Kostnader för företagens informationssäkerhet. Informationssäkerhet i industrier. Organisationskostnader för informations- och kommunikationsteknik

De investerar i olika datasäkerhetsteknologier – från plattformar för att betala bonusar för att upptäcka sårbarheter i program till diagnostik och automatiserad testning av program. Men mest av allt attraheras de av autentiserings- och identitetsi- omkring 900 miljoner dollar investerades i startups som sysslar med dessa teknologier i slutet av 2019.

Investeringar i startups för cybersäkerhetsutbildning nådde 418 miljoner dollar 2019, ledda av KnowBe4, som samlade in 300 miljoner dollar. Startupen erbjuder en plattform för simulering av nätfiskeattacker och en rad utbildningsprogram.

Under 2019 fick företag involverade i Internet of Things säkerhet cirka 412 miljoner dollar. Ledaren i denna kategori när det gäller investeringsvolym är SentinelOne, som 2019 fick 120 miljoner dollar för utvecklingen av endpoint-skyddsteknologier.

Samtidigt tillhandahåller Metacurity-analytiker andra uppgifter som kännetecknar situationen på riskfinansieringsmarknaden inom informationssäkerhetssektorn. Under 2019 nådde investeringsvolymen här 6,57 miljarder dollar, en ökning från 3,88 miljarder dollar 2018. Antalet transaktioner ökade också – från 133 till 219. Samtidigt förblev den genomsnittliga investeringsvolymen per transaktion praktiskt taget oförändrad och uppgick till 29,2 miljoner i slutet av 2019, beräknat av Metacurity.

2018

Tillväxt med 9% till 37 miljarder dollar - Canalys

Under 2018, försäljning av utrustning, programvara och tjänster avsedda för informationssäkerhet (IS), nådde 37 miljarder dollar, en ökning med 9% jämfört med för ett år sedan (34 miljarder dollar). Sådan data publicerades av Canalys analytiker den 28 mars 2019.

Trots att många företag prioriterar att skydda sina tillgångar, data, slutpunkter, nätverk, anställda och kunder, stod cybersäkerhet för endast 2 % av de totala IT-utgifterna 2018, sa de. Men fler och fler nya hot dyker upp, de blir mer komplexa och mer frekventa, vilket ger tillverkare av informationssäkerhetslösningar nya möjligheter till tillväxt. De totala utgifterna för cybersäkerhet förväntas överstiga 42 miljarder dollar 2020.

Canalys-analytikern Matthew Ball tror att övergången till nya modeller för implementering av informationssäkerhet kommer att accelerera. Kunder ändrar karaktären på sina IT-budgetar genom att använda offentliga molntjänster och flexibla prenumerationsbaserade tjänster.

Cirka 82 % av informationssäkerhetsinstallationerna 2018 involverade användning av traditionell hårdvara och mjukvara. I de återstående 18 % av fallen användes virtualisering, offentliga moln och informationssäkerhetstjänster.

År 2020 kommer andelen traditionella modeller för att distribuera informationssäkerhetssystem att sjunka till 70 %, i takt med att nya lösningar på marknaden ökar i popularitet.

Leverantörer kommer att behöva skapa ett brett utbud av affärsmodeller för att stödja denna övergång eftersom olika produkter passar olika olika typer utplaceringar. Den största utmaningen för många idag är att göra nya modeller mer fokuserade på affiliatekanaler och integrera dem med befintliga. affiliate-program, särskilt med kundtransaktioner genom molnplattformar. Vissa molnmarknadsplatser har redan svarat på detta genom att låta partners erbjuda skräddarsydda erbjudanden och priser direkt till kunder genom att spåra registreringar och rabatter, rapporterade Matthew Ball i ett inlägg den 29 mars 2019.

Enligt Canalys-analytikern Ketaki Borade har ledande leverantörer av cybersäkerhetsteknik introducerat nya produktdistributionsmodeller som innebär att företag går över till en prenumerationsmodell och ökar verksamheten i molninfrastrukturen.


Cybersäkerhetsmarknaden förblev mycket dynamisk och såg rekordaktivitet och volym på affärer som svar på växande reglering och tekniska krav, såväl som den fortsatta utbredda risken för dataintrång, säger Momentum Cybers medgrundare och managing partner Eric McAlpine. "Vi tror att detta momentum kommer att fortsätta att driva sektorn in på ett nytt territorium när den försöker ta itu med framväxande hot och konsolideras inför leverantörströtthet och växande kompetensbrist."

2017

Cybersäkerhetskostnaderna översteg 100 miljarder dollar

Under 2017 nådde de globala utgifterna för informationssäkerhet (IS) - produkter och tjänster - 101,5 miljarder dollar, sa Gartners forskningsföretag i mitten av augusti 2018. I slutet av 2017 uppskattade experter denna marknad till 89,13 miljarder dollar. Det rapporteras inte vad som orsakade den betydande ökningen av värderingen.

CISO:er vill hjälpa sina organisationer att säkert använda teknikplattformar för att bli mer konkurrenskraftiga och driva affärstillväxt, säger Siddharth Deshpande, forskningschef på Gartner. – Fortsatt kompetensbrist och regulatoriska förändringar såsom General Data Protection Regulation (GDPR) i Europa driver ytterligare tillväxt på marknaden för cybersäkerhetstjänster.

Experter tror att en av nyckelfaktorerna som bidrar till ökade informationssäkerhetskostnader är införandet av nya metoder för att upptäcka och reagera på hot, vilket blev den högsta säkerhetsprioriteten för organisationer 2018.

Enligt Gartners uppskattningar översteg organisationer som spenderade på cyberskyddstjänster globalt 52,3 miljarder USD 2017. Under 2018 kommer dessa kostnader att stiga till 58,9 miljarder USD.

Under 2017 spenderade företag 2,4 miljarder dollar på att skydda applikationer, 2,6 miljarder dollar på dataskydd, molntjänster- 185 miljoner dollar

Årlig försäljning av lösningar för identitets- och åtkomsthantering (Identity And Access Management) visade sig vara lika med 8,8 miljarder Försäljningen av verktyg för skydd av IT-infrastruktur ökade till 12,6 miljarder USD.

Studien pekar också på 10,9 miljarder dollar i utgifter för utrustning som används för att tillhandahålla nätverkssäkerhet. Deras tillverkare tjänade 3,9 miljarder dollar på riskhanteringssystem för informationssäkerhet.

Konsumenternas cybersäkerhetsutgifter för 2017 uppskattas av analytiker till 5,9 miljarder dollar, enligt en Gartner-studie.

Gartner uppskattade marknadsstorleken till 89,13 miljarder dollar

I december 2017 blev det känt att globala företags utgifter för informationssäkerhet (IS) skulle uppgå till 89,13 miljarder dollar 2017. Enligt Gartner kommer företagens utgifter för cybersäkerhet att överstiga 2016 års belopp på 82,2 miljarder dollar med nästan 7 miljarder dollar.

