Troškovi informacijske sigurnosti poduzeća. Informacijska sigurnost u industriji. Organizacijski troškovi informacijskih i komunikacijskih tehnologija

Ulažu u različite računalne sigurnosne tehnologije – od platformi za isplatu bonusa za otkrivanje ranjivosti u programima do dijagnostike i automatiziranog testiranja programa. No, najviše ih privlače tehnologije autentifikacije i upravljanja informacijama o identitetu - u startupe koji se bave tim tehnologijama krajem 2019. uloženo je oko 900 milijuna dolara.

Ulaganja u startupe za obuku o kibersigurnosti dosegla su 418 milijuna dolara u 2019., predvođena KnowBe4, koja je prikupila 300 milijuna dolara. Startup nudi platformu za simulaciju phishing napada i niz programa za obuku.

U 2019. godini tvrtke uključene u sigurnost interneta stvari dobile su oko 412 milijuna dolara. Lider u ovoj kategoriji po obimu ulaganja je SentinelOne, koji je 2019. dobio 120 milijuna dolara za razvoj tehnologija za zaštitu krajnjih točaka.

Istodobno, analitičari Metacurityja daju i druge podatke koji karakteriziraju stanje na tržištu venture financiranja u sektoru informacijske sigurnosti. U 2019. obujam ulaganja ovdje dosegao je 6,57 milijardi dolara, što je povećanje s 3,88 milijardi dolara u 2018. Porastao je i broj transakcija - sa 133 na 219. Istovremeno, prosječni obujam ulaganja po transakciji ostao je gotovo nepromijenjen te je na kraju 2019. godine iznosio 29,2 milijuna, izračunao je Metacurity.

2018

Rast od 9% na 37 milijardi dolara - Canalys

U 2018. godini prodaja opreme, softver i usluge namijenjene informacijskoj sigurnosti (IS), dosegle su 37 milijardi dolara, što je povećanje od 9% u odnosu na godinu prije (34 milijarde dolara). Takve su podatke analitičari Canalysa objavili 28. ožujka 2019.

Unatoč tome što su mnoge tvrtke prioritet dale zaštiti svoje imovine, podataka, krajnjih točaka, mreža, zaposlenika i kupaca, kibernetička sigurnost činila je samo 2% ukupne IT potrošnje u 2018., rekli su. No, pojavljuje se sve više novih prijetnji, sve su složenije i učestalije, što proizvođačima informacijsko-sigurnosnih rješenja pruža nove prilike za rast. Očekuje se da će ukupna potrošnja za kibernetičku sigurnost premašiti 42 milijarde dolara u 2020. godini.

Analitičar Canalysa Matthew Ball smatra da će se prijelaz na nove modele implementacije informacijske sigurnosti ubrzati. Korisnici mijenjaju prirodu svojih IT proračuna korištenjem javnih usluga u oblaku i fleksibilnih usluga temeljenih na pretplati.

Oko 82% implementacija informacijske sigurnosti u 2018. uključivalo je upotrebu tradicionalnog hardvera i softvera. U preostalih 18% slučajeva korišteni su virtualizacija, javni oblaci i usluge informacijske sigurnosti.

Do 2020. godine udio tradicionalnih modela za implementaciju sustava informacijske sigurnosti smanjit će se na 70%, jer nova rješenja na tržištu postaju sve popularnija.

Dobavljači će morati stvoriti širok raspon poslovnih modela kako bi podržali ovu tranziciju jer različiti proizvodi odgovaraju različitima različiti tipovi raspoređivanja. Glavni izazov za mnoge danas je napraviti nove modele više usredotočene na pridružene kanale i integrirati ih s postojećima affiliate programi, posebno kod transakcija klijenata putem platformi u oblaku. Neka tržišta u oblaku već su odgovorila na to dopuštajući partnerima da ponude prilagođene ponude i cijene izravno kupcima praćenjem registracija poslova i popusta, izvijestio je Matthew Ball u objavi od 29. ožujka 2019.

Prema analitičaru Canalysa Ketakiju Boradeu, vodeći dobavljači tehnologije kibernetičke sigurnosti uveli su nove modele distribucije proizvoda koji uključuju prelazak tvrtki na model pretplate i povećanje operacija u infrastrukturi oblaka.


Tržište kibernetičke sigurnosti ostalo je vrlo dinamično i zabilježilo je rekordnu aktivnost i obujam poslova kao odgovor na rastuću regulativu i tehnički zahtjevi, kao i stalni rašireni rizik od povrede podataka, kaže suosnivač Momentum Cyber ​​​​i izvršni partner Eric McAlpine. “Vjerujemo da će ovaj zamah nastaviti gurati sektor na novi teritorij dok nastoji odgovoriti na nove prijetnje i konsolidirati se u uvjetima zamora dobavljača i sve većeg nedostatka vještina.”

2017

Troškovi kibernetičke sigurnosti premašili su 100 milijardi dolara

U 2017. globalna potrošnja na informacijsku sigurnost (IS) - proizvode i usluge - dosegla je 101,5 milijardi dolara, objavila je istraživačka tvrtka Gartner sredinom kolovoza 2018. Stručnjaci su krajem 2017. ovo tržište procijenili na 89,13 milijardi dolara, a nije navedeno što je uzrokovalo značajan porast vrijednosti.

CISO-ovi žele pomoći svojim organizacijama da sigurno koriste tehnološke platforme kako bi postale konkurentnije i potaknule rast poslovanja, kaže Siddharth Deshpande, direktor istraživanja u Gartneru. - Stalni nedostatak vještina i regulatorne promjene kao što je Opća uredba o zaštiti podataka (GDPR) u Europi pokreću daljnji rast tržišta usluga kibernetičke sigurnosti.

Stručnjaci vjeruju da je jedan od ključnih čimbenika koji pridonose povećanju troškova informacijske sigurnosti uvođenje novih metoda detekcije i odgovora na prijetnje, koje su postale glavni sigurnosni prioritet za organizacije u 2018. godini.

Prema procjenama Gartnera, 2017. organizacije su globalno potrošile usluge kibernetičke zaštite premašile 52,3 milijarde dolara, au 2018. ti će troškovi porasti na 58,9 milijardi dolara.

U 2017. godini tvrtke su potrošile 2,4 milijarde dolara na zaštitu aplikacija, 2,6 milijardi dolara na zaštitu podataka, usluge u oblaku- 185 milijuna dolara

Godišnja prodaja rješenja za upravljanje identitetom i pristupom (Identity And Access Management) iznosila je 8,8 milijardi dolara, a prodaja alata za zaštitu IT infrastrukture porasla je na 12,6 milijardi dolara.

Studija također ukazuje na 10,9 milijardi dolara potrošnje na opremu koja se koristi za pružanje mrežne sigurnosti. Njihovi proizvođači zaradili su 3,9 milijardi dolara od sustava upravljanja rizicima informacijske sigurnosti.

Analitičari procjenjuju potrošnju potrošača na kibernetičku sigurnost za 2017. na 5,9 milijardi dolara, prema studiji Gartnera.

Gartner je procijenio veličinu tržišta na 89,13 milijardi dolara

U prosincu 2017. postalo je poznato da će globalna potrošnja kompanija na informacijsku sigurnost (IS) u 2017. iznositi 89,13 milijardi dolara.Prema Gartneru, korporativna potrošnja na kibernetičku sigurnost premašit će iznos iz 2016. od 82,2 milijarde dolara za gotovo 7 milijardi dolara.

