Аппараттық және бағдарламалық қамтамасыз етуді орнату

үй фотошоп
фотошоп

Ақпараттық қауіпсіздік жүйесінің құны. Ақпараттық қауіпсіздік: шығындар көзі немесе стратегиялық инвестиция ма? Ақпараттық қауіпсіздік шығындары өсуде

Контекстке байланысты «ақпараттық қауіпсіздік» термині әртүрлі мағынада қолданылады. Кең мағынада концепция құпия ақпаратты, өндірістік процесті, компанияның инфрақұрылымын қаржылық шығынға немесе беделін жоғалтуға әкелетін қасақана немесе кездейсоқ әрекеттерден қорғауды қамтиды.

Ақпараттық қауіпсіздік принциптері

Кез келген салада ақпараттық қауіпсіздіктің негізгі принципі азаматтың, қоғам мен мемлекеттің мүдделерін теңестіру болып табылады. Тепе-теңдікті сақтаудың қиындығы қоғам мен азаматтың мүдделерінің жиі қайшылыққа түсуінде. Азамат өзінің жеке өмірін, табыс көзі мен деңгейін, келеңсіз істерін құпия ұстауға ұмтылады. Қоғам, керісінше, заңсыз кірістер, сыбайлас жемқорлық фактілері, қылмыстық әрекеттер туралы ақпаратты «құпиясыздандыруға» мүдделі. Мемлекет азаматтың жеке деректерін жария етпеу құқығын қорғайтын және сонымен бірге қылмыстарды ашуға және кінәлілерді жауапкершілікке тартуға байланысты құқықтық қатынастарды реттейтін тежеу ​​механизмін жасайды және басқарады.

Қазіргі жағдайдағы маңызы құқықтық принцип реттеуші қолдау ақпараттық қауіпсіздік саласының дамуына сәйкес келмеген жағдайда ақпараттық қауіпсіздіктің өсуі. Заңнамадағы олқылықтар киберқылмыс үшін жауапкершіліктен құтылып қана қоймай, іске асыруға кедергі келтіреді озық технологиялардеректерді қорғау.

Жаһандану принципі , немесе жүйелерді біріктіру ақпаратты қорғаубарлық салаларға әсер етеді: саяси, экономикалық, мәдени. Халықаралық байланыс жүйелерінің дамуы деректердің тұрақты қауіпсіздігін талап етеді.

Сәйкес экономикалық мақсаттылық принципі , ақпараттық қауіпсіздік шараларының тиімділігі жұмсалған ресурстарға сәйкес келуі немесе асып кетуі керек. Қауіпсіздік жүйесін қолдаудың өтелмейтін құны тек прогреске зиян келтіреді.

Жүйелердің икемділік принципі ақпаратты қорғау жаңа технологияларды құруға және енгізуге кедергі болатын кез келген режимдік шектеулерді жоюды білдіреді.

Құпияны қатаң реттеу, емес ашық ақпаратұсынады құпия емес принцип .

Деректерді қорғау үшін неғұрлым әртүрлі аппараттық және бағдарламалық қауіпсіздік құралдары пайдаланылса, шабуылдаушыларға осалдықтарды тауып, қорғауды айналып өту үшін соғұрлым жан-жақты білім мен дағдылар қажет. Ақпараттық қауіпсіздікті нығайтуға бағытталған әртүрлілік принципі ақпараттық жүйелердің қорғау механизмдері.

Жеңіл жұмыс принципі қауіпсіздік жүйесі ақпараттық қауіпсіздік жүйесі неғұрлым күрделі болса, жеке құрамдас бөліктердің сәйкестігін тексеру және орталық басқаруды жүзеге асыру соғұрлым қиын болады деген идеяға негізделген.

Персоналдың ақпараттық қауіпсіздікке деген адалдығының кілті – ақпараттық қауіпсіздік ережелерін үнемі оқыту және компанияның банкротқа ұшырауына дейінгі ережелерді сақтамаудың салдарын нақты түсіндіру. Адалдық принципі деректер қауіпсіздігі әкімшілері мен компанияның барлық қызметкерлері қауіпсіздікті қызметкерлердің мотивациясымен байланыстырады. Егер қызметкерлер, сондай-ақ мердігерлер мен тапсырыс берушілер қабылдайды ақпараттық қауіпсіздікқажетсіз немесе тіпті дұшпандық құбылыс ретінде ең қуатты жүйелердің өзі компаниядағы ақпараттың қауіпсіздігіне кепілдік бере алмайды.

Аталған қағидаттар барлық салаларда ақпараттық қауіпсіздікті қамтамасыз етудің негізі болып табылады, ол саланың ерекшеліктеріне байланысты элементтермен толықтырылады. Банк секторы, энергетика және БАҚ мысалдарын қарастырайық.

Банктер

Кибершабуыл технологияларының дамуы банктерді жаңа енгізуге және үнемі жетілдіруге мәжбүр етеді негізгі жүйелерқауіпсіздік. Банк секторындағы ақпараттық қауіпсіздікті дамытудың мақсаты ақпараттық ресурстарды қорғай алатын және интеграцияны қамтамасыз ете алатын осындай технологиялық шешімдерді әзірлеу болып табылады. соңғы IT өнімдеріқаржы-несие мекемелерінің негізгі бизнес-процесінде.

Қаржы институттарының ақпараттық қауіпсіздік тетіктері ратификацияланған халықаралық конвенциялар мен келісімдерге, сондай-ақ федералдық заңдар мен стандарттарға сәйкес құрылады. Ресейлік банктер үшін ақпараттық қауіпсіздік саласындағы нұсқаулар:

  • Ресей Банкінің стандарты СТО BR IBBS-1.0-2010 «Банк жүйесінің ұйымдарының ақпараттық қауіпсіздігін қамтамасыз ету Ресей Федерациясы»;
  • № 161 «Ұлттық төлем жүйесі туралы» Федералдық заң;
  • No 152 «Жеке деректер туралы» Федералдық заң;
  • PCI DSS Payment Card Industry Data Security Standard және басқа құжаттар.

Әртүрлі заңдар мен стандарттарды сақтау қажеттілігі банктердің көптеген әртүрлі операцияларды жүзеге асыруына, өздерінің қауіпсіздік құралдарын қажет ететін әртүрлі салаларда іс-шаралар жүргізуіне байланысты. Мысалы, қашықтағы банкингте (ҚБҚ) ақпараттық қауіпсіздікті қамтамасыз ету банктік қосымшаларды қорғау және деректер ағынын бақылау құралдарын қамтитын қауіпсіздік инфрақұрылымын құруды қамтиды. мониторинг банктік операцияларжәне оқиғаларды тергеу. Көп компонентті қорғаныс ақпараттық ресурстар RBS қызметтерін пайдалану кезінде алаяқтықпен байланысты қауіптерді азайтуды, сондай-ақ банктің беделін қорғауды қамтамасыз етеді.

Банк секторының ақпараттық қауіпсіздігі, басқа салалар сияқты, байланысты кадрлармен қамтамасыз ету. Банктердегі ақпараттық қауіпсіздіктің ерекшелігі реттеуші деңгейінде қауіпсіздік мамандарына көбірек көңіл бөлуде. 2017 жылдың басында Ресей Банкі Еңбек министрлігімен және әлеуметтік қорғау FSTEC, Білім және ғылым министрлігінің қатысуымен ақпараттық қауіпсіздік мамандарына арналған.

Банкте ақпараттық қауіпсіздік аудитін қалай дұрыс жүргізу керек?

Энергия

Энергетикалық кешен ақпараттық қауіпсіздікті қамтамасыз ету үшін арнайы шараларды қажет ететін стратегиялық салалардың бірі болып табылады. Басқармалар мен бөлімдерде жұмыс орындары жеткілікті болса стандартты құралдарАЖ, содан кейін энергияны өндірудің және соңғы тұтынушыларға жеткізудің технологиялық салаларында қорғау күшейтілген бақылауды қажет етеді. Энергетика саласындағы негізгі қорғау объектісі ақпарат емес, бірақ технологиялық процесс. Қауіпсіздік жүйесі бұл жағдайда процестің тұтастығын қамтамасыз етуі керек және автоматтандырылған жүйелербасқару. Сондықтан энергетика саласындағы кәсіпорындарда ақпараттық қауіпсіздік тетіктерін енгізбес бұрын сарапшылар мыналарды зерттейді:

  • қорғау объектісі технологиялық процесс болып табылады;
  • энергетикалық секторда қолданылатын құрылғылар (телемеханика);
  • байланысты факторлар ( релелік қорғаныс, автоматтандыру, энергияны есепке алу).

Энергетикалық сектордағы ақпараттық қауіпсіздіктің маңыздылығы ақпараттық киберқауіптерді жүзеге асырудың салдарымен анықталады. Бұл материалдық залал немесе беделге нұқсан келтіру ғана емес, ең алдымен азаматтардың денсаулығына зиян келтіру, қоршаған ортаны бұзу, қаланың немесе ауданның инфрақұрылымын бұзу.

