Stroški informacijske varnosti podjetja. Informacijska varnost v industriji. Organizacijski stroški informacijskih in komunikacijskih tehnologij

Vlagajo v različne računalniške varnostne tehnologije – od platform za izplačilo bonusov za odkrivanje ranljivosti v programih do diagnostike in avtomatiziranega testiranja programov. Najbolj pa jih privlačijo tehnologije za avtentikacijo in upravljanje informacij o identiteti – v startupe, ki se ukvarjajo s temi tehnologijami, je bilo konec leta 2019 vloženih približno 900 milijonov dolarjev.

Naložbe v zagonska podjetja za usposabljanje na področju kibernetske varnosti so leta 2019 dosegla 418 milijonov dolarjev, na čelu s podjetjem KnowBe4, ki je zbralo 300 milijonov dolarjev.Zagon ponuja platformo za simulacijo lažnega predstavljanja in vrsto programov za usposabljanje.

Leta 2019 so podjetja, ki se ukvarjajo z varnostjo interneta stvari, prejela približno 412 milijonov dolarjev. Vodilni v tej kategoriji po obsegu naložb je SentinelOne, ki je leta 2019 prejel 120 milijonov dolarjev za razvoj tehnologij za zaščito končnih točk.

Analitiki Metacurity hkrati zagotavljajo druge podatke, ki označujejo stanje na trgu tveganega financiranja v sektorju informacijske varnosti. Leta 2019 je obseg naložb tukaj dosegel 6,57 milijarde dolarjev, s 3,88 milijarde dolarjev leta 2018. Povečalo se je tudi število transakcij - s 133 na 219. Hkrati je povprečni obseg naložb na transakcijo ostal skoraj nespremenjen in je konec leta 2019 znašal 29,2 milijona, so izračunali v Metacurity.

2018

Rast za 9 % na 37 milijard dolarjev – Canalys

V letu 2018 prodaja opreme, programsko opremo in storitev, namenjenih informacijski varnosti (IS), dosegel 37 milijard dolarjev, kar je 9 % več kot leto prej (34 milijard dolarjev). Takšne podatke so analitiki Canalysa objavili 28. marca 2019.

Kljub temu, da veliko podjetij daje prednost zaščiti svojih sredstev, podatkov, končnih točk, omrežij, zaposlenih in strank, je kibernetska varnost v letu 2018 predstavljala le 2 % skupne porabe za IT, so povedali. Pojavlja pa se vedno več novih groženj, ki postajajo kompleksnejše in pogostejše, kar proizvajalcem informacijskovarnostnih rešitev ponuja nove priložnosti za rast. Skupna poraba za kibernetsko varnost naj bi leta 2020 presegla 42 milijard dolarjev.

Analitik Canalysa Matthew Ball meni, da se bo prehod na nove modele implementacije informacijske varnosti pospešil. Stranke spreminjajo naravo svojih IT proračunov z uporabo javnih storitev v oblaku in prilagodljivih naročniških storitev.

Približno 82 % uvedb informacijske varnosti v letu 2018 je vključevalo uporabo tradicionalne strojne in programske opreme. V preostalih 18 % primerov so bili uporabljeni virtualizacija, javni oblaki in storitve informacijske varnosti.

Do leta 2020 se bo delež tradicionalnih modelov uvajanja informacijskovarnostnih sistemov zmanjšal na 70 %, saj so nove rešitve na trgu vse bolj priljubljene.

Dobavitelji bodo morali ustvariti široko paleto poslovnih modelov za podporo temu prehodu, saj različni izdelki ustrezajo različnim različni tipi uvajanja. Glavni izziv za mnoge danes je narediti nove modele bolj osredotočene na pridružene kanale in jih integrirati z obstoječimi pridruženi programi, zlasti pri transakcijah strank prek platform v oblaku. Nekatere tržnice v oblaku so se na to že odzvale tako, da so partnerjem omogočile, da strankam ponudijo prilagojene ponudbe in cene neposredno s sledenjem registracijam poslov in popustom, je poročal Matthew Ball v objavi 29. marca 2019.

Po mnenju analitika Canalysa Ketakija Boradeja so vodilni ponudniki tehnologije kibernetske varnosti uvedli nove modele distribucije izdelkov, ki vključujejo prehod podjetij na naročniški model in povečanje dejavnosti v infrastrukturi oblaka.


Trg kibernetske varnosti je ostal zelo dinamičen in zabeležil rekordno število poslov in obseg kot odgovor na rastoče zakonodaje in tehnične zahteve, kot tudi nenehno razširjeno tveganje kršitev podatkov, pravi soustanovitelj in poslovodni partner Momentum Cyber ​​Eric McAlpine. "Verjamemo, da bo ta zagon še naprej potiskal sektor na novo ozemlje, ko se bo skušal spoprijeti z nastajajočimi grožnjami in se utrjeval ob utrujenosti dobaviteljev in naraščajočem pomanjkanju znanj."

2017

Stroški kibernetske varnosti so presegli 100 milijard dolarjev

V letu 2017 je globalna poraba za informacijsko varnost (IS) – izdelke in storitve – dosegla 101,5 milijarde dolarjev, je sredi avgusta 2018 objavilo raziskovalno podjetje Gartner. Konec leta 2017 so strokovnjaki ta trg ocenili na 89,13 milijarde dolarjev, ne poročajo pa, kaj je povzročilo znatno povečanje vrednosti.

CISO želijo pomagati svojim organizacijam pri varni uporabi tehnoloških platform, da postanejo bolj konkurenčne in spodbudijo rast poslovanja, pravi Siddharth Deshpande, direktor raziskav pri Gartnerju. - Stalno pomanjkanje znanj in regulativnih sprememb, kot je Splošna uredba o varstvu podatkov (GDPR) v Evropi, spodbujajo nadaljnjo rast trga storitev kibernetske varnosti.

Strokovnjaki menijo, da je eden ključnih dejavnikov, ki prispeva k povečanju stroškov informacijske varnosti, uvedba novih metod zaznavanja in odzivanja na grožnje, ki so v letu 2018 postale glavna varnostna prioriteta organizacij.

Po ocenah Gartnerja so organizacije v letu 2017 porabile za storitve kibernetske zaščite na svetovni ravni presegle 52,3 milijarde dolarjev, leta 2018 pa bodo ti stroški narasli na 58,9 milijarde dolarjev.

Leta 2017 so podjetja porabila 2,4 milijarde dolarjev za zaščito aplikacij, 2,6 milijarde dolarjev za zaščito podatkov, storitve v oblaku- 185 milijonov dolarjev

Letna prodaja rešitev za upravljanje identitete in dostopa (Identity And Access Management) je znašala 8,8 milijarde, prodaja orodij za zaščito IT infrastrukture pa se je povečala na 12,6 milijarde dolarjev.

Študija prav tako opozarja na 10,9 milijarde USD porabe za opremo, ki se uporablja za zagotavljanje varnosti omrežja. Njihovi proizvajalci so s sistemi za obvladovanje informacijske varnosti zaslužili 3,9 milijarde dolarjev.

Analitiki ocenjujejo, da bodo izdatki potrošnikov za kibernetsko varnost v letu 2017 znašali 5,9 milijarde dolarjev, je pokazala raziskava Gartner.

