Kostnader for bedriftens informasjonssikkerhet. Informasjonssikkerhet i bransjer. Organisasjonsutgifter til informasjons- og kommunikasjonsteknologi

De investerer i ulike datasikkerhetsteknologier – fra plattformer for å betale bonuser for å oppdage sårbarheter i programmer til diagnostikk og automatisert testing av programmer. Men mest av alt er de tiltrukket av autentiserings- og identitetsinformasjonshåndteringsteknologier - rundt 900 millioner dollar ble investert i oppstartsbedrifter som arbeider med disse teknologiene på slutten av 2019.

Investeringer i oppstart av nettsikkerhetstrening nådde 418 millioner dollar i 2019, ledet av KnowBe4, som samlet inn 300 millioner dollar. Oppstarten tilbyr en simuleringsplattform for phishing-angrep og en rekke treningsprogrammer.

I 2019 mottok selskaper involvert i Internet of Things-sikkerhet rundt 412 millioner dollar. Lederen i denne kategorien når det gjelder investeringsvolum er SentinelOne, som i 2019 mottok 120 millioner dollar for utvikling av.

Samtidig gir Metacurity-analytikere andre data som karakteriserer situasjonen på venturefinansieringsmarkedet i informasjonssikkerhetssektoren. I 2019 nådde investeringsvolumet her 6,57 milliarder dollar, en økning fra 3,88 milliarder dollar i 2018. Antall transaksjoner økte også – fra 133 til 219. Samtidig forble gjennomsnittlig investeringsvolumet per transaksjon tilnærmet uendret og utgjorde 29,2 millioner ved utgangen av 2019, beregnet av Metacurity.

2018

Vekst med 9 % til 37 milliarder dollar - Canalys

I 2018, salg av utstyr, programvare og tjenester beregnet på informasjonssikkerhet (IS), nådde 37 milliarder dollar, en økning på 9 % sammenlignet med for ett år siden (34 milliarder dollar). Slike data ble publisert av Canalys-analytikere 28. mars 2019.

Til tross for at mange selskaper prioriterer å beskytte sine eiendeler, data, endepunkter, nettverk, ansatte og kunder, utgjorde cybersikkerhet bare 2 % av totale IT-utgifter i 2018, sa de. Imidlertid dukker det opp flere og flere nye trusler, de blir mer komplekse og hyppigere, noe som gir produsenter av informasjonssikkerhetsløsninger nye muligheter for vekst. Totale cybersikkerhetsutgifter forventes å overstige 42 milliarder dollar i 2020.

Canalys-analytiker Matthew Ball tror at overgangen til nye modeller for implementering av informasjonssikkerhet vil akselerere. Kunder endrer karakteren til IT-budsjettene sine ved å bruke offentlige skytjenester og fleksible abonnementsbaserte tjenester.

Omtrent 82 % av distribusjonene av informasjonssikkerhet i 2018 involverte bruk av tradisjonell maskinvare og programvare. I de resterende 18 % av tilfellene ble virtualisering, offentlige skyer og informasjonssikkerhetstjenester brukt.

Innen 2020 vil andelen tradisjonelle modeller for distribusjon av informasjonssikkerhetssystemer synke til 70 %, ettersom nye løsninger på markedet øker i popularitet.

Leverandører må lage et bredt spekter av forretningsmodeller for å støtte denne overgangen ettersom ulike produkter passer forskjellig forskjellige typer utplasseringer. Hovedutfordringen for mange i dag er å gjøre nye modeller mer fokusert på tilknyttede kanaler og integrere dem med eksisterende. tilknyttede programmer, spesielt med kundetransaksjoner gjennom skyplattformer. Noen skymarkedsplasser har allerede svart på dette ved å la partnere tilby skreddersydde tilbud og priser direkte til kunder ved å spore avtaleregistreringer og rabatter, rapporterte Matthew Ball i et innlegg 29. mars 2019.

I følge Canalys-analytiker Ketaki Borade har ledende leverandører av cybersikkerhetsteknologi introdusert nye produktdistribusjonsmodeller som involverer selskaper som går over til en abonnementsmodell og øker driften i skyinfrastrukturen.


Nettsikkerhetsmarkedet forble svært dynamisk og så rekordaktivitet og volum som følge av økende regulering og tekniske krav, så vel som den fortsatte utbredte risikoen for datainnbrudd, sier Momentum Cybers medgründer og administrerende partner Eric McAlpine. "Vi tror at dette momentumet vil fortsette å presse sektoren inn på nytt territorium ettersom den søker å møte nye trusler og konsoliderer seg i møte med leverandørtretthet og økende kompetansemangel."

2017

Cybersikkerhetsutgiftene oversteg 100 milliarder dollar

I 2017 nådde de globale utgiftene til informasjonssikkerhet (IS) - produkter og tjenester - 101,5 milliarder dollar, sa Gartner-forskningsselskapet i midten av august 2018. På slutten av 2017 estimerte eksperter dette markedet til 89,13 milliarder dollar. Det er ikke rapportert hva som forårsaket den betydelige økningen i verdsettelsen.

CISOer ønsker å hjelpe organisasjonene deres med å bruke teknologiplattformer på en sikker måte for å bli mer konkurransedyktige og drive forretningsvekst, sier Siddharth Deshpande, forskningsdirektør i Gartner. – Fortsatt kompetansemangel og regulatoriske endringer som General Data Protection Regulation (GDPR) i Europa driver videre vekst i markedet for cybersikkerhetstjenester.

Eksperter mener at en av nøkkelfaktorene som bidrar til økte informasjonssikkerhetskostnader er introduksjonen av nye metoder for å oppdage og svare på trusler, som ble den høyeste sikkerhetsprioriteten for organisasjoner i 2018.

Ifølge Gartners estimater oversteg organisasjoner brukt på cyberbeskyttelsestjenester globalt 52,3 milliarder dollar i 2017. I 2018 vil disse kostnadene stige til 58,9 milliarder dollar.

I 2017 brukte selskaper 2,4 milliarder dollar på å beskytte applikasjoner, 2,6 milliarder dollar på databeskyttelse, skytjenester- 185 millioner dollar

Årlig salg av løsninger for identitets- og tilgangsstyring (Identity And Access Management) viste seg å være lik 8,8 mrd. Salget av beskyttelsesverktøy for IT-infrastruktur økte til 12,6 mrd. dollar.

Studien peker også på 10,9 milliarder dollar i utgifter til utstyr som brukes til å gi nettverkssikkerhet. Produsentene deres tjente 3,9 milliarder dollar på risikostyringssystemer for informasjonssikkerhet.

Forbrukerutgifter for cybersikkerhet for 2017 er estimert av analytikere til 5,9 milliarder dollar, ifølge en Gartner-studie.

Gartner estimerte markedsstørrelsen til 89,13 milliarder dollar

I desember 2017 ble det kjent at globale selskapsutgifter til informasjonssikkerhet (IS) i 2017 vil beløpe seg til 89,13 milliarder dollar.I følge Gartner vil bedrifters utgifter til cybersikkerhet overstige 2016-beløpet på 82,2 milliarder dollar med nesten 7 milliarder dollar.