Энергетика саласындағы ақпараттық қауіпсіздік жүйесін жобалау қауіпсіздік тәуекелдерін болжаудан және бағалаудан басталады. Бағалаудың негізгі әдісі қауіпсіздік жүйесін ұйымдастыру кезінде ресурстарды ұтымды бөлуге және киберқауіптердің жүзеге асуын болдырмауға көмектесетін ықтимал қауіптерді модельдеу болып табылады. Сонымен қатар, энергетикалық сектордағы қауіпсіздік тәуекелдерін бағалау үздіксіз жүргізілуде: жүйенің жұмысы кезіндегі тексеру қорғаныстың максималды дәрежесін қамтамасыз ету және жүйені жаңартып отыру үшін параметрлерді уақтылы өзгерту мақсатында тұрақты түрде жүргізіледі. .

Бұқаралық ақпарат құралдары

Бұқаралық ақпарат құралдарындағы ақпараттық қауіпсіздікті қамтамасыз етудің негізгі міндеті – ұлттық мүдделерді, соның ішінде азаматтардың, қоғам мен мемлекеттің мүдделерін қорғау. Белсенділік қорлары бұқаралық ақпарат құралдарықазіргі жағдайда соңғы пайдаланушыларға: оқырмандарға, көрермендерге, веб-сайтқа кірушілерге қабылданатын, өңделетін және берілетін жаңалықтар мен журналистік материалдар түріндегі ақпараттық ағындарды құруға дейін қысқарады.

Бұқаралық ақпарат құралдары саласындағы қауіпсіздікті қамтамасыз ету және мониторингі бірнеше бағытта жүзеге асырылады және мыналарды қамтиды:

  • ақпараттық шабуыл қаупі іске асырылған жағдайда дағдарысқа қарсы рәсімдер бойынша ұсынымдар әзірлеу;
  • БАҚ редакцияларының, баспасөз қызметтерінің, қоғаммен байланыс бөлімдерінің қызметкерлерін ақпараттық қауіпсіздік бойынша оқыту бағдарламалары;
  • ақпараттық шабуылға ұшыраған ұйымдарды уақытша сыртқы басқару.

БАҚ-тағы ақпараттық қауіпсіздікті қамтамасыз етудің тағы бір проблемасы – біржақтылық. Оқиғаларды объективті көрсетуді қамтамасыз ету үшін журналистерді мемлекеттік қызметкерлердің, басшылықтың және/немесе БАҚ иесінің қысымынан қорғайтын және сонымен бірге адал бизнес құрылымдарын адал емес БАҚ өкілдерінің әрекеттерінен сақтандыратын қорғау механизмі қажет.

БАҚ-тың ақпараттық қауіпсіздігінің тағы бір негізі – деректерге қол жеткізуді шектеу. Мәселе мынада: ақпараттық қауіптердің алдын алу үшін ақпаратқа қол жеткізуді шектеу цензураның «жабынына» айналмайды. БАҚ жұмысын ашық ететін және ұлттық қауіпсіздік мүдделеріне зиян келтірмеуге көмектесетін шешім Еуропалық Одақтағы дауыс беруді күтіп тұрған Ақпараттық ресурстарға қол жеткізу туралы конвенция жобасында қамтылған. Құжат нормалары мемлекет Интернетте тиісті тізілімдерді құру арқылы барлық ресми құжаттарға бірдей қолжетімділікті қамтамасыз етеді және өзгертуге болмайтын қолжетімділік шектеулерін белгілейді. Ақпараттық ресурстарға қол жеткізу шектеулерін жоюға мүмкіндік беретін екі ерекшелік бар:

  • қоғамдық пайда, бұл тіпті қалыпты жағдайларда таратуға жатпайтын деректерді жариялау мүмкіндігін білдіреді;
  • ұлттық мүддеегер ақпаратты жасыру мемлекетке зиян келтіретін болса.

Жеке сектор

Нарықтық экономиканың дамуымен, бәсекелестіктің өсуімен және қаталдауымен компанияның беделі материалдық емес активтердің ажырамас бөлігіне айналады. Позитивті имидждің қалыптасуы мен сақталуы ақпараттық қауіпсіздік деңгейіне тікелей байланысты. Сондай-ақ бар кері байланыснарықтағы компанияның қалыптасқан имиджі ақпараттық қауіпсіздік кепілі болған кезде. Бұл тәсілмен іскерлік беделдің үш түрі бар:

1. «Пайдасыз» ұйымның бейнесі, олардың ақпараттық ресурстары қызығушылық тудырмайды, өйткені оларды үшінші тараптың пайдасына немесе зиянына пайдалануға болмайды.

2. Күшті қарсыластың бейнесі, оның қауіпсіздігіне «қауіпті ету қымбатырақ». Ақпараттық шабуылға тойтарыс беру мүмкіндіктерінің шекараларының бұлыңғырлануы күшті қарсыластың беделін сақтауға көмектеседі: ақпаратты қорғаудың әлеуетін түсіну неғұрлым қиын болса, компания шабуылдаушылардың көз алдында соғұрлым алынбайды.

3. «Пайдалы» ұйымның бейнесі. Егер әлеуетті агрессор компанияның өміршеңдігіне мүдделі болса, ақпараттық шабуылдың орнына диалог және ақпараттық қауіпсіздіктің ортақ саясатын қалыптастыру мүмкін.

Әрбір кәсіпорын заң нормаларын сақтай отырып, алға қойған мақсатына жетуге ұмтыла отырып, өз қызметін ұйымдастырады. Ұқсас критерийлер ақпараттық қауіпсіздік саясатын әзірлеу, құпия деректер мен АТ-ресурстардың ішкі қауіпсіздік жүйелерін енгізу және пайдалану кезінде де сәйкес келеді. Қорғау жүйелерін енгізгеннен кейін ұйымда ақпараттық қауіпсіздіктің мүмкін болатын ең жоғары деңгейін қамтамасыз ету үшін қажет болған жағдайда қауіпсіздік компоненттерін жүйелі түрде бақылау, қайта конфигурациялау және жаңарту қажет.

Стратегиялық объектілерді ақпаратты қорғау

2017 жылдың басында Ресей Федерациясының Мемлекеттік Думасы ақпараттық қауіпсіздік пен елдің маңызды ақпараттық инфрақұрылымына қатысты заң жобалары пакетін бірінші оқылымда қабылдады.

негізгі көздері ақпараттық қауіптерРесей Федерациясының әскери саласында.

бойынша Парламент комитетінің төрағасы ақпараттық саясат, ақпараттық технологиялар және коммуникациялар Леонид Левин заң жобаларын таныстыра отырып, стратегиялық маңызды нысандарға кибершабуылдар санының артатынын ескертті. Комитет отырысында ФСБ өкілі Николай Мурашов бір жыл ішінде Ресейдегі нысандарға 70 миллион кибершабуыл жасалғанын айтты. Сыртқы шабуыл қаупінің өсуімен бір мезгілде ел ішіндегі ақпараттық шабуылдардың ауқымы, күрделілігі және үйлестіру деңгейі артып келеді.

Парламентарийлер қабылдаған заң жобалары ұлттық маңызды инфрақұрылым және жекелеген салалар саласында ақпарат беру үшін құқықтық негіз жасайды. Сонымен қатар, заң жобалары ақпараттық қауіпсіздік саласындағы мемлекеттік органдардың өкілеттіктерін белгілейді және ақпараттық қауіпсіздікті бұзғаны үшін қылмыстық жауапкершілікті күшейтуді көздейді.

Зерттеудің мақсаты: ресейлік ақпараттық қауіпсіздік нарығындағы негізгі тенденцияларды талдау және анықтау
Росстат деректері (статистикалық есеп берудің No 3-Информ, П-3, П-4 нысандары), кәсіпорындардың бухгалтерлік есептері және т.б.

Ұйымдардың ақпараттық-коммуникациялық технологияларды және ақпараттық қауіпсіздік құралдарын пайдалануы

  • Осы бөлімді дайындау үшін біріктірілген, аумақтық бөлек бөлімшелер мен өкілдіктер пайдаланылды (3-нысан – Ақпарат «Ақпараттық-коммуникациялық технологияларды пайдалану және өндіріс туралы ақпарат есептеу техникасы, осы салалардағы бағдарламалық қамтамасыз ету және қызметтер».

2012-2016 жылдар аралығы талданды. Деректер толық емес (кәсіпорындардың шектеулі санынан жиналғандықтан), бірақ, біздің ойымызша, оны тенденцияларды бағалау үшін пайдалануға болады. Қарастырылып отырған кезеңде респондент-кәсіпорындардың саны 200-ден 210 мыңға дейін болды. Яғни, іріктеу айтарлықтай тұрақты және сатудың негізгі бөлігін құрайтын ең ықтимал тұтынушыларды (ірі және орта кәсіпорындар) қамтиды.