Gartner je velikost trga ocenil na 89,13 milijarde dolarjev

Decembra 2017 je postalo znano, da bo globalna poraba podjetij za informacijsko varnost (IS) v letu 2017 znašala 89,13 milijarde dolarjev, po podatkih Gartnerja pa bo poraba podjetij za kibernetsko varnost presegla znesek 82,2 milijarde dolarjev iz leta 2016 za skoraj 7 milijard dolarjev.

Strokovnjaki menijo, da so storitve informacijske varnosti največja postavka stroškov: leta 2017 bodo podjetja za te namene namenila več kot 53 milijard dolarjev v primerjavi z 48,8 milijarde dolarjev leta 2016. Drugi največji segment trga informacijske varnosti so rešitve za zaščito infrastrukture, katerih stroški bodo leta 2017 znašali 16,2 milijarde dolarjev namesto 15,2 milijarde dolarjev pred letom dni. Na tretjem mestu je oprema za varnost omrežja (10,93 milijarde dolarjev).

V strukturi odhodkov za informacijsko varnost je vključena tudi potrošniška programska oprema za informacijsko varnost ter sistemi za identifikacijo in upravljanje dostopa (Identity and Access Management, IAM). Gartner stroške na teh področjih v letu 2017 ocenjuje na 4,64 milijarde dolarjev oziroma 4,3 milijarde dolarjev, leta 2016 pa na 4,57 milijarde dolarjev oziroma 3,9 milijarde dolarjev.

Analitiki pričakujejo nadaljnjo rast trga informacijske varnosti: organizacije bodo v letu 2018 izdatke za kibernetsko zaščito povečale še za 8 % in za te namene skupaj namenile 96,3 milijarde USD.Med dejavniki rasti so strokovnjaki navedli spreminjanje regulacije v sektorju informacijske varnosti in ozaveščanje o novih grožnjah in usmeritev podjetij k digitalni poslovni strategiji.

Na splošno je poraba za kibernetsko varnost v veliki meri odvisna od odziva podjetij na incidente informacijske varnosti, saj število odmevnih kibernetskih napadov in uhajanja informacij, ki prizadenejo organizacije po vsem svetu, narašča, pravi Ruggero Contu, direktor raziskav pri Gartnerju, komentira napoved .

Besede analitika potrjujejo podatki, ki jih je Gartner pridobil leta 2016 med raziskavo, v kateri je sodelovalo 512 organizacij iz osmih držav: Avstralije, Kanade, Francije, Nemčije, Indije, Singapurja in ZDA.

53 % vprašanih je navedlo tveganja kibernetske varnosti kot glavno gonilno silo povečane porabe za kibernetsko varnost. Od tega števila je najvišji odstotek vprašanih dejal, da grožnja kibernetskih napadov najbolj vpliva na odločitve o izdatkih za informacijsko varnost.

Gartnerjeva napoved za leto 2018 zahteva povečano porabo na vseh glavnih področjih. Tako bo približno 57,7 milijarde dolarjev (+4,65 milijarde dolarjev) porabljenih za storitve kibernetske zaščite, približno 17,5 milijarde dolarjev (+1,25 milijarde dolarjev) bo porabljenih za zagotavljanje varnosti infrastrukture in 11,67 milijarde dolarjev (+735 milijonov dolarjev), za potrošniško programsko opremo - 4,74 milijarde dolarjev ( +109 milijonov $) in za sisteme IAM - 4,69 milijarde $ (+416 milijonov $).

Analitiki prav tako verjamejo, da bo do leta 2020 več kot 60 % organizacij na svetu hkrati investiralo v več orodij za zaščito podatkov, vključno z orodji za preprečevanje izgube informacij, šifriranje in revizijo. Konec leta 2017 je bil delež podjetij, ki kupujejo tovrstne rešitve, ocenjen na 35 %.

Druga pomembna postavka korporativnih izdatkov za informacijsko varnost bo vključevanje strokovnjakov tretjih oseb. Pričakuje se, da se bodo glede na pomanjkanje kadrov na področju kibernetske varnosti, vse večjo tehnično kompleksnost sistemov informacijske varnosti in naraščajoče kibernetske grožnje stroški podjetij za zunanje izvajanje informacijske varnosti v letu 2018 povečali za 11 % in znašali 18,5 milijarde USD. .

Gartner ocenjuje, da bo do leta 2019 poraba podjetij za zunanje strokovnjake za kibernetsko varnost predstavljala 75 % skupne porabe za programsko in strojno opremo za kibernetsko varnost, v primerjavi s 63 % leta 2016.

IDC napoveduje velikost trga na 82 milijard dolarjev

Dve tretjini stroškov bosta prišli od velikih in zelo velikih podjetij. velik posel. Do leta 2019 bodo po napovedih analitikov IDC stroški korporacij z več kot 1000 zaposlenimi presegli mejo 50 milijard dolarjev.

2016: obseg trga 73,7 milijarde $, rast 2-krat večja od trga IT

Oktobra 2016 je analitično podjetje IDC predstavilo kratke rezultate študije svetovnega trga informacijske varnosti. Njegova rast naj bi bila dvakrat višja od rasti trga IT.

IDC je izračunal, da bo svetovna prodaja opreme, programske opreme in storitev za kibernetsko zaščito leta 2016 dosegla okoli 73,7 milijarde dolarjev, leta 2020 pa bo številka presegla 100 milijard dolarjev in znašala 101,6 milijarde dolarjev.V obdobju od 2016 do 2020 se bo trg informacijske varnosti – tehnologija bo rasla po povprečni stopnji 8,3 % letno, kar je dvakrat več od pričakovane stopnje rasti industrije IT.


Največje izdatke za informacijsko varnost (8,6 milijarde dolarjev) ob koncu leta 2016 pričakujejo v bankah. Na drugem, tretjem in četrtem mestu po obsegu tovrstnih naložb bodo diskretna proizvodna podjetja, vladne agencije oziroma kontinuirana proizvodna podjetja, ki bodo predstavljala približno 37 % stroškov.

Analitiki dajejo vodilno vlogo v dinamiki povečevanja vlaganj v informacijsko varnost zdravstvu (v letih 2016–2020 pričakujejo povprečno 10,3-odstotno letno rast). Stroški kibernetske zaščite v telekomunikacijah, stanovanjskem sektorju, vladnih agencijah ter na trgu naložb in vrednostnih papirjev se bodo povečali za približno 9 % na leto.

Raziskovalci ameriški trg imenujejo največji trg informacijske varnosti, katerega obseg bo v letu 2016 dosegel 31,5 milijarde dolarjev. Med prvimi tremi bosta tudi zahodna Evropa in azijsko-pacifiška regija (brez Japonske). V kratki različici študije IDC ni informacij o ruskem trgu.

direktor ruskega podjetja Security Monitor, Dmitry Gvozdev napoveduje povečanje deleža storitev v celotni ruski izdatki za varnost s 30-35% na 40-45%, napoveduje pa tudi razvoj strukture strank na trgu - od popolne prevlade vladnega, finančnega in energetskega sektorja do srednje velikih podjetij iz širšega spektra panog.

Eden od trendov bi moral biti razvoj deleža domačih programskih izdelkov v povezavi z vprašanji nadomeščanja uvoza in zunanjepolitične situacije. V kolikšni meri se bo to odrazilo v finančnih kazalnikih, pa bo v veliki meri odvisno od tečaja rublja in cenovne politike tujih ponudnikov, ki še vedno zasedajo vsaj polovico domačega trga. programske rešitve v segmentu opreme pa do dve tretjini. Končni letni finančni rezultat celotnega ruskega trga informacijskovarnostnih rešitev je mogoče povezati tudi z zunanjimi ekonomskimi dejavniki, je Gvozdev povedal v pogovoru za TAdviser.