Stručnjaci najveću stavku troška smatraju uslugama informacijske sigurnosti: u 2017. godine tvrtke će u te svrhe izdvojiti više od 53 milijarde dolara u odnosu na 48,8 milijardi dolara u 2016. godini. Drugi najveći segment tržišta informacijske sigurnosti su rješenja za zaštitu infrastrukture, čiji će troškovi u 2017. godini iznositi 16,2 milijarde dolara umjesto 15,2 milijarde dolara prije godinu dana. Na trećem je mjestu oprema za mrežnu sigurnost (10,93 milijarde dolara).

U strukturu troškova informacijske sigurnosti uključen je i potrošački softver za informacijsku sigurnost te sustave za identifikaciju i upravljanje pristupom (Identity and Access Management, IAM). Gartner procjenjuje troškove u tim područjima u 2017. na 4,64 milijarde dolara i 4,3 milijarde dolara, dok su u 2016. brojke iznosile 4,57 milijardi dolara, odnosno 3,9 milijardi dolara.

Analitičari očekuju daljnji rast tržišta informacijske sigurnosti: u 2018. organizacije će povećati izdatke za kibernetičku zaštitu za dodatnih 8% i u te svrhe izdvojiti ukupno 96,3 milijarde USD.Među faktorima rasta stručnjaci su naveli promjenu regulative u sektoru informacijske sigurnosti i svijest o novim prijetnjama i okretanje tvrtki digitalnoj poslovnoj strategiji.

Općenito, potrošnja na kibernetičku sigurnost uvelike je uvjetovana odgovorom kompanija na incidente u vezi s informacijskom sigurnošću, budući da raste broj kibernetičkih napada visokog profila i curenja informacija koji utječu na organizacije diljem svijeta, kaže Ruggero Contu, direktor istraživanja u Gartneru, komentirajući prognozu .

Riječi analitičara potvrđuju podaci koje je Gartner dobio 2016. godine tijekom istraživanja u kojem je sudjelovalo 512 organizacija iz osam zemalja: Australije, Kanade, Francuske, Njemačke, Indije, Singapura i SAD-a.

53% ispitanika navelo je rizike kibernetičke sigurnosti kao glavnu pokretačku silu koja stoji iza povećanja potrošnje za kibernetičku sigurnost. Od tog broja, najveći postotak ispitanika rekao je da prijetnja kibernetičkih napada najviše utječe na odluke o potrošnji za informacijsku sigurnost.

Gartnerova prognoza za 2018. poziva na povećanu potrošnju u svim glavnim područjima. Tako će se oko 57,7 milijardi dolara (+4,65 milijardi dolara) potrošiti na usluge kibernetičke zaštite, oko 17,5 milijardi dolara (+1,25 milijardi dolara) potrošit će se na osiguranje sigurnosti infrastrukture, a 11,67 milijardi dolara (+735 milijuna dolara), za potrošački softver - 4,74 milijarde dolara ( +109 milijuna dolara) i za IAM sustave - 4,69 milijardi dolara (+416 milijuna dolara).

Analitičari također vjeruju da će do 2020. godine više od 60% organizacija u svijetu istovremeno ulagati u nekoliko alata za zaštitu podataka, uključujući alate za sprječavanje gubitka informacija, enkripciju i reviziju. Na kraju 2017. udio tvrtki koje kupuju takva rješenja procijenjen je na 35%.

Još jedna značajna stavka korporativnih izdataka za informacijsku sigurnost bit će uključivanje stručnjaka trećih strana. Očekuje se da će, u kontekstu nedostatka osoblja u području kibernetičke sigurnosti, rastuće tehničke složenosti sustava informacijske sigurnosti i sve većih kibernetičkih prijetnji, troškovi tvrtke za outsourcing informacijske sigurnosti u 2018. porasti za 11% i iznositi 18,5 milijardi USD .

Gartner procjenjuje da će do 2019. korporativna potrošnja na stručnjake za kibernetičku sigurnost trećih strana činiti 75% ukupne potrošnje softvera i hardvera za kibernetičku sigurnost, u odnosu na 63% u 2016. godini.

IDC predviđa da će veličina tržišta biti 82 milijarde dolara

Dvije trećine troškova doći će od velikih i vrlo velikih tvrtki. veliki posao. Do 2019. godine, prema analitičarima IDC-a, troškovi korporacija s više od 1000 zaposlenika premašit će granicu od 50 milijardi dolara.

2016.: Opseg tržišta 73,7 milijardi USD, rast 2 puta veći od IT tržišta

U listopadu 2016. analitička tvrtka IDC predstavila je kratke rezultate istraživanja globalnog tržišta informacijske sigurnosti. Očekuje se da će njegov rast biti dvostruko veći od IT tržišta.

IDC je izračunao da će globalna prodaja opreme, softvera i usluga za kibernetičku zaštitu dosegnuti oko 73,7 milijardi dolara u 2016. godini, da bi 2020. godine ta brojka premašila 100 milijardi dolara, što bi iznosilo 101,6 milijardi dolara.U razdoblju od 2016. do 2020. godine tržište informacijske sigurnosti - tehnologija će rasti po prosječnoj stopi od 8,3% godišnje, što je dvostruko više od očekivane stope rasta IT industrije.


Najveći izdaci za informacijsku sigurnost (8,6 milijardi dolara) na kraju 2016. očekuju se u bankama. Na drugom, trećem i četvrtom mjestu po veličini takvih ulaganja bit će diskretna proizvodna poduzeća, državne agencije odnosno kontinuirana proizvodna poduzeća, koja će činiti oko 37% troškova.

Analitičari daju vodstvo u dinamici povećanja ulaganja u informacijsku sigurnost zdravstvu (očekuje se prosječan godišnji rast od 10,3% u razdoblju 2016.-2020.). Troškovi kibernetičke zaštite u telekomu, stambenom sektoru, državnim agencijama te na tržištu ulaganja i vrijednosnih papira rasti će za približno 9% godišnje.

Istraživači američko tržište nazivaju najvećim tržištem informacijske sigurnosti, čiji će obujam u 2016. dosegnuti 31,5 milijardi dolara. Prva tri će također uključivati ​​zapadnu Europu i azijsko-pacifičku regiju (bez Japana). U skraćenoj verziji IDC-ove studije nema podataka o ruskom tržištu.

direktor tvrtke ruske tvrtke Security Monitor, Dmitry Gvozdev predviđa povećanje udjela usluga u ukupnoj ruskoj potrošnji na sigurnost s 30-35% na 40-45%, a također predviđa razvoj strukture klijenata na tržištu - od ukupne prevlasti državnog, financijskog i energetskog sektora prema srednjim poduzećima iz šireg spektra industrija.

Jedan od trendova trebao bi biti razvoj udjela domaćih softverskih proizvoda u vezi s pitanjima supstitucije uvoza i vanjskopolitičke situacije. No, u kojoj će se mjeri to odraziti na financijske pokazatelje uvelike će ovisiti o tečaju rublje i cjenovnoj politici stranih dobavljača, koji još uvijek zauzimaju barem polovicu domaćeg tržišta. programska rješenja te do dvije trećine u segmentu opreme. Konačni godišnji financijski rezultat cjelokupnog ruskog tržišta rješenja za informacijsku sigurnost može se također povezati s vanjskim ekonomskim čimbenicima, rekao je Gvozdev u razgovoru za TAdviser.

