایی می کند:

  • سطح 0:
    • هیچ کس درگیر امنیت اطلاعات در شرکت نیست؛ مدیریت شرکت اهمیت مشکلات امنیت اطلاعات را درک نمی کند.
    • هیچ بودجه ای وجود ندارد؛
    • IS در حال اجراست به معنی منظم سیستم های عامل، DBMS و برنامه های کاربردی (محافظت با رمز عبور، کنترل دسترسی به منابع و خدمات).
  • سطح 1:
    • امنیت اطلاعات توسط مدیریت به عنوان یک مشکل صرفاً "فنی" در نظر گرفته می شود؛ هیچ برنامه (مفهوم، خط مشی) واحدی برای توسعه سیستم امنیت اطلاعات شرکت (ISMS) وجود ندارد.
    • بودجه در بودجه کلی فناوری اطلاعات تامین می شود.
    • امنیت اطلاعات با استفاده از سطح صفر + ابزار پیاده سازی می شود کپی رزرو کنید، ابزارهای آنتی ویروس، فایروال ها، ابزار سازماندهی VPN (ابزارهای امنیتی سنتی).
  • سطح 2:
    • امنیت اطلاعات توسط مدیریت به عنوان مجموعه ای از اقدامات سازمانی و فنی در نظر گرفته می شود، درک اهمیت امنیت اطلاعات برای فرآیندهای تولید وجود دارد، برنامه ای برای توسعه ISMS شرکت مورد تایید مدیریت وجود دارد.
    • امنیت اطلاعات توسط ابزارهای سطح اول + ابزارهای احراز هویت پیشرفته، ابزارهای تجزیه و تحلیل پیام های ایمیل و محتوای وب، IDS (سیستم های تشخیص نفوذ)، ابزارهای تجزیه و تحلیل امنیتی، SSO (ابزارهای احراز هویت واحد)، PKI (زیرساخت) پیاده سازی می شود. کلیدهای عمومی) و اقدامات سازمانی (حسابرسی داخلی و خارجی، تجزیه و تحلیل ریسک، سیاست امنیت اطلاعات، مقررات، رویه ها، مقررات و دستورالعمل ها).
  • سطح 3:
    • امنیت اطلاعات بخشی از فرهنگ سازمانی است، یک CISA (افسر ارشد امنیت اطلاعات) منصوب شده است.
    • بودجه در یک بودجه جداگانه ارائه می شود.
    • امنیت اطلاعات با استفاده از سطح دوم + سیستم مدیریت امنیت اطلاعات، CSIRT (تیم پاسخگویی به حوادث امنیت اطلاعات)، SLA (توافق سطح خدمات) پیاده سازی می شود.

با توجه به گروه گارتنر (داده های ارائه شده برای سال 2001)، درصد شرکت ها در رابطه با 4 سطح توصیف شده به شرح زیر است:
سطح 0 - 30%
سطح 1 - 55%
سطح 2 - 10%
سطح 3 - 5٪.

پیش‌بینی گروه گارتنر برای سال 2005 به شرح زیر است:
سطح 0 - 20%
سطح 1 - 35٪
سطح 2 - 30%
سطح 3 - 15٪.

آمارها نشان می دهد که اکثریت شرکت ها (55%) در حال حاضر حداقل را اجرا کرده اند مجموعه لازموسایل سنتی حفاظت فنی (سطح 1).

هنگام اجرای فناوری های مختلف و اقدامات امنیتی، اغلب سوالاتی مطرح می شود. ابتدا چه چیزی را پیاده سازی کنیم، یک سیستم تشخیص نفوذ یا یک زیرساخت PKI؟ کدام موثرتر خواهد بود؟ استفان راس، مدیر Deloitte&Touche، رویکرد زیر را برای ارزیابی اثربخشی اقدامات و ابزارهای امنیتی اطلاعات فردی پیشنهاد می‌کند.

بر اساس نمودار فوق می توان دریافت که گران ترین و کم اثرترین ابزارهای تخصصی (داخلی یا سفارشی) هستند.

گران ترین، اما در عین حال موثرترین، محصولات حفاظتی دسته 4 هستند (سطوح 2 و 3 بر اساس گروه گارتنر). برای پیاده سازی ابزارهای این دسته، استفاده از روش تحلیل ریسک ضروری است. تجزیه و تحلیل ریسک در این مورد اطمینان حاصل می کند که هزینه های پیاده سازی برای تهدیدهای موجود نقض امنیت اطلاعات کافی است.

ارزان ترین، اما با سطح اثربخشی بالا، شامل اقدامات سازمانی (حسابرسی داخلی و خارجی، تجزیه و تحلیل ریسک، سیاست امنیت اطلاعات، طرح تداوم کسب و کار، مقررات، رویه ها، مقررات و دستورالعمل ها) است.

معرفی وسایل حفاظتی اضافی (انتقال به سطوح 2 و 3) مستلزم سرمایه گذاری های مالی قابل توجه و بر این اساس، توجیه است. عدم وجود یک برنامه توسعه یکپارچه ISMS که توسط مدیریت تایید و امضا شده است، مشکل توجیه سرمایه گذاری در ایمنی را تشدید می کند.

تحلیل ریسک

چنین توجیهی می تواند نتایج تجزیه و تحلیل ریسک و آمار انباشته شده در مورد حوادث باشد.مکانیسم های اجرای تحلیل ریسک و جمع آوری آمار باید در خط مشی امنیت اطلاعات شرکت مشخص شود.