2015

VELIKOST TRGA

ZVEZNA PORABA

KIBER KRIMINAL

CENA NA KRŠITEV

FINANČNE STORITVE

Mednarodni

VARNOSTNA ANALITIKA

2013: trg EMEA je zrasel na 2,5 milijarde USD.

Obseg trga varnostne opreme v regiji EMEA (Evropa, Bližnji vzhod in Afrika) je v primerjavi z letom 2012 narasel za 2,4 % in je znašal 2,5 milijarde USD, večnamenske sisteme programske in strojne opreme za zaščito pa so analitiki označili za največji in najhitreje rastoči segment trga. Obravnavani. računalniška omrežja– UTM rešitve (Enotno upravljanje groženj). Hkrati je IDC napovedal, da bo trg tehnična sredstva informacijska varnost bo do leta 2018 dosegla vrednost 4,2 milijarde dolarjev s povprečno 5,4-odstotno letno rastjo.

Konec leta 2013 je vodilni položaj med dobavitelji po prihodkih od prodaje opreme za informacijsko varnost v regiji EMEA prevzel Check Point. Po podatkih IDC je prihodek prodajalca v tem segmentu za leto 2013 narasel za 3,8% in je znašal 374,64 milijona dolarjev, kar ustreza 19,3-odstotnemu tržnemu deležu.

2012: Napoved PAC: Trg informacijske varnosti bo rasel za 8 % letno

Globalni trg informacijske varnosti bo rasel za 8 % letno do leta 2016, ko bi lahko dosegel 36 milijard evrov, poroča študija.

Obstajata dva glavna pristopa za utemeljitev stroškov informacijske varnosti.

Znanstveni pristop. Za to je potrebno vključiti vodstvo podjetja (ali njegovega lastnika) v oceno stroškov informacijskih virov in določitev ocene morebitne škode zaradi kršitev na področju informacijske varnosti.

1. Če so stroški informacij nizki, informacijska sredstva podjetja ne ogrožajo večjih groženj in je potencialna škoda minimalna, zagotavljanje informacijske varnosti zahteva manj sredstev.

2. Če ima informacija določeno vrednost, so grožnje in potencialna škoda pomembne in definirane, se postavlja vprašanje vključitve stroškov za podsistem informacijske varnosti v proračun. V tem primeru je treba zgraditi korporativni sistem varovanje informacij.

Praktičen pristop je sestavljen iz določitve realne možnosti stroškov za sistem korporativne informacijske varnosti, ki temelji na podobnih sistemih na drugih področjih. Strokovnjaki na področju informacijske varnosti menijo, da bi morali stroški sistema informacijske varnosti znašati približno 10-20 % stroškov podjetja. informacijski sistem, odvisno od posebnih zahtev za režim informacijske varnosti.

Splošno sprejete zahteve za zagotavljanje režima informacijske varnosti »najboljše prakse« (na podlagi praktičnih izkušenj), formalizirane v številnih standardih, na primer ISO 17799, se v praksi izvajajo pri razvoju posebnih metod za ocenjevanje učinkovitosti sistema informacijske varnosti.

Uporaba sodobnih metod za ocenjevanje stroškov informacijske varnosti omogoča izračun celotnega potrošnega dela informacijskega premoženja organizacije, vključno z neposrednimi in posrednimi stroški strojne opreme in programsko opremo, organizacijski dogodki, usposabljanje in strokovno izpopolnjevanje zaposlenih, reorganizacija, poslovno prestrukturiranje itd.

Potrebni so za dokazovanje ekonomska učinkovitost obstoječe sisteme korporativne zaščite in omogočajo vodjem informacijskovarnostnih služb, da upravičijo proračun za informacijsko varnost, kakor tudi dokazujejo učinkovitost dela zaposlenih v zadevni službi. Metode ocenjevanja stroškov, ki jih uporabljajo tuja podjetja, omogočajo:

Pridobite ustrezne informacije o stopnji varnosti porazdeljenega računalniškega okolja in skupnih stroških lastništva informacijsko varnostnega sistema podjetja.

Primerjajte oddelke za informacijsko varnost organizacije med seboj in s podobnimi oddelki drugih organizacij v industriji.

Optimizirajte naložbe v informacijsko varnost organizacije.


Ena izmed najbolj znanih metod ocenjevanja stroškov v zvezi s sistemom informacijske varnosti je metoda skupni stroški lastništva (TCO) družba Gartner Group Kazalnik TCO razumemo kot vsoto neposrednih in posrednih stroškov za organizacijo (reorganizacijo), delovanje in vzdrževanje sistema korporativne informacijske varnosti med letom. Uporablja se v skoraj vseh večjih fazah življenski krog sistem informacijske varnosti podjetja in omogoča objektivno in neodvisno utemeljitev ekonomske upravičenosti uvajanja in uporabe določenih organizacijskih in tehničnih ukrepov in sredstev informacijske varnosti. Za objektivnost odločitve je potrebno dodatno upoštevati tudi stanje zunanjega in notranjega okolja podjetja, na primer kazalnike tehnološke, kadrovske in finančne razvitosti podjetja.

Primerjava določenega TCO kazalnika s podobnimi TCO kazalniki v panogi (s podobnimi podjetji) vam omogoča, da objektivno in neodvisno upravičite stroške organizacije za informacijsko varnost. Navsezadnje se pogosto izkaže, da je precej težko ali celo praktično nemogoče oceniti neposredni ekonomski učinek teh stroškov.

Celotni stroški lastništva za sistem informacijske varnosti so običajno sestavljeni iz stroškov:

Oblikovalsko delo,

Nakupi in konfiguracija orodij za zaščito programske in strojne opreme, vključno z naslednjimi glavnimi skupinami: požarni zidovi, kriptografska orodja, antivirusi in AAA (orodja za avtentikacijo, avtorizacijo in administracijo),

Stroški zagotavljanja fizičnega varovanja,

usposabljanje osebja,

Upravljanje in podpora sistema (varnostna administracija),

Revizija informacijske varnosti, - periodična posodobitev sistema informacijske varnosti.

Neposredni stroški vključujejo komponente stroškov kapitala (povezane z osnovnimi sredstvi ali "premoženjem") in stroške dela, ki so vključeni v kategoriji poslovanja in upravnega upravljanja. To vključuje tudi stroške za storitve oddaljenih uporabnikov ipd., povezane s podporo dejavnosti organizacije.

Posredni stroški pa odražajo vpliv korporativnega informacijskega sistema in podsistema informacijske varnosti na zaposlene v organizaciji prek merljivih kazalnikov, kot so izpadi in zamrznitve korporativnega informacijskega varnostnega sistema in informacijskega sistema kot celote, operativni in podporni stroški (ne povezanih z neposrednimi stroški). Zelo pogosto igrajo posredni stroški pomembno vlogo, saj se običajno na začetku ne odražajo v proračunu za informacijsko varnost, ampak se razkrijejo kasneje v analizi stroškov.

Izračun kazalnikov TCO organizacije se izvaja na naslednjih področjih.

Komponente korporativnega informacijskega sistema(vključno s sistemom informacijske varnosti) in informacijske dejavnosti organizacije (strežniki, odjemalski računalniki, periferne naprave, omrežne naprave).

Stroški strojne in programske opreme za informacijsko varnost: potrošni material in stroški amortizacije niti strežniki, odjemalski računalniki (namizni in mobilnih računalnikov), periferne naprave in omrežne komponente.