2015

VELIČINA TRŽIŠTA

FEDERALNA POTROŠNJA

KIBER KRIMINAL

CIJENA PO KRŠENJU

FINANCIJSKE USLUGE

Međunarodni

SIGURNOSNA ANALITIKA

2013: Tržište EMEA naraslo je na 2,5 milijardi dolara.

Opseg tržišta sigurnosne opreme u regiji EMEA (Europa, Bliski istok i Afrika) porastao je za 2,4% u odnosu na 2012. i iznosio je 2,5 milijardi dolara.Analitičari su multifunkcionalne softverske i hardverske sustave za zaštitu nazvali najvećim i najbrže rastućim segmentom tržišta u razmatranju. računalne mreže– UTM rješenja (Unificirano upravljanje prijetnjama). Istodobno, IDC je predvidio da će tržište tehnička sredstva informacijska sigurnost dosegnut će vrijednost od 4,2 milijarde USD do 2018. s prosječnim godišnjim rastom od 5,4%.

Krajem 2013. godine vodeću poziciju među dobavljačima po prihodima od prodaje opreme za informacijsku sigurnost u EMEA regiji preuzeo je Check Point. Prema podacima IDC-a, prihod dobavljača u ovom segmentu za 2013. porastao je za 3,8% i iznosio je 374,64 milijuna dolara, što odgovara tržišnom udjelu od 19,3%.

2012.: Prognoza PAC: Tržište informacijske sigurnosti rasti će za 8% godišnje

Globalno tržište informacijske sigurnosti rasti će 8% godišnje do 2016., kada bi moglo dosegnuti 36 milijardi eura, navodi se u studiji.

Postoje dva glavna pristupa opravdavanju troškova informacijske sigurnosti.

Znanstveni pristup. Za to je potrebno uključiti menadžment tvrtke (ili njenog vlasnika) u procjenu troškova informacijskih resursa i određivanje procjene potencijalne štete od kršenja u području informacijske sigurnosti.

1. Ako je cijena informacija niska, nema značajnih prijetnji informacijskoj imovini tvrtke, a potencijalna šteta je minimalna, osiguravanje informacijske sigurnosti zahtijeva manje sredstava.

2. Ako informacija ima određenu vrijednost, prijetnje i potencijalna šteta su značajne i definirane, postavlja se pitanje uključivanja troškova za podsustav informacijske sigurnosti u proračun. U ovom slučaju potrebno je konstruirati korporativni sustav zaštita informacija.

Praktičan pristup sastoji se u određivanju opcije stvarnih troškova za sustav korporativne informacijske sigurnosti temeljen na sličnim sustavima u drugim područjima. Praktičari u području informacijske sigurnosti vjeruju da bi trošak sustava informacijske sigurnosti trebao biti približno 10-20% troška korporativnog informacijski sistem, ovisno o specifičnim zahtjevima za režim informacijske sigurnosti.

Općeprihvaćeni zahtjevi za osiguranje režima informacijske sigurnosti “najbolje prakse” (temeljeni na praktičnom iskustvu), formalizirani u brojnim normama, primjerice ISO 17799, provode se u praksi pri razvoju specifičnih metoda za procjenu učinkovitosti sustava informacijske sigurnosti.

Korištenje suvremenih metoda za procjenu troškova informacijske sigurnosti omogućuje izračunavanje cjelokupnog potrošnog dijela informacijske imovine organizacije, uključujući izravne i neizravne troškove hardvera i softver, organizacijska događanja, osposobljavanje i usavršavanje zaposlenika, reorganizacija, poslovno restrukturiranje i sl.

Oni su neophodni za dokaz ekonomska učinkovitost postojeće korporativne sustave zaštite te voditeljima službi za informacijsku sigurnost omogućiti opravdanje proračuna za informacijsku sigurnost, kao i dokazati učinkovitost rada djelatnika relevantne službe. Metode procjene troškova koje koriste strane tvrtke omogućuju:

Dobiti odgovarajuće informacije o razini sigurnosti distribuiranog računalnog okruženja i ukupnom trošku vlasništva korporativnog sustava informacijske sigurnosti.

Usporedite odjele za informacijsku sigurnost organizacije međusobno is sličnim odjelima drugih organizacija u industriji.

Optimizirajte ulaganja u informacijsku sigurnost organizacije.


Jedna od najpoznatijih metoda za procjenu troškova u vezi sa sustavom informacijske sigurnosti je metoda ukupni trošak vlasništva (TCO) tvrtka Gartner Group Indikator TCO podrazumijeva zbroj izravnih i neizravnih troškova za organizaciju (reorganizaciju), rad i održavanje korporativnog sustava informacijske sigurnosti tijekom godine. Koristi se u gotovo svim glavnim fazama životni ciklus korporativni sustav informacijske sigurnosti te omogućuje objektivno i neovisno opravdanje ekonomske isplativosti uvođenja i korištenja specifičnih organizacijsko-tehničkih mjera i sredstava informacijske sigurnosti. Za objektivnost odluke također je potrebno dodatno uzeti u obzir stanje vanjskog i unutarnjeg okruženja poduzeća, na primjer, pokazatelje tehnološkog, kadrovskog i financijskog razvoja poduzeća.

Usporedba određenog TCO pokazatelja sa sličnim TCO pokazateljima u industriji (sa sličnim tvrtkama) omogućuje vam da objektivno i neovisno opravdate troškove organizacije za informacijsku sigurnost. Uostalom, često se pokaže da je prilično teško ili čak praktički nemoguće procijeniti izravni ekonomski učinak tih troškova.

Ukupni trošak vlasništva za informacijski sigurnosni sustav općenito se sastoji od troška:

Projektantski rad,

Kupnja i konfiguracija alata za zaštitu softvera i hardvera, uključujući sljedeće glavne skupine: vatrozidi, kriptografski alati, antivirusi i AAA (alati za autentifikaciju, autorizaciju i administraciju),

Troškovi osiguranja fizičke sigurnosti,

Obuka osoblja,

Upravljanje sustavom i podrška (sigurnosna administracija),

Revizija informacijske sigurnosti, - periodična modernizacija sustava informacijske sigurnosti.

Izravni troškovi uključuju i komponente kapitalnih troškova (povezane s dugotrajnom imovinom ili "imovinom") i troškove rada, koji su uključeni u kategorije operacija i administrativnog upravljanja. Ovo također uključuje troškove za usluge udaljenih korisnika itd., povezane s podrškom aktivnostima organizacije.

Zauzvrat, neizravni troškovi odražavaju utjecaj korporativnog informacijskog sustava i podsustava informacijske sigurnosti na zaposlenike organizacije putem mjerljivih pokazatelja kao što su zastoji i zamrzavanja korporativnog informacijskog sigurnosnog sustava i informacijskog sustava u cjelini, operativni i troškovi podrške (ne vezano za izravne troškove). Vrlo često neizravni troškovi igraju značajnu ulogu, budući da se obično inicijalno ne odražavaju u proračunu informacijske sigurnosti, već se otkrivaju kasnije u analizi troškova.

Izračun pokazatelja TCO organizacije provodi se u sljedećim područjima.

Komponente korporativnog informacijskog sustava(uključujući sustav informacijske sigurnosti) i informacijske aktivnosti organizacije (poslužitelji, klijentska računala, periferni uređaji, mrežni uređaji).

Troškovi hardvera i softvera za informacijsku sigurnost: potrošni materijal i troškovi amortizacije niti poslužitelji, klijentska računala (stola i mobilna računala), perifernih uređaja i mrežnih komponenti.

