이들은 프로그램의 취약점 탐지를 위한 보너스 지급 플랫폼부터 프로그램 진단 및 자동 테스트에 이르기까지 다양한 컴퓨터 보안 기술에 투자합니다. 그러나 무엇보다도 그들은 인증 및 신원 정보 관리 기술에 매력을 느낍니다. 2019년 말에 이러한 기술을 다루는 스타트업에 약 9억 달러가 투자되었습니다.

KnowBe4가 주도하여 2019년 사이버 보안 교육 스타트업에 대한 투자는 4억 1,800만 달러에 달했으며, 이 스타트업은 피싱 공격 시뮬레이션 플랫폼과 다양한 교육 프로그램을 제공합니다.

2019년 사물 인터넷 보안과 관련된 기업은 약 4억 1,200만 달러를 받았습니다. 투자 규모 측면에서 이 범주의 선두주자는 SentinelOne으로, 2019년 엔드포인트 보호 기술 개발을 위해 1억 2천만 달러를 받았습니다.

동시에 Metacurity 분석가는 정보 보안 부문의 벤처 금융 시장 상황을 특징짓는 기타 데이터를 제공합니다. 2019년 이곳의 투자 규모는 65억 7천만 달러에 달해 2018년 38억 8천만 달러에서 증가했습니다. 거래 수도 133건에서 219건으로 늘어났습니다. 동시에 거래당 평균 투자 금액은 거의 변하지 않았으며 Metacurity가 계산한 바에 따르면 2019년 말 기준 2,920만 건에 달했습니다.

2018

9% 증가한 370억 달러 성장 - Canalys

2018년에는 장비판매, 소프트웨어정보 보안(IS)을 위한 서비스는 370억 달러에 이르렀으며, 이는 1년 전(340억 달러)에 비해 9% 증가한 수치입니다. 이러한 데이터는 Canalys 분석가가 2019년 3월 28일에 게시했습니다.

많은 기업이 자산, 데이터, 엔드포인트, 네트워크, 직원 및 고객 보호를 우선시하고 있음에도 불구하고 2018년 사이버 보안은 전체 IT 지출의 2%에 불과했습니다. 그러나 점점 더 많은 새로운 위협이 등장하고 더욱 복잡해지고 빈번해지면서 정보 보안 솔루션 제조업체에 새로운 성장 기회를 제공하고 있습니다. 2020년에는 총 사이버 보안 지출이 420억 달러를 초과할 것으로 예상됩니다.

Canalys 분석가 Matthew Ball은 새로운 정보 보안 구현 모델로의 전환이 가속화될 것이라고 믿습니다. 고객은 퍼블릭 클라우드 서비스와 유연한 구독 기반 서비스를 사용하여 IT 예산의 성격을 변화시키고 있습니다.

2018년 정보 보안 배포의 약 82%가 기존 하드웨어 및 소프트웨어의 사용과 관련되었습니다. 나머지 18%의 경우에는 가상화, 퍼블릭 클라우드, 정보 보안 서비스가 사용되었습니다.

시장에 출시된 새로운 솔루션이 인기를 얻으면서 2020년까지 정보 보안 시스템 배포를 위한 기존 모델의 점유율은 70%로 떨어질 것입니다.

다양한 제품이 서로 다르기 때문에 공급업체는 이러한 전환을 지원하기 위해 광범위한 비즈니스 모델을 만들어야 합니다. 다른 유형배포. 오늘날 많은 사람들의 주요 과제는 제휴 채널에 더욱 초점을 맞춘 새로운 모델을 만들고 기존 모델과 통합하는 것입니다. 제휴 프로그램, 특히 클라우드 플랫폼을 통한 고객 거래의 경우. 일부 클라우드 마켓플레이스는 파트너가 거래 등록 및 할인을 추적하여 고객에게 직접 맞춤형 제안과 ​​가격을 제공할 수 있도록 허용함으로써 이에 대응했다고 Matthew Ball이 2019년 3월 29일 게시물에서 보고했습니다.

Canalys 분석가 Ketaki Borade에 따르면, 주요 사이버 보안 기술 공급업체는 기업이 구독 모델로 이동하고 클라우드 인프라에서 운영을 늘리는 새로운 제품 배포 모델을 도입했습니다.

사이버 보안 시장은 매우 역동적으로 유지되었으며 증가하는 규제 및 규제에 대응하여 기록적인 거래 활동과 규모를 보였습니다. 기술 요구 사항 Momentum Cyber ​​​​공동 창립자이자 관리 파트너 인 Eric McAlpine은 데이터 침해의 계속되는 광범위한 위험뿐만 아니라. "우리는 이러한 모멘텀이 새로운 위협을 해결하고 공급업체의 피로와 증가하는 기술 부족에 직면하여 통합하기 위해 이 부문을 계속해서 새로운 영역으로 밀어붙일 것이라고 믿습니다."

2017

사이버 보안 비용이 1,000억 달러를 초과했습니다.

2017년 정보 보안(IS)(제품 및 서비스)에 대한 전 세계 지출은 1,015억 달러에 달했다고 Gartner 조사 회사가 2018년 8월 중순에 밝혔습니다. 2017년 말 전문가들은 이 시장을 891억 3천만 달러로 추정했는데, 무엇이 가치를 크게 상승시켰는지는 알려지지 않았습니다.

Gartner의 연구 책임자인 Siddharth Deshpande는 CISO가 조직이 기술 플랫폼을 안전하게 사용하여 경쟁력을 높이고 비즈니스 성장을 촉진할 수 있도록 지원하기를 원한다고 말합니다. - 지속적인 기술 부족과 유럽의 일반 데이터 보호 규정(GDPR)과 같은 규제 변화로 인해 사이버 보안 서비스 시장이 더욱 성장하고 있습니다.

전문가들은 정보 보안 비용 증가에 기여하는 주요 요인 중 하나가 위협을 탐지하고 대응하는 새로운 방법의 도입이라고 생각하며, 이는 2018년 조직의 최우선 보안 우선순위가 되었습니다.

Gartner의 추정에 따르면 2017년 전 세계적으로 사이버 보호 서비스에 지출한 조직의 비용은 523억 달러를 초과했으며, 2018년에는 이 비용이 589억 달러로 증가할 것으로 예상됩니다.

2017년에 기업은 애플리케이션 보호에 24억 달러, 데이터 보호에 26억 달러를 지출했습니다. 클라우드 서비스- 1억 8,500만 달러

ID 및 액세스 관리 솔루션(Identity And Access Management)의 연간 매출은 88억 달러로 나타났으며, IT 인프라 보호 도구 매출은 126억 달러로 증가했습니다.

이 연구에서는 또한 네트워크 보안을 제공하는 데 사용되는 장비에 109억 달러의 지출이 있다고 지적합니다. 제조업체는 정보 보안 위험 관리 시스템으로 39억 달러를 벌어들였습니다.

Gartner 조사에 따르면 2017년 소비자 사이버 보안 지출은 분석가에 의해 59억 달러로 추산됩니다.

Gartner는 시장 규모를 891억 3천만 달러로 추정했습니다.