Stroški za organizacijo informacijske varnosti: vzdrževanje sistemov informacijske varnosti, standardnih sredstev zaščite perifernih naprav, strežnikov, omrežne naprave, načrtovanje in vodenje procesov informacijske varnosti, razvoj varnostnih konceptov in politik ter drugo.

Stroški delovanja informacijskega sistema teme: neposredni stroški vzdrževanja osebja, stroški dela in zunanjega izvajanja, ki jih opravi organizacija kot celota ali storitev za izvajanje tehnična podpora in dejavnosti za vzdrževanje infrastrukture za uporabnike.

Administrativni stroški: neposredni stroški osebja, operativna podpora in stroški notranjih/zunanjih dobaviteljev (prodajalcev) za podporo poslovanja, vključno z upravljanjem, financiranjem, pridobitvijo in izobraževanjem informacijskih sistemov.

Transakcijski stroški končnega uporabnika: Stroški samopodpore končnega uporabnika, formalno usposabljanje končnega uporabnika, priložnostno (neformalno) usposabljanje, razvoj aplikacij "naredi sam", podpora lokalnemu datotečnemu sistemu.

Stroški izpadov: letne izgube produktivnosti končnega uporabnika zaradi načrtovanih in nenačrtovanih izpadov omrežnih virov, vključno z odjemalskimi računalniki, skupnimi strežniki, tiskalniki, aplikacijskimi programi, komunikacijskimi viri in komunikacijsko programsko opremo.

Kako upravičiti stroške informacijske varnosti?

Ponatisnjeno s prijaznim dovoljenjem OJSC InfoTex Internet Trust
Izvorno besedilo se nahaja Tukaj.

Stopnje zrelosti podjetja

Skupina Gartner identificira 4 stopnje zrelosti podjetja v smislu informacijske varnosti (IS):

  • stopnja 0:
    • V podjetju se nihče ne ukvarja z informacijsko varnostjo, vodstvo podjetja se ne zaveda pomena problemov informacijske varnosti;
    • Financiranja ni;
    • IS se izvaja redna sredstva operacijski sistemi, DBMS in aplikacije (zaščita z geslom, nadzor dostopa do virov in storitev).
  • 1. stopnja:
    • Informacijska varnost se s strani menedžmenta obravnava kot čisto "tehnični" problem, ni enotnega programa (koncepta, politike) za razvoj sistema informacijske varnosti podjetja (ISMS);
    • Financiranje je zagotovljeno v okviru celotnega proračuna IT;
    • Informacijska varnost se izvaja s pomočjo ničelne ravni + sredstva Rezervni izvod, protivirusna orodja, požarni zidovi, organizacijska orodja VPN (tradicionalna varnostna orodja).
  • 2. stopnja:
    • Vodstvo obravnava informacijsko varnost kot kompleks organizacijskih in tehničnih ukrepov, obstaja razumevanje pomena informacijske varnosti za proizvodne procese, obstaja program za razvoj ISMS podjetja, ki ga odobri vodstvo;
    • Varnost informacij izvajajo orodja prve stopnje + orodja za izboljšano avtentikacijo, orodja za analizo e-poštnih sporočil in spletnih vsebin, IDS (sistemi za zaznavanje vdorov), orodja za varnostno analizo, SSO (orodja za enojno avtentikacijo), PKI (infrastruktura) javnih ključev) in organizacijski ukrepi (notranja in zunanja revizija, analiza tveganj, politika informacijske varnosti, predpisi, postopki, predpisi in smernice).
  • 3. stopnja:
    • Informacijska varnost je del korporativne kulture, imenovan je CISA (senior information security officer);
    • Financiranje je zagotovljeno v okviru ločenega proračuna;
    • Informacijska varnost se izvaja s pomočjo drugega nivoja + sistem upravljanja informacijske varnosti, CSIRT (information security incident response team), SLA (service level agreement).

Po podatkih Gartner Group (podatki za leto 2001) je odstotek podjetij glede na opisane 4 ravni naslednji:
Stopnja 0 - 30%,
1. stopnja - 55%,
2. stopnja - 10%,
3. stopnja - 5 %.

Napoved skupine Gartner za leto 2005 je naslednja:
Stopnja 0 - 20%,
1. stopnja - 35%,
2. stopnja - 30%,
3. stopnja - 15 %.

Statistični podatki kažejo, da ima večina podjetij (55 %) trenutno implementirano minimalno potreben komplet tradicionalna tehnična sredstva zaščite (1. stopnja).

Pri implementaciji različnih tehnologij in varnostnih ukrepov se pogosto pojavljajo vprašanja. Kaj najprej implementirati, sistem za zaznavanje vdorov ali infrastrukturo PKI? Kateri bo bolj učinkovit? Stephen Ross, direktor Deloitte&Touche, predlaga naslednji pristop za ocenjevanje učinkovitosti posameznih informacijskovarnostnih ukrepov in orodij.

Iz zgornjega grafa je razvidno, da so najdražja in najmanj učinkovita specializirana orodja (hišna ali po meri izdelana).

Najdražji, a hkrati najučinkovitejši so izdelki zaščite kategorije 4 (2. in 3. stopnja po Gartner Group). Za implementacijo orodij v tej kategoriji je potrebna uporaba postopka analize tveganja. Analiza tveganja bo v tem primeru zagotovila, da bodo stroški implementacije ustrezni obstoječim grožnjam kršitev informacijske varnosti.

Najcenejši, a z visoko stopnjo učinkovitosti so organizacijski ukrepi (notranja in zunanja revizija, analiza tveganj, politika informacijske varnosti, načrt neprekinjenega poslovanja, predpisi, postopki, predpisi in priročniki).

Uvedba dodatnih zaščitnih sredstev (prehod na 2. in 3. stopnjo) zahteva znatne finančne naložbe in posledično utemeljitev. Odsotnost enotnega programa razvoja ISMS, ki bi ga potrdil in podpisal vodstvo, še zaostruje problem upravičenosti vlaganj v varnost.

Analiza tveganja

Takšna utemeljitev so lahko rezultati analize tveganja in statistike, zbrane o incidentih.Mehanizmi za izvajanje analize tveganja in zbiranje statistike morajo biti določeni v politiki informacijske varnosti podjetja.

Postopek analize tveganja je sestavljen iz 6 zaporednih faz:

1. Identifikacija in klasifikacija zaščitenih objektov (sredstva podjetja, ki jih je treba zaščititi);

3. Izgradnja modela napadalca;

4. Identifikacija, klasifikacija in analiza groženj in ranljivosti;

5. Ocena tveganja;

6. Izbira organizacijskih ukrepov in tehničnih sredstev varovanja.

Na odru identifikacija in klasifikacija predmetov zaščite Potrebno je opraviti popis virov podjetja na naslednjih področjih:

  • Informacijski viri (zaupne in kritične informacije podjetja);
  • Viri programske opreme (OS, DBMS, kritične aplikacije, kot je ERP);
  • Fizični viri (strežniki, delovne postaje, omrežna in telekomunikacijska oprema);
  • Storitveni viri (e-pošta, www itd.).