Troškovi organiziranja informacijske sigurnosti: održavanje sustava informacijske sigurnosti, standardnih sredstava zaštite perifernih uređaja, poslužitelja, mrežni uređaji, planiranje i upravljanje procesima informacijske sigurnosti, razvoj sigurnosnih koncepata i politika i dr.

Troškovi rada informacijskog sustava teme: izravni troškovi održavanja osoblja, troškovi rada i outsourcinga koje čini organizacija kao cjelina ili usluga za implementaciju tehnička podrška i operacije održavanja infrastrukture za korisnike.

Administrativni troškovi: izravni troškovi osoblja, operativna podrška i troškovi unutarnjih/vanjskih dobavljača (dobavljača) za podršku operacijama, uključujući upravljanje, financiranje, nabavu i obuku informacijskih sustava.

Transakcijski troškovi krajnjeg korisnika: Troškovi samopodrške krajnjeg korisnika, formalna obuka krajnjeg korisnika, povremena (neformalna) obuka, razvoj aplikacija "uradi sam", podrška za lokalni datotečni sustav.

Troškovi zastoja: Godišnji gubici produktivnosti krajnjeg korisnika zbog planiranih i neplaniranih ispada mrežnih resursa, uključujući klijentska računala, zajedničke poslužitelje, pisače, aplikacijske programe, komunikacijske resurse i komunikacijski softver.

Kako opravdati troškove informacijske sigurnosti?

Ponovno tiskano uz ljubazno dopuštenje OJSC InfoTex Internet Trust
Izvorni tekst se nalazi Ovdje.

Razine zrelosti poduzeća

Gartner Group identificira 4 razine zrelosti tvrtke u smislu informacijske sigurnosti (IS):

  • razina 0:
    • U poduzeću se nitko ne bavi informacijskom sigurnošću, uprava poduzeća ne shvaća važnost problema informacijske sigurnosti;
    • Nema financiranja;
    • IS se provodi redovnim sredstvima operativni sustavi, DBMS i aplikacije (zaštita lozinkom, kontrola pristupa resursima i uslugama).
  • Razina 1:
    • Informacijsku sigurnost menadžment smatra čisto "tehničkim" problemom; ne postoji jedinstveni program (koncept, politika) za razvoj sustava informacijske sigurnosti poduzeća (ISMS);
    • Financiranje je osigurano unutar ukupnog IT proračuna;
    • Informacijska sigurnost provodi se pomoću nulte razine + sredstva Rezervni primjerak, antivirusni alati, vatrozidi, VPN organizacijski alati (tradicionalni sigurnosni alati).
  • Razina 2:
    • Uprava smatra informacijsku sigurnost kompleksom organizacijskih i tehničkih mjera, postoji razumijevanje važnosti informacijske sigurnosti za proizvodne procese, postoji program za razvoj ISMS-a tvrtke koji je odobrila uprava;
    • Informacijsku sigurnost implementiraju alati prve razine + poboljšani alati za autentifikaciju, alati za analizu e-mail poruka i web sadržaja, IDS (sustavi za detekciju upada), alati za sigurnosnu analizu, SSO (single authentication tools), PKI (infrastruktura) javnih ključeva) i organizacijske mjere (unutarnja i vanjska revizija, analiza rizika, politika informacijske sigurnosti, propisi, procedure, propisi i smjernice).
  • Razina 3:
    • Informacijska sigurnost dio je korporativne kulture, imenovan je CISA (senior information security officer);
    • Financiranje se osigurava u okviru zasebnog proračuna;
    • Informacijska sigurnost implementirana je pomoću druge razine + sustav upravljanja informacijskom sigurnošću, CSIRT (information security incident response team), SLA (service level agreement).

Prema Gartner grupi (podaci za 2001. godinu), postotak tvrtki u odnosu na opisane 4 razine je sljedeći:
Razina 0 - 30%,
Razina 1 - 55%,
Razina 2 - 10%,
Razina 3 - 5%.

Prognoza Gartner grupe za 2005. je sljedeća:
Razina 0 - 20%,
Razina 1 - 35%,
Razina 2 - 30%,
Razina 3 - 15%.

Statistike pokazuju da je većina tvrtki (55%) trenutno implementiralo minimum potreban set tradicionalna tehnička sredstva zaštite (razina 1).

Prilikom implementacije raznih tehnologija i sigurnosnih mjera često se javljaju pitanja. Što prvo implementirati, sustav za detekciju upada ili PKI infrastrukturu? Što će biti učinkovitije? Stephen Ross, direktor Deloitte&Touche, predlaže sljedeći pristup za procjenu učinkovitosti pojedinačnih mjera i alata za informacijsku sigurnost.

Na temelju gornjeg grafikona može se vidjeti da su najskuplji i najmanje učinkoviti specijalizirani alati (u kući ili po narudžbi).

Najskuplji, ali ujedno i najučinkovitiji su proizvodi zaštite kategorije 4 (razina 2 i 3 prema Gartner Group). Za implementaciju alata u ovoj kategoriji potrebno je koristiti postupak analize rizika. Analiza rizika u ovom će slučaju osigurati da troškovi implementacije budu primjereni postojećim prijetnjama kršenja informacijske sigurnosti.

Najjeftiniji, ali s visokom razinom učinkovitosti, uključuju organizacijske mjere (unutarnja i vanjska revizija, analiza rizika, politika informacijske sigurnosti, plan kontinuiteta poslovanja, propisi, procedure, pravilnici i priručnici).

Uvođenje dodatnih sredstava zaštite (prijelaz na 2. i 3. stupanj) zahtijeva značajna financijska ulaganja, a time i opravdanost. Nepostojanje jedinstvenog programa razvoja ISMS-a koji je odobrio i potpisao menadžment pogoršava problem opravdanosti ulaganja u sigurnost.

Analiza rizika

Takvo opravdanje mogu biti rezultati analize rizika i prikupljene statistike o incidentima.Mehanizmi za provedbu analize rizika i prikupljanje statistike trebaju biti navedeni u politici informacijske sigurnosti tvrtke.

Proces analize rizika sastoji se od 6 uzastopnih faza:

1. Identifikacija i klasifikacija zaštićenih objekata (sredstva poduzeća koja se štite);

3. Izgradnja modela napadača;

4. Identifikacija, klasifikacija i analiza prijetnji i ranjivosti;

5. Procjena rizika;

6. Izbor organizacijskih mjera i tehničkih sredstava zaštite.

Na pozornici identifikaciju i klasifikaciju objekata zaštite Potrebno je provesti inventuru resursa tvrtke u sljedećim područjima:

  • Informacijski izvori (povjerljive i kritične informacije tvrtke);
  • Softverski resursi (OS, DBMS, kritične aplikacije, kao što je ERP);
  • Fizički resursi (poslužitelji, radne stanice, mrežna i telekomunikacijska oprema);
  • Resursi usluge (e-pošta, www, itd.).

Kategorizacija je odrediti razinu povjerljivosti i kritičnosti izvora. Povjerljivost se odnosi na razinu tajnosti informacija koje se pohranjuju, obrađuju i prenose pomoću izvora. Kritičnost se odnosi na stupanj utjecaja resursa na učinkovitost proizvodnih procesa poduzeća (primjerice, u slučaju zastoja telekomunikacijskih resursa, tvrtka pružatelj može bankrotirati). Dodjeljujući određene kvalitativne vrijednosti parametrima povjerljivosti i kritičnosti, možete odrediti razinu značaja svakog resursa u smislu njegovog sudjelovanja u proizvodnim procesima tvrtke.