فرآیند تحلیل ریسک شامل 6 مرحله متوالی است:

1. شناسایی و طبقه بندی اشیاء محافظت شده (منابع شرکت مورد حفاظت).

3. ساخت مدل یک مهاجم;

4. شناسایی، طبقه بندی و تجزیه و تحلیل تهدیدها و آسیب پذیری ها.

5. ارزیابی ریسک;

6. انتخاب اقدامات سازمانی و ابزار فنی حفاظت.

در صحنه شناسایی و طبقه بندی اشیاء حفاظتیلازم است فهرستی از منابع شرکت در زمینه های زیر انجام شود:

  • منابع اطلاعاتی (اطلاعات محرمانه و حیاتی شرکت)؛
  • منابع نرم افزاری (OS، DBMS، برنامه های کاربردی حیاتی مانند ERP)؛
  • منابع فیزیکی (سرورها، ایستگاه های کاری، شبکه و تجهیزات مخابراتی)؛
  • منابع خدماتی (ایمیل، www و غیره).

دسته بندیتعیین سطح محرمانه بودن و بحرانی بودن منبع است. محرمانه بودن به سطح محرمانه بودن اطلاعاتی اشاره دارد که توسط یک منبع ذخیره، پردازش و منتقل می شود. بحرانی بودن به میزان تأثیر یک منبع بر کارایی فرآیندهای تولید شرکت اشاره دارد (به عنوان مثال، در صورت از کار افتادن منابع مخابراتی، شرکت ارائه دهنده ممکن است ورشکست شود). با اختصاص مقادیر کیفی خاصی به پارامترهای محرمانگی و بحرانی، می توانید سطح اهمیت هر منبع را از نظر مشارکت آن در فرآیندهای تولید شرکت تعیین کنید.

برای تعیین اهمیت منابع شرکت از منظر امنیت اطلاعات، می توانید جدول زیر را بدست آورید:

به عنوان مثال، فایل‌هایی که اطلاعاتی در مورد سطح حقوق کارکنان شرکت دارند دارای مقدار «کاملاً محرمانه» (پارامتر محرمانه) و مقدار «ناچیز» (پارامتر بحرانی) هستند. با جایگزینی این مقادیر در جدول، می توانید یک شاخص جدایی ناپذیر از اهمیت این منبع به دست آورید. گزینه های مختلفی برای روش های طبقه بندی در استاندارد بین المللی ISO TR 13335 ارائه شده است.

ساخت مدل مهاجمفرآیند طبقه بندی متخلفان احتمالی با توجه به پارامترهای زیر است:

  • نوع مهاجم (رقیب، مشتری، توسعه دهنده، کارمند شرکت و غیره)؛
  • موقعیت مهاجم در رابطه با اشیاء حفاظتی (داخلی، خارجی)؛
  • سطح دانش در مورد اشیاء محافظت شده و محیط زیست (بالا، متوسط، پایین)؛
  • سطح توانایی دسترسی به اشیاء محافظت شده (حداکثر، متوسط، حداقل)؛
  • مدت زمان عمل (به طور مداوم، در فواصل زمانی معین)؛
  • محل عمل (محل مورد انتظار مهاجم در طول حمله).

با اختصاص مقادیر کیفی به پارامترهای فهرست شده مدل مهاجم، می توان پتانسیل مهاجم را تعیین کرد (ویژگی جدایی ناپذیر از قابلیت های مهاجم برای اجرای تهدیدات).

شناسایی، طبقه بندی و تجزیه و تحلیل تهدیدات و آسیب پذیری هابه شما این امکان را می دهد تا راه هایی را برای اجرای حملات به اشیاء محافظت شده تعیین کنید. آسیب پذیری ها ویژگی های یک منبع یا محیط آن هستند که توسط مهاجم برای پیاده سازی تهدیدات استفاده می شود. لیستی از آسیب پذیری های منابع نرم افزاری را می توان در اینترنت یافت.

تهدیدات بر اساس معیارهای زیر طبقه بندی می شوند:

  • نام تهدید؛
  • نوع مهاجم؛
  • ابزار اجرا؛
  • آسیب پذیری های مورد سوء استفاده
  • اقدامات انجام شده؛
  • فرکانس پیاده سازی

پارامتر اصلی فرکانس اجرای تهدید است. این به مقادیر پارامترهای "پتانسیل مهاجم" و "امنیت منابع" بستگی دارد. مقدار پارامتر "امنیت منابع" از طریق ارزیابی های کارشناسی تعیین می شود. هنگام تعیین مقدار پارامتر، پارامترهای ذهنی مهاجم در نظر گرفته می شود: انگیزه برای اجرای تهدید و آمار از تلاش برای اجرای تهدیدات. از این نوع(در صورت موجود بودن). نتیجه مرحله تحلیل تهدید و آسیب‌پذیری، ارزیابی پارامتر «فرکانس پیاده‌سازی» برای هر تهدید است.

در صحنه ارزیابی ریسکآسیب احتمالی ناشی از تهدیدات نقض امنیت اطلاعات برای هر منبع یا گروهی از منابع تعیین می شود.

