Konfigurowanie sprzętu i oprogramowania

dom Photoshopa
Photoshopa

Koszty systemu bezpieczeństwa informacji. Bezpieczeństwo informacji: źródło kosztów czy inwestycja strategiczna? Rosną koszty bezpieczeństwa informacji

W zależności od kontekstu termin „bezpieczeństwo informacji” jest używany w różnych znaczeniach. W najszerszym znaczeniu koncepcja zakłada ochronę informacji poufnych, procesu produkcyjnego i infrastruktury firmy przed zamierzonymi lub przypadkowymi działaniami, które prowadzą do szkód finansowych lub utraty reputacji.

Zasady bezpieczeństwa informacji

W dowolnej branży podstawowa zasada bezpieczeństwa informacji jest utrzymanie równowagi interesów obywatela, społeczeństwa i państwa. Trudność w utrzymaniu równowagi polega na tym, że interesy społeczeństwa i obywatela często są ze sobą sprzeczne. Obywatel stara się zachować w tajemnicy szczegóły swojego życia osobistego, źródeł i poziomu dochodów oraz złych uczynków. Przeciwnie, społeczeństwo jest zainteresowane „odtajnianiem” informacji o nielegalnych dochodach, faktach dotyczących korupcji i czynach przestępczych. Państwo tworzy i zarządza mechanizmem odstraszającym, który chroni prawa obywateli do nieujawniania danych osobowych, a jednocześnie reguluje stosunki prawne związane z wykrywaniem przestępstw i pociąganiem sprawców przed wymiar sprawiedliwości.

Znaczenie we współczesnych warunkach zasada pomocy prawnej korzyści w zakresie bezpieczeństwa informacji, gdy wsparcie regulacyjne nie nadąża za rozwojem branży bezpieczeństwa informacji. Luki w przepisach pozwalają nie tylko uniknąć odpowiedzialności za cyberprzestępstwa, ale także utrudniają ich wdrażanie zaawansowane technologie Ochrona danych.

Zasada globalizacji , lub integracji systemów bezpieczeństwo informacji wpływa na wszystkie sektory: polityczny, gospodarczy, kulturalny. Rozwój międzynarodowych systemów komunikacji wymaga spójnego bezpieczeństwa danych.

Według zasada wykonalności ekonomicznej , skuteczność środków bezpieczeństwa informacji musi odpowiadać zużytym zasobom lub przekraczać je. Brak zwrotu kosztów utrzymania systemu bezpieczeństwa szkodzi jedynie postępowi.

Zasada elastyczności systemu ochrona informacji oznacza eliminację wszelkich ograniczeń reżimowych, które uniemożliwiają tworzenie i wdrażanie nowych technologii.

Ścisłe regulacje dotyczące poufności, nie otwarte informacje zakłada zasada zachowania tajemnicy .

Im więcej różnych narzędzi zabezpieczających sprzęt i oprogramowanie wykorzystuje się do ochrony danych, tym bardziej zróżnicowana jest wiedza i umiejętności atakujących, potrzebne do wykrycia luk w zabezpieczeniach i obejścia zabezpieczeń. Ma na celu wzmocnienie bezpieczeństwa informacji zasada różnorodności mechanizmy ochronne systemów informatycznych.

Zasada łatwości sterowania System bezpieczeństwa opiera się na założeniu, że im bardziej złożony jest system bezpieczeństwa informacji, tym trudniej jest zweryfikować spójność poszczególnych elementów i wdrożyć administrację centralną.

Kluczem do lojalnej postawy pracowników wobec bezpieczeństwa informacji jest ciągłe szkolenie w zakresie zasad bezpieczeństwa informacji i jasne wyjaśnianie konsekwencji nieprzestrzegania zasad, aż do upadłości firmy włącznie. Zasada lojalności Administratorzy systemów bezpieczeństwa danych oraz cały personel firmy kojarzą bezpieczeństwo z motywacją pracowników. Jeśli pracownicy, a także kontrahenci i klienci to zauważą bezpieczeństwo informacji Jako zjawisko niepotrzebne, a nawet wrogie, nawet najpotężniejsze systemy nie są w stanie zagwarantować bezpieczeństwa informacji w firmie.