Da biste odredili važnost resursa tvrtke sa stajališta informacijske sigurnosti, možete dobiti sljedeću tablicu:

Na primjer, datoteke s podacima o visini plaća zaposlenika poduzeća imaju vrijednost "strogo povjerljivo" (parametar povjerljivosti) i vrijednost "beznačajno" (parametar kritičnosti). Zamjenom ovih vrijednosti u tablicu možete dobiti integralni pokazatelj značaja ovog resursa. Različite opcije za metode kategorizacije dane su u međunarodnoj normi ISO TR 13335.

Izgradnja modela napadača je proces klasifikacije potencijalnih prekršitelja prema sljedećim parametrima:

  • Vrsta napadača (konkurent, klijent, programer, zaposlenik tvrtke itd.);
  • Položaj napadača u odnosu na objekte zaštite (unutarnji, vanjski);
  • Razina znanja o zaštićenim objektima i okolišu (visoka, srednja, niska);
  • Razina mogućnosti pristupa štićenim objektima (maksimalna, srednja, minimalna);
  • Trajanje djelovanja (konstantno, u određenim vremenskim intervalima);
  • Mjesto radnje (očekivano mjesto napadača tijekom napada).

Dodjeljivanjem kvalitativnih vrijednosti navedenim parametrima modela napadača može se odrediti potencijal napadača (integralna karakteristika sposobnosti napadača da realizira prijetnje).

Identifikacija, klasifikacija i analiza prijetnji i ranjivosti omogućuju vam da odredite načine provedbe napada na zaštićene objekte. Ranjivosti su svojstva resursa ili njegove okoline koja koristi napadač za implementaciju prijetnji. Popis ranjivosti softverskih resursa može se pronaći na Internetu.

Prijetnje su klasificirane prema sljedećim kriterijima:

  • naziv prijetnje;
  • vrsta napadača;
  • sredstva provedbe;
  • iskorištene ranjivosti;
  • poduzete radnje;
  • učestalost implementacije.

Glavni parametar je učestalost implementacije prijetnji. Ovisi o vrijednostima parametara "potencijal napadača" i "sigurnost resursa". Vrijednost parametra “sigurnost resursa” utvrđuje se stručnim procjenama. Pri određivanju vrijednosti parametra uzimaju se u obzir subjektivni parametri napadača: motivacija za provedbu prijetnje i statistika pokušaja provedbe prijetnje. ove vrste(ako je dostupno). Rezultat faze analize prijetnji i ranjivosti je procjena parametra "učestalosti implementacije" za svaku prijetnju.

Na pozornici procjene rizika potencijalna šteta od prijetnji kršenja informacijske sigurnosti utvrđuje se za svaki resurs ili skupinu resursa.

Kvalitativni pokazatelj oštećenja ovisi o dva parametra:

  • Značaj resursa;
  • Učestalost implementacije prijetnji na ovom resursu.

Na temelju dobivenih procjena šteta razumno se odabiru odgovarajuće organizacijske mjere i tehnička sredstva zaštite.

Akumulacija statistike o incidentima

Jedina slaba točka predložene metodologije za procjenu rizika i shodno tome opravdavanje potrebe uvođenja novih ili izmjene postojećih tehnologija zaštite je određivanje parametra „učestalost pojavljivanja prijetnji“. Jedini način za dobivanje objektivnih vrijednosti ovog parametra je prikupljanje statistike o incidentima. Akumulirana statistika, na primjer, tijekom godine dana omogućit će vam da odredite broj implementacija prijetnji (određene vrste) po resursu (određene vrste). Preporučljivo je raditi na prikupljanju statistike u sklopu postupka obrade incidenta.

Svrha studije: analizirati i odrediti glavne trendove na ruskom tržištu informacijske sigurnosti
Korišteni su podaci Rosstata (statistički izvještajni obrasci br. 3-Inform, P-3, P-4), financijski izvještaji poduzeća itd.

Korištenje informacijskih i komunikacijskih tehnologija i alata za informacijsku sigurnost u organizacijama

  • Za izradu ovog odjeljka korišteni su agregirani, geografski odvojeni odjeli i predstavništva (Obrazac 3-Informacija „Podaci o korištenju informacijsko-komunikacijskih tehnologija i proizvodnji računalna tehnologija, softver i pružanje usluga u tim područjima".

Analizirano je razdoblje 2012.-2016. Podaci ne tvrde da su potpuni (budući da se prikupljaju prema ograničeni krug poduzeća), ali se, po našem mišljenju, može koristiti za procjenu trendova. Broj ispitanih poduzeća za promatrano razdoblje kretao se od 200 do 210 tisuća. Naime, uzorak je prilično stabilan i uključuje najvjerojatnije potrošače (velike i srednje tvrtke), koji čine najveći dio prodaje.

Dostupnost osobnih računala u organizacijama

Prema obrascu za statističko izvješćivanje 3-Inform, u 2016. bilo je oko 12,4 milijuna jedinica u ruskim organizacijama koje su davale informacije na ovom obrascu osobnih računala(PC). U ovom slučaju računalo znači stolno i prijenosno računalo; ovaj koncept ne uključuje mobilno računalo Mobiteli i džepna osobna računala.

Tijekom proteklih 5 godina, broj PC jedinica u organizacijama u Rusiji kao cjelini porastao je za 14,9%. Najbolje opremljeni savezni okrug je Središnji savezni okrug, koji predstavlja 30,2% računala u tvrtkama. Bezuvjetno vodeća regija po ovom pokazatelju je grad Moskva; prema podacima za 2016. moskovske tvrtke imaju oko 1,8 milijuna računala. Najniža vrijednost pokazatelja zabilježena je u Sjevernokavkaskom saveznom okrugu; organizacije u okrugu imaju samo oko 300 tisuća računala; najmanji broj je u Republici Ingušetiji - 5,45 tisuća jedinica.

Riža. 1. Broj osobnih računala u organizacijama, Rusija, milijun jedinica.

Organizacijski troškovi informacijskih i komunikacijskih tehnologija

Tijekom razdoblja 2014.-2015. Zbog nepovoljne gospodarske situacije, ruske tvrtke bile su prisiljene minimizirati svoje troškove, uključujući troškove informacija i komunikacijske tehnologije. U 2014. godini pad troškova u ICT sektoru iznosio je 5,7%, no krajem 2015. godine bilježi se blagi pozitivan trend. U 2016. godini potrošnja ruskih tvrtki na informacijske i komunikacijske tehnologije iznosila je 1,25 trilijuna. rub., premašivši brojku prije krize 2013. za 0,3%.

Najveći dio troškova otpada na tvrtke koje se nalaze u Moskvi - preko 590 milijardi rubalja, ili 47,2% od ukupnog iznosa. Najveći obujam troškova organizacija za informacijske i komunikacijske tehnologije u 2016. godini zabilježen je u: Moskovskoj regiji - 76,6 milijardi rubalja, Sankt Peterburgu - 74,4 milijarde rubalja, Tjumenjskoj oblasti - 56,0 milijardi rubalja, Republici Tatarstan - 24,7 milijardi rubalja, Nižnjem Novgorodu regija – 21,4 milijarde rubalja. Najniži troškovi zabilježeni su u Republici Ingušetiji – 220,3 milijuna rubalja.

Riža. 2. Iznos troškova poduzeća za informacijske i komunikacijske tehnologije, Rusija, milijarda rubalja.