Ұйымдарда дербес компьютерлердің болуы

3-Ақпарат статистикалық есептілік нысанына сәйкес 2016 ж ресейлік ұйымдар, бұл пішін бойынша ақпарат берген, шамамен 12,4 миллион бірлік болды дербес компьютерлер(ДК). ДК деп, бұл жағдайда біз жұмыс үстелі және ноутбук компьютерлерін айтамыз, бұл ұғым ұялы телефонды қамтымайды Ұялы телефондаржәне қалталы дербес компьютерлер.

Соңғы 5 жылда жалпы Ресейдегі ұйымдардағы ДК бірліктерінің саны 14,9%-ға өсті.Ең жабдықталған федералды округ Орталық федералды округ болып табылады, ол компаниялардағы дербес компьютерлердің 30,2% құрайды. Бұл көрсеткіш бойынша сөзсіз көшбасшы - Мәскеу қаласы, 2016 жылғы мәліметтер бойынша Мәскеу компанияларында шамамен 1,8 миллион ДК бар. Көрсеткіштің ең төменгі мәні Солтүстік Кавказ федералды округінде байқалды, аудандық ұйымдарда шамамен 300 мың бірлік ДК бар, ең аз саны Ингушетия Республикасында - 5,45 мың бірлік.

Күріш. 1. Ұйымдардағы дербес компьютерлер саны, Ресей, млн.

Ақпараттық-коммуникациялық технологияларға ұйымдастыру шығындары

2014-2015 жылдар аралығында. қолайсыз экономикалық жағдайға байланысты ресейлік компаниялар өз шығындарын, соның ішінде ақпарат пен шығындарды барынша азайтуға мәжбүр болды коммуникациялық технологиялар. 2014 жылы АКТ шығындарының қысқаруы 5,7%-ды құрады, бірақ 2015 жылдың қорытындысы бойынша аздаған оң динамика байқалды. 2016 жылы ресейлік компаниялардың ақпараттық-коммуникациялық технологияларға жұмсаған шығыны 1,25 трлн. рубль болды, бұл дағдарысқа дейінгі 2013 жылғы көрсеткіштен 0,3%-ға артық.

Шығындардың негізгі бөлігі Мәскеуде орналасқан компанияларға тиесілі - 590 миллиард рубльден астам немесе жалпы көлемнің 47,2%. 2016 жылы ұйымдардың ақпараттық-коммуникациялық технологияларға жұмсаған шығындарының ең көп көлемі: Мәскеу облысында – 76,6 млрд рубль, Санкт-Петербургте – 74,4 млрд рубль, Тюмень облысы– 56,0 млрд рубль, Татарстан Республикасы – 24,7 млрд рубль, Нижний Новгород облысы – 21,4 млрд рубль. Ең аз шығындар Ингушетия Республикасында белгіленді - 220,3 миллион рубль.

Күріш. 2. Ақпараттық-коммуникациялық технологиялар бойынша компаниялардың шығындары, Ресей, миллиард рубль.

Ұйымдардың ақпаратты қорғау құралдарын пайдалануы

Соңғы уақытта ақпаратты қорғау құралдарын пайдаланатын компаниялар санының айтарлықтай өсуі байқалады. Олардың санының жылдық өсу қарқыны айтарлықтай тұрақты (2014 жылды қоспағанда) және жылына шамамен 11-19% құрайды.

Росстаттың ресми мәліметтері бойынша, Қазіргі уақытта ең танымал қорғау құралдары пайдаланушы аутентификациясының техникалық құралдары болып табылады (токендер, USB кілттері, смарт-карталар). 157 мыңнан астам компанияның 127 мыңы (81%) осы құралдарды ақпаратты қорғау ретінде пайдалануды көрсетті.

Күріш. 3. 2016 жылы ақпаратты қорғау құралдарын қолдану бойынша ұйымдарды бөлу, Ресей, %.

Ресми статистикаға сәйкес, 2016 жылы 161 421 компания әлемдік интернетті коммерциялық мақсатта пайдаланған. Интернетті коммерциялық мақсатта пайдаланатын және ақпаратты қорғау құралдарын пайдалануды көрсеткен ұйымдардың ішінде ең танымалы - электрондық цифрлық қолтаңба. Бұл құрал 146 000-нан астам компания немесе жалпы санның 91% қорғау құралы ретінде көрсетілген. Ақпараттық қауіпсіздік құралдарын пайдалану бойынша компаниялар келесідей бөлінді:

    • Электрондық құралдар цифрлық қолтаңба– 146 887 кәсіпорын;
    • Тұрақты түрде жаңартылады антивирустық бағдарламалар– 143 095 кәсіпорын;
    • Рұқсат етілмеген қол жеткізуді болдырмайтын бағдарламалық құрал немесе аппараттық құрал зиянды бағдарламажаһандық ақпараттық немесе жергілікті компьютерлік желілер(Брандмауэр) – 101 373 компания;
    • Спам сүзгісі – 86 292 компания;
    • Шифрлау құралдары – 86 074 компания;
    • Компьютерлік немесе желілік шабуылдарды анықтау жүйесі – 66 745 компания;
    • Қауіпсіздікті талдау және басқару процестерін автоматтандыруға арналған бағдарламалық құралдар компьютерлік жүйелер– 54 409 компания.

Күріш. 4-сурет. Ғаламдық желілер арқылы берілетін ақпаратты қорғау арқылы Интернетті коммерциялық мақсатта пайдаланатын компаниялардың таралуы, 2016 ж., Ресей, %.

2012-2016 жылдар аралығында интернетті коммерциялық мақсатта пайдаланатын компаниялардың саны 34,9%-ға өсті. 2016 жылы 155 028 компания жеткізушілермен және 110 421 компания тұтынушылармен байланысу үшін Интернетті пайдаланды. Жеткізушілермен байланысу үшін Интернетті пайдаланатын компаниялардың пайдалану мақсаты:

  • қажетті тауарлар (жұмыс, қызмет) және оларды жеткізушілер туралы ақпарат алу – 138 224 кәсіпорын;
  • ұйымның тауарларға (жұмыстарға, қызметтерге) қажеттіліктері туралы ақпарат беру – 103 977 кәсіпорын;
  • ұйымға қажетті тауарларға (жұмыстарға, қызметтерге) тапсырыстарды орналастыру (электрондық пошта арқылы жіберілген тапсырыстарды қоспағанда) – 95 207 кәсіпорын;
  • жеткізілген тауарлар (жұмыстар, қызметтер) үшін төлем – 89 279;
  • электронды өнімдерді алу – 62 940 кәсіпорын.

Тұтынушылармен байланысу үшін Интернетті пайдаланатын компаниялардың жалпы санынан пайдалану мақсаты көрсетілген:

  • ұйым, оның тауарлары (жұмыстары, қызметтері) туралы ақпарат беру – 101 059 кәсіпорын;
  • (жұмыстар, қызметтер) (электрондық пошта арқылы жіберілген тапсырыстарды қоспағанда) – 44 193 кәсіпорын;
  • тұтынушылармен электрондық есеп айырысуларды жүзеге асыру – 51 210 кәсіпорын;
  • электронды өнімдерді тарату – 12 566 кәсіпорын;
  • сатудан кейінгі қызмет көрсету (сервис) – 13 580 компания.

2016-2017 жылдардағы ақпараттық технологияларға арналған федералды атқарушы органдар бюджеттерінің көлемі мен динамикасы

Сәйкес Федералдық қазынашылық, 2017 жылға арналған бюджеттік міндеттемелер лимиттерінің жалпы көлемі, федералды атқарушы органдардың (бұдан әрі - федералды атқарушы орган) назарына 242 шығыстар түрінің кодексіне сәйкес «Тауарларды, жұмыстарды, қызметтерді сатып алу. ақпараттық-коммуникациялық технологиялар саласы» құрамайтын ақпарат тұрғысынан мемлекеттік құпия, 2017 жылғы 1 тамыздағы жағдай бойынша 115,2 млрд рубльді құрады, бұл 2016 жылы федералды атқарушы органдардың ақпараттық технологияларға бөлген бюджеттерінің жалпы сомасынан шамамен 5,1% жоғары (Байланыс министрлігінің мәліметтері бойынша 109,6 млрд рубль). Осылайша, жылдан жылға федералды ведомстволардың АТ бюджеттерінің жалпы көлемінің жалғасуымен өсу қарқыны төмендеді (2016 жылы АТ бюджеттерінің жалпы көлемі 2015 жылмен салыстырғанда 8,3%-ға өсті). Бола тұра ақпараттық-коммуникациялық технологиялар бөлімдеріне жұмсалатын шығыстар бойынша «бай» және «кедей» стратификациясы үнемі өсіп отыр.Бюджеттің көлемі бойынша ғана емес, сонымен қатар IT саласындағы жетістіктер деңгейі бойынша да сөзсіз көшбасшы Федералдық салық қызметі болып табылады. Биылғы жылы оның АКТ бюджеті 17,6 миллиард рубльден асады, бұл барлық федералды атқарушы билік органдарының бюджетінің 15 пайызынан астамын құрайды. Үздік бестіктің жалпы үлесі (ФТС, ПФР, Қазынашылық, Ішкі істер министрлігі, Байланыс министрлігі) 53%-дан астам.