Wymienione zasady stanowią podstawę zapewnienia bezpieczeństwa informacji we wszystkich branżach, która jest uzupełniana o elementy zależne od specyfiki branży. Spójrzmy na przykłady sektora bankowego, energetyki i mediów.

Banki

Rozwój technologii cyberataków wymusza na bankach wprowadzanie nowych i ciągłe doskonalenie podstawowe systemy bezpieczeństwo. Celem rozwoju bezpieczeństwa informacji w sektorze bankowym jest opracowanie rozwiązań technologicznych, które mogą zabezpieczyć zasoby informacyjne i zapewnić integrację najnowsze produkty IT w kluczowe procesy biznesowe instytucji finansowych i kredytowych.

Mechanizmy zapewniające bezpieczeństwo informacji instytucji finansowych budowane są zgodnie z ratyfikowanymi konwencjami i porozumieniami międzynarodowymi oraz przepisami i standardami federalnymi. Punktami odniesienia w zakresie bezpieczeństwa informacji dla rosyjskich banków są:

  • Standard Banku Rosji STO BR IBBS-1.0-2010 „Zapewnienie bezpieczeństwa informacji organizacji systemu bankowego Federacja Rosyjska»;
  • Ustawa federalna nr 161 „O krajowym systemie płatniczym”;
  • Ustawa federalna nr 152 „O danych osobowych”;
  • Standard bezpieczeństwa danych kart płatniczych PCI DSS i inne dokumenty.

Konieczność stosowania się do różnych przepisów i standardów wynika z faktu, że banki prowadzą wiele różnych operacji, działają w różnych obszarach, co wymaga własnych narzędzi bezpieczeństwa. Na przykład zapewnienie bezpieczeństwa informacji podczas zdalnych usług bankowych (RBS) obejmuje utworzenie infrastruktury bezpieczeństwa, która obejmuje środki ochrony aplikacji bankowych i kontrolę przepływu danych. monitorowanie transakcje bankowe i dochodzenia w sprawie incydentów. Ochrona wieloskładnikowa zasoby informacji zapewnia minimalizację zagrożeń związanych z oszustwami podczas korzystania z usług RBS, a także ochronę reputacji banku.

Bezpieczeństwo informacyjne sektora bankowego, podobnie jak innych branż, zależy od personel. Specyfiką bezpieczeństwa informacji w bankach jest zwiększone zainteresowanie specjalistami ds. bezpieczeństwa na poziomie regulacyjnym. Na początku 2017 roku Bank Rosji wraz z Ministerstwem Pracy i ochrona socjalna przy udziale FSTEC, Ministerstwa Edukacji i Nauki dla specjalistów ds. bezpieczeństwa informacji.

Jak prawidłowo przeprowadzić audyt bezpieczeństwa informacji w banku?

Energia

Kompleks energetyczny to jedna ze strategicznych branż, która wymaga szczególnych działań zapewniających bezpieczeństwo informacji. Jeśli w miejscach pracy w administracji i działach wystarczy standardowe środki Bezpieczeństwo informacji, a więc ochrona w obszarach technologicznych wytwarzania i dostarczania energii do odbiorców końcowych wymaga zwiększonej kontroli. Głównym przedmiotem ochrony w energetyce nie jest informacja, ale proces technologiczny. System bezpieczeństwa w tym przypadku musi zapewniać integralność procesu technologicznego i systemy automatyczne kierownictwo. Dlatego przed wdrożeniem mechanizmów bezpieczeństwa informacji w przedsiębiorstwach z branży energetycznej eksperci badają:

  • przedmiot ochrony – proces technologiczny;
  • urządzenia stosowane w energetyce (telemechanika);
  • powiązane czynniki ( zabezpieczenie przekaźnika, automatyka, pomiary energii).

Znaczenie bezpieczeństwa informacji w energetyce zdeterminowane jest konsekwencjami realizacji cyberzagrożeń informacyjnych. To nie tylko szkoda materialna czy cios w reputację, ale przede wszystkim uszczerbek na zdrowiu obywateli, zakłócenie środowiska, zakłócenie infrastruktury miasta lub regionu.