Upotreba alata za informacijsku sigurnost u organizacijama

U U zadnje vrijeme Može se primijetiti značajan porast broja tvrtki koje koriste alate za zaštitu informacijske sigurnosti. Godišnja stopa rasta njihovog broja prilično je stabilna (s iznimkom 2014.) i iznosi oko 11-19% godišnje.

Prema službenim podacima Rosstata, Najpopularnija sredstva zaštite trenutno su tehnička sredstva autentifikacije korisnika (tokeni, USB ključevi, pametne kartice). Od više od 157 tisuća tvrtki, njih 127 tisuća (81%) navelo je korištenje ovih posebnih alata kao zaštitu informacija.

Riža. 3. Distribucija organizacija prema korištenju sredstava koja osiguravaju informacijsku sigurnost u 2016., Rusija, %.

Prema službenoj statistici, 2016. godine 161.421 tvrtka koristila se globalnim internetom u komercijalne svrhe. Među organizacijama koje koriste internet u komercijalne svrhe, a naznačile su korištenje mjera informacijske sigurnosti, najpopularniji je elektronički digitalni potpis. Ovaj alat Preko 146 tisuća tvrtki ili 91% od ukupnog broja navelo se kao sredstvo zaštite. Prema korištenju alata za informacijsku sigurnost, tvrtke su raspoređene na sljedeći način:

    • Elektronička sredstva digitalni potpis– 146.887 poduzeća;
    • Redovito ažuriran antivirusni programi– 143.095 poduzeća;
    • Softver ili hardver koji sprječava neovlašteni pristup malware od globalnih informacija ili lokalnih računalne mreže(Vatrozid) – 101.373 poduzeća;
    • Spam filter – 86.292 poduzeća;
    • Alati za šifriranje – 86.074 poduzeća;
    • Sustavi za otkrivanje upada u računala ili mreže – 66.745 tvrtki;
    • Programski alati za automatizaciju sigurnosnih analiza i procesa kontrole računalni sustavi– 54.409 tvrtki.

Riža. 4. Distribucija tvrtki koje koriste internet u komercijalne svrhe, putem zaštite informacija koje se prenose globalnim mrežama, 2016., Rusija, %.

U razdoblju 2012. – 2016. broj tvrtki koje koriste internet u komercijalne svrhe porastao je za 34,9%. U 2016. godini 155.028 tvrtki koristilo je internet za komunikaciju s dobavljačima, a 110.421 tvrtka za komunikaciju s potrošačima. Od tvrtki koje koriste Internet za komunikaciju s dobavljačima, svrha korištenja je navedena:

  • dobivanje informacija o potrebnim robama (radovima, uslugama) i njihovim dobavljačima - 138.224 poduzeća;
  • pružanje informacija o potrebama organizacije za robom (radovima, uslugama) – 103.977 tvrtki;
  • davanje narudžbi za robu (rad, usluge) potrebnu za organizaciju (isključujući narudžbe poslane putem e-pošta) – 95.207 poduzeća;
  • plaćanje isporučene robe (radovi, usluge) – 89.279;
  • prijem elektroničkih proizvoda – 62.940 tvrtki.

Od ukupnog broja tvrtki koje koriste Internet za komunikaciju s potrošačima, svrha korištenja je navedena:

  • pružanje informacija o organizaciji, njezinoj robi (radovima, uslugama) - 101.059 tvrtki;
  • (radovi, usluge) (bez narudžbi poslanih elektroničkom poštom) – 44.193 poduzeća;
  • provedba elektroničkog plaćanja s potrošačima – 51.210 tvrtki;
  • distribucija elektroničkih proizvoda – 12.566 tvrtki;
  • postprodajna usluga (servis) – 13.580 tvrtki.

Opseg i dinamika proračuna saveznih izvršnih tijela za informacijsku tehnologiju u 2016.-2017.

Prema Federalnom trezoru, ukupni obujam ograničenja proračunskih obveza za 2017., priopćen saveznim izvršnim tijelima (u daljnjem tekstu: federalni izvršni organ) prema šifri vrste rashoda 242 „Kupnja robe, radova, usluga na terenu informacijskih i komunikacijskih tehnologija” u pogledu podataka koji ne predstavljaju državnu tajnu, od 1. kolovoza 2017. iznosio je 115,2 milijarde rubalja, što je približno 5,1% više od ukupnog proračuna za informacijsku tehnologiju federalnih izvršnih vlasti u 2016. (109,6 milijardi rubalja, prema Ministarstvu telekomunikacija i masovnih komunikacija). Dakle, dok ukupni obujam IT proračuna saveznih odjela i dalje raste iz godine u godinu, stopa rasta se smanjila (u 2016. ukupni obujam IT proračuna porastao je za 8,3% u odnosu na 2015.). pri čemu Postoji sve veća stratifikacija između “bogatih” i “siromašnih” u smislu izdataka odjela za informacijsku i komunikacijsku tehnologiju. Neosporni lider ne samo u pogledu veličine proračuna, već iu smislu postignuća u IT području je Savezna porezna služba. Njegov proračun za ICT ove godine iznosi više od 17,6 milijardi rubalja, što je više od 15% proračuna svih saveznih izvršnih tijela. Ukupan udio prvih pet (Savezna porezna služba, Mirovinski fond Ruske Federacije, Riznica, Ministarstvo unutarnjih poslova, Ministarstvo telekomunikacija i masovnih komunikacija) veći je od 53%.

Riža. 5. Struktura proračunskih rashoda za nabavu roba, radova i usluga iz oblasti informacijsko-komunikacijskih tehnologija po federalnim tijelima izvršne vlasti u 2017. godini, %

Zakonska regulativa u području nabave softvera za državne i općinske potrebe

Od 1. siječnja 2016. sva državna i općinska tijela, državne korporacije Rosatom i Roscosmos, tijela upravljanja državnim izvanproračunskim fondovima, kao i državne i proračunske institucije koje provode nabavu u skladu sa zahtjevima Saveznog zakona od 5. travnja 2013. br. 44 -FZ “O ugovornom sustavu u području nabave roba, radova, usluga za zadovoljavanje državnih i općinskih potreba”, dužni su se pridržavati zabrane prihvata softvera podrijetlom iz stranih država u svrhu nabave. za podmirenje državnih i općinskih potreba. Zabrana je uvedena Uredbom Vlade Ruske Federacije od 16. studenoga 2015. br. 1236 „O uspostavljanju zabrane prihvata softvera podrijetlom iz inozemstva u svrhu nabave za državne i lokalne potrebe.” Prilikom kupnje softvera gore navedeni kupci moraju u obavijesti o kupnji izravno naznačiti zabranu kupnje uvezenog softvera. Zabrana se odnosi na kupnju softvera za elektroničke računala i baze podataka koje se provode bez obzira na vrstu ugovora na materijalnom mediju i/ili u u elektroničkom obliku putem komunikacijskih kanala, kao i isključiva prava na takav softver i prava na korištenje takvog softvera.

Postoji nekoliko iznimaka kada je kupcima dopuštena kupnja uvezenog softvera.

  • nabavu softvera i (ili) prava na njega od strane diplomatskih misija i konzularnih ureda Ruska Federacija, trgovinske misije Ruske Federacije pri međunarodnim organizacijama za osiguranje njihovih aktivnosti na teritoriju strane države;
  • nabavu softvera i (ili) prava na njega, podaci o kojima i (ili) čija kupnja predstavljaju državnu tajnu.