2017년 12월, 2017년 글로벌 기업의 정보보안(IS) 지출이 891억 3천만 달러에 달할 것으로 알려졌으며, Gartner에 따르면 기업의 사이버 보안 지출은 2016년 822억 달러를 거의 70억 달러 초과할 것으로 예상됩니다.

전문가들은 정보 보안 서비스가 가장 큰 비용 항목이라고 생각합니다. 기업은 2016년 488억 달러에 비해 2017년에는 이러한 목적에 530억 달러 이상을 할당할 것입니다. 정보 보안 시장에서 두 번째로 큰 부분은 인프라 보호 솔루션으로, 그 비용은 2017년에 152억 달러에서 162억 달러에 달할 것입니다. 네트워크 보안장비는 109억3천만달러로 3위를 차지했다.

정보 보안 비용 구조에는 정보 보안과 식별 및 액세스 관리 시스템(IAM)을 위한 소비자 소프트웨어도 포함됩니다. Gartner는 2017년에 이 분야의 비용을 46억 4천만 달러와 43억 달러로 추산했으며, 2016년에는 각각 45억 7천만 달러와 39억 달러를 기록했습니다.

분석가들은 정보 보안 시장이 더욱 성장할 것으로 예상합니다: 2018년에 조직은 사이버 보호에 대한 지출을 8% 더 늘리고 이러한 목적을 위해 총 963억 달러를 할당할 것입니다. 전문가들은 성장 요인 중 정보 보안 부문의 변화하는 규제와 새로운 위협에 대한 인식과 기업의 디지털 비즈니스 전략 전환.

일반적으로 사이버 보안에 대한 지출은 주로 정보 보안 사고에 대한 기업의 대응에 의해 주도됩니다. 전 세계 조직에 영향을 미치는 세간의 이목을 끄는 사이버 공격 및 정보 유출 건수가 증가하고 있기 때문입니다. Gartner의 연구 책임자인 Ruggero Contu는 예측에 대해 언급했습니다. .

분석가의 말은 2016년 Gartner가 호주, 캐나다, 프랑스, ​​독일, 인도, 싱가포르, 미국 등 8개국 512개 조직을 대상으로 실시한 설문 조사에서 얻은 데이터를 통해 확인되었습니다.

응답자의 53%는 사이버 보안 지출 증가의 주요 원동력으로 사이버 보안 위험을 꼽았습니다. 이 중 가장 높은 비율의 응답자는 사이버 공격 위협이 정보 보안 지출 결정에 가장 큰 영향을 미친다고 답했습니다.

Gartner의 2018년 예측에서는 모든 주요 영역에 걸쳐 지출이 증가할 것을 요구하고 있습니다. 따라서 사이버 보호 서비스에 약 577억 달러(+46억 5천만 달러)가 지출되고, 인프라 보안을 보장하는 데 약 175억 달러(+12억 5천만 달러)가 지출되며, 소비자 소프트웨어에 116억 7천만 달러(+7억 3500만 달러)가 지출됩니다. - 47억 4천만 달러( +1억 900만 달러), IAM 시스템의 경우 46억 9000만 달러(+4억 1600만 달러)입니다.

또한 분석가들은 2020년까지 전 세계 조직의 60% 이상이 정보 손실 방지, 암호화 및 감사 도구를 포함한 여러 데이터 보호 도구에 동시에 투자할 것이라고 믿습니다. 2017년 말 기준으로 이러한 솔루션을 구매하는 기업의 비율은 35%로 추산됩니다.

정보 보안에 대한 기업 지출의 또 다른 중요한 항목은 제3자 전문가의 참여입니다. 사이버 보안 분야의 인력 부족, 정보 보안 시스템의 기술적 복잡성 증가, 사이버 위협 증가로 인해 2018년 회사의 정보 보안 아웃소싱 비용은 11% 증가하여 185억 달러에 달할 것으로 예상됩니다. .

Gartner는 2019년까지 기업의 제3자 사이버 보안 전문가에 대한 지출이 전체 사이버 보안 소프트웨어 및 하드웨어 지출의 75%를 차지할 것으로 예상합니다. 이는 2016년 63%에서 증가한 수치입니다.

IDC는 시장 규모를 820억 달러로 예측합니다.

비용의 3분의 2는 대기업과 초대형 기업에서 발생합니다. 대기업. IDC 분석가에 따르면 2019년에는 직원이 1,000명 이상인 기업의 비용이 500억 달러를 초과할 것으로 예상됩니다.

2016년: 시장 규모 737억 달러, IT 시장보다 2배 더 성장

2016년 10월, 분석 회사인 IDC는 글로벌 정보 보안 시장에 대한 간략한 연구 결과를 발표했습니다. IT 시장의 2배 성장이 예상된다.

IDC는 사이버 보호를 위한 장비, 소프트웨어, 서비스의 전 세계 매출이 2016년 약 737억 달러에 달하고, 2020년에는 그 수치가 1,000억 달러를 넘어 1,016억 달러에 이를 것으로 추산했다. 2016년부터 2020년까지 정보보안 시장은 - 기술은 연평균 8.3%씩 성장할 것으로 예상되는데, 이는 IT 산업 예상 성장률의 2배에 달하는 수치이다.

2016년 말 가장 큰 정보 보안 비용(86억 달러)은 은행에서 발생할 것으로 예상됩니다. 투자 규모 측면에서 2위, 3위, 4위는 개별 생산 기업, 정부 기관, 지속 생산 기업으로 각각 비용의 약 37%를 차지할 것으로 예상된다.

분석가들은 의료에 대한 정보 보안 투자 증가의 역학에 리더십을 부여합니다(2016-2020년에 연평균 10.3%의 성장이 예상됨). 통신, 주택 부문, 정부 기관, 투자 및 증권 시장의 사이버 보호 비용은 연간 약 9% 증가할 것입니다.

연구원들은 미국 시장을 가장 큰 정보 보안 시장으로 부르며, 그 규모는 2016년에 315억 달러에 달할 것입니다. 상위 3개 시장에는 서유럽과 아시아 태평양 지역(일본 제외)도 포함될 것입니다. IDC 연구의 간략한 버전에는 러시아 시장에 대한 정보가 없습니다.

최고 경영자러시아 회사인 Security Monitor의 Dmitry Gvozdev는 러시아 전체 보안 지출에서 서비스 점유율이 30-35%에서 40-45%로 증가할 것으로 예측하고 있으며 전체 우위에서 시장 클라이언트 구조의 발전도 예측합니다. 정부, 금융, 에너지 분야에서 다양한 산업 분야의 중견 기업을 대상으로 합니다.

추세 중 하나는 수입 대체 문제 및 외교 정책 상황과 관련하여 국내 소프트웨어 제품의 점유율을 높이는 것입니다. 그러나 이것이 재무 지표에 반영되는 정도는 루블 환율과 여전히 국내 시장의 절반 이상을 점유하고 있는 외국 공급업체의 가격 정책에 따라 크게 달라질 것입니다. 소프트웨어 솔루션장비 부문에서는 최대 2/3가 차지합니다. 전체 러시아 정보 보안 솔루션 시장의 최종 연간 재무 결과는 외부 경제 요인과도 연관될 수 있다고 Gvozdev는 TAdviser와의 대화에서 말했습니다.