Experter anser att informationssäkerhetstjänster är den största utgiftsposten: 2017 kommer företag att anslå över 53 miljarder USD för dessa ändamål jämfört med 48,8 miljarder USD 2016. Det näst största segmentet av informationssäkerhetsmarknaden är lösningar för infrastrukturskydd, vars kostnader 2017 kommer att uppgå till 16,2 miljarder dollar istället för 15,2 miljarder dollar för ett år sedan. Nätverkssäkerhetsutrustning är på tredje plats (10,93 miljarder USD).

Strukturen för informationssäkerhetskostnader inkluderar även konsumentprogramvara för informationssäkerhet och identifiering och åtkomsthanteringssystem (Identity and Access Management, IAM). Gartner uppskattar kostnaderna i dessa områden 2017 till 4,64 miljarder dollar och 4,3 miljarder dollar, medan siffrorna 2016 låg på 4,57 miljarder dollar respektive 3,9 miljarder dollar.

Analytiker förväntar sig ytterligare tillväxt på informationssäkerhetsmarknaden: under 2018 kommer organisationer att öka utgifterna för cyberskydd med ytterligare 8 % och avsätta totalt 96,3 miljarder USD för dessa ändamål. Bland tillväxtfaktorerna listade experter förändrade regleringar inom informationssäkerhetssektorn och medvetenhet om nya hot och företagens pivot till en digital affärsstrategi.

Generellt sett drivs utgifterna för cybersäkerhet till stor del av företagens svar på informationssäkerhetsincidenter, eftersom antalet högprofilerade cyberattacker och informationsläckor som påverkar organisationer runt om i världen växer, säger Ruggero Contu, forskningschef på Gartner, i en kommentar till prognosen. .

Analytikerns ord bekräftas av data från Gartner 2016 under en undersökning som involverade 512 organisationer från åtta länder: Australien, Kanada, Frankrike, Tyskland, Indien, Singapore och USA.

53 % av de tillfrågade angav cybersäkerhetsrisker som den främsta drivkraften bakom ökade cybersäkerhetsutgifter. Av detta antal sa den högsta andelen av de tillfrågade att hotet om cyberattacker mest påverkar besluten om utgifter för informationssäkerhet.

Gartners prognos för 2018 kräver ökade utgifter inom alla större områden. Således kommer cirka 57,7 miljarder USD (+4,65 miljarder USD) att spenderas på cyberskyddstjänster, cirka 17,5 miljarder USD (+1,25 miljarder USD) kommer att spenderas på att säkerställa infrastruktursäkerhet och 11,67 miljarder USD (+ 735 miljoner USD), för konsumentprogramvara - 4,74 miljarder USD ( +109 miljoner USD) och för IAM-system - 4,69 miljarder USD (+416 miljoner USD).

Analytiker tror också att år 2020 kommer mer än 60 % av organisationerna i världen att investera samtidigt i flera dataskyddsverktyg, inklusive förebyggande av informationsförlust, kryptering och revisionsverktyg. I slutet av 2017 uppskattades andelen företag som köper sådana lösningar till 35 %.

En annan viktig post för företagens utgifter för informationssäkerhet kommer att vara involveringen av tredjepartsspecialister. Det förväntas att, mot bakgrund av en brist på personal inom området cybersäkerhet, den växande tekniska komplexiteten i informationssäkerhetssystem och ökande cyberhot, kommer företagets kostnader för outsourcing av informationssäkerhet under 2018 att öka med 11 % och uppgå till 18,5 miljarder USD .

Gartner uppskattar att 2019 kommer företagens utgifter för externa cybersäkerhetsexperter att stå för 75 % av de totala cybersäkerhetsutgifterna för mjukvara och hårdvara, upp från 63 % 2016.

IDC förutspår marknadsstorleken till 82 miljarder dollar

Två tredjedelar av kostnaderna kommer från stora och mycket stora företag. stora affärer. År 2019, enligt IDC-analytiker, kommer kostnaderna för företag med mer än 1 000 anställda att överstiga 50 miljarder dollar.

2016: Marknadsvolym 73,7 miljarder USD, tillväxt 2 gånger mer än IT-marknaden

I oktober 2016 presenterade analysföretaget IDC korta resultat av en studie av den globala informationssäkerhetsmarknaden. Tillväxten förväntas bli dubbelt så stor som IT-marknaden.

IDC beräknade att den globala försäljningen av utrustning, mjukvara och tjänster för cyberskydd kommer att nå cirka 73,7 miljarder dollar 2016, och 2020 kommer siffran att överstiga 100 miljarder dollar, vilket uppgår till 101,6 miljarder dollar. Under perioden 2016 till 2020 har informationssäkerhetsmarknaden - teknologin kommer att växa med en genomsnittlig takt på 8,3 % årligen, vilket är dubbelt så högt som IT-branschens förväntade tillväxttakt.


De största utgifterna för informationssäkerhet (8,6 miljarder USD) i slutet av 2016 väntas i bankerna. På andra, tredje och fjärde plats när det gäller storleken på sådana investeringar kommer diskreta produktionsföretag, statliga myndigheter respektive kontinuerliga produktionsföretag, vilka kommer att svara för cirka 37 % av kostnaderna.

Analytiker ger ledarskap i dynamiken i att öka investeringarna i informationssäkerhet till hälso- och sjukvården (en genomsnittlig årlig tillväxt på 10,3 % förväntas under 2016-2020). Kostnaderna för cyberskydd inom telekom, bostadssektorn, myndigheter och på investerings- och värdepappersmarknaden kommer att öka med cirka 9 % per år.

Forskare kallar den amerikanska marknaden för den största informationssäkerhetsmarknaden, vars volym kommer att nå 31,5 miljarder dollar 2016. De tre bästa kommer även att inkludera Västeuropa och Asien-Stillahavsområdet (exklusive Japan). Det finns ingen information om den ryska marknaden i kortversionen av IDC-studien.

vd från det ryska företaget Security Monitor, Dmitry Gvozdev förutspår en ökning av tjänsternas andel av de totala ryska säkerhetsutgifterna från 30-35% till 40-45%, och förutspår också utvecklingen av marknadens kundstruktur - från den totala övervikten av stats-, finans- och energisektorerna mot medelstora företag från ett bredare spektrum av branscher.

En av trenderna bör vara utvecklingen av andelen inhemska mjukvaruprodukter i samband med frågor om importsubstitution och det utrikespolitiska läget. Men i vilken utsträckning detta kommer att återspeglas i finansiella indikatorer kommer till stor del att bero på rubelns växelkurs och prispolitiken för utländska leverantörer, som fortfarande upptar minst hälften av den inhemska marknaden. mjukvarulösningar och upp till två tredjedelar i utrustningssegmentet. Det slutliga årliga finansiella resultatet för hela den ryska marknaden för informationssäkerhetslösningar kan också kopplas till externa ekonomiska faktorer, sa Gvozdev i ett samtal med TAdviser.

2015

MARKNADSSTORLEK

FEDERALA UTGIFTER

CYBER BROTT

KOSTNAD PER BROTT

FINANSIELLA TJÄNSTER

Internationell

SÄKERHETSANALYTIK

2013: EMEA-marknaden växte till 2,5 miljarder dollar.