Күріш. 5. 2017 жылы федералдық атқарушы органдардың ақпараттық-коммуникациялық технологиялар саласындағы тауарларды, жұмыстарды және қызметтерді сатып алуға бюджет шығыстарының құрылымы, %

Мемлекеттік және муниципалдық қажеттіліктер үшін бағдарламалық қамтамасыз етуді сатып алу саласындағы заңнамалық реттеу

2016 жылғы 1 қаңтардан бастап барлық мемлекеттік және муниципалды органдар, «Росатом» және «Роскосмос» мемлекеттік корпорациялары, мемлекеттік бюджеттен тыс қорларды басқару органдары, сондай-ақ талаптарға сәйкес сатып алуды жүзеге асыратын мемлекеттік және бюджеттік мекемелер федералды заң 2013 жылғы 5 сәуірдегі № 44-ФЗ «Мемлекеттік және муниципалдық қажеттіліктерді қанағаттандыру үшін тауарларды, жұмыстарды, көрсетілетін қызметтерді сатып алу саласындағы келісім-шарт жүйесі туралы» шет мемлекеттерден шығарылатын бағдарламалық қамтамасыз етуді енгізуге тыйым салуды сақтауға міндетті. мемлекеттік және муниципалдық қажеттіліктер үшін сатып алу мақсатында. Тыйым Ресей Федерациясы Үкіметінің 2015 жылғы 16 қарашадағы № 1236 «Мемлекеттік және муниципалдық қажеттіліктер үшін сатып алу мақсатында шет мемлекеттерден шыққан бағдарламалық қамтамасыз етуді енгізуге тыйым салуды белгілеу туралы» қаулысымен енгізілген. Бағдарламалық құралды сатып алғанда, жоғарыда аталған тұтынушылар сатып алу туралы хабарламада импорттық бағдарламалық құралды сатып алуға тыйым салуды нақты көрсетуі керек. Тыйым салу шарттың түріне қарамастан жүзеге асырылатын электрондық есептеуіш машиналарға және деректер базаларына арналған бағдарламаларды материалдық жеткізгіште және (немесе) сатып алуға қолданылады. электронды форматтабайланыс арналары арқылы, сондай-ақ оларға айрықша құқықтар бағдарламалық қамтамасыз етужәне осындай бағдарламалық құралды пайдалану құқықтары.

Клиенттер үшін импортталған бағдарламалық құралды сатып алуға рұқсат етілгенде, бірнеше ерекшеліктер бар.

  • Ресей Федерациясының дипломатиялық өкілдіктері мен консулдық мекемелерінің, Ресей Федерациясының халықаралық ұйымдар жанындағы сауда өкілдіктерінің шет мемлекеттің аумағында өз қызметін қамтамасыз ету үшін бағдарламалық қамтамасыз етуді және (немесе) оған құқықтарды сатып алуы;
  • туралы ақпарат және (немесе) сатып алу мемлекеттік құпияны құрайтын бағдарламалық қамтамасыз етуді және (немесе) оған құқықтарды сатып алу.

Барлық басқа жағдайларда, бағдарламалық қамтамасыз етуді сатып алмас бұрын, тапсырыс берушіге электронды есептеуіш машиналар мен деректер базаларына арналған ресейлік бағдарламалардың бірыңғай тізілімімен және электронды есептеуіш машиналар мен деректер базаларына арналған бағдарламалардың классификаторымен жұмыс істеу қажет.
Тізілімді уәкілетті федералды атқарушы орган ретінде қалыптастыруды және жүргізуді Ресейдің Телекоммуникация және бұқаралық коммуникациялар министрлігі жүзеге асырады.
2017 жылдың тамыз айының соңындағы жағдай бойынша тізілімге 98 ресейлік әзірлеуші ​​компаниялардың «ақпараттық қауіпсіздік құралдары» класына жататын 343 бағдарламалық өнімі енгізілген.Олардың қатарында бағдарламалық өнімдерірі ресейлік әзірлеушілер:

  • «Ақпараттық технологиялар және коммуникациялық жүйелер» ААҚ (InfoTeKS) – 37 бағдарламалық өнім;
  • «Касперский зертханасы» АҚ — 25 бағдарламалық өнім;
  • «Security Code» ЖШС — 19 бағдарламалық өнім;
  • Crypto-Pro LLC — 18 бағдарламалық өнім;
  • «Doctor WEB» ЖШС — 12 бағдарламалық өнім;
  • «S-Terra CSP» ЖШС — 12 бағдарламалық өнім;
  • ЖАО Аладдин Р.Д. — 8 бағдарламалық өнім;
  • «Infowatch» АҚ — 6 бағдарламалық өнім.

Ақпараттық қауіпсіздік саласындағы ірі ойыншылардың қызметін талдау

  • Осы зерттеуді дайындау үшін ақпараттық қауіпсіздік нарығындағы ірі ойыншылардың қызметін талдау үшін негізгі ақпарат ретінде ақпараттық-коммуникациялық қызмет саласындағы мемлекеттік сатып алулар және, атап айтқанда, ақпараттық қауіпсіздік туралы ақпарат пайдаланылды.

Трендтерді талдау үшін біз ақпараттық қауіпсіздік нарығындағы көшбасшылар қатарына кіретін және мемлекеттік сатып алуларға белсенді қатысатын 18 компанияны таңдадық. Тізімге бағдарламалық қамтамасыз етуді және бағдарламалық-аппараттық құралдарды қорғау жүйелерін әзірлеушілер, сонымен қатар ең ірі жүйелік интеграторлар кіреді. Бұл компаниялардың жалпы кірісі 2016 жылы 162,3 миллиард рубльді құрап, 2015 жылғы көрсеткіштен 8,7%-ға асып түсті.
Төменде зерттеу үшін таңдалған компаниялардың тізімі берілген.

қойындысы. 1. Зерттеу үшін таңдалған компаниялар

Аты ҚАЛАЙЫ Әрекет түрі (OKVED 2014)
1 «I-Teco» АҚ 7736227885 Компьютерді пайдалануға байланысты іс-әрекеттер және ақпараттық технологиялар, басқа (62.09)
2 Croc Incorporated, ЖАҚ 7701004101
3 «Информзащита», ЖАҚ ҰИП 7702148410 Әлеуметтік-гуманитарлық ғылымдар саласындағы зерттеулер мен әзірлемелер (72.20)
4 «Softline Trade» АҚ 7736227885
5 Technoserv AS, LLC 7722286471 Басқа машиналар мен жабдықтардың көтерме саудасы (46,69)
6 «Элвис-плюс» АҚ 7735003794
7 «Астерос» АҚ 7721163646 Компьютерлерді, компьютерлерге арналған перифериялық құрылғыларды және бағдарламалық қамтамасыз етуді көтерме сату (46.51
8 Aquarius Production Company, LLC 7701256405
9 Ланит, ЖАҚ 7727004113 Басқа кеңсе машиналары мен жабдықтарының көтерме саудасы (46,66)
10 Jet Infosystems, ЖАҚ 7729058675 Компьютерлерді, қосымша құрылғыларды және бағдарламалық қамтамасыз етуді көтерме сату (46.51)
11 «Диалогнаука» АҚ 7701102564 Компьютерлік бағдарламалық қамтамасыз етуді әзірлеу (62.01)
12 «Фактор-ТС», ЖШҚ 7716032944 Компьютер өндірісі және перифериялық жабдық (26.20)
13 «InfoTeKS», ААҚ 7710013769 Компьютерлік бағдарламалық қамтамасыз етуді әзірлеу (62.01)
14 Орал қауіпсіздік жүйелері орталығы, ЖШҚ 6672235068 Сәулет, инженерлік іздестіру және осы салаларда техникалық консультациялар беру саласындағы қызмет (71.1)
15 «ICL-KPO VS» АҚ 1660014361 Компьютерлік бағдарламалық қамтамасыз етуді әзірлеу (62.01)
16 «NVision Group» АҚ 7703282175 Мамандандырылған емес көтерме сауда (46,90)
17 Confident-integration, LLC 7811512250 Деректерді өңдеу қызметі, ақпаратты орналастыру қызметтерін ұсыну және соған байланысты қызмет (63.11)
18 «Калуга Астраль», ЖАҚ 4029017981 Кеңес беру қызметі және даладағы жұмыс компьютерлік технология (62.02

2017 жылдың қазан айының аяғында ұсынылған үлгідегі компаниялар мемлекеттік органдармен 24,6 миллиард рубльге 1034 келісім-шарт жасасты. Жетекші бұл тізімжасалған келісім-шарттар көлемі бойынша, I-Teco – 74 келісім-шарт құны 7,5 млрд.
Өткен жылдарда, дағдарысты 2014 жылды қоспағанда, іріктелген компаниялар бойынша келісім-шарттардың жалпы көлемінің тұрақты өсуін атап өтуге болады. Ең маңызды динамика 2015-2016 жылдар аралығына келеді. Мәселен, 2015 жылы келісім-шарттар көлемі 3,5 еседен астам, 2016 жылы 1,5 есе өскен. 2017 жылғы қаңтар-қазан кезеңіндегі компаниялардың мердігерлік қызметі туралы қолда бар деректерге сәйкес, 2017 жылы мемлекеттік органдармен жасалған келісім-шарттардың жалпы көлемі шамамен 37-38 миллиард рубльді құрайды, яғни шамамен 2017 жылға дейін төмендейді деп болжауға болады. 40% күтілуде.