شاخص کیفی آسیب به دو پارامتر بستگی دارد:

  • اهمیت منبع؛
  • فراوانی اجرای تهدید در این منبع.

بر اساس ارزیابی های خسارت به دست آمده، اقدامات سازمانی کافی و ابزار فنی حفاظت به طور منطقی انتخاب شده است.

جمع آوری آمار در مورد حوادث

تنها نقطه ضعف در روش پیشنهادی برای ارزیابی ریسک و بر این اساس، توجیه نیاز به معرفی یا تغییر فناوری‌های حفاظتی موجود، تعیین پارامتر «فرکانس وقوع تهدید» است. تنها راه برای به دست آوردن مقادیر عینی این پارامتر، جمع آوری آمار در مورد حوادث است. به عنوان مثال، آمار انباشته شده در طول یک سال به شما امکان می دهد تعداد اجرای تهدیدات (از نوع خاصی) را در هر منبع (از نوع خاصی) تعیین کنید. توصیه می شود که کار بر روی جمع آوری آمار به عنوان بخشی از روند پردازش حادثه انجام شود.

هدف از مطالعه: تجزیه و تحلیل و تعیین روندهای اصلی در بازار امنیت اطلاعات روسیه
از داده های Rosstat (فرم های گزارش آماری شماره 3-Inform، P-3، P-4)، صورت های مالی شرکت ها و غیره استفاده شد.

استفاده سازمان ها از فناوری اطلاعات و ارتباطات و ابزارهای امنیت اطلاعات

  • برای تهیه این بخش، از بخش‌ها و دفاتر نمایندگی مجزای جغرافیایی استفاده شد (فرم 3-اطلاعات «اطلاعات استفاده از فناوری اطلاعات و ارتباطات و تولید» فناوری رایانه، نرم افزار و ارائه خدمات در این زمینه ها".

دوره 2012-2016 مورد تجزیه و تحلیل قرار گرفت. داده‌ها ادعا نمی‌کنند که کامل هستند (زیرا براساس آن جمع‌آوری شده‌اند دایره محدودشرکت ها)، اما، به نظر ما، می توان برای ارزیابی روندها استفاده کرد. تعداد شرکت های پاسخ دهنده برای دوره مورد بررسی بین 200 تا 210 هزار شرکت بود. یعنی نمونه کاملاً پایدار است و محتمل‌ترین مصرف‌کنندگان (شرکت‌های بزرگ و متوسط) را شامل می‌شود که بخش عمده فروش را تشکیل می‌دهند.

در دسترس بودن رایانه های شخصی در سازمان ها

بر اساس فرم گزارش آماری 3-Inform، در سال 2016 حدود 12.4 میلیون واحد در سازمان های روسی وجود داشت که اطلاعات مربوط به این فرم را ارائه می کردند. کامپیوترهای شخصی(کامپیوتر). در این مورد، PC به معنای رایانه های رومیزی و لپ تاپ است؛ این مفهوم شامل موبایل نمی شود تلفن های همراهو کامپیوترهای شخصی جیبی

در طول 5 سال گذشته، تعداد واحدهای رایانه شخصی در سازمان ها در روسیه به طور کلی 14.9٪ افزایش یافته است.مجهزترین منطقه فدرال، منطقه فدرال مرکزی است که 30.2٪ از رایانه های شخصی در شرکت ها را تشکیل می دهد. منطقه پیشرو بلامنازع برای این شاخص، شهر مسکو است؛ طبق داده های سال 2016، شرکت های مسکو حدود 1.8 میلیون رایانه شخصی دارند. کمترین مقدار این شاخص در ناحیه فدرال قفقاز شمالی مشاهده شد؛ سازمان های این منطقه تنها حدود 300 هزار واحد رایانه شخصی دارند؛ کمترین تعداد در جمهوری اینگوشتیا - 5.45 هزار واحد است.

برنج. 1. تعداد رایانه های شخصی در سازمان ها، روسیه، میلیون واحد.

هزینه های سازمانی در زمینه فناوری اطلاعات و ارتباطات

طی دوره 2014-2015. به دلیل وضعیت نامناسب اقتصادی، شرکت های روسی مجبور شدند هزینه های خود را از جمله هزینه های اطلاعات و فن آوری های ارتباطی. در سال 2014، کاهش هزینه ها در بخش ICT 5.7 درصد بود، اما در پایان سال 2015 یک روند مثبت خفیف مشاهده شد. در سال 2016، هزینه شرکت های روسی برای فناوری اطلاعات و ارتباطات بالغ بر 1.25 تریلیون بود. rub.، بیش از رقم قبل از بحران 2013 0.3٪.

بخش عمده ای از هزینه ها بر عهده شرکت های مستقر در مسکو است - بیش از 590 میلیارد روبل یا 47.2٪ از کل. بیشترین حجم هزینه های سازمان ها در زمینه فناوری اطلاعات و ارتباطات در سال 2016 در: منطقه مسکو - 76.6 میلیارد روبل، سنت پترزبورگ - 74.4 میلیارد روبل، منطقه تیومن - 56.0 میلیارد روبل، جمهوری تاتارستان - 24.7 میلیارد روبل، نیژنی نووگورود ثبت شد. منطقه - 21.4 میلیارد روبل. کمترین هزینه در جمهوری اینگوشتیا ثبت شد - 220.3 میلیون روبل.