Volymen på marknaden för säkerhetsutrustning i EMEA-regionen (Europa, Mellanöstern och Afrika) växte med 2,4 % jämfört med 2012 och uppgick till 2,5 miljarder USD. Analytiker kallade multifunktionella mjukvaru- och hårdvarusystem för skydd det största och snabbast växande segmentet på marknaden under övervägande. dator nätverk– UTM-lösningar (Enhetlig hothantering). Samtidigt förutspådde IDC att marknaden tekniska medel informationssäkerhet kommer att nå 4,2 miljarder USD i värde senast 2018 med en genomsnittlig årlig tillväxt på 5,4 %.

I slutet av 2013 intog Check Point den ledande positionen bland leverantörer vad gäller intäkter från försäljning av informationssäkerhetsutrustning i EMEA-regionen. Enligt IDC växte säljarens intäkter i detta segment för 2013 med 3,8 % och uppgick till 374,64 miljoner USD, vilket motsvarar en marknadsandel på 19,3 %.

2012: Prognos PAC: Informationssäkerhetsmarknaden kommer att växa med 8 % per år

Den globala informationssäkerhetsmarknaden kommer att växa med 8% årligen fram till 2016, då den kan nå 36 miljarder euro, rapporterade studien.

Det finns två huvudsakliga tillvägagångssätt för att motivera kostnaderna för informationssäkerhet.

Vetenskapligt förhållningssätt. För att göra detta är det nödvändigt att involvera ledningen för företaget (eller dess ägare) i att bedöma kostnaderna för informationsresurser och fastställa bedömningen av potentiell skada från kränkningar inom informationssäkerhetsområdet.

1. Om kostnaden för information är låg, det finns inga betydande hot mot företagets informationstillgångar, och den potentiella skadan är minimal, vilket kräver mindre finansiering för att säkerställa informationssäkerhet.

2. Om information har ett visst värde, hot och potentiell skada är betydande och definierade, då uppstår frågan om att inkludera kostnader för delsystemet informationssäkerhet i budgeten. I det här fallet är det nödvändigt att konstruera företagssystem informationsskydd.

Praktiskt tillvägagångssätt består i att fastställa den verkliga kostnadsalternativet för ett företagsinformationssäkerhetssystem baserat på liknande system inom andra områden. Praktiker inom området informationssäkerhet anser att kostnaden för ett informationssäkerhetssystem bör vara cirka 10-20 % av kostnaden för ett företag informationssystem, beroende på de specifika kraven för informationssäkerhetsregimen.

Allmänt accepterade krav för att säkerställa informationssäkerhetsregimen ”bästa praxis” (baserat på praktisk erfarenhet), formaliserad i ett antal standarder, till exempel ISO 17799, implementeras i praktiken när man utvecklar specifika metoder för att bedöma effektiviteten av ett informationssäkerhetssystem.

Användningen av moderna metoder för att uppskatta kostnaderna för informationssäkerhet gör det möjligt att beräkna hela den förbrukningsbara delen av en organisations informationstillgångar, inklusive direkta och indirekta kostnader för hårdvara och programvara, organisatoriska evenemang, utbildning och professionell utveckling av anställda, omorganisation, omstrukturering av verksamheten m.m.

De är nödvändiga för bevis ekonomisk effektivitet befintliga företagsskyddssystem och tillåta chefer för informationssäkerhetstjänster att motivera budgeten för informationssäkerhet, samt bevisa effektiviteten i arbetet hos anställda i den relevanta tjänsten. Kostnadsuppskattningsmetoder som används av utländska företag tillåter:

Skaffa adekvat information om säkerhetsnivån för en distribuerad datormiljö och den totala kostnaden för ägande av ett företags informationssäkerhetssystem.

Jämför organisationens informationssäkerhetsavdelningar både sinsemellan och med liknande avdelningar hos andra organisationer i branschen.

Optimera investeringar i organisationens informationssäkerhet.


En av de mest kända metoderna för att uppskatta kostnader i förhållande till ett informationssäkerhetssystem är metoden total ägandekostnad (TCO) företag Gartner Group Med TCO-indikatorn förstås summan av direkta och indirekta kostnader för organisation (omorganisation), drift och underhåll av ett företags informationssäkerhetssystem under året. Det används i nästan alla större stadier livscykel företagens informationssäkerhetssystem och gör det möjligt att objektivt och oberoende motivera den ekonomiska genomförbarheten av att införa och använda specifika organisatoriska och tekniska åtgärder och medel för informationssäkerhet. För objektiviteten i beslutet är det också nödvändigt att dessutom ta hänsyn till tillståndet i företagets externa och interna miljö, till exempel indikatorer för företagets tekniska, personalmässiga och ekonomiska utveckling.

Genom att jämföra en viss TCO-indikator med liknande TCO-indikatorer i branschen (med liknande företag) kan du objektivt och oberoende motivera organisationens kostnader för informationssäkerhet. Det visar sig trots allt ofta vara ganska svårt eller rent av praktiskt taget omöjligt att bedöma den direkta ekonomiska effekten av dessa kostnader.

Den totala ägandekostnaden för ett informationssäkerhetssystem består i allmänhet av kostnaden:

Designarbete,

Inköp och konfiguration av mjukvaru- och hårdvaruskyddsverktyg, inklusive följande huvudgrupper: brandväggar, kryptografiverktyg, antivirus och AAA (autentiserings-, auktoriserings- och administrationsverktyg),

Kostnader för att säkerställa fysisk säkerhet,

Personalträning,

Systemhantering och support (säkerhetsadministration),

Informationssäkerhetsrevision, - periodisk modernisering av informationssäkerhetssystemet.

Direkta kostnader omfattar både kapitalkostnadskomponenter (förknippade med anläggningstillgångar eller "fastighet") och arbetskostnader, som ingår i kategorierna verksamhet och administrativ ledning. Detta inkluderar även kostnader för tjänster från fjärranvändare etc. i samband med att stödja organisationens aktiviteter.

Indirekta kostnader återspeglar i sin tur företagsinformationssystemets och informationssäkerhetsundersystemets inverkan på organisationens anställda genom mätbara indikatorer som driftstopp och frysningar av företagets informationssäkerhetssystem och informationssystemet som helhet, drift- och supportkostnader (ej relaterade till direkta kostnader). Mycket ofta spelar indirekta kostnader en betydande roll, eftersom de vanligtvis inte avspeglas initialt i informationssäkerhetsbudgeten, utan avslöjas senare i kostnadsanalysen.

Beräkningen av organisationens TCO-indikatorer utförs inom följande områden.

Komponenter i ett företagsinformationssystem(inklusive informationssäkerhetssystem) och organisationens informationsaktiviteter (servrar, klientdatorer, kringutrustning, nätverksenheter).

Kostnader för hård- och mjukvara för informationssäkerhet: förbrukningsvaror och avskrivningar kostar varken servrar, klientdatorer (datorer och mobila datorer), kringutrustning och nätverkskomponenter.