Eksperter anser informasjonssikkerhetstjenester som den største utgiftsposten: i 2017 vil selskaper bevilge over 53 milliarder dollar til disse formålene sammenlignet med 48,8 milliarder dollar i 2016. Det nest største segmentet av informasjonssikkerhetsmarkedet er infrastrukturbeskyttelsesløsninger, hvor kostnadene i 2017 vil beløpe seg til 16,2 milliarder dollar i stedet for 15,2 milliarder dollar for ett år siden. Nettverkssikkerhetsutstyr er på tredjeplass (10,93 milliarder dollar).

Strukturen av informasjonssikkerhetsutgifter inkluderer også forbrukerprogramvare for informasjonssikkerhet og identifiserings- og tilgangsstyringssystemer (Identity and Access Management, IAM). Gartner anslår kostnadene i disse områdene i 2017 til 4,64 milliarder dollar og 4,3 milliarder dollar, mens tallene i 2016 var på henholdsvis 4,57 milliarder dollar og 3,9 milliarder dollar.

Analytikere forventer ytterligere vekst i informasjonssikkerhetsmarkedet: I 2018 vil organisasjoner øke utgiftene til cyberbeskyttelse med ytterligere 8 % og bevilge totalt 96,3 milliarder dollar til disse formålene. bevissthet om nye trusler og selskapenes pivot til en digital forretningsstrategi.

Generelt er utgifter til cybersikkerhet i stor grad drevet av selskapers respons på informasjonssikkerhetshendelser, ettersom antallet høyprofilerte cyberangrep og informasjonslekkasjer som påvirker organisasjoner rundt om i verden vokser, sier Ruggero Contu, forskningsdirektør i Gartner, kommenterer prognosen. .

Analytikerens ord bekreftes av data innhentet av Gartner i 2016 under en undersøkelse som involverte 512 organisasjoner fra åtte land: Australia, Canada, Frankrike, Tyskland, India, Singapore og USA.

53 % av respondentene nevnte cybersikkerhetsrisikoer som den viktigste drivkraften bak økte cybersikkerhetsutgifter. Av dette tallet sa den høyeste prosentandelen av respondentene at trusselen om nettangrep mest påvirker beslutninger om informasjonssikkerhet.

Gartners prognose for 2018 krever økte utgifter på tvers av alle hovedområder. Dermed vil rundt 57,7 milliarder dollar (+4,65 milliarder dollar) bli brukt på cyberbeskyttelsestjenester, rundt 17,5 milliarder dollar (+1,25 milliarder dollar) vil bli brukt på å sikre infrastruktursikkerhet, og 11,67 milliarder dollar (+ 735 millioner dollar), for forbrukerprogramvare – 4,74 milliarder dollar ( +$109 millioner) og for IAM-systemer - $4,69 milliarder (+$416 millioner).

Analytikere mener også at innen 2020 vil mer enn 60 % av organisasjoner i verden investere samtidig i flere databeskyttelsesverktøy, inkludert forebygging av informasjonstap, kryptering og revisjonsverktøy. Ved utgangen av 2017 var andelen selskaper som kjøper slike løsninger beregnet til 35 %.

En annen betydelig post av bedriftens utgifter til informasjonssikkerhet vil være involvering av tredjepartsspesialister. Det forventes at, på bakgrunn av mangel på personell innen cybersikkerhet, den økende tekniske kompleksiteten til informasjonssikkerhetssystemer og økende cybertrusler, vil selskapets kostnader for outsourcing av informasjonssikkerhet i 2018 øke med 11 % og beløpe seg til 18,5 milliarder dollar .

Gartner anslår at innen 2019 vil bedriftens utgifter til tredjeparts cybersikkerhetseksperter utgjøre 75 % av de totale cybersikkerhetsutgiftene til programvare og maskinvare, opp fra 63 % i 2016.

IDC spår markedsstørrelsen til å være 82 milliarder dollar

To tredjedeler av kostnadene vil komme fra store og svært store selskaper. stor virksomhet. Innen 2019, ifølge IDC-analytikere, vil kostnadene for selskaper med mer enn 1000 ansatte overstige 50 milliarder dollar.

2016: Markedsvolum 73,7 milliarder dollar, vekst 2 ganger mer enn IT-markedet

I oktober 2016 presenterte analyseselskapet IDC korte resultater av en studie av det globale informasjonssikkerhetsmarkedet. Veksten forventes å være det dobbelte av IT-markedet.

IDC beregnet at det globale salget av utstyr, programvare og tjenester for cyberbeskyttelse vil nå rundt 73,7 milliarder dollar i 2016, og i 2020 vil tallet overstige 100 milliarder dollar, som utgjør 101,6 milliarder dollar. I perioden fra 2016 til 2020 vil informasjonssikkerhetsmarkedet – teknologi vil vokse med en gjennomsnittlig vekst på 8,3 % årlig, som er dobbelt så høy som forventet vekst i IT-bransjen.


De største utgiftene til informasjonssikkerhet (8,6 milliarder dollar) ved utgangen av 2016 forventes i bankene. På andre, tredje og fjerde plass når det gjelder størrelsen på slike investeringer kommer henholdsvis diskrete produksjonsbedrifter, statlige etater og kontinuerlige produksjonsbedrifter som vil utgjøre om lag 37 % av utgiftene.

Analytikere gir lederskap i dynamikken ved å øke inftil helsevesenet (en gjennomsnittlig årlig vekst på 10,3 % forventes i 2016-2020). Kostnadene for cyberbeskyttelse i telekom, boligsektoren, offentlige etater og i investerings- og verdipapirmarkedet vil stige med ca. 9 % per år.

Forskere kaller det amerikanske markedet det største markedet for informasjonssikkerhet, hvis volum vil nå 31,5 milliarder dollar i 2016. De tre beste vil også inkludere Vest-Europa og Asia-Stillehavsregionen (utenom Japan). Det er ingen informasjon om det russiske markedet i kortversjonen av IDC-studien.

administrerende direktør av det russiske selskapet Security Monitor spår Dmitry Gvozdev en økning i andelen tjenester i totale russiske sikkerhetsutgifter fra 30-35% til 40-45%, og spår også utviklingen av kundestrukturen i markedet - fra den totale overvekten av staten, finans- og energisektoren mot mellomstore bedrifter fra et bredere spekter av bransjer.

En av trendene bør være utviklingen av andelen innenlandske programvareprodukter i forbindelse med spørsmål om importsubstitusjon og den utenrikspolitiske situasjonen. I hvilken grad dette vil gjenspeiles i finansielle indikatorer vil imidlertid i stor grad avhenge av rubelkursen og prispolitikken til utenlandske leverandører, som fortsatt okkuperer minst halvparten av hjemmemarkedet. programvareløsninger og opptil to tredjedeler i utstyrssegmentet. Det endelige årlige økonomiske resultatet av hele det russiske markedet for informasjonssikkerhetsløsninger kan også knyttes til eksterne økonomiske faktorer, sa Gvozdev i en samtale med TAdviser.

2015

MARKEDSSTØRRELSE

FØDERALE SPUNKTER

CYBERKRIMINALITET

KOSTNAD PER BRUDD

FINANSIELLE TJENESTER

Internasjonal

SIKKERHETSANALYTIKK

2013: EMEA-markedet vokste til 2,5 milliarder dollar.