2015

시장 규모

연방 지출

사이버 범죄

위반당 비용

금융 서비스

국제적인

보안 분석

2013년: EMEA 시장은 25억 달러로 성장했습니다.

EMEA 지역(유럽, 중동, 아프리카)의 보안 장비 시장 규모는 2012년 대비 2.4% 성장해 25억 달러에 이르렀습니다. 분석가들은 보호를 위한 다기능 소프트웨어 및 하드웨어 시스템을 시장에서 가장 크고 가장 빠르게 성장하는 부문으로 꼽았습니다. 고려. 컴퓨터 네트워크– UTM 솔루션(통합 위협 관리). 동시에 IDC는 시장이 다음과 같이 예측했습니다. 기술적 수단정보 보안은 연평균 5.4%의 성장률을 보이며 2018년까지 가치 측면에서 42억 달러에 이를 것입니다.

2013년 말, EMEA 지역의 정보 보안 장비 판매 수익 측면에서 공급업체 중 Check Point가 선두 자리를 차지했습니다. IDC에 따르면 2013년 이 부문에서 벤더의 수익은 3.8% 증가하여 3억 7,464만 달러에 이르렀으며 이는 19.3%의 시장 점유율에 해당합니다.

2012년: 예측 PAC: 정보 보안 시장은 매년 8%씩 성장할 것입니다.

보고서에 따르면 글로벌 정보 보안 시장은 2016년까지 매년 8%씩 성장해 360억 유로에 이를 것으로 예상된다.

정보 보안 비용을 정당화하는 데는 두 가지 주요 접근 방식이 있습니다.

과학적 접근. 이를 위해서는 정보 자원 비용을 평가하고 정보 보안 분야 위반으로 인한 잠재적 피해 평가를 결정하는 데 회사(또는 소유자) 경영진을 참여시켜야 합니다.

1. 정보비용이 저렴하면 회사의 정보자산에 큰 위협이 되지 않으며, 잠재적인 피해도 최소화되어 정보보안을 위해서는 자금이 덜 필요합니다.

2. 정보에 특정 가치가 있고 위협 및 잠재적 피해가 중요하고 정의된 경우 정보 보안 하위 시스템에 대한 비용을 예산에 포함시키는 문제가 발생합니다. 이 경우에는 구축이 필요하다. 기업 시스템정보 보호.

실용적인 접근 방식다른 영역의 유사한 시스템을 기반으로 기업 정보 보안 시스템에 대한 실제 비용 옵션을 결정하는 것으로 구성됩니다. 정보 보안 분야 실무자들은 정보 보안 시스템 비용이 기업 비용의 약 10~20%가 되어야 한다고 생각합니다. 정보 시스템, 정보 보안 체제에 대한 특정 요구 사항에 따라 다릅니다.

ISO 17799와 같은 여러 표준으로 공식화된 "모범 사례" 정보 보안 체제(실제 경험을 기반으로 함)를 보장하기 위해 일반적으로 허용되는 요구 사항은 정보 보안 시스템의 효율성을 평가하기 위한 특정 방법을 개발할 때 실제로 구현됩니다.

정보 보안 비용을 추정하기 위한 현대적인 방법을 사용하면 하드웨어 및 비용에 대한 직간접 비용을 포함하여 조직 정보 자산의 전체 소모성 부분을 계산할 수 있습니다. 소프트웨어, 조직 행사, 직원 교육 및 전문성 개발, 조직 개편, 사업 구조 조정 등

증명을 위해 필요합니다. 경제적 효율성기존 기업 보호 시스템을 통해 정보 보안 서비스 책임자가 정보 보안 예산을 정당화하고 관련 서비스 직원의 업무 효과를 입증할 수 있습니다. 외국 기업이 사용하는 비용 추정 방법은 다음을 허용합니다.

분산 컴퓨팅 환경의 보안 수준과 기업 정보 보안 시스템의 총 소유 비용에 대한 적절한 정보를 얻습니다.

조직의 정보 보안 부서를 서로 비교하고 업계 내 다른 조직의 유사한 부서와도 비교하십시오.

조직의 정보 보안에 대한 투자를 최적화합니다.

정보보호 시스템과 관련된 비용을 추정하는 가장 잘 알려진 방법 중 하나는 다음과 같습니다. 총소유비용(TCO)회사 Gartner Group TCO 지표는 해당 연도 동안 기업 정보 보안 시스템의 조직(개편), 운영 및 유지 관리에 대한 직간접 비용의 합계로 이해됩니다. 거의 모든 주요 단계에서 사용됩니다. 수명주기기업 정보 보안 시스템을 통해 특정 조직적, 기술적 조치와 정보 보안 수단을 도입하고 사용하는 경제적 타당성을 객관적이고 독립적으로 정당화할 수 있습니다. 결정의 객관성을 위해서는 기업의 기술, 인력 및 재무 발전 지표와 같은 기업의 외부 및 내부 환경 상태를 추가로 고려해야 합니다.

특정 TCO 지표를 업계(유사 회사)의 유사한 TCO 지표와 비교하면 조직의 정보 보안 비용을 객관적이고 독립적으로 정당화할 수 있습니다. 결국, 이러한 비용의 직접적인 경제적 효과를 평가하는 것은 매우 어렵거나 심지어 사실상 불가능한 경우가 많습니다.

정보 보안 시스템의 총 소유 비용은 일반적으로 다음 비용으로 구성됩니다.

디자인 작업,

다음 주요 그룹을 포함한 소프트웨어 및 하드웨어 보호 도구 구매 및 구성: 방화벽, 암호화 도구, 바이러스 백신 및 AAA(인증, 승인 및 관리 도구),

물리적 보안 확보 비용,

인재육성,

시스템 관리 및 지원(보안관리),

정보 보안 감사 - 정보 보안 시스템의 정기적인 현대화.

직접 비용에는 운영 및 관리 관리 범주에 포함되는 자본 비용 구성 요소(고정 자산 또는 "재산"과 관련된)와 인건비가 모두 포함됩니다. 여기에는 조직의 활동 지원과 관련된 원격 사용자 서비스 비용도 포함됩니다.

결과적으로 간접 비용은 기업 정보 보안 시스템과 정보 시스템 전체의 가동 중지 및 정지, 운영 및 지원 비용(아닙니다. 직접 비용과 관련됨). 간접 비용은 일반적으로 처음에는 정보 보안 예산에 반영되지 않지만 나중에 비용 분석에서 드러나기 때문에 중요한 역할을 하는 경우가 많습니다.

조직의 TCO 지표 계산은 다음 영역에서 수행됩니다.

기업 정보 시스템의 구성 요소(정보 보안 시스템 포함) 및 조직의 정보 활동(서버, 클라이언트 컴퓨터, 주변 장치, 네트워크 장치).

정보보호를 위한 하드웨어 및 소프트웨어 비용: 소모품 및 감가상각 비용은 서버, 클라이언트 컴퓨터(데스크톱 및 모바일 컴퓨터), 주변 장치 및 네트워크 구성 요소.