Kostnader för att organisera informationssäkerhet: underhåll av informationssäkerhetssystem, standardmetoder för att skydda kringutrustning, servrar, nätverksenheter, planering och ledning av informationssäkerhetsprocesser, utveckling av säkerhetskoncept och policyer, med mera.

Kostnader för drift av informationssystemämnen: direkta kostnader för att underhålla personal, kostnader för arbete och outsourcing som görs av organisationen som helhet eller tjänst att implementera teknisk support och verksamhet för att underhålla infrastruktur för användarna.

Administrativa kostnader: direkta personalkostnader, driftsstöd och kostnader för interna/externa leverantörer (leverantörer) för att stödja verksamheten, inklusive ledning, finansiering, anskaffning och utbildning av informationssystem.

Slutanvändarens transaktionskostnader: Kostnader för självförsörjning för slutanvändare, formell utbildning för slutanvändare, tillfällig (informell) utbildning, gör-det-själv-applikationsutveckling, stöd för lokalt filsystem.

Driftstopp kostar: Årliga slutanvändares produktivitetsförluster från planerade och oplanerade avbrott i nätverksresurser, inklusive klientdatorer, delade servrar, skrivare, applikationsprogram, kommunikationsresurser och kommunikationsprogram.

Hur motiverar man kostnaderna för informationssäkerhet?

Omtryckt med vänligt tillstånd OJSC InfoTex Internet Trust
Källtexten finns Här.

Företagets mognadsnivåer

Gartner Group identifierar fyra nivåer av företags mognad när det gäller informationssäkerhet (IS):

  • nivå 0:
    • Ingen är inblandad i informationssäkerhet i företaget; företagets ledning inser inte vikten av informationssäkerhetsproblem;
    • Det finns ingen finansiering;
    • IS håller på att implementeras regelbundna medel operativsystem, DBMS och applikationer (lösenordsskydd, åtkomstkontroll till resurser och tjänster).
  • Nivå 1:
    • Informationssäkerhet betraktas av ledningen som ett rent "tekniskt" problem; det finns inget enhetligt program (koncept, policy) för utveckling av företagets informationssäkerhetssystem (ISMS);
    • Finansiering tillhandahålls inom den övergripande IT-budgeten;
    • Informationssäkerhet implementeras med hjälp av nollnivå + medel Reserv exemplar, antivirusverktyg, brandväggar, VPN-organisationsverktyg (traditionella säkerhetsverktyg).
  • Nivå 2:
    • Informationssäkerhet betraktas av ledningen som ett komplex av organisatoriska och tekniska åtgärder, det finns en förståelse för informationssäkerhetens betydelse för produktionsprocesser, det finns ett program för utveckling av företagets ISMS godkänt av ledningen;
    • Informationssäkerhet implementeras av verktyg på första nivån + förbättrade autentiseringsverktyg, verktyg för att analysera e-postmeddelanden och webbinnehåll, IDS (system för intrångsdetektion), säkerhetsanalysverktyg, SSO (enkel autentiseringsverktyg), PKI (infrastruktur) offentliga nycklar) och organisatoriska åtgärder (intern och extern revision, riskanalys, informationssäkerhetspolicy, föreskrifter, rutiner, föreskrifter och riktlinjer).
  • Nivå 3:
    • Informationssäkerhet är en del av företagskulturen, en CISA (senior information security officer) har utsetts;
    • Finansiering tillhandahålls inom en separat budget;
    • Informationssäkerhet implementeras med hjälp av andra nivån + ledningssystem för informationssäkerhet, CSIRT (information security incident response team), SLA (service level agreement).

Enligt Gartner Group (data tillhandahållna för 2001) är andelen företag i förhållande till de beskrivna 4 nivåerna som följer:
Nivå 0 - 30 %,
Nivå 1 - 55 %,
Nivå 2 - 10 %,
Nivå 3 - 5%.

Gartner Groups prognos för 2005 är följande:
Nivå 0 - 20 %,
Nivå 1 - 35 %,
Nivå 2 - 30 %,
Nivå 3 - 15%.

Statistik visar att majoriteten av företagen (55%) för närvarande har implementerat minimalt nödvändig uppsättning traditionella tekniska skyddsmedel (nivå 1).

Vid implementering av olika tekniker och säkerhetsåtgärder uppstår ofta frågor. Vad ska man implementera först, ett intrångsdetekteringssystem eller en PKI-infrastruktur? Vilket blir mer effektivt? Stephen Ross, chef för Deloitte&Touche, föreslår följande tillvägagångssätt för att bedöma effektiviteten av individuella informationssäkerhetsåtgärder och verktyg.

Baserat på ovanstående graf kan man se att de dyraste och minst effektiva är specialiserade verktyg (in-house eller specialtillverkade).

De dyraste, men samtidigt mest effektiva, är skyddsprodukter i kategori 4 (nivå 2 och 3 enligt Gartner Group). För att implementera verktyg i denna kategori är det nödvändigt att använda en riskanalysprocedur. Riskanalys i detta fall kommer att säkerställa att implementeringskostnaderna är tillräckliga för befintliga hot om brott mot informationssäkerheten.

De billigaste, men med en hög effektivitetsnivå, inkluderar organisatoriska åtgärder (intern och extern revision, riskanalys, informationssäkerhetspolicy, affärskontinuitetsplan, föreskrifter, rutiner, föreskrifter och manualer).

Införandet av ytterligare skyddsmedel (övergång till nivå 2 och 3) kräver betydande finansiella investeringar och följaktligen motivering. Frånvaron av ett enhetligt utvecklingsprogram för ISMS som godkänts och undertecknats av ledningen förvärrar problemet med att motivera investeringar i säkerhet.

Riskanalys

Sådan motivering kan vara resultatet av riskanalyser och statistik som samlats på incidenter. Mekanismer för att genomföra riskanalyser och samla in statistik bör specificeras i företagets informationssäkerhetspolicy.

Riskanalysprocessen består av 6 steg i följd:

1. Identifiering och klassificering av skyddade objekt (företagsresurser som ska skyddas);

3. Bygga en modell av en angripare;

4. Identifiering, klassificering och analys av hot och sårbarheter;

5. Riskbedömning;

6. Val av organisatoriska åtgärder och tekniska skyddsmedel.

På scenen identifiering och klassificering av skyddsobjekt Det är nödvändigt att göra en inventering av företagets resurser inom följande områden:

  • Informationsresurser (konfidentiell och kritisk företagsinformation);
  • Programvaruresurser (OS, DBMS, kritiska applikationer, såsom ERP);
  • Fysiska resurser (servrar, arbetsstationer, nätverk och telekommunikationsutrustning);
  • Tjänsteresurser (e-post, www, etc.).