Volumet av sikkerhetsutstyrsmarkedet i EMEA-regionen (Europa, Midtøsten og Afrika) vokste med 2,4 % sammenlignet med 2012 og utgjorde 2,5 milliarder dollar. Analytikere kalte multifunksjonell programvare og maskinvaresystemer for beskyttelse det største og raskest voksende segmentet av markedet under vurdering. datanettverk– UTM-løsninger (Enhetlig trusselhåndtering). Samtidig spådde IDC at markedet tekniske midler informasjonssikkerhet vil nå 4,2 milliarder dollar i verdi innen 2018 med en gjennomsnittlig årlig vekst på 5,4 %.

På slutten av 2013 ble den ledende posisjonen blant leverandører når det gjelder inntekter fra salg av informasjonssikkerhetsutstyr i EMEA-regionen tatt av Check Point. I følge IDC vokste leverandørens omsetning i dette segmentet for 2013 med 3,8 % og beløp seg til 374,64 millioner dollar, som tilsvarer en markedsandel på 19,3 %.

2012: Prognose PAC: Informasjonssikkerhetsmarkedet vil vokse med 8 % per år

Det globale informasjonssikkerhetsmarkedet vil vokse med 8 % årlig frem til 2016, da det kan nå 36 milliarder euro, rapporterte studien.

Det er to hovedtilnærminger for å rettferdiggjøre kostnadene ved informasjonssikkerhet.

Vitenskapelig tilnærming. For å gjøre dette er det nødvendig å involvere ledelsen av selskapet (eller dets eier) i å vurdere kostnadene for informasjonsressurser og bestemme vurderingen av potensiell skade fra brudd innen informasjonssikkerhet.

1. Hvis kostnadene for informasjon er lave, er det ingen vesentlige trusler mot selskapets informasjonsmidler, og den potensielle skaden er minimal, noe som krever mindre finansiering for å sikre informasjonssikkerhet.

2. Dersom informasjon har en viss verdi, trusler og potensielle skader er betydelige og definerte, så oppstår spørsmålet om å inkludere kostnader for delsystemet informasjonssikkerhet i budsjettet. I dette tilfellet er det nødvendig å konstruere bedriftssystem informasjonsbeskyttelse.

Praktisk tilnærming består i å bestemme det reelle kostnadsalternativet for et bedrbasert på lignende systemer på andre områder. Utøvere innen informasjonssikkerhet mener at kostnadene for et informasjonssikkerhetssystem bør være omtrent 10-20 % av kostnadene til et selskap informasjon System, avhengig av de spesifikke kravene til informasjonssikkerhetsregimet.

Generelt aksepterte krav for å sikre «beste praksis» informasjonssikkerhetsregimet (basert på praktisk erfaring), formalisert i en rekke standarder, for eksempel ISO 17799, implementeres i praksis ved utvikling av spesifikke metoder for å vurdere effektiviteten til et informasjonssikkerhetssystem.

Bruk av moderne metoder for å estimere kostnadene ved informasjonssikkerhet gjør det mulig å beregne hele forbruksdelen av en organisasjons informasjonsmidler, inkludert direkte og indirekte kostnader for maskinvare og programvare, organisasjonsarrangementer, opplæring og faglig utvikling av ansatte, omorganisering, virksomhetsomstilling m.m.

De er nødvendige for bevis økonomisk effektivitet eksisterende bedriftsbeskyttelsessystemer og tillate ledere av informasjonssikkerhetstjenester å rettferdiggjøre budsjettet for informasjonssikkerhet, samt bevise effektiviteten av arbeidet til ansatte i den aktuelle tjenesten. Kostnadsberegningsmetoder brukt av utenlandske selskaper tillater:

Skaff tilstrekkelig informasjon om sikkerhetsnivået til et distribuert datamiljø og de totale eierkostnadene for etstem.

Sammenlign organisasjonens både seg imellom og med tilsvarende avdelinger i andre organisasjoner i bransjen.

Optimaliser investeringer i organisasjonens informasjonssikkerhet.


En av de mest kjente metodene for å estimere kostnader i forhold til et informasjonssikkerhetssystem er metoden totale eierkostnader (TCO) selskap Gartner Group TCO-indikatoren forstås som summen av direkte og indirekte kostnader for organisasjonen (omorganisering), drift og vedlikehold av et bedri løpet av året. Den brukes i nesten alle hovedstadier Livssyklus bedriftens informasjonssikkerhetssystem og gjør det mulig å objektivt og uavhengig rettferdiggjøre den økonomiske gjennomførbarheten av å innføre og bruke spesifikke organisatoriske og tekniske tiltak og midler for informasjonssikkerhet. For objektiviteten til beslutningen er det også nødvendig å i tillegg ta hensyn til tilstanden til det eksterne og interne miljøet til foretaket, for eksempel indikatorer for den teknologiske, personelle og økonomiske utviklingen til foretaket.

Ved å sammenligne en bestemt TCO-indikator med lignende TCO-indikatorer i bransjen (med lignende selskaper) kan du objektivt og uavhengig rettferdiggjøre organisasjonens kostnader for informasjonssikkerhet. Tross alt viser det seg ofte å være ganske vanskelig eller praktisk talt umulig å vurdere den direkte økonomiske effekten av disse kostnadene.

De totale eierkostnadene for et informasjonssikkerhetssystem består vanligvis av kostnadene:

Designarbeid,

Kjøp og konfigurasjon av programvare- og maskinvarebeskyttelsesverktøy, inkludert følgende hovedgrupper: brannmurer, kryptografiverktøy, antivirus og AAA (autentiserings-, autorisasjons- og administrasjonsverktøy),

Kostnader for å sikre fysisk sikkerhet,

Personalopplæring,

Systemadministrasjon og støtte (sikkerhetsadministrasjon),

Informasjonssikkerhetsrevisjon, - periodisk modernisering av informasjonssikkerhetssystemet.

Direkte kostnader inkluderer både kapitalkostnadskomponenter (knyttet til anleggsmidler eller "eiendom") og lønnskostnader, som inngår i kategoriene drift og administrativ ledelse. Dette inkluderer også kostnader for tjenester til eksterne brukere etc. knyttet til å støtte organisasjonens aktiviteter.

I sin tur reflekterer indirekte kostnader virkningen av bedriftsinformasjonssystemet og delsystemet informasjonssikkerhet på organisasjonens ansatte gjennom slike målbare indikatorer som nedetid og frysing av bedriftens informasjonssikkerhetssystem og informasjonssystemet som helhet, drifts- og støttekostnader (ikke knyttet til direkte kostnader). Svært ofte spiller indirekte kostnader en betydelig rolle, siden de vanligvis ikke i utgangspunktet reflekteres i, men avsløres senere i kostnadsanalysen.

Beregningen av organisasjonens TCO-indikatorer utføres på følgende områder.

Komponenter i et bedriftsinformasjonssystem(inkludert informasjonssikkerhetssystem) og informasjonsaktiviteter i organisasjonen (servere, klientdatamaskiner, perifere enheter, nettverksenheter).

Utgifter til maskin- og programvare for informasjonssikkerhet: forbruksvarer og avskrivning koster verken servere, klientdatamaskiner (stasjonære og mobile datamaskiner), eksterne enheter og nettverkskomponenter.

Kostnader for å organisere informasjonssikkerhet: vedlikehold av informasjonssikkerhetssystemer, standardmidler for å beskytte eksterne enheter, servere, nettverksenheter, planlegging og styring av informasjonssikkerhetsprosesser, utvikling av sikkerhetskonsepter og -policyer og andre.