Ақпараттық қауіпсіздік шығындарын негіздеудің екі негізгі тәсілі бар.

Ғылыми көзқарас. Бұл үшін компания басшылығын (немесе оның иесін) ақпараттық ресурстардың құнын бағалауға, ақпаратты қорғау саласындағы бұзушылықтардан ықтимал залалды бағалауды анықтауға тарту қажет.

1. Ақпараттың құны төмен болса, компанияның ақпараттық активтеріне елеулі қатерлер болмаса, ал ықтимал зиян аз болса, ақпараттық қауіпсіздік аз қаржыландыруды қажет етеді.

2. Егер ақпарат белгілі бір құндылыққа ие болса, қауіптер мен ықтимал залал елеулі және анықталған болса, онда ақпараттық қауіпсіздіктің ішкі жүйесіне шығындарды бюджеттеу мәселесі туындайды. Бұл жағдайда оны салу қажет корпоративтік жүйеақпаратты қорғау.

Практикалық тәсілбасқа салалардағы ұқсас жүйелерге негізделген корпоративтік ақпаратты қорғау жүйесінің нақты құнының нұсқасын анықтаудан тұрады. Ақпараттық қауіпсіздік мамандары ақпараттық қауіпсіздік жүйесінің құны корпоративтік құнының шамамен 10-20% болуы керек деп санайды. ақпараттық жүйе, ақпараттық қауіпсіздік режиміне қойылатын нақты талаптарға байланысты.

Ақпараттық қауіпсіздіктің «үздік тәжірибе» режимін қамтамасыз ету бойынша жалпы қабылданған талаптар (негізделген практикалық тәжірибе), ISO 17799 сияқты бірқатар стандарттарда ресімделген, ақпараттық қауіпсіздік жүйесінің тиімділігін бағалаудың нақты әдістерін әзірлеу кезінде тәжірибеге енгізіледі.

Қолдану заманауи әдістерАқпараттық қауіпсіздік шығындарының сметасы ұйымның ақпараттық активтерінің барлық шығыс бөлігін, соның ішінде аппараттық құралдарға тікелей және жанама шығындарды есептеуге мүмкіндік береді. бағдарламалық қамтамасыз ету, ұйымдастыру шаралары, қызметкерлерді оқыту және олардың біліктілігін арттыру, қайта ұйымдастыру, бизнесті қайта құру және т.б.

Олар қолданыстағы корпоративтік қауіпсіздік жүйелерінің экономикалық тиімділігін дәлелдеу және ақпараттық қауіпсіздік қызметінің басшыларына ақпараттық қауіпсіздікті қамтамасыз ету бюджетін негіздеуге мүмкіндік беру, сондай-ақ тиісті қызмет қызметкерлерінің жұмысының тиімділігін дәлелдеу үшін қажет. Шетелдік компаниялар қолданатын шығындарды бағалау әдістері мыналарға мүмкіндік береді:

Таратылған қауіпсіздік деңгейі туралы барабар ақпаратты алыңыз есептеу ортасыжәне корпоративтік ақпараттық қауіпсіздік жүйесін иеленудің жалпы құны.

Ұйымның ақпараттық қауіпсіздік бөлімдерін бір-бірімен және саладағы басқа ұйымдардың ұқсас бөлімдерімен салыстырыңыз.

Ұйымның ақпараттық қауіпсіздігіне инвестицияларды оңтайландыру.


Ақпараттық қауіпсіздік жүйесіне қатысты шығындарды бағалаудың ең танымал әдістерінің бірі әдіс болып табылады жалпы иелену құны (ТШО)компания Gartner Group ТШО көрсеткіші бір жыл ішінде корпоративтік ақпаратты қорғау жүйесін ұйымдастыруға (қайта ұйымдастыруға), пайдалануға және техникалық қызмет көрсетуге жұмсалған тікелей және жанама шығындардың сомасы ретінде түсініледі. Ол корпоративтік ақпараттық қауіпсіздік жүйесінің өмірлік циклінің барлық дерлік негізгі кезеңдерінде қолданылады және нақты ұйымдастыру-техникалық шаралар мен ақпаратты қорғау құралдарын енгізу мен пайдаланудың экономикалық орындылығын объективті және тәуелсіз негіздеуге мүмкіндік береді. Шешімнің объективтілігі үшін сонымен қатар кәсіпорынның сыртқы және ішкі ортасының жай-күйін, мысалы, кәсіпорынның технологиялық, кадрлық және қаржылық дамуының көрсеткіштерін қосымша ескеру қажет.

Белгілі бір ТШО көрсеткішін саладағы ұқсас ТШО көрсеткіштерімен (ұқсас компаниялармен) салыстыру ұйымның ақпараттық қауіпсіздікті қамтамасыз ету шығындарын объективті және тәуелсіз негіздеуге мүмкіндік береді. Өйткені, бұл шығындардың тікелей экономикалық әсерін бағалау өте қиын немесе тіпті мүмкін емес дерлік болып шығады.

Ақпараттық қауіпсіздік жүйесін иеленудің жалпы құны әдетте келесі шығындардан тұрады:

жобалау жұмыстары,

Бағдарламалық құралды сатып алу және орнату техникалық құралдарқорғау, оның ішінде келесі негізгі топтар: желіаралық қалқандар, криптографиялық құралдар, антивирустар және AAA (аутентификация, авторизация және басқару құралдары),

физикалық қауіпсіздік шығындары,

Қызметкерлерді оқыту,

Жүйені басқару және қолдау (қауіпсіздікті басқару),

Ақпараттық қауіпсіздік аудиті, - ақпараттық қауіпсіздік жүйесін кезеңді түрде жаңарту.

Дегенмен, тікелей шығындарға күрделі шығындардың құрамдас бөліктері де (негізгі құралдармен немесе «мүлікпен» байланысты) және өндірістік және басқару кезінде есепке алынатын еңбек шығындары кіреді. Бұған қызмет көрсету шығындары да кіреді. қашықтағы пайдаланушыларжәне ұйымның қызметін қолдауға қатысты басқалар.

Өз кезегінде жанама шығындар корпоративтік ақпараттық жүйенің және ақпаратты қорғаудың ішкі жүйесінің ұйым қызметкерлеріне әсерін, корпоративтік ақпаратты қорғау жүйесінің және тұтастай алғанда ақпараттық жүйенің тоқтап қалуы және «қатып қалуы» сияқты өлшенетін көрсеткіштер арқылы көрсетеді. операциялар мен қолдау көрсету (тікелей шығындарға байланысты емес). ). Көбінесе жанама шығындар маңызды рөл атқарады, өйткені олар әдетте ақпараттық қауіпсіздік бюджетінде көрсетілмейді, бірақ кейінірек шығындар талдауында анықталады.

Ұйымның ТШО көрсеткіштерін есептеу келесі бағыттар бойынша жүргізіледі.

Корпоративтік ақпараттық жүйенің құрамдас бөліктері(ақпараттық қауіпсіздік жүйесін қоса алғанда) және ұйымның ақпараттық актілері (серверлер, клиенттік компьютерлер, перифериялық құрылғылар, желілік құрылғылар).

Аппараттық және бағдарламалық қамтамасыз етудің ақпараттық қауіпсіздігін қамтамасыз етуге арналған шығыстар : Шығыс материалдарыжәне амортизациялық шығыстар не серверлер, не клиенттік компьютерлер (үстелдік компьютерлер және мобильді компьютерлер), перифериялық құрылғылар және желі құрамдастары.

Ақпараттық қауіпсіздікті ұйымдастыруға кететін шығындар:ақпараттық қауіпсіздік жүйесіне, стандартты қауіпсіздік құралдарына қызмет көрсету перифериялық құрылғылар, серверлер, желілік құрылғылар, ақпаратты қорғау процестерін жоспарлау және басқару, тұжырымдама мен қауіпсіздік саясатын әзірлеу және т.б.