Kategoriseringär att bestämma nivån av konfidentialitet och kritik av resursen. Sekretess avser nivån av sekretess för information som lagras, bearbetas och överförs av en resurs. Med kritik avses graden av inflytande av en resurs på effektiviteten i företagets produktionsprocesser (till exempel vid stillestånd av telekommunikationsresurser kan leverantörsföretaget gå i konkurs). Genom att tilldela vissa kvalitativa värden till konfidentialitets- och kritikalitetsparametrarna kan du bestämma nivån av betydelse för varje resurs när det gäller dess deltagande i företagets produktionsprocesser.

För att avgöra vikten av företagsresurser ur informationssäkerhetssynpunkt kan du få följande tabell:

Till exempel har filer med information om lönenivåer för företagets anställda värdet "strikt konfidentiellt" (sekretessparameter) och värdet "insignifikant" (kritisk parameter). Genom att ersätta dessa värden i tabellen kan du få en integrerad indikator på betydelsen av denna resurs. Olika alternativ för kategoriseringsmetoder ges i den internationella standarden ISO TR 13335.

Att bygga en angriparmodellär processen att klassificera potentiella överträdare enligt följande parametrar:

  • Typ av angripare (konkurrent, klient, utvecklare, företagsanställd, etc.);
  • Angriparens position i förhållande till skyddsobjekten (internt, externt);
  • Kunskapsnivå om skyddade objekt och miljö (hög, medel, låg);
  • Nivå av förmåga att komma åt skyddade objekt (maximum, genomsnitt, minimum);
  • Verkningslängd (ständigt, vid vissa tidsintervall);
  • Plats för handling (den förväntade platsen för angriparen under attacken).

Genom att tilldela kvalitativa värden till de listade parametrarna i angriparens modell kan man bestämma angriparens potential (en integrerad egenskap av angriparens förmåga att implementera hot).

Identifiering, klassificering och analys av hot och sårbarheter låter dig bestämma sätt att implementera attacker på skyddade objekt. Sårbarheter är egenskaper hos en resurs eller dess miljö som används av en angripare för att implementera hot. En lista över sårbarheter i programvaruresurser finns på Internet.

Hot klassificeras enligt följande kriterier:

  • namnet på hotet;
  • typ av angripare;
  • medel för genomförande;
  • utnyttjade sårbarheter;
  • vidtagna åtgärder;
  • implementeringsfrekvens.

Huvudparametern är frekvensen av hotimplementering. Det beror på värdena för parametrarna "angriparpotential" och "resurssäkerhet". Värdet på parametern "resurssäkerhet" bestäms genom expertbedömningar. När man bestämmer värdet på parametern beaktas angriparens subjektiva parametrar: motivation för att implementera hotet och statistik från försök att implementera hot av denna typ(om tillgänglig). Resultatet av hot- och sårbarhetsanalysen är en bedömning av parametern "implementeringsfrekvens" för varje hot.

På scenen riskbedömningar den potentiella skadan från hot om brott mot informationssäkerheten bestäms för varje resurs eller grupp av resurser.

Den kvalitativa indikatorn för skada beror på två parametrar:

  • Resursens betydelse;
  • Frekvens för hotimplementering på denna resurs.

Baserat på erhållna skadebedömningar väljs rimligen lämpliga organisatoriska åtgärder och tekniska skyddsmedel.

Ansamling av statistik över incidenter

Den enda svaga punkten i den föreslagna metoden för att bedöma risker och följaktligen motivera behovet av att införa ny eller ändra befintlig skyddsteknik är bestämningen av parametern "frekvens av hotförekomst." Det enda sättet att få objektiva värden för denna parameter är att samla statistik om incidenter. Ackumulerad statistik, till exempel under ett år, låter dig bestämma antalet implementeringar av hot (av en viss typ) per resurs (av en viss typ). Det är tillrådligt att utföra arbete med att samla in statistik som en del av incidenthanteringen.

Syftet med studien: att analysera och bestämma de viktigaste trenderna på den ryska informationssäkerhetsmarknaden
Rosstat-data användes (statistiska rapporteringsformulär nr. 3-Inform, P-3, P-4), bokslut för företag, etc.

Organisationers användning av informations- och kommunikationsteknik och informationssäkerhetsverktyg

  • För att förbereda detta avsnitt användes aggregerade, geografiskt separata divisioner och representationskontor (Form 3-Inform "Information om användningen av informations- och kommunikationsteknik och produktion datateknik, programvara och tillhandahållande av tjänster inom dessa områden".

Perioden 2012-2016 analyserades. Uppgifterna gör inte anspråk på att vara fullständiga (eftersom de samlas in enligt begränsad krets företag), men kan enligt vår mening användas för att bedöma trender. Antalet svarande företag under den granskade perioden varierade från 200 till 210 tusen. Det vill säga att urvalet är ganska stabilt och inkluderar de mest sannolika konsumenterna (stora och medelstora företag), som står för huvuddelen av försäljningen.

Tillgänglighet av persondatorer i organisationer

Enligt det statistiska rapporteringsformuläret 3-Inform fanns det 2016 cirka 12,4 miljoner enheter i ryska organisationer som gav information om detta formulär personliga datorer(PC). I det här fallet betyder PC stationära och bärbara datorer; detta koncept inkluderar inte mobil Mobiltelefoner och fickdatorer.

Under de senaste 5 åren har antalet PC-enheter i organisationer i Ryssland som helhet ökat med 14,9 %. Det bäst utrustade federala distriktet är Central Federal District, som står för 30,2 % av företagens datorer. Den obestridda ledande regionen för denna indikator är staden Moskva; enligt data för 2016 har Moskva-företag cirka 1,8 miljoner datorer. Det lägsta värdet på indikatorn noterades i det nordkaukasiska federala distriktet; organisationer i distriktet har bara cirka 300 tusen PC-enheter; det minsta antalet finns i Republiken Ingusjien - 5,45 tusen enheter.

Ris. 1. Antal persondatorer i organisationer, Ryssland, miljoner enheter.

Organisationskostnader för informations- och kommunikationsteknik

Under perioden 2014-2015. På grund av den ogynnsamma ekonomiska situationen tvingades ryska företag att minimera sina kostnader, inklusive kostnader för information och kommunikationsteknik. Under 2014 var kostnadsminskningen inom IKT-sektorn 5,7 %, men i slutet av 2015 var det en svagt positiv trend. Under 2016 uppgick ryska företags utgifter för informations- och kommunikationsteknik till 1,25 biljoner. rub., vilket överstiger siffran före krisen 2013 med 0,3 %.

Huvuddelen av kostnaderna faller på företag i Moskva - över 590 miljarder rubel, eller 47,2% av totalen. De största volymerna av utgifter för organisationer för informations- och kommunikationsteknik 2016 registrerades i: Moskva-regionen - 76,6 miljarder rubel, St. Petersburg - 74,4 miljarder rubel, Tyumen-regionen - 56,0 miljarder rubel, Republiken Tatarstan - 24,7 miljarder rubel, Nizhny Novgorod region – 21,4 miljarder rubel. De lägsta kostnaderna registrerades i Republiken Ingusjien – 220,3 miljoner rubel.

Ris. 2. Mängden företags utgifter för informations- och kommunikationsteknik, Ryssland, miljarder rubel.