정보 보안 구성 비용:정보 보안 시스템의 유지 관리, 주변 장치, 서버, 네트워크 장치, 정보 보안 프로세스의 계획 및 관리, 보안 개념 및 정책 개발 등.

정보시스템 운영비주제: 인력 유지에 드는 직접 비용, 조직 전체가 수행하는 작업 비용 및 아웃소싱 비용 또는 구현 서비스 기술적 지원사용자를 위한 인프라를 유지하기 위한 운영.

관리비: 정보 시스템의 관리, 자금 조달, 구입 및 교육을 포함하여 운영을 지원하기 위한 직접적인 인건비, 운영 지원 및 내부/외부 공급업체(벤더)의 비용입니다.

최종 사용자 거래 비용: 최종 사용자 자체 지원 비용, 공식 최종 사용자 교육, 임시(비공식) 교육, DIY 애플리케이션 개발, 로컬 파일 시스템 지원.

다운타임 비용: 클라이언트 컴퓨터, 공유 서버, 프린터, 응용 프로그램, 통신 리소스 및 통신 소프트웨어를 포함한 네트워크 리소스의 계획된 또는 계획되지 않은 중단으로 인한 연간 최종 사용자 생산성 손실입니다.

정보 보안 비용을 정당화하는 방법은 무엇입니까?

친절한 허가를 받아 재인쇄됨 OJSC InfoTex 인터넷 신뢰
원본 텍스트의 위치는 다음과 같습니다. 여기.

회사 성숙도 수준

Gartner Group은 정보 보안(IS) 측면에서 회사 성숙도를 4가지 수준으로 식별합니다.

• 레벨 0:
• 회사에는 정보 보안에 관여하는 사람이 없으며 회사 경영진은 정보 보안 문제의 중요성을 인식하지 못합니다.
• 자금이 없습니다.
• IS가 구현되고 있다 정규 수단 운영체제, DBMS 및 애플리케이션(비밀번호 보호, 리소스 및 서비스에 대한 액세스 제어).
• 레벨 1:
• 경영진은 정보 보안을 순전히 "기술적" 문제로 간주하며 회사의 정보 보안 시스템(ISMS) 개발을 위한 통합 프로그램(개념, 정책)이 없습니다.
• 자금은 전체 IT 예산 내에서 제공됩니다.
• 정보보안은 제로레벨+수단으로 구현됩니다. 예약 사본, 바이러스 백신 도구, 방화벽, VPN 구성 도구(기존 보안 도구).
• 2 단계:
• 정보 보안은 경영진에 의해 조직적, 기술적 조치의 복합체로 간주되며, 생산 프로세스에 대한 정보 보안의 중요성에 대한 이해가 있으며, 경영진이 승인한 회사 ISMS 개발 프로그램이 있습니다.
• 정보 보안은 1단계 도구 + 강화된 인증 도구, 이메일 메시지 및 웹 콘텐츠 분석 도구, IDS(침입 탐지 시스템), 보안 분석 도구, SSO(단일 인증 도구), PKI(인프라)로 구현됩니다. 공개 키) 및 조직적 조치(내부 및 외부 감사, 위험 분석, 정보 보안 정책, 규정, 절차, 규정 및 지침).
• 레벨 3:
• 정보 보안은 기업 문화의 일부이므로 CISA(상위 정보 보안 책임자)가 임명되었습니다.
• 자금은 별도의 예산 내에서 제공됩니다.
• 정보 보안은 2단계 + 정보 보안 관리 시스템인 CSIRT(정보 보안 사고 대응 팀), SLA(서비스 수준 계약)를 통해 구현됩니다.

Gartner Group(2001년에 제공된 데이터)에 따르면 설명된 4개 수준과 관련된 기업의 비율은 다음과 같습니다.
레벨 0 - 30%,
레벨 1 - 55%,
레벨 2 - 10%,
레벨 3 - 5%.

Gartner Group의 2005년 전망은 다음과 같습니다.
레벨 0 - 20%,
레벨 1 - 35%,
레벨 2 - 30%,
레벨 3 - 15%.

통계에 따르면 대다수의 기업(55%)이 현재 최소한의 솔루션을 구현했습니다. 필요한 세트전통적인 기술적 보호 수단(레벨 1).

다양한 기술과 보안 조치를 구현할 때 종종 질문이 발생합니다. 침입 탐지 시스템과 PKI 인프라 중 무엇을 먼저 구현해야 합니까? 어느 것이 더 효과적일까요? Deloitte&Touche의 이사인 Stephen Ross는 개별 정보 보안 조치 및 도구의 효율성을 평가하기 위해 다음과 같은 접근 방식을 제안합니다.

위의 그래프를 보면 가장 비싸고 효율성이 가장 떨어지는 도구는 특수 도구(사내 또는 맞춤형)라는 것을 알 수 있습니다.

가장 비싸지만 동시에 가장 효과적인 보호 제품은 카테고리 4 보호 제품입니다(Gartner Group에 따르면 레벨 2 및 3). 이 범주의 도구를 구현하려면 위험 분석 절차를 사용해야 합니다. 이 경우 위험 분석을 통해 구현 비용이 기존 정보 보안 위반 위협에 적합한지 확인할 수 있습니다.

가장 저렴하지만 효율성이 높은 여기에는 조직적 조치(내부 및 외부 감사, 위험 분석, 정보 보안 정책, 비즈니스 연속성 계획, 규정, 절차, 규정 및 매뉴얼)가 포함됩니다.

추가 보호 수단의 도입(레벨 2 및 3으로의 전환)에는 상당한 재정적 투자가 필요하며 이에 따른 정당성이 필요합니다. 경영진이 승인하고 서명한 통일된 ISMS 개발 프로그램이 없으면 안전에 대한 투자를 정당화하는 문제가 더욱 악화됩니다.

위험도 분석

이러한 정당성은 위험 분석 및 사건에 대한 누적 통계의 결과일 수 있으며, 위험 분석을 수행하고 통계를 수집하는 메커니즘은 회사의 정보 보안 정책에 명시되어야 합니다.

위험 분석 프로세스는 6개의 순차적 단계로 구성됩니다.

1. 보호 대상(보호 대상 회사 자원)의 식별 및 분류

3. 공격자 모델 구축

4. 위협 및 취약점의 식별, 분류 및 분석

5. 위험성 평가

6. 보호를 위한 조직적 조치 및 기술적 수단의 선택.

무대에서 보호 대상의 식별 및 분류다음 영역에서 회사 자원의 목록을 수행해야 합니다.

• 정보 자원(기밀 및 중요한 회사 정보)
• 소프트웨어 리소스(OS, DBMS, ERP와 같은 중요 애플리케이션)
• 물리적 자원(서버, 워크스테이션, 네트워크 및 통신 장비)
• 서비스 리소스(이메일, www 등)

분류자원의 기밀성과 중요도 수준을 결정하는 것입니다. 기밀성은 리소스에 의해 저장, 처리 및 전송되는 정보의 비밀 수준을 나타냅니다. 임계성은 회사의 생산 프로세스의 효율성에 대한 자원의 영향 정도를 나타냅니다(예: 통신 자원의 가동 중단 시 제공업체가 파산할 수 있음). 기밀성 및 중요도 매개변수에 특정 정성적 값을 할당함으로써 회사의 생산 프로세스 참여 측면에서 각 자원의 중요성 수준을 결정할 수 있습니다.