Utgifter til drift av informasjonssystem emner: direkte kostnader for vedlikehold av personell, kostnader for arbeid og outsourcing utført av organisasjonen som helhet eller tjeneste for å implementere teknisk støtte og operasjoner for å vedlikeholde infrastruktur for brukere.

Administrative kostnader: direkte personalkostnader, driftsstøtte og kostnader til interne/eksterne leverandører (leverandører) for å støtte driften, inkludert ledelse, finansiering, anskaffelse og opplæring av informasjonssystemer.

Sluttbrukers transaksjonskostnader: Sluttbrukers selvstøttekostnader, formell sluttbrukeropplæring, tilfeldig (uformell) opplæring, gjør-det-selv applikasjonsutvikling, lokal filsystemstøtte.

Nedetidskostnader: Årlig sluttbrukerproduktivitetstap fra planlagte og ikke-planlagte utfall av nettverksressurser, inkludert klientdatamaskiner, delte servere, skrivere, applikasjonsprogrammer, kommunikasjonsressurser og kommunikasjonsprogramvare.

Hvordan rettferdiggjøre kostnadene ved informasjonssikkerhet?

Gjengitt med vennlig tillatelse OJSC InfoTex Internet Trust
Kildeteksten er lokalisert Her.

Bedriftens modenhetsnivåer

Gartner Group identifiserer 4 nivåer av bedriftens modenhet når det gjelder informasjonssikkerhet (IS):

  • nivå 0:
    • Ingen er involvert i informasjonssikkerhet i selskapet; selskapets ledelse innser ikke viktigheten av informasjonssikkerhetsproblemer;
    • Det er ingen finansiering;
    • IS er under implementering vanlige midler operativsystemer, DBMS og applikasjoner (passordbeskyttelse, tilgangskontroll til ressurser og tjenester).
  • Nivå 1:
    • Informasjonssikkerhet betraktes av ledelsen som et rent "teknisk" problem; det er ikke noe enhetlig program (konsept, policy) for utvikling av selskapets informasjonssikkerhetssystem (ISMS);
    • Finansiering gis innenfor det samlede IT-budsjettet;
    • Informasjonssikkerhet implementeres ved hjelp av nullnivå + midler Reserver eksemplar, antivirusverktøy, brannmurer, VPN-organisasjonsverktøy (tradisjonelle sikkerhetsverktøy).
  • Nivå 2:
    • Informasjonssikkerhet betraktes av ledelsen som et kompleks av organisatoriske og tekniske tiltak, det er forståelse for viktigheten av informasjonssikkerhet for produksjonsprosesser, det er et program for utvikling av selskapets ISMS godkjent av ledelsen;
    • Informasjonssikkerhet implementeres av verktøy på første nivå + forbedrede autentiseringsverktøy, verktøy for å analysere e-postmeldinger og nettinnhold, IDS (systemer for inntrengingsdeteksjon), sikkerhetsanalyseverktøy, SSO (enkeltautentiseringsverktøy), PKI (infrastruktur) offentlige nøkler) og organisatoriske tiltak (intern og ekstern revisjon, risikoanalyse, informasjonssikkerhetspolicy, forskrifter, prosedyrer, forskrifter og retningslinjer).
  • Nivå 3:
    • Informasjonssikkerhet er en del av bedriftskulturen, en CISA (senior information security officer) er utnevnt;
    • Finansiering gis innenfor et eget budsjett;
    • Informasjonssikkerhet implementeres ved hjelp av andre nivå +stem, CSIRT (informasjonssikkerhet hendelsesresponsteam), SLA (tjenestenivåavtale).

I følge Gartner Group (data gitt for 2001), er prosentandelen av selskaper i forhold til de beskrevne 4 nivåene som følger:
Nivå 0 - 30 %,
Nivå 1 - 55 %,
Nivå 2 - 10 %,
Nivå 3 - 5%.

Gartner Groups prognose for 2005 er som følger:
Nivå 0 - 20 %,
Nivå 1 - 35 %,
Nivå 2 - 30 %,
Nivå 3 - 15%.

Statistikk viser at flertallet av bedriftene (55 %) i dag har implementert minimalt nødvendig sett tradisjonelle tekniske beskyttelsesmidler (nivå 1).

Ved implementering av ulike teknologier og sikkerhetstiltak dukker det ofte opp spørsmål. Hva skal implementeres først, et inntrengningsdeteksjonssystem eller en PKI-infrastruktur? Hvilken vil være mer effektiv? Stephen Ross, direktør for Deloitte&Touche, foreslår følgende tilnærming for å vurdere effektiviteten til individuelle informasjonssikkerhetstiltak og verktøy.

Basert på grafen ovenfor kan det ses at de dyreste og minst effektive er spesialiserte verktøy (in-house eller spesiallaget).

De dyreste, men samtidig mest effektive, er beskyttelsesprodukter i kategori 4 (nivå 2 og 3 ifølge Gartner Group). For å implementere verktøy i denne kategorien er det nødvendig å bruke en risikoanalyseprosedyre. Risikoanalyse i dette tilfellet vil sikre at implementeringskostnadene er tilstrekkelige til eksisterende trusler om brudd på informasjonssikkerheten.

De billigste, men med høy effektivitet, inkluderer organisatoriske tiltak (intern og ekstern revisjon, risikoanalyse, informasjonssikkerhetspolicy, forretningskontinuitetsplan, forskrifter, prosedyrer, forskrifter og manualer).

Innføringen av ytterligere beskyttelsesmidler (overgang til nivå 2 og 3) krever betydelige økonomiske investeringer og følgelig begrunnelse. Fraværet av et enhetlig ISMS-utviklingsprogram godkjent og signert av ledelsen forverrer problemet med å rettferdiggjøre investeringer i sikkerhet.

Risikoanalyse

Slik begrunnelse kan være resultater av risikoanalyser og statistikk akkumulert over hendelser. Mekanismer for implementering av risikoanalyse og innsamling av statistikk bør spesifiseres i virksomhetens informasjonssikkerhetspolicy.

Risikoanalyseprosessen består av 6 sekvensielle stadier:

1. Identifikasjon og klassifisering av beskyttede objekter (selskapsressurser som skal beskyttes);

3. Bygge en modell av en angriper;

4. Identifisering, klassifisering og analyse av trusler og sårbarheter;

5. Risikovurdering;

6. Valg av organisatoriske tiltak og tekniske beskyttelsesmidler.

På scenen identifikasjon og klassifisering av beskyttelsesobjekter Det er nødvendig å foreta en oversikt over selskapets ressurser på følgende områder:

  • Informasjonsressurser (konfidensiell og kritisk bedriftsinformasjon);
  • Programvareressurser (OS, DBMS, kritiske applikasjoner, for eksempel ERP);
  • Fysiske ressurser (servere, arbeidsstasjoner, nettverk og telekommunikasjonsutstyr);
  • Tjenesteressurser (e-post, www, etc.).

Kategorisering er å bestemme nivået av konfidensialitet og kritikk av ressursen. Konfidensialitet refererer til nivået av hemmelighold av informasjon som lagres, behandles og overføres av en ressurs. Kritikk refererer til graden av påvirkning av en ressurs på effektiviteten av virksomhetens produksjonsprosesser (for eksempel ved nedetid på teleressurser kan tilbyderselskapet gå konkurs). Ved å tildele visse kvalitative verdier til konfidensialitets- og kritikalitetsparameterne, kan du bestemme betydningsnivået til hver ressurs når det gjelder deltakelse i selskapets produksjonsprosesser.