Organisationers användning av informationssäkerhetsverktyg

I Nyligen Man kan notera en betydande ökning av antalet företag som använder verktyg för skydd av informationssäkerhet. Den årliga tillväxttakten för deras antal är ganska stabil (med undantag för 2014) och uppgår till cirka 11-19% per år.

Enligt officiella uppgifter från Rossstat, De mest populära skyddsmedlen för närvarande är tekniska metoder för användarautentisering (tokens, USB-nycklar, smartkort). Av mer än 157 tusen företag angav 127 tusen företag (81%) användningen av dessa särskilda verktyg som informationsskydd.

Ris. 3. Fördelning av organisationer med hjälp av medel som säkerställer informationssäkerhet 2016, Ryssland, %.

Enligt officiell statistik använde 161 421 företag 2016 det globala internet för kommersiella ändamål. Bland organisationer som använder Internet för kommersiella ändamål och har angett användningen av informationssäkerhetsåtgärder är den mest populära den elektroniska digitala signaturen. Detta verktygÖver 146 tusen företag, eller 91% av det totala antalet, angavs som ett skydd. Enligt användningen av informationssäkerhetsverktyg fördelades företagen enligt följande:

    • Elektroniska medel digital signatur– 146 887 företag;
    • Uppdateras regelbundet antivirusprogram– 143 095 företag;
    • Programvara eller hårdvara som förhindrar obehörig åtkomst skadlig programvara från global information eller lokal dator nätverk(Brandvägg) – 101 373 företag;
    • Spamfilter – 86 292 företag;
    • Krypteringsverktyg – 86 074 företag;
    • System för upptäckt av intrång i dator eller nätverk – 66 745 företag;
    • Mjukvaruverktyg för automatisering av säkerhetsanalys och kontrollprocesser datorsystem– 54 409 företag.

Ris. 4. Distribution av företag som använder Internet för kommersiella ändamål, genom att skydda information som överförs över globala nätverk, 2016, Ryssland, %.

Under perioden 2012-2016 ökade antalet företag som använder Internet i kommersiella syften med 34,9 %. Under 2016 använde 155 028 företag Internet för att kommunicera med leverantörer och 110 421 företag använde Internet för att kommunicera med konsumenter. Av de företag som använder Internet för att kommunicera med leverantörer angav användningsändamålet:

  • få information om nödvändiga varor (arbeten, tjänster) och deras leverantörer - 138 224 företag;
  • tillhandahålla information om organisationens behov av varor (arbeten, tjänster) – 103 977 företag;
  • lägga beställningar på de varor (arbete, tjänster) som behövs för organisationen (exklusive beställningar som skickas via e-post) – 95 207 företag;
  • betalning för levererade varor (arbeten, tjänster) – 89 279;
  • mottagande av elektroniska produkter – 62 940 företag.

Av det totala antalet företag som använder Internet för att kommunicera med konsumenter angav användningsändamålet:

  • tillhandahålla information om organisationen, dess varor (verk, tjänster) - 101 059 företag;
  • (arbeten, tjänster) (exklusive beställningar skickade via e-post) – 44 193 företag;
  • genomförande av elektroniska betalningar med konsumenter – 51 210 företag;
  • distribution av elektroniska produkter – 12 566 företag;
  • eftermarknadsservice (service) – 13 580 företag.

Volym och dynamik i budgetar för federala verkställande myndigheter för informationsteknologi 2016-2017.

Enligt Federal Treasury, den totala volymen av gränser för budgetförpliktelser för 2017, meddelad till de federala verkställande myndigheterna (nedan kallad den federala verkställande myndigheten) enligt kostnadstypkod 242 "Inköp av varor, arbeten, tjänster på fältet av informations- och kommunikationsteknik” när det gäller information som inte utgör statshemlighet, uppgick den 1 augusti 2017 till 115,2 miljarder rubel, vilket är cirka 5,1 % högre än den totala budgeten för informationsteknik för federala verkställande myndigheter 2016 (109,6) miljarder rubel, enligt ministeriet för telekom och masskommunikation). Således, medan den totala volymen IT-budgetar för federala avdelningar fortsätter att växa från år till år, har tillväxttakten minskat (2016 ökade den totala volymen IT-budgetar med 8,3 % jämfört med 2015). Vart i Det finns en ökande skiktning mellan "rik" och "fattig" när det gäller avdelningarnas utgifter för informations- och kommunikationsteknik. Den obestridda ledaren inte bara när det gäller budgetstorlek, utan också när det gäller prestationer inom IT-området är Federal Tax Service. Dess IKT-budget i år är mer än 17,6 miljarder rubel, vilket är mer än 15% av budgeten för alla federala verkställande myndigheter. Den totala andelen av de fem bästa (federala skattetjänsten, Ryska federationens pensionsfond, finansministeriet, inrikesministeriet, ministeriet för telekom och masskommunikation) är mer än 53%.

Ris. 5. Struktur för budgetutgifter för inköp av varor, byggentreprenader och tjänster inom området informations- och kommunikationsteknik av federala verkställande myndigheter under 2017, %

Lagreglering inom området för upphandling av programvara för statliga och kommunala behov

Från den 1 januari 2016 genomför alla statliga och kommunala organ, statliga företag Rosatom och Roscosmos, ledningsorgan för statliga fonder utanför budgeten, såväl som statliga och budgetmässiga institutioner som genomför upphandling i enlighet med kraven i federal lag av den 5 april 2013 nr 44 -FZ "Om avtalssystemet inom området för upphandling av varor, byggentreprenader, tjänster för att tillgodose statliga och kommunala behov", är skyldiga att följa förbudet mot tillträde av programvara som härrör från främmande länder för upphandlingsändamål för att tillgodose statliga och kommunala behov. Förbudet infördes genom dekret från Ryska federationens regering av den 16 november 2015 nr 1236 "Om upprättande av ett förbud mot tillträde av programvara som härrör från främmande länder i syfte att upphandla för att möta statliga och kommunala behov." Vid köp av programvara måste ovanstående kunder direkt ange förbudet mot att köpa importerad programvara i köpmeddelandet. Förbudet gäller köp av programvara för elektronisk datorer och databaser implementerade oavsett typ av kontrakt på ett konkret medium och (eller) i i elektroniskt format via kommunikationskanaler, samt exklusiva rättigheter till sådan programvara och rättigheterna att använda sådan programvara.

Det finns flera undantag när det är tillåtet att köpa importerad programvara av kunder.

  • upphandling av programvara och (eller) rättigheter till den av diplomatiska beskickningar och konsulära kontor Ryska Federationen, Ryska federationens handelsuppdrag vid internationella organisationer för att säkerställa deras verksamhet på en främmande stats territorium;
  • upphandling av programvara och (eller) rättigheter till den, information om vilken och (eller) köpet av vilka utgör en statshemlighet.