정보 보안 관점에서 회사 자원의 중요성을 확인하려면 다음 표를 얻을 수 있습니다.

예를 들어, 회사 직원의 급여 수준에 대한 정보가 포함된 파일의 값은 "엄격히 기밀"(기밀성 매개변수)이고 값은 "무의미함"(중요도 매개변수)입니다. 이 값을 표에 대체하면 이 리소스의 중요성에 대한 필수 지표를 얻을 수 있습니다. 분류 방법에 대한 다양한 옵션이 국제 표준 ISO TR 13335에 나와 있습니다.

공격자 모델 구축다음 매개변수에 따라 잠재적인 위반자를 분류하는 프로세스입니다.

• 공격자의 유형(경쟁사, 클라이언트, 개발자, 회사 직원 등)
• 보호 대상(내부, 외부)과 관련된 공격자의 위치
• 보호 대상 및 환경에 대한 지식 수준(높음, 중간, 낮음)
• 보호된 개체에 액세스할 수 있는 능력 수준(최대, 평균, 최소)
• 작업 기간(일정, 특정 시간 간격으로)
• 행동 위치(공격 중 공격자의 예상 위치)

공격자 모델의 나열된 매개변수에 질적 값을 할당함으로써 공격자의 잠재력(위협을 구현하는 공격자의 능력의 필수 특성)을 결정할 수 있습니다.

위협과 취약점의 식별, 분류 및 분석보호된 개체에 대한 공격을 구현하는 방법을 결정할 수 있습니다. 취약점은 공격자가 위협을 구현하는 데 사용하는 리소스 또는 해당 환경의 속성입니다. 소프트웨어 리소스 취약점 목록은 인터넷에서 찾을 수 있습니다.

위협은 다음 기준에 따라 분류됩니다.

• 위협의 이름;
• 공격자 유형;
• 구현 수단;
• 악용된 취약점;
• 취해진 조치;
• 구현 빈도.

주요 매개변수는 위협 구현 빈도입니다. 이는 "공격자 잠재력" 및 "자원 보안" 매개변수의 값에 따라 달라집니다. "자원 보안" 매개변수의 값은 전문가 평가를 통해 결정됩니다. 매개변수 값을 결정할 때 공격자의 주관적 매개변수(위협 구현 동기 및 위협 구현 시도 통계)가 고려됩니다. 이런 유형의(가능한 경우). 위협 및 취약성 분석 단계의 결과는 각 위협에 대한 "구현 빈도" 매개변수에 대한 평가입니다.

무대에서 위험 평가정보 보안 위반 위협으로 인한 잠재적 피해는 각 자원 또는 자원 그룹별로 결정됩니다.

손상의 질적 지표는 두 가지 매개변수에 따라 달라집니다.

• 자원의 중요성
• 이 리소스에 대한 위협 구현 빈도입니다.

얻은 손상 평가를 기반으로 적절한 조직적 조치와 기술적 보호 수단이 합리적으로 선택됩니다.

사건통계 축적

위험을 평가하고 이에 따라 새로운 보호 기술을 도입하거나 기존 보호 기술을 변경해야 할 필요성을 정당화하기 위해 제안된 방법론의 유일한 약점은 "위협 발생 빈도" 매개변수를 결정하는 것입니다. 이 매개변수의 객관적인 값을 얻을 수 있는 유일한 방법은 사건에 대한 통계를 축적하는 것입니다. 예를 들어, 1년에 걸쳐 누적된 통계를 통해 리소스(특정 유형)당 위협(특정 유형)의 구현 횟수를 확인할 수 있습니다. 사고 처리 절차의 일부로 통계 수집 작업을 수행하는 것이 좋습니다.

연구 목적: 러시아 정보 보안 시장의 주요 동향을 분석하고 결정합니다.
Rosstat 데이터(통계 보고 양식 No. 3-Inform, P-3, P-4), 기업 재무제표 등이 사용되었습니다.

조직의 정보통신 기술 및 정보 보안 도구 사용

• 이 섹션을 준비하기 위해 지리적으로 분리된 통합 부서와 대표 사무소가 사용되었습니다(양식 3-정보 및 통신 기술 사용 및 생산에 관한 정보) 컴퓨터 기술, 소프트웨어 및 해당 분야의 서비스 제공".

2012~2016년 기간을 분석했습니다. 데이터는 완전하다고 주장하지 않습니다. 제한된 서클기업), 그러나 우리 의견으로는 추세를 평가하는 데 사용될 수 있습니다. 검토 기간 동안 응답 기업 수는 200~210,000개였습니다. 즉, 표본은 매우 안정적이며 매출의 대부분을 차지하는 소비자(대기업 및 중소기업)가 가장 많이 포함되어 있습니다.

조직의 개인용 컴퓨터 가용성

통계 보고 양식 3-Inform에 따르면, 2016년에 이 양식에 정보를 제공한 러시아 조직은 약 1,240만 개였습니다. 개인용 컴퓨터(PC). 여기서 PC는 데스크탑과 노트북을 의미하며, 모바일은 포함되지 않습니다. 휴대폰그리고 포켓 개인용 컴퓨터.

지난 5년 동안 러시아 전체 조직의 PC 장치 수는 14.9% 증가했습니다.가장 잘 갖추어진 연방 구역은 중앙 연방 구역으로 회사 내 PC의 30.2%를 차지합니다. 이 지표의 확실한 선두 지역은 모스크바이며, 2016년 데이터에 따르면 모스크바 회사는 약 180만 대의 PC를 보유하고 있습니다. 지표의 가장 낮은 값은 북캅카스 연방 지구에서 기록되었으며, 해당 지역의 조직은 약 30만 대의 PC를 보유하고 있으며, 가장 적은 수는 인구세티아 공화국(545만 대)에 있습니다.

쌀. 1. 러시아 조직의 개인용 컴퓨터 수는 백만 대입니다.

정보 통신 기술에 대한 조직 비용

2014-2015년 기간 동안. 불리한 경제 상황으로 인해 러시아 기업은 정보 및 비용을 포함한 비용을 최소화해야 했습니다. 통신 기술. 2014년 ICT 부문의 비용 감소는 5.7%였으나, 2015년 말에는 소폭 긍정적인 추세를 보였습니다. 2016년에 러시아 기업의 정보통신기술 지출은 1조 2,500억 달러에 달했습니다. 문지름, 위기 이전 2013 수치를 0.3 % 초과합니다.

비용의 대부분은 모스크바에 위치한 회사에 발생합니다. 이는 5,900억 루블(전체의 47.2%) 이상입니다. 2016년 정보 통신 기술에 대한 조직의 가장 큰 비용은 모스크바 지역 - 766억 루블, 상트페테르부르크 - 744억 루블, 튜멘 지역 - 560억 루블, 타타르스탄 공화국 - 247억 루블, 니즈니노브고로드에서 기록되었습니다. 지역 – 214억 루블. 가장 낮은 비용은 인구세티아 공화국에서 2억 2,030만 루블로 기록되었습니다.