For å bestemme viktigheten av selskapets ressurser fra et informasjonssikkerhetssynspunkt, kan du få tak i følgende tabell:

For eksempel har filer med informasjon om lønnsnivået til bedriftsansatte verdien «strengt konfidensielt» (konfidensialitetsparameter) og verdien «ubetydelig» (kritiskhetsparameter). Ved å erstatte disse verdiene i tabellen, kan du få en integrert indikator på betydningen av denne ressursen. Ulike alternativer for kategoriseringsmetoder er gitt i den internasjonale standarden ISO TR 13335.

Bygge en angripermodell er prosessen med å klassifisere potensielle overtredere i henhold til følgende parametere:

  • Type angriper (konkurrent, klient, utvikler, bedriftsansatt, etc.);
  • Angriperens posisjon i forhold til beskyttelsesobjektene (internt, eksternt);
  • Nivå av kunnskap om beskyttede objekter og miljø (høy, middels, lav);
  • Nivå av evne til å få tilgang til beskyttede objekter (maksimum, gjennomsnitt, minimum);
  • Virkningens varighet (konstant, med visse tidsintervaller);
  • Handlingssted (den forventede plasseringen til angriperen under angrepet).

Ved å tilordne kvalitative verdier til de listede parameterne til angriperens modell, kan man bestemme angriperens potensial (en integrert karakteristikk av angriperens evner til å implementere trusler).

Identifisering, klassifisering og analyse av trusler og sårbarheter lar deg bestemme måter å implementere angrep på beskyttede objekter. Sårbarheter er egenskaper til en ressurs eller miljøet som brukes av en angriper for å implementere trusler. En liste over sårbarheter i programvareressurser finnes på Internett.

Trusler er klassifisert etter følgende kriterier:

  • navnet på trusselen;
  • type angriper;
  • midler for gjennomføring;
  • utnyttede sårbarheter;
  • handlinger tatt;
  • implementeringsfrekvens.

Hovedparameteren er hyppigheten av trusselimplementering. Det avhenger av verdiene til parameterne "angriperpotensial" og "ressurssikkerhet". Verdien av «ressurssikkerhet»-parameteren bestemmes gjennom ekspertvurderinger. Når du bestemmer verdien av parameteren, tas de subjektive parametrene til angriperen i betraktning: motivasjon for å implementere trusselen og statistikk fra forsøk på å implementere trusler av denne typen(hvis tilgjengelig). Resultatet av trussel- og sårbarhetsanalysefasen er en vurdering av parameteren «implementeringsfrekvens» for hver trussel.

På scenen risikovurdering den potensielle skaden fra trusler om brudd på informasjonssikkerheten bestemmes for hver ressurs eller gruppe av ressurser.

Den kvalitative indikatoren for skade avhenger av to parametere:

  • Betydningen av ressursen;
  • Frekvens for trusselimplementering på denne ressursen.

Basert på innhentede skadevurderinger, velges tilstrekkelige organisatoriske tiltak og tekniske beskyttelsesmidler med rimelighet.

Akkumulering av statistikk over hendelser

Det eneste svake punktet i den foreslåtte metodikken for å vurdere risiko og følgelig rettferdiggjøre behovet for å introdusere nye eller endre eksisterende beskyttelsesteknologier er bestemmelsen av parameteren "hyppighet av trusselforekomst." Den eneste måten å oppnå objektive verdier for denne parameteren på er å samle statistikk over hendelser. Akkumulert statistikk, for eksempel over et år, vil tillate deg å bestemme antall implementeringer av trusler (av en bestemt type) per ressurs (av en bestemt type). Det er tilrådelig å utføre arbeid med innsamling av statistikk som en del av hendelsesbehandlingsprosedyren.

Formålet med studien: å analysere og bestemme hovedtrendene i det russiske informasjonssikkerhetsmarkedet
Rosstat-data ble brukt (statistiske rapporteringsskjemaer nr. 3-Inform, P-3, P-4), regnskaper for foretak mv.

Organisasjoners bruk av informasjons- og kommunikasjonsteknologier og informasjonssikkerhetsverktøy

  • For å utarbeide denne delen ble det brukt aggregerte, geografisk separate divisjoner og representasjonskontorer (skjema 3-Inform "Informasjon om bruk av informasjons- og kommunikasjonsteknologier og produksjon datateknologi, programvare og levering av tjenester i disse områdene".

Perioden 2012-2016 ble analysert. Dataene hevder ikke å være fullstendige (siden de er samlet inn iht begrenset sirkel bedrifter), men kan etter vår mening brukes til å vurdere trender. Antall respondentforetak for perioden varierte fra 200 til 210 tusen. Det vil si at utvalget er ganske stabilt og inkluderer de mest sannsynlige forbrukerne (store og mellomstore bedrifter), som står for hoveddelen av salget.

Tilgjengelighet av personlige datamaskiner i organisasjoner

I følge det statistiske rapporteringsskjemaet 3-Inform var det i 2016 rundt 12,4 millioner enheter i russiske organisasjoner som ga informasjon om dette skjemaet personlige datamaskiner(PC). I dette tilfellet betyr PC stasjonære og bærbare datamaskiner; dette konseptet inkluderer ikke mobil Mobil og personlige datamaskiner.

I løpet av de siste 5 årene har antallet PC-enheter i organisasjoner i Russland som helhet økt med 14,9 %. Det best utstyrte føderale distriktet er Central Federal District, som står for 30,2 % av PC-ene i bedrifter. Den ubestridte ledende regionen for denne indikatoren er byen Moskva; ifølge data for 2016 har Moskva-selskaper rundt 1,8 millioner PC-er. Den laveste verdien av indikatoren ble notert i det nordkaukasiske føderale distriktet; organisasjoner i distriktet har bare rundt 300 tusen PC-enheter; det minste antallet er i republikken Ingushetia - 5,45 tusen enheter.

Ris. 1. Antall personlige datamaskiner i organisasjoner, Russland, millioner enheter.

Organisasjonsutgifter til informasjons- og kommunikasjonsteknologi

I perioden 2014-2015. På grunn av den ugunstige økonomiske situasjonen ble russiske selskaper tvunget til å minimere kostnadene, inkludert kostnader for informasjon og kommunikasjonsteknologier. I 2014 var kostnadsnedgangen i IKT-sektoren på 5,7 %, men ved utgangen av 2015 var det en svak positiv trend. I 2016 utgjorde russiske selskapers utgifter til informasjons- og kommunikasjonsteknologi 1,25 billioner. rub., som oversteg tallet før krisen i 2013 med 0,3 %.

Hovedtyngden av kostnadene faller på selskaper lokalisert i Moskva - over 590 milliarder rubler, eller 47,2% av totalen. De største volumene av utgifter til organisasjoner på informasjons- og kommunikasjonsteknologier i 2016 ble registrert i: Moskva-regionen - 76,6 milliarder rubler, St. Petersburg - 74,4 milliarder rubler, Tyumen-regionen - 56,0 milliarder rubler, Republikken Tatarstan – 24,7 milliarder rubler, Nizhny Novgorod region – 21,4 milliarder rubler. De laveste kostnadene ble registrert i republikken Ingushetia - 220,3 millioner rubler.

Ris. 2. Mengden av selskapers utgifter til informasjons- og kommunikasjonsteknologi, Russland, milliarder rubler.