برنج. 2. میزان هزینه های شرکت ها در زمینه فناوری اطلاعات و ارتباطات، روسیه، میلیارد روبل.

استفاده سازمان ها از ابزارهای امنیت اطلاعات

که در اخیرامی توان به افزایش قابل توجهی در تعداد شرکت هایی که از ابزارهای حفاظت از امنیت اطلاعات استفاده می کنند اشاره کرد. نرخ رشد سالانه تعداد آنها کاملاً ثابت است (به استثنای سال 2014) و حدود 11-19٪ در سال است.

طبق داده های رسمی Rosstat، محبوب ترین ابزار حفاظت در حال حاضر ابزارهای فنی احراز هویت کاربر (ژتون ها، کلیدهای USB، کارت های هوشمند) هستند.از بیش از 157 هزار شرکت، 127 هزار شرکت (81 درصد) استفاده از این ابزارهای خاص را به عنوان حفاظت از اطلاعات اعلام کردند.

برنج. 3. توزیع سازمان ها با استفاده از وسایل تضمین کننده امنیت اطلاعات در سال 2016، روسیه، ٪.

طبق آمار رسمی، در سال 2016، 161421 شرکت از اینترنت جهانی برای مقاصد تجاری استفاده کردند. در میان سازمان هایی که از اینترنت برای مقاصد تجاری استفاده می کنند و به استفاده از اقدامات امنیت اطلاعات اشاره کرده اند، محبوب ترین امضای دیجیتال الکترونیکی است. این ابزاربیش از 146 هزار شرکت، یا 91 درصد از کل، به عنوان ابزار حفاظت نشان داده شده است. با توجه به استفاده از ابزار امنیت اطلاعات، شرکت ها به شرح زیر توزیع شدند:

    • وسایل الکترونیکی امضای دیجیتالی– 146887 شرکت؛
    • به طور منظم به روز می شود برنامه های آنتی ویروس– 143095 شرکت؛
    • نرم افزار یا سخت افزاری که از دسترسی غیرمجاز جلوگیری می کند بد افزاراز اطلاعات جهانی یا محلی شبکه های کامپیوتر(فایروال) – 101373 شرکت؛
    • فیلتر اسپم – ۸۶۲۹۲ شرکت;
    • ابزارهای رمزگذاری – 86074 شرکت؛
    • سیستم های تشخیص نفوذ کامپیوتر یا شبکه – 66745 شرکت؛
    • ابزارهای نرم افزاری برای خودکارسازی فرآیندهای تحلیل و کنترل امنیتی سیستم های کامپیوتری– 54409 شرکت.

برنج. 4. توزیع شرکت هایی که از اینترنت برای مقاصد تجاری استفاده می کنند، از طریق حفاظت از اطلاعات ارسال شده از طریق شبکه های جهانی، در سال 2016، روسیه، ٪.

در دوره 2012-2016، تعداد شرکت هایی که از اینترنت برای مقاصد تجاری استفاده می کنند، 34.9 درصد افزایش یافته است.در سال 2016، 155028 شرکت از اینترنت برای ارتباط با تامین کنندگان و 110421 شرکت از اینترنت برای ارتباط با مصرف کنندگان استفاده کردند. از شرکت هایی که از اینترنت برای ارتباط با تامین کنندگان استفاده می کنند، هدف از استفاده نشان داد:

  • کسب اطلاعات در مورد کالاهای لازم (کارها، خدمات) و تامین کنندگان آنها - 138224 شرکت؛
  • ارائه اطلاعات در مورد نیازهای سازمان به کالاها (کارها، خدمات) - 103977 شرکت؛
  • ثبت سفارش برای کالاها (کار، خدمات) لازم برای سازمان (به استثنای سفارشات ارسال شده از طریق پست الکترونیک) – 95207 شرکت;
  • پرداخت برای کالاهای عرضه شده (کار، خدمات) – 89279;
  • دریافت محصولات الکترونیکی – 62940 شرکت.

از تعداد کل شرکت هایی که از اینترنت برای ارتباط با مصرف کنندگان استفاده می کنند، هدف استفاده نشان داد:

  • ارائه اطلاعات در مورد سازمان، کالاها (کارها، خدمات) آن - 101059 شرکت؛
  • (کارها، خدمات) (به استثنای سفارشات ارسال شده از طریق ایمیل) – 44193 شرکت؛
  • اجرای پرداخت الکترونیک با مصرف کنندگان – 51210 شرکت؛
  • توزیع محصولات الکترونیکی – 12566 شرکت؛
  • خدمات پس از فروش (خدمات) – 13580 شرکت.

حجم و پویایی بودجه مقامات اجرایی فدرال برای فناوری اطلاعات در سال 2016-2017.