I alla andra fall kommer kunden att behöva arbeta med ett enda register innan de köper programvara Ryska program för elektroniska datorer och databaser och en klassificerare av program för elektroniska datorer och databaser.
Bildandet och underhållet av registret som ett auktoriserat federalt verkställande organ utförs av Rysslands ministerium för telekom och masskommunikation.
I slutet av augusti 2017 inkluderade registret 343 mjukvaruprodukter som tillhör klassen "informationssäkerhetsverktyg" från 98 ryska utvecklingsföretag. Bland dem finns mjukvaruprodukter från sådana stora ryska utvecklare som:

  • OJSC "Informationsteknik och kommunikationssystem" ("InfoTeKS") – 37 mjukvaruprodukter;
  • JSC Kaspersky Lab - 25 mjukvaruprodukter;
  • Säkerhetskod LLC - 19 mjukvaruprodukter;
  • Crypto-Pro LLC - 18 mjukvaruprodukter;
  • Doctor WEB LLC - 12 mjukvaruprodukter;
  • S-Terra CSP LLC - 12 mjukvaruprodukter;
  • CJSC "Aladdin R.D." — 8 mjukvaruprodukter;
  • JSC "Infowatch" - 6 mjukvaruprodukter.

Analys av verksamheten hos de största aktörerna inom informationssäkerhetsområdet

  • Som basinformation för att analysera verksamheten hos de största aktörerna på informationssäkerhetsmarknaden för beredning den här studien information om offentlig upphandling inom området informations- och kommunikationsverksamhet och i synnerhet informationssäkerhet användes.

För att analysera trender valde vi ut 18 företag som är bland de ledande på informationssäkerhetsmarknaden och är aktivt involverade i statlig upphandling. Listan inkluderar både direktutvecklare av mjukvara och hårdvara och mjukvarusäkerhetssystem, samt de största systemintegratörer. De totala intäkterna för dessa företag 2016 uppgick till 162,3 miljarder rubel, vilket översteg siffran 2015 med 8,7%.
Nedan finns en lista över företag som valts ut för studien.

Tabell 1. Företag som valts ut för studien

namn TENN Typ av aktivitet (OKVED 2014)
1 "I-Teco" JSC 7736227885 Aktiviteter relaterade till användning av datateknik och informationsteknik, annat (62,09)
2 Croc Incorporated, JSC 7701004101
3 "Informzashita", CJSC NIP 7702148410 Forskning och utveckling inom området samhällsvetenskap och humaniora (72.20)
4 "Softline Trade", JSC 7736227885
5 "Technoserv AS", LLC 7722286471 Partihandel med andra maskiner och utrustning (46,69)
6 "Elvis-plus", JSC 7735003794
7 "Asteros" JSC 7721163646 Partihandel med datorer, kringutrustning till datorer och programvara (46.51
8 "Aquarius Production Company", LLC 7701256405
9 Lanit, CJSC 7727004113 Partihandel med andra kontorsmaskiner och utrustning (46,66)
10 Jet Infosystems, JSC 7729058675 Partihandel med datorer, kringutrustning för datorer och programvara (46.51)
11 "Dialognauka", JSC 7701102564 Datorprogramutveckling (62.01)
12 "Factor-TS", LLC 7716032944 Tillverkning av datorer och kringutrustning (26.20)
13 "InfoTeKS", JSC 7710013769 Datorprogramutveckling (62.01)
14 "Ural Center for Security Systems", LLC 6672235068 Verksamhet inom området arkitektur, ingenjörskonst och teknisk rådgivning inom dessa områden (71.1)
15 "ICL-KPO VS", JSC 1660014361 Datorprogramutveckling (62.01)
16 NVision Group, JSC 7703282175 Icke-specialiserad partihandel (46,90)
17 "Konfidentiell integration", LLC 7811512250 Databehandlingsverksamhet, tillhandahållande av värdtjänster och relaterade aktiviteter (63.11)
18 "Kaluga Astral", JSC 4029017981 Rådgivande verksamhet och arbete inom datateknikområdet (62.02

I slutet av oktober 2017 ingick företag från det presenterade urvalet 1 034 kontrakt med statliga myndigheter till ett belopp av 24,6 miljarder rubel. Leder in denna lista när det gäller volymen av ingångna kontrakt har I-Teco-företaget 74 kontrakt värda 7,5 miljarder rubel.
Under de senaste åren, med undantag för krisåret 2014, kan man notera en konstant ökning av den totala kontraktsvolymen för de utvalda företagen. Den mest betydande dynamiken inträffade under perioden 2015-2016. Således, 2015, ökade volymen av kontrakt med mer än 3,5 gånger, 2016 - med 1,5 gånger. Enligt tillgängliga uppgifter om företags kontraktsaktiviteter för perioden januari-oktober 2017 kan det antas att den totala volymen av kontrakt med statliga myndigheter 2017 kommer att vara cirka 37-38 miljarder rubel, det vill säga en minskning med cirka 40 % förväntas.

Som redan nämnts säkerställs ett företags säkerhet genom en uppsättning åtgärder i alla skeden av dess livscykel, dess informationssystem och består i allmänhet av kostnaden:

  • - designarbete;
  • - Upphandling och konfiguration av verktyg för skydd av mjukvara och hårdvara;
  • - Kostnader för att säkerställa fysisk säkerhet.
  • - personalträning;
  • - systemhantering och support;
  • - revision av informationssäkerhet.
  • - periodisk modernisering av informationssäkerhetssystemet m.m.

Kostnadsindikatorn för den ekonomiska effektiviteten av ett integrerat informationssäkerhetssystem kommer att vara summan av direkta och indirekta kostnader för att organisera, driva och underhålla informationssäkerhetssystemet under hela året.

Det kan betraktas som en viktig kvantitativ indikator på effektiviteten hos informationssäkerhetsorganisationen i ett företag, eftersom det inte bara gör det möjligt att uppskatta de totala kostnaderna för skydd, utan att hantera dessa kostnader för att uppnå den erforderliga nivån av företagssäkerhet. Direkta kostnader omfattar dock både kapitalkostnadskomponenter och arbetskostnader, vilka ingår i kategorierna verksamhet och administrativ ledning. Detta inkluderar även kostnader för tjänster från fjärranvändare etc. i samband med att stödja organisationens aktiviteter.

Indirekta kostnader återspeglar i sin tur effekten av det integrerade säkerhetssystemet och delsystemet informationssäkerhet på anställda genom sådana mätbara indikatorer som driftstopp och frysningar av företagets informationssäkerhetssystem och det integrerade säkerhetssystemet som helhet, drift- och supportkostnader.

Mycket ofta spelar indirekta kostnader en betydande roll, eftersom de vanligtvis inte reflekteras initialt i budgeten för ett heltäckande säkerhetssystem, utan avslöjas explicit under kostnadsanalyser senare, vilket i slutändan leder till en ökning av företagets "dolda" kostnader. Låt oss överväga hur du kan bestämma de direkta och indirekta kostnaderna för ett omfattande säkerhetssystem. Låt oss anta att ledningen för ett företag arbetar med att implementera ett omfattande informationssäkerhetssystem på företaget. Objekten och målen för skydd, hot mot informationssäkerheten och åtgärder för att motverka dem har redan identifierats, de nödvändiga medlen för att skydda information har köpts och installerats.