Ақпараттық жүйенің жұмысына арналған шығындарСхемалар: тікелей персонал шығындары, еңбек шығындары және тұтастай алғанда ұйым немесе қызметті жүзеге асыру үшін шеккен аутсорсинг техникалық көмекжәне пайдаланушылар үшін инфрақұрылымды жөндеу операциялары.

Әкімшілік шығындар: персоналға тікелей шығындар, қызметті қолдау және ішкі/сыртқы жеткізушілердің (жеткізушілердің) операцияларды қолдауға арналған шығындары, соның ішінде ақпараттық жүйелерді басқару, қаржыландыру, сатып алу және оқыту.

Түпкі пайдаланушының транзакциялық шығындары: түпкі пайдаланушының өзін-өзі қамтамасыз ету шығындары, соңғы пайдаланушыны ресми оқыту, кездейсоқ (бейресми) оқыту, өзін-өзі басқару қолданбалы әзірлемелер, жергілікті файлдық жүйені қолдау.

Тоқтап тұру шығындары: жоспарлы және жоспардан тыс тоқтаулардан соңғы пайдаланушы өнімділігінің жылдық жоғалуы желі ресурстарысоның ішінде клиенттік компьютерлер, ортақ серверлер, принтерлер, қолданбалы бағдарламалар, байланыс ресурстары және коммуникациялық бағдарламалық қамтамасыз ету.

2018-08-21T12:03:34+00:00

Ірі коммерциялық компаниялар жыл сайынғы табысының шамамен 1%-ын өз бизнесінің физикалық қауіпсіздігін қамтамасыз етуге жұмсайды. Кәсіпорынның қауіпсіздігі технология мен өндіріс құралдарымен бірдей ресурс болып табылады. Бірақ деректер мен қызметтерді цифрлық қорғауға келгенде қаржылық тәуекелдер мен қажетті шығындарды есептеу қиынға соғады. Біз сізге киберқауіпсіздікке АТ бюджетінен қанша ақша бөлуге орынды екенін айтамыз, олардан бас тартуға болатын құралдардың ең аз жиынтығы бар ма.

Ақпараттық қауіпсіздік шығындары өсуде

Бүкіл әлем бойынша коммерциялық ұйымдар, сәйкесесеп беру Gartner 2017 жылы бағдарламалық қамтамасыз етуді, мамандандырылған қызметтерді және аппараттық құралдарды қоса алғанда, киберқауіпсіздікке шамамен 87 миллиард доллар жұмсады. Бұл 2016 жылмен салыстырғанда 7 пайызға артық. Биыл бұл көрсеткіш 93 миллиардқа жетсе, келесі жылы 100-ден асады деп күтілуде.

Сарапшылардың пікірінше, Ресейдегі ақпараттық қауіпсіздік қызметтері нарығының көлемі шамамен 55-60 миллиард рубльді (шамамен 900 мың доллар) құрайды. Оның 2/3 бөлігі мемлекеттік тапсырыстармен жабылған. Корпоративтік секторда мұндай шығындардың үлесі кәсіпорынның нысанына, географиясына және қызмет саласына қатты тәуелді.

Орташа алғанда отандық банктер мен қаржы институттарыинвестициялау олардың киберқауіпсіздігінде жылына 300 миллион рубль, өнеркәсіпшілер - 50 миллионға дейін, желілік компаниялар (бөлшек сауда) - 10-нан 50 миллионға дейін.

Бірақ өсу көрсеткіштері Ресей нарығыБірнеше жыл бойы киберқауіпсіздік деңгейі әлемдік масштабтағыдан 1,5-2 есе жоғары. 2017 жылы өсім 2016 жылмен салыстырғанда 15% (клиенттердің ақшасы бойынша) құрады. 2018 жылдың соңында ол одан да берік болуы мүмкін.

Жоғары өсу қарқыны нарықтың жалпы жандануымен және ұйымдардың назарының күрт артуымен түсіндіріледі нақты қауіпсіздіконың IT инфрақұрылымы және деректер қауіпсіздігі. Ақпараттық қауіпсіздік жүйесін құру шығындары енді инвестиция ретінде қарастырылады, олар қалдық негізінде ғана алынбай, алдын ала жоспарланады.

Позитивті технологияларерекшеліктер өсудің үш драйвері:

  1. Соңғы 1,5-2 жылдағы атышулы оқиғалар бүгінгі күні тек жалқаулардың кәсіпорынның қаржылық тұрақтылығы үшін ақпараттық қауіпсіздік рөлін түсінбейтіндігіне әкелді. Әрбір бесінші топ-менеджер өз бизнесінің контекстіндегі практикалық қауіпсіздікке қызығушылық танытады.

Өткен жыл бастауышты елемейтін бизнес үшін ғибратты болды . Болмауы нақты жаңартуларжәне осалдықтарға назар аудармай жұмыс істеу әдеті Франциядағы Renault, Жапониядағы Honda және Nissan зауыттарының тоқтап қалуына әкелді; банктер, энергетика және телекоммуникация компаниялары зардап шекті. Мысалы, Maersk үшін бұл бір уақытта 300 миллион долларды құрады.

  1. WannaCry, NotPetya және Bad Rabbit ransomware эпидемиялары отандық компанияларға өзін қауіпсіз сезіну үшін антивирустар мен желіаралық қалқандарды орнату жеткіліксіз екенін үйретті. Бізге кешенді стратегия, АТ-активтерімізді түгендеу, бөлінген ресурстар, қауіп-қатерге қарсы әрекет ету стратегиясы қажет.
  2. Белгілі бір мағынада үнді барлық саланы (денсаулық сақтау мен білім беруден бастап көлік пен қаржыға дейін) қамтитын цифрлық экономикаға бағытты жариялаған мемлекет белгілейді. Бұл саясат тұтастай алғанда АТ секторының өсуіне, атап айтқанда, ақпараттық қауіпсіздікке тікелей әсер етеді.

Ақпаратты қорғаудағы осалдықтардың бағасы

Мұның бәрі тағылымды, бірақ әрбір бизнес - бірегей тарих. Компанияның жалпы ІТ-бюджетінен ақпараттық қауіпсіздікке қанша қаражат жұмсау керек деген сұрақ дұрыс болмаса да, тапсырыс берушінің көзқарасы бойынша ең өзекті мәселе болып табылады.

Канадалық нарық мысалында IDC халықаралық зерттеу компаниясықоңыраулар ұйымдағы жалпы АТ бюджетінің киберқауіпсіздігіне инвестицияның оңтайлы 9,8-13,7%. Яғни, қазір канадалық бизнес осы қажеттіліктерге орташа есеппен шамамен 10% жұмсайды (бұл салауатты компанияның көрсеткіші деп саналады), бірақ сауалнамаларға қарағанда, 14% -ға жақындағысы келеді.

Компаниялардың өздерін тыныштықты сезіну үшін ақпараттық қауіпсіздікке қанша ақша жұмсау керектігін болжаудың мағынасы жоқ. Бүгінгі күні киберқауіпсіздік инциденттерінен болатын тәуекелдерді бағалау физикалық қауіптерден болатын шығындарды есептеуден қиын емес. Жаһандық барстатистика , соған сәйкес:

  • Хакерлердің шабуылдары әлемдік экономикаға жыл сайын 110 миллиард доллардан астам шығын келтіреді.
  • Шағын бизнес үшін әрбір оқиға орта есеппен 188 000 долларды құрайды.
  • 2016 жылы жасалған бұзулардың 51%-ы мақсатты, яғни белгілі бір компанияға қарсы қылмыстық топтар ұйымдастырған.
  • Шабуылдардың 75%-ы материалдық зиян келтіру мақсатында, қаржылық себептермен жасалады.

2018 жылдың көктемінде Касперский зертханасы кең ауқымды шарасын өткіздіоқу . Бүкіл әлем бойынша компанияның 6000 маманы арасында жүргізілген сауалнамаға сәйкес, корпоративтік желілерді бұзу және деректердің ағып кетуінен келтірілген залал соңғы екі жылда 20-30%-ға өсті.

Коммерциялық ұйымдар үшін 2018 жылдың ақпан айында залалдың орташа құны көлеміне, қызмет саласына қарамастан 1,23 млн долларды құрады. ШОБ үшін адам қатесі немесе сәтті хакерлік әрекет 120 000 доллар тұрады.

Ақпараттық қауіпсіздіктің техникалық-экономикалық негіздемесі

Кәсіпорында ақпараттық қауіпсіздікті ұйымдастыруға қажетті қаржылық ресурстарды дұрыс бағалау үшін техникалық-экономикалық негіздеме жасау қажет.