쌀. 2. 러시아 정보 통신 기술에 대한 기업의 지출 금액, 10억 루블.

조직의 정보 보안 도구 사용

안에 최근에정보 보안 보호 도구를 사용하는 기업의 수가 크게 증가했다는 사실을 알 수 있습니다. 그 수의 연간 증가율은 매우 안정적이며(2014년 제외) 연간 약 11-19%에 이릅니다.

Rosstat의 공식 데이터에 따르면, 현재 가장 널리 사용되는 보호 수단은 사용자 인증을 위한 기술적 수단(토큰, USB 키, 스마트 카드)입니다. 157,000개 이상의 기업 중 127,000개 기업(81%)이 정보 보호를 위해 이러한 특정 도구를 사용한다고 밝혔습니다.

쌀. 3. 2016년 정보 보안 보장 수단을 사용한 조직 분포, 러시아, %.

공식 통계에 따르면 2016년에는 161,421개의 기업이 글로벌 인터넷을 상업적 목적으로 사용했습니다. 상업적인 목적으로 인터넷을 사용하고 정보 보안 조치의 사용을 명시한 조직 중에서 가장 널리 사용되는 것은 전자 디지털 서명입니다. 이 도구전체의 91%에 해당하는 14만 6천개 이상의 기업이 보호수단으로 지정됐다. 정보보안 도구 사용에 따른 기업 분포는 다음과 같다.

• • 전자 수단 전자 서명– 146,887개 기업
  • 정기적으로 업데이트됨 바이러스 백신 프로그램– 143,095개 회사;
  • 무단 액세스를 방지하는 소프트웨어 또는 하드웨어 악성 코드글로벌 정보나 지역 정보에서 컴퓨터 네트워크(방화벽) – 101,373개 회사;
  • 스팸 필터 – 86,292개 회사;
  • 암호화 도구 – 86,074개 회사;
  • 컴퓨터 또는 네트워크 침입 탐지 시스템 – 66,745개 회사
  • 보안 분석 및 제어 프로세스를 자동화하기 위한 소프트웨어 도구 컴퓨터 시스템– 54,409개 기업.

쌀. 4. 글로벌 네트워크를 통해 전송되는 정보를 보호하여 상업적 목적으로 인터넷을 사용하는 회사의 배포, 2016년 러시아, %.

2012~2016년 동안 상업적 목적으로 인터넷을 사용하는 기업의 수는 34.9% 증가했습니다. 2016년에는 155,028개 기업이 인터넷을 사용하여 공급업체와 소통했고, 110,421개 기업이 인터넷을 사용하여 소비자와 소통했습니다. 공급업체와 통신하기 위해 인터넷을 사용하는 회사 중 사용 목적은 다음과 같습니다.

• 필요한 상품(작업, 서비스) 및 해당 공급업체에 대한 정보 획득 - 138,224개 회사
• 상품(작업, 서비스)에 대한 조직의 요구 사항에 대한 정보 제공 – 103,977개 회사
• 조직에 필요한 상품(작업, 서비스) 주문(다음을 통해 보낸 주문 제외) 이메일) – 95,207개 회사;
• 공급된 상품(저작물, 서비스)에 대한 지불 - 89,279;
• 전자제품 수령 – 62,940개사.

소비자와 소통하기 위해 인터넷을 사용하는 총 회사 수 중 사용 목적은 다음과 같습니다.

• 조직, 상품(작업, 서비스)에 대한 정보 제공 - 101,059개 회사
• (저작물, 서비스) (이메일로 보낸 주문 제외) – 44,193개 회사;
• 소비자와의 전자 결제 구현 – 51,210개 기업
• 전자제품 유통 – 12,566개 회사;
• A/S(서비스) – 13,580개사.

2016~2017년 정보 기술에 대한 연방 행정부의 예산 규모 및 역학.

연방 재무부에 따르면 2017년 예산 의무 한도 총액은 비용 유형 코드 242 "현장에서 상품, 작업, 서비스 구매"에 따라 연방 행정부(이하 연방 행정부라고 함)에 전달되었습니다. 국가기밀이 아닌 정보에 대한 정보통신기술 관련 예산은 2017년 8월 1일 현재 1,152억 루블에 달하며, 이는 2016년 연방행정기관의 전체 정보기술 예산(109.6억 루블)보다 약 5.1% 더 높은 수치입니다. 10억 루블(통신매스커뮤니케이션부에 따르면) 따라서 연방부처의 IT예산 총액은 해마다 계속 증가하는 반면 증가율은 감소했다(2016년 IT예산 총액은 2015년 대비 8.3% 증가). 여기서 부서별 정보통신기술 지출 측면에서 '부자'와 '빈곤층' 사이의 계층화가 증가하고 있습니다.예산 규모뿐만 아니라 IT 분야의 성과 측면에서도 확실한 리더는 연방세청입니다. 올해 ICT 예산은 176억 루블이 넘는데, 이는 전체 연방 행정부 예산의 15% 이상이다. 상위 5개 기관(연방세청, 러시아연방연금기금, 재무부, 내무부, 통신매스커뮤니케이션부)의 총 점유율은 53%가 넘습니다.

쌀. 5. 2017년 연방 행정부의 정보 통신 기술 분야 상품, 작업 및 서비스 구매를 위한 예산 지출 구조, %

주 및 지방자치단체의 요구에 맞는 소프트웨어 조달 분야의 입법 규제

2016년 1월 1일부터 모든 주 및 지방 기관, 국영 기업 Rosatom 및 Roscosmos, 주 예산 외 자금 관리 기관, 2013년 4월 5일 연방법의 요구 사항에 따라 조달을 수행하는 주 및 예산 기관 44 -FZ "국가 및 지방자치단체의 요구를 충족하기 위한 상품, 작업, 서비스 조달 분야의 계약 시스템"은 조달 목적으로 외국에서 만들어진 소프트웨어의 승인 금지를 준수해야 합니다. 주 및 지방 자치 단체의 요구를 충족합니다. 이 금지는 2015년 11월 16일자 러시아 연방 정부 법령 No. 1236에 의해 도입되었습니다. "국가 및 지방자치단체의 요구를 충족하기 위한 조달 목적으로 외국에서 생산된 소프트웨어의 승인 금지 설정에 관한 것"입니다. 위 고객은 소프트웨어를 구매할 때 구매 통지서에 수입 소프트웨어 구매 금지 사항을 직접 명시해야 합니다. 금지는 전자용 소프트웨어 구매에 적용됩니다. 컴퓨터유형 매체 및/또는 유형의 계약 유형에 관계없이 구현된 데이터베이스 전자 형식으로통신 채널을 통해 해당 소프트웨어에 대한 독점권과 해당 소프트웨어를 사용할 수 있는 권리를 보유합니다.

고객이 수입한 소프트웨어를 구매하는 것이 허용되는 경우 몇 가지 예외가 있습니다.

• 외교 사절단 및 영사관을 통한 소프트웨어 및/또는 이에 대한 권리 조달 러시아 연방, 외국 영토에서의 활동을 보장하기 위해 국제기구에서 러시아 연방 무역 사절단;
• 소프트웨어 조달 및/또는 이에 대한 권리, 이에 대한 정보 및/또는 구매가 국가 기밀을 구성합니다.