با توجه به خزانه داری فدرال، حجم کل محدودیت های تعهدات بودجه برای سال 2017، طبق کد نوع هزینه 242 "خرید کالاها، کارها، خدمات در این زمینه" به مقامات اجرایی فدرال (از این پس به عنوان مقام اجرایی فدرال گفته می شود) ابلاغ شده است. فناوری اطلاعات و ارتباطات» از نظر اطلاعاتی که راز دولتی محسوب نمی شود، تا 1 اوت 2017 بالغ بر 115.2 میلیارد روبل بوده است که تقریباً 5.1 درصد بیشتر از کل بودجه فناوری اطلاعات مقامات اجرایی فدرال در سال 2016 است (109.6). به گفته وزارت مخابرات و ارتباطات جمعی). بنابراین، در حالی که حجم کل بودجه های IT ادارات فدرال از سال به سال به رشد خود ادامه می دهد، نرخ رشد کاهش یافته است (در سال 2016، حجم کل بودجه های فناوری اطلاعات 8.3 درصد نسبت به سال 2015 افزایش یافته است). که در آن یک طبقه بندی فزاینده بین "غنی" و "فقیر" از نظر هزینه های اطلاعات و فناوری ارتباطات ادارات وجود دارد.رهبر بلامنازع نه تنها از نظر اندازه بودجه، بلکه از نظر دستاوردها در زمینه فناوری اطلاعات، خدمات مالیاتی فدرال است. بودجه ICT آن در سال جاری بیش از 17.6 میلیارد روبل است که بیش از 15٪ از بودجه تمام مقامات اجرایی فدرال است. سهم کل پنج نفر برتر (خدمات مالیاتی فدرال، صندوق بازنشستگی فدراسیون روسیه، خزانه داری، وزارت امور داخلی، وزارت مخابرات و ارتباطات جمعی) بیش از 53٪ است.

برنج. 5. ساختار هزینه های بودجه برای خرید کالاها، کارها و خدمات در زمینه فناوری اطلاعات و ارتباطات توسط مقامات اجرایی فدرال در سال 2017، ٪.

مقررات قانونی در زمینه تهیه نرم افزار برای نیازهای دولتی و شهرداری

از 1 ژانویه 2016، تمام ارگان های ایالتی و شهرداری، شرکت های ایالتی Rosatom و Roscosmos، نهادهای مدیریتی وجوه خارج از بودجه ایالتی، و همچنین موسسات دولتی و بودجه ای که خرید را مطابق با الزامات قانون فدرال 5 آوریل 2013 انجام می دهند. شماره 44 - FZ "در مورد سیستم قرارداد در زمینه خرید کالاها، کارها، خدمات برای رفع نیازهای دولتی و شهرداری"، ملزم به رعایت ممنوعیت پذیرش نرم افزارهای خارج از کشور به منظور خرید هستند. برای رفع نیازهای دولتی و شهرداری این ممنوعیت با فرمان دولت فدراسیون روسیه در تاریخ 16 نوامبر 2015 شماره 1236 "در مورد ایجاد ممنوعیت پذیرش نرم افزارهای خارج از کشور به منظور تهیه برای رفع نیازهای ایالتی و شهرداری" معرفی شد. مشتریان فوق در هنگام خرید نرم افزار باید مستقیماً ممنوعیت خرید نرم افزار وارداتی را در آگهی خرید قید کنند. این ممنوعیت برای خرید نرم افزار الکترونیکی اعمال می شود کامپیوترهاو پایگاه های داده بدون توجه به نوع قرارداد بر روی یک رسانه ملموس و (یا) در اجرا شده است در قالب الکترونیکیاز طریق کانال های ارتباطی و همچنین حقوق انحصاری چنین نرم افزاری و حقوق استفاده از چنین نرم افزاری.

در مواردی که خرید نرم افزارهای وارداتی توسط مشتریان مجاز باشد چندین استثنا وجود دارد.

  • تهیه نرم افزار و (یا) حقوق مربوط به آن توسط نمایندگی های دیپلماتیک و دفاتر کنسولی فدراسیون روسیهمأموریت های تجاری فدراسیون روسیه در سازمان های بین المللی برای اطمینان از فعالیت های خود در قلمرو یک کشور خارجی.
  • تهیه نرم افزار و (یا) حقوق مربوط به آن، اطلاعاتی که در مورد آن و (یا) خرید آن یک راز دولتی است.

در تمام موارد دیگر، مشتری ملزم خواهد بود قبل از خرید نرم افزار با یک رجیستری کار کند برنامه های روسیبرای رایانه های الکترونیکی و پایگاه های داده و طبقه بندی کننده برنامه ها برای رایانه های الکترونیکی و پایگاه های داده.
تشکیل و نگهداری ثبت به عنوان یک نهاد اجرایی فدرال مجاز توسط وزارت مخابرات و ارتباطات جمعی روسیه انجام می شود.
تا پایان آگوست 2017، این ثبت شامل 343 محصول نرم افزاری متعلق به کلاس "ابزار امنیت اطلاعات" از 98 شرکت توسعه روسیه بود.در میان آنها محصولات نرم افزاری از توسعه دهندگان بزرگ روسی مانند:

  • OJSC "فناوری اطلاعات و سیستم های ارتباطی" ("InfoTeKS") - 37 محصول نرم افزاری؛
  • JSC Kaspersky Lab - 25 محصول نرم افزاری؛
  • Security Code LLC - 19 محصول نرم افزاری.
  • Crypto-Pro LLC - 18 محصول نرم افزاری؛
  • Doctor WEB LLC - 12 محصول نرم افزاری؛
  • S-Terra CSP LLC - 12 محصول نرم افزاری.
  • CJSC "Aladdin R.D." - 8 محصول نرم افزاری؛
  • JSC "Infowatch" - 6 محصول نرم افزاری.