Organisasjoners bruk av informasjonssikkerhetsverktøy

I I det siste Man kan merke seg en betydelig økning i antall selskaper som brukeresverktøy. Den årlige veksten av antallet deres er ganske stabil (med unntak av 2014), og utgjør omtrent 11-19% per år.

I følge offisielle data fra Rossstat, De mest populære beskyttelsesmidlene for tiden er tekniske metoder for brukerautentisering (tokens, USB-nøkler, smartkort). Av mer enn 157 tusen bedrifter, indikerte 127 tusen bedrifter (81%) bruken av disse spesielle verktøyene som informasjonsbeskyttelse.

Ris. 3. Fordeling av organisasjoner ved bruk av midler som sikrer informasjonssikkerhet i 2016, Russland, %.

I følge offisiell statistikk brukte 161 421 selskaper i 2016 det globale Internett til kommersielle formål. Blant organisasjoner som bruker Internett til kommersielle formål og har indikert bruk av informasjonssikkerhetstiltak, er den mest populære den elektroniske digitale signaturen. Dette verktøyet Over 146 tusen selskaper, eller 91% av totalen, angitt som et beskyttelsesmiddel. I henhold til bruken av informasjonssikkerhetsverktøy ble selskaper fordelt som følger:

    • Elektroniske midler digital signatur– 146 887 selskaper;
    • Regelmessig oppdatert antivirusprogrammer– 143 095 selskaper;
    • Programvare eller maskinvare som hindrer uautorisert tilgang skadevare fra global informasjon eller lokal datanettverk(Brannmur) – 101 373 selskaper;
    • Spamfilter – 86 292 selskaper;
    • Krypteringsverktøy – 86 074 selskaper;
    • Datamaskin- eller nettver– 66 745 selskaper;
    • Programvareverktøy for automatisering av sikkerhetsanalyse og kontrollprosesser datasystemer– 54.409 bedrifter.

Ris. 4. Distribusjon av selskaper som bruker Internett til kommersielle formål, ved hjelp av beskyttelse av informasjon som overføres over globale nettverk, i 2016, Russland, %.

I perioden 2012-2016 økte antallet selskaper som bruker Internett til kommersielle formål med 34,9 %. I 2016 brukte 155 028 selskaper Internett til å kommunisere med leverandører og 110 421 selskaper brukte Internett til å kommunisere med forbrukere. Av selskapene som bruker Internett for å kommunisere med leverandører, indikerte formålet med bruken:

  • innhenting av informasjon om nødvendige varer (verk, tjenester) og deres leverandører - 138 224 selskaper;
  • gi informasjon om organisasjonens behov for varer (verk, tjenester) - 103 977 selskaper;
  • legge inn bestillinger på varene (arbeid, tjenester) som er nødvendige for organisasjonen (unntatt bestillinger sendt via e-post) – 95 207 selskaper;
  • betaling for leverte varer (verk, tjenester) – 89 279;
  • mottak av elektroniske produkter – 62 940 bedrifter.

Av det totale antallet selskaper som bruker Internett for å kommunisere med forbrukere, indikerte formålet med bruken:

  • gi informasjon om organisasjonen, dens varer (verk, tjenester) - 101 059 selskaper;
  • (verk, tjenester) (unntatt bestillinger sendt på e-post) – 44 193 selskaper;
  • implementering av elektroniske betalinger med forbrukere – 51 210 selskaper;
  • distribusjon av elektroniske produkter – 12 566 selskaper;
  • ettersalgsservice (service) – 13 580 bedrifter.

Volum og dynamikk i budsjettene til føderale utøvende myndigheter for informasjonsteknologi i 2016-2017.

I følge Federal Treasury, det totale volumet av grenser for budsjettforpliktelser for 2017, kommunisert til de føderale utøvende myndighetene (heretter referert til som den føderale utøvende myndigheten) i henhold til utgiftstypekode 242 "Kjøp av varer, arbeider, tjenester i feltet av informasjons- og kommunikasjonsteknologier" når det gjelder informasjon som ikke utgjør statshemmelighet, per 1. august 2017 utgjorde 115,2 milliarder rubler, som er omtrent 5,1% høyere enn det totale budsjettet for informasjonsteknologi til føderale utøvende myndigheter i 2016 (109,6) milliarder rubler, ifølge departementet for telekom og massekommunikasjon). Mens det totale volumet av IT-budsjetter til føderale avdelinger fortsetter å vokse fra år til år, har vekstraten gått ned (i 2016 økte det totale volumet av IT-budsjetter med 8,3 % sammenlignet med 2015). Hvori Det er en økende stratifisering mellom "rik" og "fattig" når det gjelder avdelingens informasjons- og kommunikasjonsteknologiutgifter. Den ubestridte lederen ikke bare når det gjelder budsjettstørrelse, men også når det gjelder prestasjoner på IT-feltet er Federal Tax Service. IKT-budsjettet i år er mer enn 17,6 milliarder rubler, som er mer enn 15% av budsjettet til alle føderale utøvende myndigheter. Den totale andelen av de fem beste (Federal Tax Service, Pension Fund of the Russian Federation, Treasury, Ministry of Internal Affairs, Ministry of Telecom and Mass Communications) er mer enn 53%.

Ris. 5. Struktur av budsjettutgifter for kjøp av varer, verk og tjenester innen informasjons- og kommunikasjonsteknologi av føderale utøvende myndigheter i 2017, %

Lovregulering innen anskaffelse av programvare til statlige og kommunale behov

Fra 1. januar 2016 gjennomfører alle statlige og kommunale organer, statlige selskaper Rosatom og Roscosmos, styringsorganer for statlige midler utenom budsjettet, samt statlige og budsjettinstitusjoner anskaffelser i samsvar med kravene i føderal lov av 5. april 2013 nr. 44 -FZ "Om kontraktsystemet innen anskaffelse av varer, arbeider, tjenester for å møte statlige og kommunale behov", er pålagt å overholde forbudet mot opptak av programvare som kommer fra utlandet for anskaffelsesformål for å møte statlige og kommunale behov. Forbudet ble innført ved dekret fra regjeringen i den russiske føderasjonen av 16. november 2015 nr. 1236 "Om å etablere et forbud mot opptak av programvare som stammer fra fremmede land med det formål å anskaffe for å møte statlige og kommunale behov." Ved kjøp av programvare må ovennevnte kunder direkte angi forbudet mot kjøp av importert programvare i kjøpsvarselet. Forbudet gjelder kjøp av programvare for elektronisk datamaskiner og databaser implementert uavhengig av type kontrakt på et konkret medium og (eller) i i elektronisk format gjennom kommunikasjonskanaler, samt eksklusive rettigheter til slik programvare og rettighetene til å bruke slik programvare.

Det er flere unntak når kjøp av importert programvare av kunder er tillatt.

  • anskaffelse av programvare og (eller) rettigheter til den av diplomatiske oppdrag og konsulære kontorer Den russiske føderasjonen, handelsoppdrag fra Den russiske føderasjonen ved internasjonale organisasjoner for å sikre deres aktiviteter på territoriet til en fremmed stat;
  • anskaffelse av programvare og (eller) rettigheter til den, informasjon om hvilken og (eller) kjøpet av disse utgjør en statshemmelighet.