  1. Біз АТ-инфрақұрылымына түгендеу жүргіземіз және тәуекелдерді бағалаймыз, маңыздылығының кему ретімен осалдықтардың тізімін жасаймыз. Бұған сонымен қатар беделді жоғалтулар (сақтандыру тарифтерінің өсуі, несиелік рейтингтің төмендеуі, қызмет көрсетудің тоқтап қалу құны), жүйені қалпына келтіру құны (аппараттық және бағдарламалық қамтамасыз етуді жаңарту) кіреді.
  2. Біз ақпараттық қауіпсіздік жүйесі шешуге тиіс міндеттерді белгілейміз.
  3. Жабдықтарды, мәселелерді шешуге арналған құралдарды таңдаймыз, оның құнын анықтаймыз.

Егер компанияның киберқауіпсіздік қауіптері мен тәуекелдерін бағалау құзыреті болмаса, сіз әрқашан ақпараттық қауіпсіздік аудитіне тапсырыс бере аласыз. Бүгінгі күні бұл процедура қысқа, арзан және ауыртпалықсыз.

өнеркәсіптік компаниялармен жоғары деңгейпроцестерді автоматтандыру бойынша мамандарұсыну адаптивті қауіпсіздік архитектурасы үлгісін қолданыңыз (Адаптивті қауіпсіздік архитектурасы) 2014 жылы Gartner ұсынған. Ол қатерлерді анықтау және әрекет ету құралдарына көбірек назар аудара отырып, ақпараттық қауіпсіздік шығындарын дұрыс қайта бөлуге мүмкіндік береді және АТ-инфрақұрылымын мониторингілеу және талдау жүйесін енгізуді көздейді.

Шағын компаниялар үшін киберқауіпсіздік қанша тұрады

Capterra блогының авторлары шешім қабылдадыесептеу , пайдаланудың бірінші жылында шағын және орта бизнес үшін ақпаратты қорғау жүйесі орта есеппен қанша тұрады. Бұл үшін ол таңдалдытізім нарықтағы 50 танымал «қораптағы» ұсыныстар.

Баға диапазоны айтарлықтай үлкен екені белгілі болды: жылына $50-ден (тіпті шағын компаниялар үшін 2-3 тегін шешім бар) 6000 долларға дейін (бір пакеттер бар және әрқайсысы 24000, бірақ олар есептеуге кірмеген). Орташа алғанда, шағын бизнес негізгі киберқорғаныс жүйесін құру үшін 1400 доллар күтуі мүмкін.

Бизнес VPN немесе қауіпсіздік сияқты техникалық шешімдер ең арзан болады Электрондық пошта, ол белгілі бір қауіп түрлерінен (мысалы, фишинг) қорғауға көмектеседі.

Спектрдің екінші жағында оқиғаға «жетілдірілген» жауап беру және кешенді қорғау құралдары бар толыққанды бақылау жүйелері ұсынылған. Олар құтқаруға көмектеседі корпоративтік желіауқымды шабуылдардан және кейде тіпті олардың пайда болуын болжауға мүмкіндік береді, оларды ерте кезеңде тоқтату.

Компания ақпараттық қауіпсіздік жүйесі үшін төлемнің бірнеше үлгісін таңдай алады:

  • Бір лицензияның бағасы. Орташа бағасы 1000-2000 доллар немесе лицензия үшін 26-6000 доллар.
  • Бір пайдаланушыға арналған баға. Компаниядағы бір пайдаланушыға ақпараттық қауіпсіздік жүйесінің орташа құны $37 құрайды, спред айына бір адамға $4-тен $130-ға дейін ауытқиды.
  • Жалғанған құрылғының бағасы. Бұл модельдің орташа құны бір құрылғыға 2,25 долларды құрайды. Бағасы айына 0,96 доллардан 4,5 долларға дейін ауытқиды.

Ақпараттық қауіпсіздік құнын дұрыс есептеу үшін тіпті шағын компанияға тәуекелдерді басқару негіздерін енгізу қажет болады. Ең бірінші оқиға (веб-сайт, қызмет, төлем жүйесі), 24 сағат ішінде түзетілмейтін болса, бизнестің жабылуына әкелуі мүмкін.

Жоғарыда айтылғандай, кәсіпорынның қауіпсіздігі оның өмірлік циклінің барлық кезеңдеріндегі шаралар кешенімен, оның ақпараттық жүйесімен қамтамасыз етіледі және жалпы жағдайда ол келесі шығындардан тұрады:

  • - жобалау жұмыстары;
  • - бағдарламалық-аппараттық қорғаныс құралдарын сатып алу және баптау;
  • - физикалық қауіпсіздік шығындары;
  • - персоналды оқыту;
  • - жүйені басқару және қолдау;
  • - ақпараттық қауіпсіздік аудиті;
  • - ақпараттық қауіпсіздік жүйесін кезеңді түрде жаңарту және т.б.

Ақпараттық қауіпсіздікті қамтамасыз етудің интеграцияланған жүйесінің экономикалық тиімділігінің өзіндік құнының көрсеткіші жыл ішінде ақпараттық қауіпсіздік жүйесін ұйымдастыруға, пайдалануға және ұстауға жұмсалған тікелей және жанама шығындардың сомасы болады.

Оны компаниядағы ақпаратты қорғауды ұйымдастыру тиімділігінің негізгі сандық көрсеткіші ретінде қарастыруға болады, өйткені ол қорғаудың жалпы шығындарын бағалауға ғана емес, сонымен қатар кәсіпорын қауіпсіздігінің қажетті деңгейіне жету үшін осы шығындарды басқаруға мүмкіндік береді. Дегенмен, тікелей шығындар операциялық және басқару кезінде есепке алынатын күрделі шығындар құрамдастарын да, еңбек шығындарын да қамтиды. Бұған сонымен қатар ұйымның қызметін қолдауға байланысты қашықтағы пайдаланушы қызметтерінің және т.б. шығындар кіреді.

Өз кезегінде жанама шығындар корпоративтік ақпараттық қауіпсіздік жүйесінің және тұтастай интеграцияланған қауіпсіздік жүйесінің тоқтап қалуы және «қатып қалуы» сияқты өлшенетін көрсеткіштер арқылы біріктірілген қауіпсіздік жүйесі мен ақпаратты қорғау ішкі жүйесінің қызметкерлерге әсерін көрсетеді, операциялық шығындар мен қолдау көрсету.

Көбінесе жанама шығындар маңызды рөл атқарады, өйткені олар әдетте біріктірілген қауіпсіздік жүйесінің бюджетінде көрсетілмейді, бірақ кейінірек шығындарды талдау кезінде анық анықталады, бұл сайып келгенде, «жасырын» шығындардың өсуіне әкеледі. компания. Біріктірілген қауіпсіздік жүйесінің тікелей және жанама шығындарын қалай анықтауға болатынын қарастырыңыз. Кәсіпорын басшылығы кәсіпорында ақпараттық қауіпсіздіктің интеграцияланған жүйесін енгізу бойынша жұмыс істеп жатыр делік. Қорғаудың объектілері мен мақсаттары, ақпараттық қауіпсіздікке төнетін қатерлер және оларға қарсы іс-қимыл шаралары белгіленді, ақпаратты қорғаудың қажетті құралдары алынды және орнатылды.

Әдетте, ақпаратты қорғау шығындары келесі санаттарға бөлінеді:

  • - ақпараттық қауіпсіздік жүйесінің басқару буынын қалыптастыруға және ұстауға арналған шығындар;
  • - бақылау құны, яғни кәсіпорын ресурстарын қорғаудың қол жеткізілген деңгейін анықтау және растау;
  • - ақпараттық қауіпсіздіктің бұзылуының салдарын жоюға арналған ішкі шығындар – қауіпсіздіктің қажетті деңгейіне қол жеткізілмегендігінің нәтижесінде ұйым шеккен шығындар;
  • -ақпараттық қауіпсіздікті бұзудың салдарын жоюға арналған сыртқы шығындар – ақпараттың шығуына, компанияның имиджінің жоғалуына, серіктестер мен тұтынушылардың сенімін жоғалтуға және т.б. байланысты жағдайларда қауіпсіздік саясатын бұзу кезіндегі шығындарды өтеу;
  • - үшін шығындар техникалық қызмет көрсетуақпараттық қауіпсіздік жүйелері және кәсіпорынның қауіпсіздік саясатын бұзудың алдын алу шаралары.

Бұл жағдайда әдетте бір реттік және жүйелі шығындар бөлінеді.

Кәсіпорынның қауіпсіздігін қалыптастыруға арналған біржолғы шығындар: ұйымдастырушылық шығындар және қорғаныс құралдарын сатып алу және орнату шығындары.

Жүйелі, операциялық және техникалық қызмет көрсету шығындары. Шығындарды жіктеу шартты болып табылады, өйткені ақпаратты қорғау шығындарын жинау, жіктеу және талдау - ішкі әрекеттеркәсіпорындар, ал тізімді егжей-тегжейлі әзірлеу белгілі бір ұйымның сипаттамаларына байланысты.