تجزیه و تحلیل فعالیت های بزرگترین بازیگران در زمینه امنیت اطلاعات

  • به عنوان اطلاعات اولیه برای تجزیه و تحلیل فعالیت های بزرگترین بازیگران در بازار امنیت اطلاعات برای آماده سازی این مطالعهاطلاعات مربوط به تدارکات عمومی در زمینه فعالیت های اطلاعاتی و ارتباطی و به ویژه امنیت اطلاعات مورد استفاده قرار گرفت.

برای تجزیه و تحلیل روندها، ما 18 شرکت را انتخاب کردیم که از پیشتازان بازار امنیت اطلاعات هستند و فعالانه در تدارکات دولتی مشارکت دارند. این لیست شامل توسعه دهندگان مستقیم نرم افزار و سخت افزار و سیستم های امنیتی نرم افزاری و همچنین بزرگترین آنها است یکپارچه سازهای سیستم. مجموع درآمد این شرکت ها در سال 2016 بالغ بر 162.3 میلیارد روبل بود که 8.7 درصد بیشتر از رقم سال 2015 بود.
در زیر لیستی از شرکت های انتخاب شده برای مطالعه آمده است.

جدول 1. شرکت های انتخاب شده برای مطالعه

نام TIN نوع فعالیت (OKVED 2014)
1 "آی تکو" JSC 7736227885 فعالیت های مرتبط با استفاده از فناوری رایانه و فناوری اطلاعات، دیگر (62.09)
2 Croc Incorporated، JSC 7701004101
3 "Informzashita"، CJSC NIP 7702148410 تحقیق و توسعه در حوزه علوم اجتماعی و انسانی (72.20)
4 "تجارت سافت لاین"، JSC 7736227885
5 "Technoserv AS", LLC 7722286471 تجارت عمده سایر ماشین آلات و تجهیزات (46.69)
6 "الویس پلاس"، JSC 7735003794
7 "آستروس" JSC 7721163646 تجارت عمده کامپیوتر، دستگاه های جانبیبه کامپیوتر و نرم افزار (46.51
8 "شرکت تولید آکواریوس"، LLC 7701256405
9 Lanit، CJSC 7727004113 تجارت عمده سایر ماشین آلات و تجهیزات اداری (46.66)
10 جت اینفوسیستمز، JSC 7729058675 تجارت عمده کامپیوتر، دستگاه های جانبی کامپیوتر و نرم افزار (46.51)
11 "Dialognauka"، JSC 7701102564 توسعه نرم افزار کامپیوتر (62.01)
12 "Factor-TS"، LLC 7716032944 تولید کامپیوتر و تجهیزات جانبی (26.20)
13 "InfoTeKS"، JSC 7710013769 توسعه نرم افزار کامپیوتر (62.01)
14 "مرکز اورال برای سیستم های امنیتی"، LLC 6672235068 فعالیت در زمینه معماری، مهندسی و مشاوره فنی در این زمینه ها (71.1)
15 "ICL-KPO VS"، JSC 1660014361 توسعه نرم افزار کامپیوتر (62.01)
16 گروه NVision، JSC 7703282175 عمده فروشی غیر تخصصی (46.90)
17 "Confidential-Integration"، LLC 7811512250 فعالیت های پردازش داده ها، ارائه خدمات میزبانی و فعالیت های مرتبط (63.11)
18 "Kaluga Astral"، JSC 4029017981 فعالیت های مشاوره ای و کار در زمینه فناوری رایانه (62.02

تا پایان اکتبر 2017، شرکت های نمونه ارائه شده 1034 قرارداد با سازمان های دولتی به مبلغ 24.6 میلیارد روبل منعقد کردند. پیشرو در این لیستاز نظر حجم قراردادهای منعقد شده، شرکت I-Teco دارای 74 قرارداد به ارزش 7.5 میلیارد روبل است.
طی سال های گذشته، به استثنای سال بحرانی 2014، می توان به افزایش مستمر حجم کل قراردادهای شرکت های منتخب اشاره کرد. بیشترین پویایی در دوره 2015-2016 رخ داده است. بنابراین، در سال 2015، حجم قراردادها بیش از 3.5 برابر، در سال 2016 - 1.5 برابر افزایش یافت. با توجه به داده های موجود در مورد فعالیت های قراردادی شرکت ها برای دوره ژانویه تا اکتبر 2017، می توان فرض کرد که در سال 2017 حجم کل قراردادها با سازمان های دولتی حدود 37-38 میلیارد روبل خواهد بود، یعنی حدود 40 کاهش می یابد. ٪ انتظار می رود.

همانطور که قبلا ذکر شد، امنیت یک شرکت با مجموعه ای از اقدامات در تمام مراحل چرخه عمر آن، سیستم اطلاعاتی آن تضمین می شود و به طور کلی شامل هزینه های زیر است:

  • - کار طراحی؛
  • - تهیه و پیکربندی ابزارهای حفاظتی نرم افزاری و سخت افزاری؛
  • - هزینه های تضمین امنیت فیزیکی؛
  • - آموزش پرسنل؛
  • - مدیریت و پشتیبانی سیستم؛
  • - ممیزی امنیت اطلاعات؛
  • - نوسازی دوره ای سیستم امنیت اطلاعات و غیره

شاخص هزینه کارایی اقتصادی یک سیستم یکپارچه امنیت اطلاعات، مجموع هزینه های مستقیم و غیرمستقیم برای سازماندهی، راه اندازی و نگهداری سیستم امنیت اطلاعات در طول سال خواهد بود.