I alle andre tilfeller vil kunden bli pålagt å jobbe med ett enkelt register før kjøp av programvare Russiske programmer for elektroniske datamaskiner og databaser og en klassifisering av programmer for elektroniske datamaskiner og databaser.
Dannelsen og vedlikeholdet av registeret som et autorisert føderalt utøvende organ utføres av departementet for telekom og massekommunikasjon i Russland.
Fra slutten av august 2017 inkluderte registeret 343 programvareprodukter som tilhører klassen "informasjonssikkerhetsverktøy" fra 98 russiske utviklingsselskaper. Blant dem er programvareprodukter fra så store russiske utviklere som:

  • OJSC “Informasjonsteknologier og kommunikasjonssystemer” (“InfoTeKS”) – 37 programvareprodukter;
  • JSC Kaspersky Lab - 25 programvareprodukter;
  • Security Code LLC - 19 programvareprodukter;
  • Crypto-Pro LLC - 18 programvareprodukter;
  • Doctor WEB LLC - 12 programvareprodukter;
  • S-Terra CSP LLC - 12 programvareprodukter;
  • CJSC "Aladdin R.D." — 8 programvareprodukter;
  • JSC "Infowatch" - 6 programvareprodukter.

Analyse av virksomheten til de største aktørene innen informasjonssikkerhet

  • Som grunnleggende informasjon for å analysere aktivitetene til de største aktørene i informasjonssikkerhetsmarkedet for forberedelse denne studien informasjon om offentlige anskaffelser innen informasjons- og kommunikasjonsvirksomhet og særlig informasjonssikkerhet ble brukt.

For å analysere trender valgte vi ut 18 selskaper som er blant de ledende på informasjonssikkerhetsmarkedet og er aktivt involvert i offentlige anskaffelser. Listen inkluderer både direkte utviklere av programvare og maskinvare- og programvaresikkerhetssystemer, samt de største systemintegratorer. De totale inntektene til disse selskapene i 2016 utgjorde 162,3 milliarder rubler, og oversteg 2015-tallet med 8,7%.
Nedenfor er en liste over selskaper valgt ut til studien.

Bord 1. Selskaper valgt ut til studien

Navn TINN Type aktivitet (OKVED 2014)
1 "I-Teco" JSC 7736227885 Aktiviteter knyttet til bruk av datateknologi og informasjonsteknologier, annet (62,09)
2 Croc Incorporated, JSC 7701004101
3 "Informzashita", CJSC NIP 7702148410 Forskning og utvikling innen samfunnsvitenskap og humaniora (72.20)
4 "Softline Trade", JSC 7736227885
5 "Technoserv AS", LLC 7722286471 Engroshandel med andre maskiner og utstyr (46,69)
6 "Elvis-pluss", JSC 7735003794
7 "Asteros" JSC 7721163646 Engroshandel med datamaskiner, eksterne enheter til datamaskiner og programvare (46.51
8 "Aquarius Production Company", LLC 7701256405
9 Lanit, CJSC 7727004113 Engroshandel med andre kontormaskiner og utstyr (46,66)
10 Jet Infosystems, JSC 7729058675 Engroshandel med datamaskiner, perifere enheter for datamaskiner og programvare (46.51)
11 "Dialognauka", JSC 7701102564 Dataprogramvareutvikling (62.01)
12 "Factor-TS", LLC 7716032944 Produksjon av datamaskiner og periferutstyr (26.20)
13 "InfoTeKS", JSC 7710013769 Dataprogramvareutvikling (62.01)
14 "Ural Center for Security Systems", LLC 6672235068 Aktiviteter innen arkitektur, ingeniørfag og teknisk rådgivning på disse områdene (71.1)
15 "ICL-KPO VS", JSC 1660014361 Dataprogramvareutvikling (62.01)
16 NVision Group, JSC 7703282175 Ikke-spesialisert engroshandel (46,90)
17 "Konfidensiell-integrasjon", LLC 7811512250 Databehandlingsaktiviteter, levering av vertstjenester og relaterte aktiviteter (63.11)
18 "Kaluga Astral", JSC 4029017981 Rådgivende virksomhet og arbeid innen datateknologi (62.02

Fra slutten av oktober 2017 inngikk selskaper fra det presenterte utvalget 1 034 kontrakter med offentlige etater til et beløp på 24,6 milliarder rubler. Leder inn denne listen når det gjelder volumet av inngåtte kontrakter, har I-Teco-selskapet 74 kontrakter verdt 7,5 milliarder rubler.
I løpet av de siste årene, med unntak av kriseåret 2014, kan man notere en konstant økning i det totale kontraktsvolumet for de utvalgte selskapene. Den mest betydelige dynamikken skjedde i perioden 2015-2016. Dermed var det i 2015 en økning i kontraktsvolumet med mer enn 3,5 ganger, i 2016 - med 1,5 ganger. I følge tilgjengelige data om kontraktsaktivitetene til selskaper for perioden januar-oktober 2017, kan det antas at det totale volumet av kontrakter med offentlige etater i 2017 vil være omtrent 37-38 milliarder rubler, det vil si en nedgang på rundt 40 % er forventet.

Som allerede nevnt, er sikkerheten til en virksomhet sikret av et sett med tiltak i alle stadier av livssyklusen, informasjonssystemet og består generelt av kostnadene:

  • - designarbeid;
  • - anskaffelse og konfigurasjon av programvare- og maskinvarebeskyttelsesverktøy;
  • - kostnader ved å sikre fysisk sikkerhet;
  • - opplæring av personell;
  • - systemadministrasjon og støtte;
  • - revisjon av informasjonssikkerhet;
  • - periodisk modernisering av informasjonssikkerhetssystemet mv.

Kostnadsindikatoren for den økonomiske effektiviteten til et integrert informasjonssikkerhetssystem vil være summen av direkte og indirekte kostnader for organisering, drift og vedlikehold av informasjonssikkerhetssystemet gjennom året.

Det kan betraktes som en viktig kvantitativ indikator på effektiviteten til infoi et selskap, siden det ikke bare vil tillate å estimere de totale kostnadene for beskyttelse, men å administrere disse kostnadene for å oppnå det nødvendige nivået av bedriftssikkerhet. Direkte kostnader omfatter imidlertid både kapitalkostnadskomponenter og lønnskostnader, som inngår i kategoriene drift og administrativ styring. Dette inkluderer også kostnader for tjenester til eksterne brukere etc. knyttet til å støtte organisasjonens aktiviteter.

Indirekte kostnader reflekterer på sin side virkningen av det integrerte sikkerhetssystemet og infpå ansatte gjennom slike målbare indikatorer som nedetid og frysing av bedriftens informasjonssikkerhetssystem og det integrerte sikkerhetssystemet som helhet, drifts- og støttekostnader.

Svært ofte spiller indirekte kostnader en betydelig rolle, siden de vanligvis ikke i utgangspunktet reflekteres i budsjettet for et omfattende sikkerhetssystem, men avsløres eksplisitt under kostnadsanalyse senere, noe som til slutt fører til en økning i selskapets "skjulte" kostnader. La oss vurdere hvordan du kan bestemme de direkte og indirekte kostnadene for et omfattende sikkerhetssystem. La oss anta at ledelsen i en virksomhet jobber med å implementere et omfattende informasjonssikkerhetssystem i virksomheten. Objektene og målene for beskyttelse, trusler mot informasjonssikkerheten og tiltak for å motvirke dem er allerede identifisert, de nødvendige midlene for å beskytte informasjon er kjøpt og installert.