Қауіпсіздік жүйесінің құнын анықтауда ең бастысы кәсіпорын ішіндегі шығындар баптары бойынша өзара түсіністік пен келісім болып табылады.

Сонымен қатар, шығындар санаттары біркелкі болуы керек және бір-біріне сәйкес келмеуі керек. Қауіпсіздік шығындарын толығымен жою мүмкін емес, бірақ оларды қолайлы деңгейге жеткізуге болады.

Қауіпсіздік шығындарының кейбір түрлері өте қажет, ал кейбіреулері айтарлықтай қысқартылуы немесе жойылуы мүмкін. Соңғылары қауіпсіздік бұзылыстары болмаған кезде жоғалып кетуі мүмкін немесе бұзушылықтардың саны мен деструктивті әсері азайған жағдайда төмендеуі мүмкін.

Қауіпсіздік сақталса және бұзушылықтардың алдын алса, келесі шығындарды жоюға немесе айтарлықтай азайтуға болады:

  • - қауіпсіздік талаптарына сәйкес қауіпсіздік жүйесін қалпына келтіру;
  • - кәсіпорынның ақпараттық ортасының ресурстарын қалпына келтіруге;
  • - қауіпсіздік жүйесінің ішіндегі өзгерістер үшін;
  • -құқықтық даулар және өтемақы төлеу туралы;
  • - қауіпсіздіктің бұзылуының себептерін анықтау.

Қажетті шығындар - бұл қауіпсіздік қатерлерінің деңгейі жеткілікті төмен болса да қажет. Бұл кәсіпорынның ақпараттық ортасының қауіпсіздіктің қол жеткізілген деңгейін қолдау шығындары.

Болдырмайтын шығындар мыналарды қамтуы мүмкін:

  • а) техникалық қорғаныс құралдарын ұстау;
  • б) құпия кеңсе жұмысы;
  • в) қауіпсіздік жүйесінің жұмысы және аудиті;
  • г) мамандандырылған ұйымдарды тарта отырып, тексерулер мен бақылаудың ең төменгі деңгейі;
  • д) персоналды ақпараттық қауіпсіздік әдістеріне оқыту.

Дегенмен, анықтау қиын басқа да шығындар бар. Олардың ішінде:

  • а) қосымша зерттеулер мен нарықтың жаңа стратегиясын әзірлеуге кеткен шығындар;
  • б) басымдықты төмендетуден болатын шығындар ғылыми зерттеулержәне ғылыми-техникалық жетістіктерге лицензияларды патенттеу және сату мүмкін еместігі;
  • в) өнімді жеткізудегі, өндірудегі және өткізудегі «тарылдарды» жоюмен байланысты шығындар;
  • г) кәсіпорын өндіретін өнімдердің бұзылуынан және оның бағасын төмендетуден болатын шығындар;
  • д) жабдықты немесе технологияларды сатып алуда қиындықтардың туындауы, оның ішінде оларға бағаның өсуі, жеткізілім көлемін шектеу.

Көрсетілген шығындар әртүрлі бөлімшелер қызметкерлерінің іс-әрекеттерінен туындауы мүмкін, мысалы, жобалау, технология, жоспарлау-экономикалық, заңгерлік, экономикалық, маркетингтік бөлім, тарифтік саясат және баға белгілеу.

Барлық осы бөлімдердің сыртқы шығындар мәселелерімен толық уақытты жұмыс істеуі екіталай болғандықтан, шығындар нақты жұмсалған уақытқа негізделуі керек. Сыртқы шығындар элементтерінің бірін дәл есептеу мүмкін емес – бұл кәсіпорынның имиджін түсіруге, кәсіпорынның өнімі мен қызметіне тұтынушылардың сенімін төмендетуге байланысты шығындар. Осы себепті көптеген корпорациялар өз қызметтерінің қауіпті екенін жасырады. Корпорациялар мұндай ақпараттың шығуынан сол немесе басқа нысандағы шабуылдардан да қорқады.

Дегенмен, көптеген кәсіпорындар бұл шығындарды ешқандай дәлдік дәрежесімен анықтау мүмкін емес деген негізде елемейді - олар тек алыпсатарлық. Алдын алу шығындары. Бұл шығындарды бағалау ең қиын болуы мүмкін, өйткені профилактикалық іс-шаралар әртүрлі бөлімшелерде жүргізіледі және көптеген қызметтерге әсер етеді. Бұл шығындар кәсіпорынның ақпараттық орта ресурстарының өмірлік циклінің барлық кезеңдерінде пайда болуы мүмкін:

  • - жоспарлау және ұйымдастыру;
  • - сатып алу және іске қосу;
  • - жеткізу және қолдау;
  • - ақпараттық технологияны құрайтын процестерді бақылау.

Бұған қоса, осы санаттағы шығындардың көпшілігі қауіпсіздік қызметкерлерінің жұмысына байланысты. Алдын алу шығындары негізінен жалақы мен үстеме шығындарды қамтиды. Дегенмен, оларды анықтаудың дәлдігі көп жағдайда әрбір қызметкердің жеке-жеке жұмсаған уақытын анықтаудың дәлдігіне байланысты. Кейбір алдын алу шығындарын тікелей анықтау оңай. Олар, атап айтқанда, үшінші тұлғалардың әртүрлі жұмыстары үшін төлемді қамтуы мүмкін, мысалы:

  • - бағдарламалық және аппараттық құралдарды қорғау құралдарына техникалық қызмет көрсету және конфигурациялау; операциялық жүйелержәне пайдаланылған желілік жабдық;
  • - дабыл жүйесін орнату, құпия құжаттарды сақтауды жабдықтау, қорғау бойынша инженерлік-техникалық жұмыстарды жүргізу телефон желілерібайланыс, компьютерлік құралдар және т.б.;
  • - құпия ақпаратты жеткізу;
  • - консультациялар;
  • - оқыту курстары.

Қарастырылатын шығындар туралы ақпарат көздері. Ақпараттық қауіпсіздікті қамтамасыз ету шығындарын анықтау кезінде мынаны есте сақтау қажет:

  • - бағдарламалық-техникалық құралдарды сатып алу және пайдалануға беру құнын шот-фактураларды талдау, қоймалық құжаттамадағы жазбаларды және т.б. алуға болады;
  • - ведомостардан персонал төлемдерін алуға болады;
  • - жалақы төлемдерінің мөлшері ақпаратты қорғау жөніндегі жұмысты орындауға жұмсалған нақты уақытты ескере отырып, егер қызметкердің уақытының бір бөлігі ғана ақпаратты қорғау жөніндегі іс-шараларға жұмсалса, онда оның уақыты құнының әрбір құрамдас бөлігін бағалаудың орындылығы ескерілуі керек. сұрақ қоюға болмайды;
  • - қауіпсіздік шығындарын жіктеу және оларды элементтер бойынша бөлу кәсіпорын ішіндегі күнделікті жұмыстың бір бөлігіне айналуы керек.
Мақала ұнады ма? Достарыңызбен бөлісіңіз!
Twitter
басып шығару
Бұл мақала пайдалы болды ма?
Иә
Жоқ
Пікіріңізге рахмет!
Бірдеңе дұрыс болмады және сіздің дауысыңыз есептелмеді.
Рақмет сізге. Сіздің хабарламаңыз жіберілді
Мәтіннен қате таптыңыз ба?
Оны таңдаңыз, басыңыз Ctrl+Enterжәне біз оны түзетеміз!
Қатысты кеңестер
Nike жарнамалық кодтары, жеңілдік купондары Nike жарнамалық кодтары дегеніміз не
Nike жарнамалық кодтары, жеңілдік купондары Nike жарнамалық кодтары дегеніміз не
Nike промо-кодтары Nike тарихы, қызметі және жеңілдіктері
Nike промо-кодтары Nike тарихы, қызметі және жеңілдіктері
Цифрлық теледидарға арналған жабдық - бұл біздің дүкеннен сатып алуға болатын ескі Tricolor теледидар жабдығын жаңасына ауыстырыңыз
Цифрлық теледидарға арналған жабдық - бұл біздің дүкеннен сатып алуға болатын ескі Tricolor теледидар жабдығын жаңасына ауыстырыңыз
Сымсыз динамиктер jbl сымсыз портативті bluetooth динамигі
Сымсыз динамиктер jbl сымсыз портативті bluetooth динамигі
Фотошопта стильді Photoshop қабаты стилінде қалай қолдануға болады
Фотошопта стильді Photoshop қабаты стилінде қалай қолдануға болады
Радиоқабылдағыштардағы және түтік күшейткішіндегі VLF желісінің фонындағы өздігінен қозуды анықтау және жою
Радиоқабылдағыштардағы және түтік күшейткішіндегі VLF желісінің фонындағы өздігінен қозуды анықтау және жою