Kategorizacija je določiti stopnjo zaupnosti in kritičnosti vira. Zaupnost se nanaša na stopnjo tajnosti informacij, ki jih vir shranjuje, obdeluje in prenaša. Kritičnost se nanaša na stopnjo vpliva vira na učinkovitost proizvodnih procesov podjetja (npr. v primeru izpada telekomunikacijskih virov lahko podjetje ponudnik bankrotira). Z dodeljevanjem določenih kvalitativnih vrednosti parametrom zaupnosti in kritičnosti lahko določite stopnjo pomembnosti vsakega vira v smislu njegovega sodelovanja v proizvodnih procesih podjetja.

Za določitev pomena virov podjetja z vidika informacijske varnosti lahko dobite naslednjo tabelo:

Na primer, datoteke s podatki o višini plač zaposlenih v podjetju imajo vrednost »strogo zaupno« (parameter zaupnosti) in vrednost »nepomembno« (parameter kritičnosti). Če te vrednosti nadomestite v tabeli, lahko dobite integralni indikator pomena tega vira. Različne možnosti za metode kategorizacije so podane v mednarodnem standardu ISO TR 13335.

Gradnja modela napadalca je postopek razvrščanja morebitnih kršiteljev glede na naslednje parametre:

  • Vrsta napadalca (konkurent, stranka, razvijalec, uslužbenec podjetja itd.);
  • Položaj napadalca glede na objekte zaščite (notranji, zunanji);
  • Raven poznavanja varovanih objektov in okolja (visoka, srednja, nizka);
  • Stopnja zmožnosti dostopa do varovanih objektov (maksimalna, povprečna, minimalna);
  • Trajanje delovanja (stalno, v določenih časovnih intervalih);
  • Lokacija dejanja (pričakovana lokacija napadalca med napadom).

Z dodeljevanjem kvalitativnih vrednosti navedenim parametrom napadalčevega modela je mogoče določiti napadalčev potencial (integralna značilnost napadalčevih zmožnosti za izvajanje groženj).

Identifikacija, klasifikacija in analiza groženj in ranljivosti vam omogočajo, da določite načine izvajanja napadov na zaščitene objekte. Ranljivosti so lastnosti vira ali njegovega okolja, ki jih napadalec uporablja za izvajanje groženj. Seznam ranljivosti virov programske opreme lahko najdete na internetu.

Grožnje so razvrščene po naslednjih merilih:

  • ime grožnje;
  • vrsta napadalca;
  • način izvajanja;
  • izkoriščene ranljivosti;
  • sprejeti ukrepi;
  • pogostost izvajanja.

Glavni parameter je pogostost izvajanja groženj. Odvisno je od vrednosti parametrov "potencial napadalca" in "varnost virov". Vrednost parametra »varnost virov« je določena s strokovnimi ocenami. Pri določanju vrednosti parametra se upoštevajo subjektivni parametri napadalca: motivacija za izvedbo grožnje in statistika poskusov izvedbe grožnje. te vrste(če je na voljo). Rezultat stopnje analize groženj in ranljivosti je ocena parametra »frekvenca izvajanja« za vsako grožnjo.

Na odru ocene tveganja potencialna škoda zaradi groženj kršitev informacijske varnosti je določena za vsak vir ali skupino virov.

Kvalitativni indikator škode je odvisen od dveh parametrov:

  • Pomen vira;
  • Pogostost izvajanja groženj na tem viru.

Na podlagi pridobljenih ocen škode se smiselno izberejo ustrezni organizacijski ukrepi in tehnična sredstva varovanja.

Zbiranje statističnih podatkov o incidentih

Edina šibka točka predlagane metodologije za ocenjevanje tveganja in s tem utemeljitev potrebe po uvedbi novih ali spremembi obstoječih zaščitnih tehnologij je določitev parametra »pogostost pojavljanja groženj«. Edini način za pridobitev objektivnih vrednosti tega parametra je zbiranje statističnih podatkov o incidentih. Zbrani statistični podatki, na primer v enem letu, vam bodo omogočili, da določite število implementacij groženj (določene vrste) na vir (določene vrste). Priporočljivo je, da delo na zbiranju statističnih podatkov opravite v okviru postopka obdelave incidenta.

Namen študije: analizirati in določiti glavne trende na ruskem trgu informacijske varnosti
Uporabljeni so bili podatki Rosstata (obrazci za statistično poročanje št. 3-Inform, P-3, P-4), računovodski izkazi podjetij itd.

Uporaba informacijskih in komunikacijskih tehnologij ter orodij za informacijsko varnost v organizacijah

  • Za pripravo tega razdelka so bili uporabljeni agregirani, geografsko ločeni oddelki in predstavništva (obrazec 3-Informacija »Podatki o uporabi informacijsko-komunikacijskih tehnologij in proizvodnji računalniška tehnologija, programska oprema in opravljanje storitev na teh področjih«.

Analizirano je bilo obdobje 2012-2016. Podatki ne trdijo, da so popolni (saj so zbrani v skladu z omejen krog podjetja), vendar se po našem mnenju lahko uporabijo za oceno trendov. Število anketiranih podjetij se je v obravnavanem obdobju gibalo med 200 in 210 tisoč. To pomeni, da je vzorec precej stabilen in vključuje najverjetnejše potrošnike (velika in srednje velika podjetja), ki predstavljajo večino prodaje.

Razpoložljivost osebnih računalnikov v organizacijah

Glede na obrazec za statistično poročanje 3-Inform je bilo leta 2016 v ruskih organizacijah približno 12,4 milijona enot, ki so posredovale informacije na tem obrazcu osebni računalniki(PC). V tem primeru PC pomeni namizne in prenosne računalnike; ta koncept ne vključuje mobilnih Mobilni telefon in žepnih osebnih računalnikov.

V zadnjih 5 letih se je število osebnih računalnikov v organizacijah v Rusiji kot celoti povečalo za 14,9%. Najbolje opremljeno zvezno okrožje je Central Federal District, ki predstavlja 30,2 % osebnih računalnikov v podjetjih. Nesporno vodilna regija po tem kazalniku je mesto Moskva; po podatkih za leto 2016 imajo moskovska podjetja približno 1,8 milijona osebnih računalnikov. Najnižja vrednost kazalnika je bila ugotovljena v Severnokavkaškem zveznem okrožju; organizacije v okrožju imajo le okoli 300 tisoč osebnih računalnikov, najmanj pa v Republiki Ingušetiji - 5,45 tisoč enot.

riž. 1. Število osebnih računalnikov v organizacijah, Rusija, milijoni enot.

Organizacijski stroški informacijskih in komunikacijskih tehnologij

V obdobju 2014-2015. Zaradi neugodnih gospodarskih razmer so bila ruska podjetja prisiljena minimizirati svoje stroške, vključno s stroški informacij in komunikacijske tehnologije. V letu 2014 je bilo znižanje stroškov v sektorju IKT 5,7-odstotno, konec leta 2015 pa je prišlo do rahlega pozitivnega trenda. Leta 2016 so ruska podjetja porabila za informacijsko in komunikacijsko tehnologijo 1,25 bilijona. rub., kar je za 0,3% več kot pred krizo leta 2013.

Večji del stroškov odpade na podjetja v Moskvi - več kot 590 milijard rubljev ali 47,2% vseh. Največji obseg izdatkov organizacij za informacijske in komunikacijske tehnologije v letu 2016 je bil zabeležen v: Moskovska regija - 76,6 milijarde rubljev, Sankt Peterburg - 74,4 milijarde rubljev, Tjumenska regija - 56,0 milijarde rubljev, Republika Tatarstan - 24,7 milijarde rubljev, Nižni Novgorod regija - 21,4 milijarde rubljev. Najnižji stroški so bili zabeleženi v Republiki Ingušetiji - 220,3 milijona rubljev.

riž. 2. Znesek stroškov podjetij za informacijske in komunikacijske tehnologije, Rusija, milijarde rubljev.