Informationssäkerhetskostnader faller vanligtvis i följande kategorier:

  • - Kostnader för att skapa och underhålla länken för hantering av informationssäkerhetssystem.
  • - kostnader för kontroll, det vill säga för att fastställa och bekräfta den uppnådda säkerhetsnivån för företagets resurser;
  • - interna kostnader för att eliminera konsekvenserna av en informationssäkerhetsöverträdelse - kostnader som uppstår för organisationen till följd av att den erforderliga säkerhetsnivån inte uppnåddes;
  • - externa kostnader för att eliminera konsekvenserna av en informationssäkerhetsöverträdelse - kompensation för förluster på grund av brott mot säkerhetspolicyn i fall relaterade till informationsläckage, förlust av företagets image, förlust av förtroende hos partners och konsumenter, etc.;
  • - kostnader för underhåll av informationssäkerhetssystemet och åtgärder för att förhindra överträdelser av företagets säkerhetspolicy.

I detta fall brukar engångskostnader och systematiska kostnader särskiljas.

Engångskostnader för att skapa företagssäkerhet: organisationskostnader och kostnader för anskaffning och installation av skyddsutrustning.

Systematiska, drift- och underhållskostnader. Klassificeringen av kostnader är villkorad, eftersom insamling, klassificering och analys av kostnader för informationssäkerhet är företagens interna aktiviteter, och den detaljerade utvecklingen av listan beror på egenskaperna hos en viss organisation.

Det viktigaste när man bestämmer kostnaderna för ett säkerhetssystem är ömsesidig förståelse och överenskommelse om kostnadsposter inom företaget.

Dessutom bör kostnadskategorierna vara konsekventa och får inte duplicera varandra. Det är omöjligt att helt eliminera säkerhetskostnaderna, men de kan reduceras till en acceptabel nivå.

Vissa säkerhetskostnader är absolut nödvändiga, och vissa kan reduceras eller elimineras avsevärt. De senare är de som kan försvinna i avsaknad av säkerhetsintrång eller kommer att minska om antalet och destruktiva effekterna av intrång minskar.

Genom att upprätthålla säkerheten och förhindra överträdelser kan följande kostnader elimineras eller avsevärt minskas:

  • - att återställa säkerhetssystemet för att uppfylla säkerhetskraven;
  • - att återställa resurserna i företagets informationsmiljö;
  • - för ändringar i säkerhetssystemet;
  • - för rättsliga tvister och kompensationsbetalningar;
  • - att identifiera orsakerna till säkerhetsöverträdelser.

Nödvändiga kostnader är de som är nödvändiga även om nivån av säkerhetshot är ganska låg. Dessa är kostnaderna för att upprätthålla den uppnådda säkerhetsnivån för företagsinformationsmiljön.

Oundvikliga kostnader kan inkludera:

  • a) Underhåll av teknisk skyddsutrustning.
  • b) hantering av konfidentiella register;
  • c) Drift och revision av säkerhetssystemet.
  • d) Miniminivå för inspektioner och kontroll med involvering av specialiserade organisationer.
  • e) utbildning av personal i metoder för informationssäkerhet.

Det finns dock andra kostnader som är ganska svåra att fastställa. Bland dem:

  • a) kostnaderna för att genomföra ytterligare forskning och utveckla en ny marknadsstrategi;
  • b) förluster från att sänka prioritet inom vetenskaplig forskning och oförmågan att patentera och sälja licenser för vetenskapliga och tekniska landvinningar;
  • c) kostnader för att eliminera flaskhalsar i leverans, produktion och marknadsföring av produkter;
  • d) förluster på grund av kompromisser av produkter tillverkade av företaget och sänkta priser för dem;
  • e) förekomsten av svårigheter med att skaffa utrustning eller teknik, inklusive höjning av priserna för dem, vilket begränsar leveransvolymen.

De listade kostnaderna kan orsakas av åtgärder från personal vid olika avdelningar, till exempel design, teknisk, ekonomisk planering, juridisk, ekonomisk, marknadsföring, tariffpolitik och prissättning.

Eftersom anställda på alla dessa avdelningar sannolikt inte är upptagna på heltid med frågor om externa förluster, måste fastställandet av kostnadsbeloppet utföras med hänsyn till den faktiska tiden som spenderas. En av delarna av externa förluster kan inte beräknas exakt - dessa är förluster som är förknippade med att undergräva företagets image, minska konsumenternas förtroende för företagets produkter och tjänster. Det är av denna anledning som många företag döljer det faktum att deras tjänst är osäker. Företag fruktar frisläppandet av sådan information ännu mer än de fruktar attacker i en eller annan form.

Men många företag ignorerar dessa kostnader på grundval av att de inte kan fastställas med någon grad av noggrannhet - de är bara gissningar. Kostnader för förebyggande åtgärder. Dessa kostnader är förmodligen de svåraste att uppskatta eftersom förebyggande aktiviteter bedrivs på olika avdelningar och påverkar många tjänster. Dessa kostnader kan förekomma i alla stadier av livscykeln för företagsinformationsmiljöresurser:

  • - planering och organisation;
  • - anskaffning och driftsättning;
  • - leverans och support;
  • - övervakning av processer som utgör informationsteknologi.

Dessutom är merparten av kostnaderna i denna kategori relaterade till säkerhetspersonal. Förebyggande kostnader inkluderar främst löner och omkostnader. Men noggrannheten i deras beslutsamhet beror till stor del på noggrannheten i att bestämma den tid som spenderas av varje anställd individuellt. Vissa försiktighetskostnader är lätta att identifiera direkt. De kan i synnerhet innefatta betalning för olika verk av tredje part, till exempel:

  • - Underhåll och konfiguration av verktyg för skydd av mjukvara och hårdvara, operativsystem och nätverksutrustning som används;
  • - utföra tekniskt och tekniskt arbete för att installera larmsystem, utrusta lagringsutrymmen för konfidentiella dokument, skydda telefonlinjer kommunikation, datorutrustning, etc.;
  • - leverans av konfidentiell information;
  • - Samråd.
  • - träningskurser.

Informationskällor om de beaktade kostnaderna. När man bestämmer kostnaderna för att tillhandahålla informationssäkerhet är det nödvändigt att komma ihåg att:

  • - kostnader för anskaffning och driftsättning av mjukvara och hårdvara kan erhållas från analys av fakturor, register i lagerdokumentation etc.;
  • - Betalningar till personalen kan tas från utlåtanden.
  • - Betalningsvolymer lön bör beaktas med hänsyn till den faktiska tiden som ägnas åt att utföra arbete för att säkerställa informationssäkerhet; om endast en del av en anställds tid ägnas åt aktiviteter för att säkerställa informationssäkerhet, då är det möjligt att bedöma var och en av komponenterna i utgifterna för hans tid bör inte ifrågasättas;
  • - Klassificering av säkerhetskostnader och deras fördelning mellan element bör bli en del av det dagliga arbetet inom företaget.