U svim drugim slučajevima, kupac će morati raditi s jednim registrom prije kupnje softvera ruski programi za elektronička računala i baze podataka i klasifikator programa za elektronička računala i baze podataka.
Formiranje i održavanje registra kao ovlaštenog federalnog izvršnog tijela provodi Ministarstvo telekomunikacija i masovnih komunikacija Rusije.
Od kraja kolovoza 2017. registar je uključivao 343 softverska proizvoda koji pripadaju klasi "alata za informacijsku sigurnost" od 98 ruskih razvojnih tvrtki. Među njima su softverski proizvodi tako velikih ruskih programera kao što su:

  • OJSC “Informacijske tehnologije i komunikacijski sustavi” (“InfoTeKS”) – 37 softverskih proizvoda;
  • JSC Kaspersky Lab - 25 softverskih proizvoda;
  • Security Code LLC - 19 softverskih proizvoda;
  • Crypto-Pro LLC - 18 softverskih proizvoda;
  • Doctor WEB doo - 12 programskih proizvoda;
  • S-Terra CSP doo - 12 softverskih proizvoda;
  • CJSC "Aladdin R.D." — 8 softverskih proizvoda;
  • JSC "Infowatch" - 6 softverskih proizvoda.

Analiza aktivnosti najvećih igrača u području informacijske sigurnosti

  • Kao osnovne informacije za analizu aktivnosti najvećih igrača na tržištu informacijske sigurnosti za pripremu ovu studiju korišteni su podaci o javnoj nabavi u području informacijsko-komunikacijskih djelatnosti, a posebno informacijske sigurnosti.

Za analizu trendova odabrali smo 18 tvrtki koje su među vodećima na tržištu informacijske sigurnosti i aktivno su uključene u državnu nabavu. Popis uključuje kako izravne programere softvera i hardvera i softverskih sigurnosnih sustava, tako i najveće integratori sustava. Ukupni prihod tih tvrtki u 2016. godini iznosio je 162,3 milijarde rubalja, što je za 8,7% više nego u 2015. godini.
U nastavku je popis tvrtki odabranih za studiju.

Stol 1. Tvrtke odabrane za istraživanje

Ime KOSITAR Vrsta djelatnosti (OKVED 2014)
1 "I-Teco" dd 7736227885 Djelatnosti vezane uz korištenje računalne tehnologije i informacijske tehnologije, ostalo (62.09)
2 Croc Incorporated, JSC 7701004101
3 "Informzashita", CJSC NIP 7702148410 Istraživanje i razvoj u području društvenih i humanističkih znanosti (72.20)
4 "Softline Trade", JSC 7736227885
5 "Technoserv AS", doo 7722286471 Trgovina na veliko ostalim strojevima i opremom (46.69)
6 "Elvis-plus", dd 7735003794
7 "Asteros" dd 7721163646 Trgovina na veliko računalima, periferni uređaji na računala i softver (46.51
8 "Aquarius Production Company", LLC 7701256405
9 Lanit, CJSC 7727004113 Trgovina na veliko ostalim uredskim strojevima i opremom (46.66)
10 Jet Infosystems, JSC 7729058675 Trgovina na veliko računalima, perifernim uređajima za računala i softverom (46.51)
11 "Dialognauka", JSC 7701102564 Razvoj računalnog softvera (62.01)
12 "Factor-TS", doo 7716032944 Proizvodnja računala i periferne opreme (26.20)
13 "InfoTeKS", dd 7710013769 Razvoj računalnog softvera (62.01)
14 "Uralski centar za sigurnosne sustave", LLC 6672235068 Djelatnosti u području arhitekture, inženjeringa i tehničkog savjetovanja u tim područjima (71.1)
15 "ICL-KPO VS", dd 1660014361 Razvoj računalnog softvera (62.01)
16 NVision Group, JSC 7703282175 Nespecijalizirana trgovina na veliko (46.90)
17 "Confidential-Integration", LLC 7811512250 Djelatnosti obrade podataka, pružanje usluga hostinga i srodne djelatnosti (63.11)
18 "Kaluga Astral", JSC 4029017981 Savjetodavne djelatnosti i rad u području računalne tehnologije (62.02

Do kraja listopada 2017. tvrtke iz predstavljenog uzorka sklopile su 1034 ugovora s državnim agencijama u iznosu od 24,6 milijardi rubalja. Uvođenje ovaj popisŠto se tiče količine sklopljenih ugovora, tvrtka I-Teco ima 74 ugovora u vrijednosti od 7,5 milijardi rubalja.
Tijekom proteklih godina, s izuzetkom krizne 2014. godine, može se primijetiti konstantan porast ukupnog volumena ugovora za odabrane tvrtke. Najznačajnija dinamika dogodila se u razdoblju 2015.-2016. Tako je u 2015. godini došlo do povećanja obujma ugovora za više od 3,5 puta, u 2016. - za 1,5 puta. Prema dostupnim podacima o ugovornim aktivnostima tvrtki za razdoblje siječanj-listopad 2017., može se pretpostaviti da će u 2017. ukupni obujam ugovora s državnim agencijama biti oko 37-38 milijardi rubalja, odnosno smanjenje od oko 40 % je očekivano.

Kao što je već navedeno, sigurnost poduzeća osigurava se nizom mjera u svim fazama njegovog životnog ciklusa, njegovog informacijskog sustava i, općenito, sastoji se od troškova:

  • - projektantski rad;
  • - nabavu i konfiguraciju softverskih i hardverskih zaštitnih alata;
  • - troškovi osiguranja fizičke sigurnosti;
  • - obuka osoblja;
  • - upravljanje i podrška sustavima;
  • - revizija informacijske sigurnosti;
  • - periodična modernizacija sustava informacijske sigurnosti i dr.

Troškovni pokazatelj ekonomske učinkovitosti integriranog sustava informacijske sigurnosti bit će zbroj izravnih i neizravnih troškova organizacije, rada i održavanja sustava informacijske sigurnosti tijekom cijele godine.

Može se smatrati ključnim kvantitativnim pokazateljem učinkovitosti organizacije informacijske sigurnosti u tvrtki, budući da će omogućiti ne samo procjenu ukupnih troškova zaštite, već i upravljanje tim troškovima kako bi se postigla potrebna razina sigurnosti poduzeća. Međutim, izravni troškovi uključuju i komponente kapitalnih troškova i troškove rada, koji su uključeni u kategorije operacija i administrativnog upravljanja. Ovo također uključuje troškove za usluge udaljenih korisnika itd., povezane s podrškom aktivnostima organizacije.

Neizravni troškovi, zauzvrat, odražavaju utjecaj integriranog sigurnosnog sustava i podsustava informacijske sigurnosti na zaposlenike kroz takve mjerljive pokazatelje kao što su zastoji i zamrzavanja korporativnog informacijskog sigurnosnog sustava i integriranog sigurnosnog sustava u cjelini, operacije i troškove podrške.

Vrlo često neizravni troškovi igraju značajnu ulogu, budući da se obično inicijalno ne odražavaju u proračunu za sveobuhvatni sigurnosni sustav, već se kasnije eksplicitno otkriju tijekom analize troškova, što u konačnici dovodi do povećanja “skrivenih” troškova tvrtke. Razmotrimo kako možete odrediti izravne i neizravne troškove sveobuhvatnog sigurnosnog sustava. Pretpostavimo da menadžment poduzeća radi na implementaciji sveobuhvatnog sustava informacijske sigurnosti u poduzeću. Predmeti i ciljevi zaštite, prijetnje informacijskoj sigurnosti i mjere za njihovo suzbijanje već su identificirani, nabavljena su i instalirana potrebna sredstva za zaštitu informacija.