Uporaba orodij za informacijsko varnost v organizacijah

IN Zadnje čase Opaziti je močan porast števila podjetij, ki uporabljajo orodja za zaščito informacijske varnosti. Letna stopnja rasti njihovega števila je precej stabilna (z izjemo leta 2014) in znaša približno 11-19% na leto.

Po uradnih podatkih Rosstata, Najbolj priljubljena zaščitna sredstva so trenutno tehnična sredstva za avtentikacijo uporabnikov (žetoni, USB ključi, pametne kartice). Od več kot 157 tisoč podjetij jih je 127 tisoč podjetij (81 %) navedlo uporabo prav teh orodij kot zaščito informacij.

riž. 3. Porazdelitev organizacij po uporabi sredstev za zagotavljanje informacijske varnosti v 2016, Rusija, %.

Po uradni statistiki je leta 2016 161.421 podjetij uporabljalo svetovni internet v komercialne namene. Med organizacijami, ki internet uporabljajo v komercialne namene in so navedle uporabo informacijskovarnostnih ukrepov, je najbolj priljubljen elektronski digitalni podpis. To orodje Več kot 146 tisoč podjetij ali 91% vseh je navedlo kot sredstvo zaščite. Glede na uporabo orodij za informacijsko varnost so bila podjetja razdeljena na naslednji način:

    • Elektronska sredstva digitalni podpis– 146.887 podjetij;
    • Redno posodobljen protivirusni programi– 143.095 podjetij;
    • Programska ali strojna oprema, ki preprečuje nepooblaščen dostop zlonamerna programska oprema iz globalnih informacij ali lokalnih računalniška omrežja(Požarni zid) – 101.373 podjetij;
    • Filter neželene pošte – 86.292 podjetij;
    • Orodja za šifriranje – 86.074 podjetij;
    • Sistemi za zaznavanje vdorov v računalnik ali omrežje – 66.745 podjetij;
    • Programska orodja za avtomatizacijo varnostnih analiz in nadzornih procesov računalniški sistemi– 54.409 podjetij.

riž. 4. Porazdelitev podjetij, ki uporabljajo internet v komercialne namene, s pomočjo zaščite informacij, ki se prenašajo po globalnih omrežjih, v 2016, Rusija, %.

V obdobju 2012-2016 se je število podjetij, ki uporabljajo internet v komercialne namene, povečalo za 34,9 %. V letu 2016 je 155.028 podjetij uporabljalo internet za komuniciranje z dobavitelji in 110.421 podjetij za komuniciranje s potrošniki. Med podjetji, ki uporabljajo internet za komunikacijo z dobavitelji, so kot namen uporabe navedli:

  • pridobivanje informacij o potrebnem blagu (delah, storitvah) in njihovih dobaviteljih - 138.224 podjetij;
  • zagotavljanje informacij o potrebah organizacije po blagu (delah, storitvah) – 103.977 podjetij;
  • oddaja naročil za blago (dela, storitve), potrebno za organizacijo (razen naročil, poslanih preko E-naslov) – 95.207 podjetij;
  • plačilo za dobavljeno blago (dela, storitve) – 89.279;
  • prevzem elektronskih izdelkov – 62.940 podjetij.

Od skupnega števila podjetij, ki uporabljajo internet za komuniciranje s potrošniki, je namen uporabe naveden:

  • zagotavljanje informacij o organizaciji, njenem blagu (dela, storitve) - 101.059 podjetij;
  • (dela, storitve) (brez naročil po elektronski pošti) – 44.193 podjetij;
  • izvajanje elektronskega plačevanja s potrošniki – 51.210 podjetij;
  • distribucija elektronskih izdelkov – 12.566 podjetij;
  • poprodajne storitve (servis) – 13.580 podjetij.

Obseg in dinamika proračunov zveznih izvršnih organov za informacijsko tehnologijo v letih 2016-2017.

Po podatkih zvezne zakladnice je skupni obseg omejitev proračunskih obveznosti za leto 2017, sporočen zveznim izvršnim organom (v nadaljnjem besedilu zvezni izvršni organ) v skladu s kodo vrste odhodka 242 "Nakup blaga, del, storitev na terenu" informacijsko-komunikacijskih tehnologij« glede informacij, ki ne predstavljajo državne skrivnosti, je 1. avgusta 2017 znašal 115,2 milijarde rubljev, kar je približno 5,1% več od skupnega proračuna za informacijsko tehnologijo zveznih izvršnih organov v letu 2016 (109,6 milijard rubljev, po podatkih ministrstva za telekomunikacije in množične komunikacije). Medtem ko skupni obseg proračunov za IT zveznih oddelkov še naprej raste iz leta v leto, se je stopnja rasti zmanjšala (v letu 2016 se je skupni obseg proračunov za IT povečal za 8,3% v primerjavi z letom 2015). pri čemer Vse večja je razslojenost med »bogatimi« in »revnimi« glede izdatkov oddelkov za informacijsko in komunikacijsko tehnologijo. Zvezna davčna služba je nesporni vodja ne le glede velikosti proračuna, ampak tudi glede dosežkov na področju IT. Njegov letošnji proračun za IKT znaša več kot 17,6 milijarde rubljev, kar je več kot 15% proračuna vseh zveznih izvršnih organov. Skupni delež prvih petih (Zvezna davčna služba, Pokojninski sklad Ruske federacije, Ministrstvo za finance, Ministrstvo za notranje zadeve, Ministrstvo za telekomunikacije in množične komunikacije) je več kot 53%.

riž. 5. Struktura proračunskih izdatkov za nakup blaga, del in storitev na področju informacijskih in komunikacijskih tehnologij zveznih izvršnih organov v letu 2017, %

Zakonodajna ureditev na področju nabave programske opreme za državne in občinske potrebe

Od 1. januarja 2016 bodo vsi državni in občinski organi, državni korporaciji Rosatom in Roscosmos, organi upravljanja državnih zunajproračunskih skladov ter državne in proračunske institucije, ki izvajajo javna naročila v skladu z zahtevami zveznega zakona z dne 5. aprila 2013, 44 -FZ "O pogodbenem sistemu na področju naročanja blaga, gradenj, storitev za zadovoljevanje državnih in občinskih potreb", so dolžni upoštevati prepoved sprejema programske opreme, ki izvira iz tujih držav, za namene naročanja. za zadovoljevanje državnih in občinskih potreb. Prepoved je bila uvedena z Odlokom Vlade Ruske federacije z dne 16. novembra 2015 št. 1236 "O določitvi prepovedi sprejema programske opreme, ki izvira iz tujih držav, za namene nabave za zadovoljevanje državnih in občinskih potreb." Pri nakupu programske opreme morajo navedeni kupci v obvestilu o nakupu neposredno označiti prepoved nakupa uvožene programske opreme. Prepoved velja za nakup programske opreme za elektronske računalniki in baze podatkov, ki se izvajajo ne glede na vrsto pogodbe na materialnem mediju in (ali) v v elektronski obliki prek komunikacijskih kanalov, kot tudi izključne pravice do take programske opreme in pravice do uporabe te programske opreme.

Obstaja več izjem, ko je kupcem dovoljen nakup uvožene programske opreme.