다른 모든 경우에는 고객이 소프트웨어를 구매하기 전에 단일 레지스트리로 작업해야 합니다. 러시아어 프로그램전자 컴퓨터 및 데이터베이스용 프로그램 분류자 및 전자 컴퓨터 및 데이터베이스용 프로그램 분류자입니다.
공인된 연방 집행 기관으로서 등록부의 형성 및 유지 관리는 러시아 통신 및 매스커뮤니케이션부가 수행합니다.
2017년 8월 말 현재 등록부에는 98개 러시아 개발 회사의 "정보 보안 도구" 클래스에 속하는 343개 소프트웨어 제품이 포함되어 있습니다.그 중에는 다음과 같은 대규모 러시아 개발자의 소프트웨어 제품이 있습니다.

• OJSC "정보 기술 및 통신 시스템"("InfoTeKS") – 37개 소프트웨어 제품;
• JSC Kaspersky Lab - 25개 소프트웨어 제품;
• 보안 코드 LLC - 19개 소프트웨어 제품;
• Crypto-Pro LLC - 18개 소프트웨어 제품;
• Doctor WEB LLC - 12개 소프트웨어 제품;
• S-Terra CSP LLC - 12개 소프트웨어 제품;
• CJSC "알라딘 R.D." — 8개의 소프트웨어 제품;
• JSC "Infowatch" - 6개의 소프트웨어 제품.

정보 보안 분야 최대 기업의 활동 분석

• 정보보호 시장의 대형 플레이어들의 활동을 분석하여 준비하기 위한 기초정보로 이 연구정보통신 활동, 특히 정보 보안 분야의 공공 조달에 관한 정보가 사용되었습니다.

동향 분석을 위해 정보보안 시장을 선도하고 정부조달에 적극적으로 참여하고 있는 18개 기업을 선정했습니다. 이 목록에는 소프트웨어, 하드웨어 및 소프트웨어 보안 시스템의 직접 개발자와 최대 규모의 개발자가 모두 포함됩니다. 시스템 통합업체. 2016년 이들 기업의 총 수익은 1,623억 루블에 달해 2015년 수치보다 8.7% 증가했습니다.
아래는 연구 대상으로 선정된 기업 목록입니다.

테이블 1. 연구대상으로 선정된 기업

№	이름	주석	활동 유형(OKVED 2014)
1	아이테코 JSC	7736227885	컴퓨터 기술의 사용과 관련된 활동 및 정보 기술, 기타 (62.09)
2	악어 주식회사, JSC	7701004101
3	"Informzashita", CJSC NIP	7702148410	사회과학 및 인문학 분야의 연구개발(72.20)
4	"소프트라인 트레이드", JSC	7736227885
5	"Technoserv AS", LLC	7722286471	기타 기계 및 장비 도매업 (46.69)
6	"엘비스 플러스", JSC	7735003794
7	"아스테로스"JSC	7721163646	컴퓨터 도매업, 주변기기컴퓨터와 소프트웨어에 (46.51
8	"물병자리 생산 회사", LLC	7701256405
9	라닛, CJSC	7727004113	기타 사무용 기계 및 장비 도매업 (46.66)
10	제트 인포시스템즈, JSC	7729058675	컴퓨터, 컴퓨터 주변기기 및 소프트웨어 도매업 (46.51)
11	"Dialognauka", JSC	7701102564	컴퓨터소프트웨어개발(62.01)
12	"팩터-TS", LLC	7716032944	컴퓨터 및 주변기기 생산 (26.20)
13	"InfoTeKS", JSC	7710013769	컴퓨터소프트웨어개발(62.01)
14	"보안 시스템 우랄 센터", LLC	6672235068	해당 분야의 건축, 엔지니어링 및 기술 자문 분야 활동(71.1)
15	"ICL-KPO VS", JSC	1660014361	컴퓨터소프트웨어개발(62.01)
16	NVision 그룹, JSC	7703282175	비전문도매업(46.90)
17	"기밀 통합", LLC	7811512250	데이터 처리 활동, 호스팅 서비스 제공 및 관련 활동(63.11)
18	"칼루가 아스트랄", JSC	4029017981	컴퓨터 기술 분야의 자문 활동 및 업무(62.02

2017년 10월 말 현재, 제시된 샘플의 기업은 정부 기관과 246억 루블 규모의 1,034건의 계약을 체결했습니다. 선두 이 목록체결된 계약 규모 측면에서 I-Teco 회사는 75억 루블에 달하는 74개의 계약을 보유하고 있습니다.
2014년 위기의 해를 제외하고 지난 몇 년간 선정된 기업의 총 계약량이 지속적으로 증가한 것을 볼 수 있습니다. 가장 중요한 역학관계는 2015~2016년 기간에 발생했습니다. 따라서 2015년에는 계약량이 3.5배 이상, 2016년에는 1.5배 증가했습니다. 2017년 1월부터 10월까지 기업의 계약 활동에 대한 이용 가능한 데이터에 따르면 2017년 정부 기관과의 총 계약 규모는 약 370억~380억 루블, 즉 약 400억 루블이 감소할 것으로 추정됩니다. %가 예상됩니다.

이미 언급했듯이 기업의 보안은 수명주기, 정보 시스템의 모든 단계에서 일련의 조치를 통해 보장되며 일반적으로 비용으로 구성됩니다.

• - 디자인 작업;
• - 소프트웨어 및 하드웨어 보호 도구의 조달 및 구성
• - 물리적 보안을 보장하는 비용
• - 인력 교육
• - 시스템 관리 및 지원
• - 정보 보안 감사
• - 정보보안 시스템의 주기적 현대화 등

통합 정보 보안 시스템의 경제적 효율성에 대한 비용 지표는 연중 정보 보안 시스템을 구성, 운영 및 유지하는 데 드는 직간접 비용의 합계입니다.

이는 총 보호 비용을 추정할 수 있을 뿐만 아니라 필요한 수준의 기업 보안을 달성하기 위해 이러한 비용을 관리할 수 있기 때문에 회사 내 정보 보안 조직의 효율성을 나타내는 주요 정량 지표로 간주될 수 있습니다. 그러나 직접 비용에는 운영 및 관리 관리 범주에 포함되는 자본 비용 구성 요소와 인건비가 모두 포함됩니다. 여기에는 조직의 활동 지원과 관련된 원격 사용자 서비스 비용도 포함됩니다.

간접 비용은 기업 정보 보안 시스템과 통합 보안 시스템 전체의 다운타임 및 동결, 운영 및 지원 비용과 같은 측정 가능한 지표를 통해 통합 보안 시스템 및 정보 보안 하위 시스템이 직원에게 미치는 영향을 반영합니다.

간접 비용은 일반적으로 처음에는 포괄적인 보안 시스템 예산에 반영되지 않지만 나중에 비용 분석 중에 명시적으로 드러나며, 이는 궁극적으로 회사의 "숨겨진" 비용 증가로 이어지기 때문에 중요한 역할을 하는 경우가 많습니다. 포괄적인 보안 시스템의 직간접 비용을 결정하는 방법을 고려해 보겠습니다. 기업 경영진이 기업에 포괄적인 정보 보안 시스템을 구현하기 위해 노력하고 있다고 가정해 보겠습니다. 보호의 대상과 목표, 정보보안에 대한 위협 및 대응조치는 이미 파악되었으며, 정보보호에 필요한 수단을 구입하여 설치하였습니다.