می توان آن را به عنوان یک شاخص کمی کلیدی از اثربخشی سازمان امنیت اطلاعات در یک شرکت در نظر گرفت، زیرا نه تنها به برآورد هزینه های کل حفاظت، بلکه مدیریت این هزینه ها برای دستیابی به سطح مورد نیاز امنیت سازمانی اجازه می دهد. با این حال، هزینه های مستقیم شامل اجزای هزینه سرمایه و هزینه های نیروی کار است که در دسته های عملیات و مدیریت اداری قرار می گیرند. این شامل هزینه های خدمات کاربران راه دور و غیره نیز می شود که با پشتیبانی از فعالیت های سازمان مرتبط است.

هزینه‌های غیرمستقیم، به نوبه خود، تأثیر سیستم امنیتی یکپارچه و زیرسیستم امنیت اطلاعات را بر کارکنان از طریق شاخص‌های قابل اندازه‌گیری مانند خرابی و توقف سیستم امنیت اطلاعات شرکت و سیستم امنیتی یکپارچه به طور کلی، عملیات و هزینه‌های پشتیبانی منعکس می‌کند.

اغلب، هزینه های غیرمستقیم نقش مهمی ایفا می کنند، زیرا معمولاً در ابتدا در بودجه یک سیستم امنیتی جامع منعکس نمی شوند، اما به صراحت در تجزیه و تحلیل هزینه ها بعداً آشکار می شوند، که در نهایت منجر به افزایش هزینه های "پنهان" شرکت می شود. بیایید در نظر بگیریم که چگونه می توانید هزینه های مستقیم و غیرمستقیم یک سیستم امنیتی جامع را تعیین کنید. بیایید فرض کنیم که مدیریت یک شرکت برای پیاده سازی یک سیستم جامع امنیت اطلاعات در سازمان کار می کند. اهداف و اهداف حفاظت، تهدیدات امنیت اطلاعات و اقدامات مقابله با آنها قبلاً شناسایی شده است، ابزار لازم برای حفاظت از اطلاعات خریداری و نصب شده است.

به طور معمول، هزینه های امنیت اطلاعات به دسته های زیر تقسیم می شود:

  • - هزینه های تشکیل و نگهداری پیوند مدیریت سیستم امنیت اطلاعات؛
  • - هزینه های کنترل، یعنی تعیین و تأیید سطح به دست آمده از امنیت منابع شرکت.
  • - هزینه های داخلی برای از بین بردن عواقب نقض امنیت اطلاعات - هزینه های متحمل شده توسط سازمان در نتیجه عدم دستیابی به سطح مورد نیاز امنیت.
  • - هزینه های خارجی برای از بین بردن عواقب نقض امنیت اطلاعات - جبران خسارات ناشی از نقض خط مشی امنیتی در موارد مربوط به نشت اطلاعات، از دست دادن تصویر شرکت، از دست دادن اعتماد شرکا و مصرف کنندگان و غیره.
  • - هزینه های نگهداری سیستم امنیت اطلاعات و اقدامات برای جلوگیری از نقض خط مشی امنیت شرکت.

در این حالت معمولاً هزینه های یکباره و سیستماتیک متمایز می شوند.

هزینه های یکباره برای ایجاد امنیت سازمانی: هزینه های سازمانی و هزینه های خرید و نصب تجهیزات حفاظتی.

هزینه های سیستماتیک، عملیاتی و نگهداری. طبقه بندی هزینه ها مشروط است، زیرا جمع آوری، طبقه بندی و تجزیه و تحلیل هزینه ها برای امنیت اطلاعات فعالیت های داخلی شرکت ها است و توسعه دقیق لیست به ویژگی های یک سازمان خاص بستگی دارد.

نکته اصلی هنگام تعیین هزینه های یک سیستم امنیتی، درک متقابل و توافق در مورد موارد هزینه در شرکت است.

علاوه بر این، دسته بندی هزینه ها باید یکسان باشند و نباید یکدیگر را تکراری کنند. حذف کامل هزینه های امنیتی غیرممکن است، اما می توان آنها را تا حد قابل قبولی کاهش داد.

برخی از هزینه های امنیتی کاملاً ضروری هستند و برخی را می توان به میزان قابل توجهی کاهش داد یا حذف کرد. موارد اخیر مواردی هستند که ممکن است در صورت عدم وجود نقض امنیتی ناپدید شوند یا در صورت کاهش تعداد و تأثیر مخرب نقض ها کاهش پیدا کنند.

با حفظ ایمنی و جلوگیری از تخلفات می توان هزینه های زیر را حذف یا به میزان قابل توجهی کاهش داد:

  • - بازیابی سیستم امنیتی برای برآورده کردن الزامات امنیتی؛
  • - بازیابی منابع محیط اطلاعاتی شرکت؛
  • - برای تغییرات در سیستم امنیتی؛
  • - برای اختلافات حقوقی و پرداخت غرامت؛
  • - شناسایی علل نقض امنیتی.

هزینه های ضروری آنهایی هستند که حتی اگر سطح تهدیدات امنیتی بسیار کم باشد، ضروری هستند. اینها هزینه های حفظ سطح امنیتی به دست آمده محیط اطلاعات سازمانی است.