  • nabava programske opreme in (ali) pravic do nje s strani diplomatsko-konzularnih predstavništev Ruska federacija, trgovinska predstavništva Ruske federacije pri mednarodnih organizacijah za zagotavljanje njihovih dejavnosti na ozemlju tuje države;
  • nakup programske opreme in (ali) pravic do nje, informacije o katerih in (ali) nakup katerih predstavljajo državno skrivnost.

V vseh drugih primerih bo morala stranka pred nakupom programske opreme delati z enim samim registrom ruski programi za elektronske računalnike in baze podatkov ter klasifikator programov za elektronske računalnike in baze podatkov.
Oblikovanje in vzdrževanje registra kot pooblaščenega zveznega izvršnega organa izvaja Ministrstvo za telekomunikacije in množične komunikacije Rusije.
Konec avgusta 2017 je register vključeval 343 programskih izdelkov, ki spadajo v razred "orodij za informacijsko varnost" 98 ruskih razvojnih podjetij. Med njimi so programski izdelki tako velikih ruskih razvijalcev, kot so:

  • OJSC "Informacijske tehnologije in komunikacijski sistemi" ("InfoTeKS") - 37 programskih izdelkov;
  • JSC Kaspersky Lab - 25 programskih izdelkov;
  • Security Code LLC - 19 programskih izdelkov;
  • Crypto-Pro LLC - 18 programskih izdelkov;
  • Doctor WEB LLC - 12 programskih izdelkov;
  • S-Terra CSP LLC - 12 programskih izdelkov;
  • CJSC "Aladdin R.D." — 8 programskih izdelkov;
  • JSC "Infowatch" - 6 programskih izdelkov.

Analiza aktivnosti največjih akterjev na področju informacijske varnosti

  • Kot osnovne informacije za analizo dejavnosti največjih akterjev na trgu informacijske varnosti za pripravo ta študija uporabljeni so bili podatki o javnem naročanju na področju informacijsko-komunikacijske dejavnosti in predvsem informacijske varnosti.

Za analizo trendov smo izbrali 18 podjetij, ki so med vodilnimi na trgu informacijske varnosti in aktivno sodelujejo pri javnih naročilih. Na seznamu so tako neposredni razvijalci programske opreme in strojne opreme ter varnostnih sistemov programske opreme, kot tudi največji sistemski integratorji. Skupni prihodki teh podjetij so v letu 2016 znašali 162,3 milijarde rubljev, kar je za 8,7% več kot v letu 2015.
Spodaj je seznam podjetij, izbranih za študijo.

Tabela 1. Podjetja, izbrana za študijo

Ime KOSITER Vrsta dejavnosti (OKVED 2014)
1 "I-Teco" JSC 7736227885 Dejavnosti, povezane z uporabo računalniške tehnologije in informacijske tehnologije, drugo (62.09)
2 Croc Incorporated, JSC 7701004101
3 "Informzashita", CJSC NIP 7702148410 Raziskovanje in razvoj na področju družboslovja in humanistike (72.20)
4 "Softline Trade", JSC 7736227885
5 "Technoserv AS", LLC 7722286471 Trgovina na debelo z drugimi stroji in opremo (46.69)
6 "Elvis-plus", JSC 7735003794
7 "Asteros" JSC 7721163646 Trgovina na debelo z računalniki, periferne naprave na računalnike in programsko opremo (46.51
8 "Aquarius Production Company", LLC 7701256405
9 Lanit, CJSC 7727004113 Trgovina na debelo z drugimi pisarniškimi stroji in opremo (46.66)
10 Jet Infosystems, JSC 7729058675 Trgovina na debelo z računalniki, perifernimi napravami za računalnike in programsko opremo (46.51)
11 "Dialognauka", JSC 7701102564 Razvoj računalniške programske opreme (62.01)
12 "Factor-TS", LLC 7716032944 Proizvodnja računalnikov in periferne opreme (26.20)
13 "InfoTeKS", JSC 7710013769 Razvoj računalniške programske opreme (62.01)
14 "Uralski center za varnostne sisteme", LLC 6672235068 Dejavnosti na področju arhitekture, inženiringa in tehničnega svetovanja na teh področjih (71.1)
15 "ICL-KPO VS", JSC 1660014361 Razvoj računalniške programske opreme (62.01)
16 NVision Group, JSC 7703282175 Nespecializirana trgovina na debelo (46.90)
17 "Confidential-Integration", LLC 7811512250 Obdelava podatkov, nudenje storitev gostovanja in s tem povezane dejavnosti (63.11)
18 "Kaluga Astral", JSC 4029017981 Svetovalna dejavnost in delo na področju računalniške tehnologije (62.02

Do konca oktobra 2017 so podjetja iz predstavljenega vzorca sklenila 1034 pogodb z državnimi organi v vrednosti 24,6 milijarde rubljev. Vodenje v ta seznam Glede na obseg sklenjenih pogodb ima podjetje I-Teco 74 pogodb v vrednosti 7,5 milijarde rubljev.
V preteklih letih, z izjemo kriznega leta 2014, je mogoče opaziti stalno povečevanje skupnega obsega pogodb za izbrana podjetja. Največja dinamika se je zgodila v obdobju 2015-2016. Tako se je v letu 2015 obseg pogodb povečal za več kot 3,5-krat, v letu 2016 pa za 1,5-krat. Glede na razpoložljive podatke o pogodbenih dejavnostih podjetij za obdobje januar–oktober 2017 se lahko domneva, da bo v letu 2017 skupni obseg pogodb z vladnimi agencijami znašal približno 37–38 milijard rubljev, kar je zmanjšanje za približno 40 % je pričakovano.

Kot smo že omenili, je varnost podjetja zagotovljena z nizom ukrepov v vseh fazah njegovega življenjskega cikla, njegovim informacijskim sistemom in je na splošno sestavljena iz stroškov:

  • - projektantska dela;
  • - nabava in konfiguracija orodij za zaščito programske in strojne opreme;
  • - stroški zagotavljanja fizičnega varovanja;
  • - usposabljanje osebja;
  • - vodenje in podpora sistema;
  • - revizija informacijske varnosti;
  • - občasno posodabljanje sistema informacijske varnosti ipd.

Stroškovni kazalnik ekonomske učinkovitosti integriranega sistema varovanja informacij bo vsota neposrednih in posrednih stroškov organizacije, delovanja in vzdrževanja sistema varovanja informacij skozi vse leto.

Lahko se šteje za ključni kvantitativni kazalnik učinkovitosti organizacije informacijske varnosti v podjetju, saj bo omogočil ne le oceno skupnih stroškov zaščite, temveč tudi upravljanje teh stroškov za doseganje zahtevane ravni varnosti podjetja. Neposredni stroški pa vključujejo tako komponente stroškov kapitala kot stroške dela, ki so vključeni v kategoriji poslovanja in upravnega upravljanja. To vključuje tudi stroške za storitve oddaljenih uporabnikov ipd., povezane s podporo dejavnosti organizacije.

Posredni stroški pa odražajo vpliv integriranega varnostnega sistema in podsistema informacijske varnosti na zaposlene prek merljivih kazalnikov, kot so izpadi in zamrznitve korporativnega informacijskega varnostnega sistema in integriranega varnostnega sistema kot celote, operativni in podporni stroški.