일반적으로 정보 보안 비용은 다음 범주로 분류됩니다.

• - 정보 보안 시스템 관리 링크의 형성 및 유지 비용
• - 통제 비용, 즉 기업 자원의 달성된 보안 수준을 결정하고 확인하는 비용
• - 정보 보안 위반으로 인한 결과를 제거하기 위한 내부 비용 - 필요한 보안 수준이 달성되지 않아 조직에 발생한 비용
• - 정보 보안 위반 결과를 제거하기 위한 외부 비용 - 정보 유출, 회사 이미지 실추, 파트너 및 소비자의 신뢰 상실 등과 관련된 경우 보안 정책 위반으로 인한 손실에 대한 보상
• - 정보 보안 시스템을 유지하는 데 드는 비용과 기업 보안 정책 위반을 방지하기 위한 조치.

이 경우 일반적으로 일회성 비용과 체계적인 비용이 구별됩니다.

기업 보안 구축을 위한 일회성 비용: 조직 비용 및 보호 장비 구입 및 설치 비용.

체계적, 운영 및 유지 관리 비용. 정보 보안 비용의 수집, 분류 및 분석은 기업의 내부 활동이고 목록의 세부 개발은 특정 조직의 특성에 따라 다르기 때문에 비용 분류는 조건부입니다.

보안 시스템 비용을 결정할 때 가장 중요한 것은 기업 내 비용 항목에 대한 상호 이해와 합의입니다.

또한 비용 범주는 일관성이 있어야 하며 서로 중복되어서는 안 됩니다. 보안 비용을 완전히 없애는 것은 불가능하지만 허용 가능한 수준으로 줄일 수는 있습니다.

일부 보안 비용은 반드시 필요한 반면, 일부는 크게 줄이거나 없앨 수 있습니다. 후자는 보안 위반이 없으면 사라질 수 있거나 위반의 수와 파괴적인 영향이 감소하면 감소할 수 있는 것입니다.

안전을 유지하고 위반을 방지함으로써 다음 비용을 제거하거나 크게 줄일 수 있습니다.

• - 보안 요구사항을 충족하기 위해 보안 시스템을 복원합니다.
• - 기업 정보 환경의 자원을 복원합니다.
• - 보안 시스템 내 변경
• - 법적 분쟁 및 보상금 지급
• - 보안 위반의 원인을 식별합니다.

필요비용은 보안위협의 수준이 매우 낮은 경우에도 필요한 비용이다. 이는 기업 정보 환경의 달성된 보안 수준을 유지하는 데 드는 비용입니다.

피할 수 없는 비용에는 다음이 포함될 수 있습니다.

• a) 기술 보호 장비의 유지 관리
• b) 기밀 기록 관리;
• c) 보안 시스템의 운영 및 감사
• d) 전문 조직의 참여로 최소한의 검사 및 통제 수준;
• e) 정보 보안 방법에 대한 직원 교육.

그러나 결정하기 매우 어려운 다른 비용도 있습니다. 그 중에는:

• a) 추가 연구를 수행하고 새로운 시장 전략을 개발하는 데 드는 비용
• b) 과학 연구의 우선순위 저하와 과학 및 기술 성과에 대한 특허권 및 라이선스 판매 불능으로 인한 손실
• c) 제품 공급, 생산 및 마케팅의 병목 현상 제거와 관련된 비용
• d) 기업이 제조한 제품의 손상 및 가격 인하로 인한 손실;
• e) 가격 인상, 공급량 제한 등 장비 또는 기술 획득에 어려움이 발생합니다.

나열된 비용은 디자인, 기술, 경제 계획, 법률, 경제, 마케팅, 관세 정책 및 가격 책정과 같은 다양한 부서의 직원의 행동으로 인해 발생할 수 있습니다.

이 모든 부서의 직원은 외부 손실 문제로 정규직으로 바쁠 가능성이 없으므로 실제 소요 시간을 고려하여 비용 금액 설정을 수행해야합니다. 외부 손실의 요소 중 하나는 정확하게 계산할 수 없습니다. 이는 기업 이미지 훼손, 기업 제품 및 서비스에 대한 소비자 신뢰 감소와 관련된 손실입니다. 그렇기 때문에 많은 기업에서는 서비스가 안전하지 않다는 사실을 숨기고 있습니다. 기업은 어떤 형태로든 공격을 두려워하는 것보다 그러한 정보가 공개되는 것을 더 두려워합니다.

그러나 많은 기업에서는 이러한 비용을 어느 정도 정확하게 결정할 수 없으며 단지 추측일 뿐이라는 이유로 이러한 비용을 무시합니다. 예방 조치 비용. 예방 활동은 여러 부서에서 수행되고 많은 서비스에 영향을 미치기 때문에 이러한 비용은 아마도 추정하기 가장 어려울 것입니다. 이러한 비용은 기업 정보 환경 자원 수명주기의 모든 단계에서 나타날 수 있습니다.

• - 기획 및 조직
• - 획득 및 시운전
• - 배송 및 지원
• - 정보 기술을 구성하는 프로세스 모니터링.

또한 이 범주에 속하는 비용의 대부분은 보안 인력과 관련이 있습니다. 예방 비용에는 주로 임금과 간접비가 포함됩니다. 그러나 결정의 정확성은 각 직원이 개별적으로 보낸 시간을 결정하는 정확성에 크게 좌우됩니다. 일부 예방 비용은 직접 식별하기 쉽습니다. 특히 여기에는 제3자의 다양한 작업에 대한 지불이 포함될 수 있습니다. 예를 들면 다음과 같습니다.

• - 사용된 소프트웨어 및 하드웨어 보호 도구, 운영 체제 및 네트워크 장비의 유지 관리 및 구성
• - 경보 시스템 설치, 기밀 문서 보관 시설 마련, 보호를 위한 엔지니어링 및 기술 작업 수행 전화선통신, 컴퓨터 장비 등;
• - 기밀 정보 전달
• - 상담;
• - 교육 과정.

고려된 비용에 대한 정보 출처. 정보 보안 제공 비용을 결정할 때 다음 사항을 기억해야 합니다.

• - 소프트웨어 및 하드웨어 구입 및 시운전 비용은 송장 분석, 창고 문서 기록 등을 통해 얻을 수 있습니다.
• - 직원에 대한 지불은 명세서에서 인출될 수 있습니다.
• - 지불 금액 임금정보 보안을 보장하기 위해 작업을 수행하는 데 소요되는 실제 시간을 고려해야 하며, 직원의 시간 중 일부만 정보 보안을 보장하는 활동에 소비된 경우 시간 지출의 각 구성 요소를 평가할 가능성이 있습니다. 질문을 받아서는 안 됩니다.
• - 보안 비용의 분류와 요소 간 분배는 기업 내 일상 업무의 일부가 되어야 합니다.