هزینه های اجتناب ناپذیر ممکن است شامل موارد زیر باشد:

  • الف) نگهداری تجهیزات حفاظتی فنی؛
  • ب) مدیریت سوابق محرمانه؛
  • ج) بهره برداری و ممیزی سیستم امنیتی.
  • د) حداقل سطح بازرسی و کنترل با مشارکت سازمان های تخصصی.
  • ه) آموزش پرسنل در روش های امنیت اطلاعات.

با این حال، هزینه های دیگری نیز وجود دارد که تعیین آنها بسیار دشوار است. از جمله:

  • الف) هزینه های انجام تحقیقات اضافی و توسعه استراتژی جدید بازار؛
  • ب) زیان ناشی از کاهش اولویت در تحقیقات علمی و عدم توانایی در ثبت اختراع و فروش مجوز برای دستاوردهای علمی و فنی.
  • ج) هزینه های مرتبط با رفع تنگناها در عرضه، تولید و بازاریابی محصولات؛
  • د) زیان ناشی از به خطر افتادن محصولات تولید شده توسط شرکت و کاهش قیمت آنها.
  • ه) بروز مشکلات در دستیابی به تجهیزات یا فناوری ها، از جمله افزایش قیمت برای آنها، محدود کردن حجم منابع.

هزینه های ذکر شده می تواند ناشی از اقدامات پرسنل بخش های مختلف باشد، به عنوان مثال، طراحی، فناوری، برنامه ریزی اقتصادی، حقوقی، اقتصادی، بازاریابی، سیاست تعرفه و قیمت گذاری.

از آنجایی که بعید است کارمندان تمام این بخش ها به طور تمام وقت با مسائل زیان های خارجی مشغول باشند، تعیین میزان هزینه ها باید با در نظر گرفتن زمان واقعی صرف شده انجام شود. یکی از عناصر زیان های خارجی را نمی توان به طور دقیق محاسبه کرد - این زیان های مرتبط با تضعیف تصویر شرکت، کاهش اعتماد مصرف کننده به محصولات و خدمات شرکت است. به همین دلیل است که بسیاری از شرکت ها این واقعیت را پنهان می کنند که خدمات آنها ناامن است. شرکت‌ها از انتشار چنین اطلاعاتی بیش از آن‌که از حملات به هر شکلی بیم دارند، می‌ترسند.

با این حال، بسیاری از کسب و کارها این هزینه ها را نادیده می گیرند بر این اساس که نمی توان آنها را با هیچ درجه ای از دقت تعیین کرد - آنها فقط حدس زده می شوند. هزینه های اقدامات پیشگیرانه برآورد این هزینه‌ها احتمالاً دشوارترین است زیرا فعالیت‌های پیشگیرانه در بخش‌های مختلف انجام می‌شود و بر بسیاری از خدمات تأثیر می‌گذارد. این هزینه ها می توانند در تمام مراحل چرخه حیات منابع محیطی اطلاعات سازمانی ظاهر شوند:

  • - برنامه ریزی و سازماندهی؛
  • - اکتساب و راه اندازی؛
  • - تحویل و پشتیبانی؛
  • - نظارت بر فرآیندهایی که فناوری اطلاعات را تشکیل می دهند.

در ضمن بیشتر هزینه های این دسته مربوط به پرسنل امنیتی می باشد. هزینه های پیشگیری در درجه اول شامل دستمزد و سربار است. با این حال، دقت تعیین آنها تا حد زیادی به دقت تعیین زمان صرف شده توسط هر کارمند به صورت جداگانه بستگی دارد. شناسایی مستقیم برخی از هزینه های احتیاطی آسان است. آنها ممکن است، به ویژه، شامل پرداخت برای کارهای مختلف اشخاص ثالث باشند، به عنوان مثال:

  • - نگهداری و پیکربندی ابزارهای حفاظتی نرم افزاری و سخت افزاری، سیستم عامل ها و تجهیزات شبکه مورد استفاده؛
  • - انجام کارهای مهندسی و فنی برای نصب سیستم های دزدگیر، تجهیز انبارهای اسناد محرمانه، حفاظت خطوط تلفنارتباطات، تجهیزات کامپیوتری و غیره؛
  • - تحویل اطلاعات محرمانه؛
  • - مشاوره؛
  • - دوره های آموزشی.

منابع اطلاعاتی در مورد هزینه های در نظر گرفته شده. هنگام تعیین هزینه های تامین امنیت اطلاعات، لازم است به یاد داشته باشید که:

  • - هزینه های مربوط به خرید و راه اندازی نرم افزار و سخت افزار را می توان از تجزیه و تحلیل فاکتورها، سوابق در اسناد انبار و غیره به دست آورد.
  • - پرداخت ها به کارکنان را می توان از بیانیه ها دریافت کرد.
  • - حجم پرداخت ها دستمزدباید با در نظر گرفتن زمان واقعی صرف شده برای انجام کار برای اطمینان از امنیت اطلاعات در نظر گرفته شود؛ اگر تنها بخشی از زمان یک کارمند صرف فعالیت هایی برای تضمین امنیت اطلاعات شود، امکان ارزیابی هر یک از مؤلفه های هزینه زمان او وجود دارد. نباید زیر سوال رفت؛
  • - طبقه بندی هزینه های امنیتی و توزیع آنها بین عناصر باید به بخشی از کار روزانه در شرکت تبدیل شود.