Zelo pogosto igrajo posredni stroški pomembno vlogo, saj se običajno na začetku ne odražajo v proračunu za celovit varnostni sistem, ampak se eksplicitno razkrijejo pri analizi stroškov kasneje, kar na koncu privede do povečanja »skritih« stroškov podjetja. Poglejmo, kako lahko določite neposredne in posredne stroške celovitega varnostnega sistema. Predpostavimo, da si vodstvo podjetja prizadeva za uvedbo celovitega sistema informacijske varnosti v podjetju. Predmeti in cilji zaščite, grožnje informacijski varnosti in ukrepi za boj proti njim so že opredeljeni, potrebna sredstva za zaščito informacij so nabavljena in nameščena.

Običajno stroški informacijske varnosti spadajo v naslednje kategorije:

  • - stroški za vzpostavitev in vzdrževanje povezave upravljanja sistema varovanja informacij;
  • - stroški nadzora, to je ugotavljanja in potrjevanja dosežene stopnje varnosti sredstev podjetja;
  • - interni stroški za odpravo posledic kršitve informacijske varnosti - stroški, ki nastanejo v organizaciji, ker ni bila dosežena zahtevana raven varnosti;
  • - eksterni stroški za odpravo posledic kršitve informacijske varnosti - nadomestilo za izgube zaradi kršitev varnostne politike v primerih, povezanih z uhajanjem informacij, izgubo ugleda podjetja, izgubo zaupanja partnerjev in potrošnikov itd.;
  • - stroški vzdrževanja sistema informacijske varnosti in ukrepi za preprečevanje kršitev varnostne politike podjetja.

V tem primeru običajno ločimo enkratne in sistematične stroške.

Enkratni stroški za ustvarjanje varnosti podjetja: organizacijski stroški in stroški za nabavo in namestitev zaščitne opreme.

Sistematični, obratovalni in vzdrževalni stroški. Razvrstitev stroškov je pogojna, saj so zbiranje, razvrščanje in analiza stroškov za informacijsko varnost notranje dejavnosti podjetij, natančen razvoj seznama pa je odvisen od značilnosti posamezne organizacije.

Glavna stvar pri določanju stroškov varnostnega sistema je medsebojno razumevanje in dogovor o stroškovnih postavkah znotraj podjetja.

Poleg tega morajo biti kategorije stroškov dosledne in se med seboj ne smejo podvajati. Stroškov varovanja je nemogoče popolnoma odpraviti, lahko pa jih znižamo na sprejemljivo raven.

Nekateri varnostni stroški so nujno potrebni, nekatere pa je mogoče znatno zmanjšati ali odpraviti. Slednje so tiste, ki lahko izginejo, če ne bo kršitev varnosti, ali pa se bodo zmanjšale, če se število in uničujoči učinek kršitev zmanjšata.

Z vzdrževanjem varnosti in preprečevanjem kršitev se lahko odpravijo ali bistveno zmanjšajo naslednji stroški:

  • - obnoviti varnostni sistem v skladu z varnostnimi zahtevami;
  • - obnoviti vire informacijskega okolja podjetja;
  • - za spremembe znotraj varnostnega sistema;
  • - za sodne spore in izplačila odškodnin;
  • - ugotoviti vzroke kršitev varnosti.

Nujni stroški so tisti, ki so nujni tudi, če je stopnja varnostnih groženj precej nizka. To so stroški vzdrževanja dosežene ravni varnosti informacijskega okolja podjetja.

Neizogibni stroški lahko vključujejo:

  • a) vzdrževanje tehnične varovalne opreme;
  • b) upravljanje zaupnih zapisov;
  • c) delovanje in revizija varnostnega sistema;
  • d) minimalno stopnjo inšpekcijskih pregledov in nadzora s sodelovanjem specializiranih organizacij;
  • e) usposabljanje osebja o metodah varovanja informacij.

So pa še drugi stroški, ki jih je precej težko določiti. Med njimi:

  • a) stroški izvedbe dodatnih raziskav in razvoja nove tržne strategije;
  • b) izgube zaradi znižanja prioritete v znanstvenih raziskavah in nezmožnosti patentiranja in prodaje licenc za znanstvene in tehnične dosežke;
  • c) stroški, povezani z odpravo ozkih grl pri dobavi, proizvodnji in trženju proizvodov;
  • d) izgube zaradi ogrožanja izdelkov, ki jih proizvaja podjetje, in znižanja cen zanje;
  • e) pojav težav pri pridobivanju opreme ali tehnologij, vključno z zvišanjem cen zanje, omejevanjem obsega dobave.

Naštete stroške lahko povzročijo dejanja osebja različnih oddelkov, na primer oblikovalskega, tehnološkega, ekonomskega načrtovanja, pravnega, ekonomskega, trženja, tarifne politike in cen.

Ker zaposleni v vseh teh oddelkih verjetno ne bodo polni delovni čas zaposleni z vprašanji zunanjih izgub, je treba višino stroškov določiti ob upoštevanju dejansko porabljenega časa. Enega od elementov zunanjih izgub ni mogoče natančno izračunati - to so izgube, povezane s spodkopavanjem podobe podjetja, zmanjšanjem zaupanja potrošnikov v izdelke in storitve podjetja. Prav zaradi tega številne korporacije skrivajo dejstvo, da njihova storitev ni varna. Korporacije se razkritja takšnih informacij bojijo celo bolj kot napadov v takšni ali drugačni obliki.

Vendar pa številna podjetja te stroške ignorirajo, ker jih ni mogoče natančno določiti – le ugibajo se. Stroški preventivnih ukrepov. Te stroške je verjetno najtežje oceniti, saj se preventivne dejavnosti izvajajo na različnih oddelkih in zadevajo številne službe. Ti stroški se lahko pojavijo na vseh stopnjah življenjskega cikla virov informacijskega okolja podjetja:

  • - načrtovanje in organizacija;
  • - pridobitev in zagon;
  • - dostava in podpora;
  • - spremljanje procesov, ki sestavljajo informacijsko tehnologijo.

Poleg tega je večina stroškov v tej kategoriji povezana z varnostnim osebjem. Stroški preventive vključujejo predvsem plače in režijske stroške. Vendar pa je natančnost njihovega določanja v veliki meri odvisna od natančnosti določanja porabljenega časa vsakega zaposlenega posebej. Nekatere previdnostne stroške je enostavno neposredno prepoznati. Lahko vključujejo zlasti plačilo za različna dela tretjih oseb, na primer:

  • - vzdrževanje in konfiguracija orodij za zaščito programske in strojne opreme, operacijskih sistemov in uporabljene omrežne opreme;
  • - izvajanje inženirskih in tehničnih del za namestitev alarmnih sistemov, opremljanje skladišč za zaupne dokumente, zaščito telefonske linije komunikacije, računalniška oprema itd.;
  • - posredovanje zaupnih informacij;
  • - svetovanja;
  • - tečaji.

Viri informacij o upoštevanih stroških. Pri določanju stroškov zagotavljanja informacijske varnosti je treba upoštevati, da:

  • - stroške nabave in zagona programske in strojne opreme lahko pridobimo z analizo faktur, evidenc v skladiščni dokumentaciji ipd.;
  • - plačila osebju se lahko vzamejo iz izpiskov;
  • - obseg plačil plače je treba upoštevati dejansko porabljen čas za opravljanje dela za zagotavljanje informacijske varnosti; če le del časa zaposlenega porabi za dejavnosti za zagotavljanje informacijske varnosti, potem je izvedljivost ocene vsake komponente porabe njegovega časa ne sme biti pod vprašajem;
  • - klasifikacija stroškov varovanja in njihova porazdelitev po elementih naj postane del vsakodnevnega dela v podjetju.