Obično troškovi informacijske sigurnosti spadaju u sljedeće kategorije:

  • - troškovi formiranja i održavanja veze upravljanja sustavom informacijske sigurnosti;
  • - troškove kontrole, odnosno utvrđivanja i potvrđivanja postignute razine sigurnosti resursa poduzeća;
  • - interni troškovi za otklanjanje posljedica povrede informacijske sigurnosti - troškovi koje je organizacija imala zbog nepostizanja tražene razine sigurnosti;
  • - eksterni troškovi za otklanjanje posljedica kršenja informacijske sigurnosti - naknada za gubitke zbog kršenja sigurnosne politike u slučajevima koji se odnose na curenje informacija, gubitak imidža tvrtke, gubitak povjerenja partnera i potrošača itd.;
  • - troškove održavanja sustava informacijske sigurnosti i mjere za sprječavanje kršenja sigurnosne politike poduzeća.

U ovom slučaju obično se razlikuju jednokratni i sustavni troškovi.

Jednokratni troškovi za stvaranje sigurnosti poduzeća: organizacijski troškovi i troškovi za nabavu i ugradnju zaštitne opreme.

Sustavni, operativni i troškovi održavanja. Klasifikacija troškova je uvjetna, budući da su prikupljanje, klasifikacija i analiza troškova za informacijsku sigurnost unutarnje aktivnosti poduzeća, a detaljna izrada popisa ovisi o karakteristikama pojedine organizacije.

Glavna stvar pri određivanju troškova sigurnosnog sustava je međusobno razumijevanje i dogovor oko stavki troškova unutar poduzeća.

Nadalje, kategorije troškova trebaju biti dosljedne i ne smiju se međusobno duplirati. Troškove sigurnosti nemoguće je potpuno eliminirati, ali ih je moguće svesti na prihvatljivu razinu.

Neki sigurnosni troškovi su apsolutno potrebni, a neki se mogu značajno smanjiti ili eliminirati. Potonji su oni koji mogu nestati ako nema kršenja sigurnosti ili će se smanjiti ako se smanji broj i destruktivan učinak povreda.

Održavanjem sigurnosti i sprječavanjem prekršaja mogu se eliminirati ili značajno smanjiti sljedeći troškovi:

  • - vratiti sigurnosni sustav u skladu sa sigurnosnim zahtjevima;
  • - obnoviti resurse informacijskog okruženja poduzeća;
  • - za izmjene unutar sigurnosnog sustava;
  • - za sudske sporove i isplate odštete;
  • - identificirati uzroke kršenja sigurnosti.

Nužni troškovi su oni koji su nužni čak i ako je razina sigurnosnih prijetnji prilično niska. To su troškovi održavanja dostignute razine sigurnosti informacijskog okruženja poduzeća.

Neizbježni troškovi mogu uključivati:

  • a) održavanje tehničke zaštitne opreme;
  • b) upravljanje povjerljivim zapisima;
  • c) rad i revizija sigurnosnog sustava;
  • d) minimalni stupanj inspekcija i kontrola uz sudjelovanje specijaliziranih organizacija;
  • e) obuka osoblja o metodama informacijske sigurnosti.

Međutim, postoje i drugi troškovi koje je prilično teško utvrditi. Među njima:

  • a) troškove provođenja dodatnih istraživanja i razvoja nove tržišne strategije;
  • b) gubitke od snižavanja prioriteta u znanstvenom istraživanju i nemogućnosti patentiranja i prodaje licenci za znanstvena i tehnička dostignuća;
  • c) troškove povezane s uklanjanjem uskih grla u opskrbi, proizvodnji i marketingu proizvoda;
  • d) gubici od kompromitacije proizvoda koje poduzeće proizvodi i smanjenja cijena za njih;
  • e) pojava poteškoća u nabavi opreme ili tehnologije, uključujući povećanje cijena za njih, ograničavanje količine opskrbe.

Navedeni troškovi mogu biti uzrokovani radnjama osoblja različitih odjela, na primjer, dizajna, tehnologije, ekonomskog planiranja, pravne, ekonomije, marketinga, tarifne politike i cijena.

Budući da zaposlenici svih ovih odjela vjerojatno neće biti puno radno vrijeme zauzeti pitanjima vanjskih gubitaka, utvrđivanje iznosa troškova mora se provesti uzimajući u obzir stvarno potrošeno vrijeme. Jedan od elemenata vanjskih gubitaka ne može se točno izračunati - to su gubici povezani s potkopavanjem imidža poduzeća, smanjenjem povjerenja potrošača u proizvode i usluge poduzeća. Upravo iz tog razloga mnoge korporacije skrivaju činjenicu da njihova usluga nije sigurna. Korporacije se boje objavljivanja takvih informacija čak i više nego što se boje napada u ovom ili onom obliku.

Međutim, mnoga poduzeća zanemaruju te troškove jer se ne mogu odrediti s bilo kojim stupnjem točnosti - oni se samo nagađaju. Troškovi preventivnih mjera. Te je troškove vjerojatno najteže procijeniti jer se preventivne aktivnosti provode na različitim odjelima i utječu na mnoge službe. Ovi se troškovi mogu pojaviti u svim fazama životnog ciklusa resursa informacijskog okruženja poduzeća:

  • - planiranje i organizacija;
  • - nabava i puštanje u rad;
  • - dostava i podrška;
  • - praćenje procesa koji čine informacijsku tehnologiju.

Osim toga, većina troškova u ovoj kategoriji odnosi se na sigurnosno osoblje. Troškovi prevencije prvenstveno uključuju plaće i režijske troškove. Međutim, točnost njihovog određivanja uvelike ovisi o točnosti određivanja utrošenog vremena svakog zaposlenika pojedinačno. Neke troškove predostrožnosti lako je izravno identificirati. Oni mogu, posebice, uključivati ​​plaćanje za razne radove trećih strana, na primjer:

  • - održavanje i konfiguracija softverskih i hardverskih zaštitnih alata, operativnih sustava i korištene mrežne opreme;
  • - izvođenje inženjerskih i tehničkih radova za ugradnju alarmnih sustava, opremanje skladišta za povjerljive dokumente, zaštitu telefonske linije komunikacija, računalna oprema itd.;
  • - dostava povjerljivih podataka;
  • - konzultacije;
  • - tečajeve obuke.

Izvori informacija o razmatranim troškovima. Pri određivanju troškova pružanja informacijske sigurnosti potrebno je imati na umu da:

  • - troškovi nabave i puštanja u rad softvera i hardvera mogu se dobiti analizom faktura, evidencije skladišne ​​dokumentacije i sl.;
  • - plaćanja osoblju mogu se uzeti iz izvoda;
  • - količine plaćanja plaće treba uzeti u obzir stvarno vrijeme utrošeno na obavljanje poslova za osiguranje informacijske sigurnosti; ako samo dio vremena zaposlenika troši na aktivnosti za osiguranje informacijske sigurnosti, tada je izvedivost procjene svake od komponenti utroška njegovog vremena ne treba dovoditi u pitanje;
  • - klasifikacija sigurnosnih troškova i njihova raspodjela po elementima trebaju postati dio svakodnevnog rada unutar poduzeća.