Informasjonssikkerhetskostnader faller vanligvis i følgende kategorier:

  • - kostnader for dannelse og vedlikehold av koblingen for administrasjon av informasjonssikkerhetssystem;
  • - kontrollkostnader, det vil si å bestemme og bekrefte det oppnådde sikkerhetsnivået for bedriftsressurser;
  • - interne kostnader for å eliminere konsekvensene av et brudd på informasjonssikkerheten - kostnader påløpt av organisasjonen som følge av at det nødvendige sikkerhetsnivået ikke ble oppnådd;
  • - eksterne kostnader for å eliminere konsekvensene av et brudd på informasjonssikkerheten - kompensasjon for tap på grunn av brudd på sikkerhetspolitikken i saker knyttet til informasjonslekkasje, tap av selskapets image, tap av tillit til partnere og forbrukere, etc.;
  • - kostnader ved vedlikehold av informasjonssikkerhetssystemet og tiltak for å forhindre brudd på virksomhetens sikkerhetspolicy.

I dette tilfellet skilles vanligvis engangskostnader og systematiske kostnader.

Engangskostnader for å skape bedriftssikkerhet: organisasjonskostnader og kostnader for anskaffelse og installasjon av verneutstyr.

Systematiske, drifts- og vedlikeholdskostnader. Klassifiseringen av kostnader er betinget, siden innsamling, klassifisering og analyse av kostnader for informasjonssikkerhet er virksomhetens interne aktiviteter, og den detaljerte utviklingen av listen avhenger av egenskapene til en bestemt organisasjon.

Det viktigste når man skal bestemme kostnadene til et sikkerhetssystem er gjensidig forståelse og enighet om kostnadsposter i virksomheten.

I tillegg bør kostnadskategorier være konsistente og bør ikke duplisere hverandre. Det er umulig å eliminere sikkerhetskostnadene helt, men de kan reduseres til et akseptabelt nivå.

Noen sikkerhetskostnader er helt nødvendige, og noen kan reduseres eller elimineres betydelig. Sistnevnte er de som kan forsvinne i fravær av sikkerhetsbrudd eller vil avta hvis antallet og destruktive virkningene av brudd reduseres.

Ved å opprettholde sikkerheten og forhindre brudd, kan følgende kostnader elimineres eller reduseres betydelig:

  • - å gjenopprette sikkerhetssystemet for å møte sikkerhetskravene;
  • - å gjenopprette ressursene til bedriftens informasjonsmiljø;
  • - for endringer i sikkerhetssystemet;
  • - for juridiske tvister og erstatningsutbetalinger;
  • - å identifisere årsakene til sikkerhetsbrudd.

Nødvendige kostnader er de som er nødvendige selv om nivået av sikkerhetstrusler er ganske lavt. Dette er kostnadene ved å opprettholde det oppnådde sikkerhetsnivået til bedriftsinformasjonsmiljøet.

Uunngåelige kostnader kan omfatte:

  • a) vedlikehold av teknisk verneutstyr;
  • b) håndtering av konfidensiell journal;
  • c) drift og revisjon av sikkerhetssystemet;
  • d) minimumsnivå for inspeksjoner og kontroll med involvering av spesialiserte organisasjoner;
  • e) opplæring av personell i informasjonssikkerhetsmetoder.

Det er imidlertid andre kostnader som er ganske vanskelige å fastslå. Blant dem:

  • a) kostnadene ved å gjennomføre ytterligere forskning og utvikle en ny markedsstrategi;
  • b) tap ved å senke prioriteten i vitenskapelig forskning og manglende evne til å patentere og selge lisenser for vitenskapelige og tekniske prestasjoner;
  • c) kostnader forbundet med å eliminere flaskehalser i forsyning, produksjon og markedsføring av produkter;
  • d) tap fra kompromittering av produkter produsert av bedriften og reduksjon i prisene for dem;
  • e) forekomsten av vanskeligheter med å skaffe utstyr eller teknologier, inkludert økende priser for dem, begrensende forsyningsvolumet.

De oppførte kostnadene kan være forårsaket av handlingene til personell fra ulike avdelinger, for eksempel design, teknologisk, økonomisk planlegging, juridisk, økonomisk, markedsføring, tariffpolitikk og prissetting.

Siden ansatte i alle disse avdelingene neppe vil være opptatt på heltid med problemer med eksterne tap, må etableringen av kostnadsbeløpet utføres under hensyntagen til den faktiske tidsbruken. Et av elementene i eksterne tap kan ikke beregnes nøyaktig - dette er tap forbundet med å undergrave bildet til bedriften, redusere forbrukernes tillit til produktene og tjenestene til bedriften. Det er av denne grunn at mange selskaper skjuler det faktum at tjenesten deres er utrygg. Selskaper frykter utgivelsen av slik informasjon enda mer enn de frykter angrep i en eller annen form.

Imidlertid ignorerer mange bedrifter disse kostnadene på grunnlag av at de ikke kan bestemmes med noen grad av nøyaktighet - de er bare anslått. Kostnader ved forebyggende tiltak. Disse kostnadene er trolig de vanskeligste å anslå fordi forebyggende aktiviteter utføres på tvers av ulike avdelinger og påvirker mange tjenester. Disse kostnadene kan vises i alle stadier av livssyklusen til ressursene for bedriftsinformasjonsmiljøet:

  • - planlegging og organisering;
  • - anskaffelse og igangkjøring;
  • - levering og støtte;
  • - overvåking av prosesser som utgjør informasjonsteknologi.

I tillegg er det meste av kostnadene i denne kategorien knyttet til sikkerhetspersonell. Forebyggingskostnader inkluderer primært lønn og overhead. Nøyaktigheten av deres besluttsomhet avhenger imidlertid i stor grad av nøyaktigheten av å bestemme tidsbruken til hver ansatt individuelt. Noen forholdsmessige kostnader er enkle å identifisere direkte. De kan spesielt omfatte betaling for ulike verk fra tredjeparter, for eksempel:

  • - vedlikehold og konfigurasjon av programvare- og maskinvarebeskyttelsesverktøy, operativsystemer og nettverksutstyr som brukes;
  • - utføre ingeniørarbeid og teknisk arbeid for å installere alarmsystemer, utstyre lagringsfasiliteter for konfidensielle dokumenter, beskytte telefonlinjer kommunikasjon, datautstyr og så videre;
  • - levering av konfidensiell informasjon;
  • - konsultasjoner;
  • - opplæringskurs.

Kilder til informasjon om kostnadene som vurderes. Når du skal bestemme kostnadene ved å tilby informasjonssikkerhet, er det nødvendig å huske at:

  • - kostnader for anskaffelse og igangkjøring av programvare og maskinvare kan fås fra analyse av fakturaer, registreringer i lagerdokumentasjon, etc.;
  • - betalinger til personalet kan tas fra erklæringer;
  • - betalingsvolumer lønn bør tas med i betraktning den faktiske tiden brukt på å utføre arbeid for å sikre informasjonssikkerhet; hvis bare en del av en ansatts tid brukes på aktiviteter for å sikre informasjonssikkerhet, så er det mulig å vurdere hver av komponentene i tidsforbruket hans bør ikke stilles spørsmål;
  • - klassifisering av sikkerhetskostnader og deres fordeling mellom elementer bør bli en del av det daglige arbeidet i virksomheten.