Projektowanie systemu bezpieczeństwa informacji w energetyce rozpoczyna się od przewidywania i oceny zagrożeń bezpieczeństwa. Główną metodą oceny jest modelowanie możliwych zagrożeń, co pomaga w racjonalnym rozdysponowaniu zasobów przy organizacji systemu bezpieczeństwa i zapobieganiu realizacji cyberzagrożeń. Ponadto ocenę zagrożeń bezpieczeństwa w energetyce cechuje ciągłość: audyty w trakcie pracy systemu prowadzone są w sposób ciągły, aby na bieżąco zmieniać ustawienia, aby zapewnić maksymalny stopień ochrony i aktualizować system.

Środki masowego przekazu

Głównym zadaniem bezpieczeństwa informacji w mediach jest ochrona interesów narodowych, w tym interesów obywateli, społeczeństwa i państwa. Działalność funduszy środki masowego przekazu we współczesnych warunkach sprowadza się to do tworzenia przepływów informacji w postaci wiadomości i materiałów dziennikarskich, które są odbierane, przetwarzane i wydawane konsumentom końcowym: czytelnikom, widzom, odwiedzającym serwis.

Zapewnienie i kontrola bezpieczeństwa w mediach masowych realizowana jest w kilku obszarach i obejmuje:

  • opracowanie zaleceń dotyczących postępowania antykryzysowego na wypadek zagrożenia atakiem informacyjnym;
  • programy szkoleniowe z zakresu bezpieczeństwa informacji dla pracowników redakcji medialnych, służb prasowych i działów public relations;
  • tymczasowa administracja zewnętrzna organizacji, które uległy atakowi informacyjnemu.

Kolejnym problemem bezpieczeństwa informacji w mediach jest stronniczość. Aby zapewnić obiektywną relację z wydarzeń, niezbędny jest mechanizm ochronny, który chroniłby dziennikarzy przed naciskami ze strony urzędników państwowych, kierownictwa i/lub właściciela mediów, a jednocześnie zabezpieczał działające w dobrej wierze struktury biznesowe przed działaniami nieuczciwych przedstawicieli mediów.

Kolejnym kamieniem węgielnym bezpieczeństwa informacji w sektorze medialnym jest ograniczanie dostępu do danych. Problem w tym, że ograniczanie dostępu do informacji w celu zapobiegania zagrożeniom informacyjnym nie staje się „przykrywką” dla cenzury. Rozwiązanie, które zwiększy przejrzystość mediów i pozwoli uniknąć szkody dla interesów bezpieczeństwa narodowego, zawarte jest w projekcie Konwencji o dostępie do zasobów informacyjnych, który oczekuje na głosowanie w Unii Europejskiej. Normy dokumentu zakładają, że państwo zapewnia równy dostęp do wszystkich dokumentów urzędowych poprzez tworzenie odpowiednich rejestrów w Internecie oraz ustala ograniczenia dostępu, których nie można zmienić. Istnieją tylko dwa wyjątki, które pozwolą znieść ograniczenia w dostępie do zasobów informacyjnych:

  • pożytek publiczny co oznacza możliwość upublicznienia nawet tych danych, które nie podlegają rozpowszechnianiu w normalnych warunkach;
  • Narodowy interes jeżeli zatajenie informacji spowodowałoby szkodę dla państwa.

Sektor prywatny

Wraz z rozwojem gospodarki rynkowej, wzrostem i zaostrzeniem konkurencji, reputacja firmy staje się nieodłączną częścią wartości niematerialnych i prawnych. Tworzenie i utrwalanie pozytywnego wizerunku zależy bezpośrednio od poziomu bezpieczeństwa informacji. Jest również Informacja zwrotna, gdy ugruntowany wizerunek firmy na rynku jest gwarancją bezpieczeństwa informacji. Przy takim podejściu wyróżnia się trzy rodzaje reputacji biznesowej:

1. Obraz „bezużytecznej” organizacji, których zasoby informacyjne nie są interesujące, ponieważ nie można ich wykorzystać na szkodę lub korzyść osoby trzeciej.

2. Wizerunek silnego przeciwnika, których bezpieczeństwu zagrażanie jest „droższe”. Niewyraźne granice możliwości odparcia ataku informacyjnego pomagają utrzymać reputację groźnego przeciwnika: im trudniej jest zrozumieć potencjał ochrony informacji, tym bardziej firma wydaje się nie do zdobycia w oczach atakujących.

3. Wizerunek „użytecznej” organizacji. Jeśli potencjalnemu agresorowi zależy na rentowności firmy, zamiast ataku informacyjnego możliwy jest dialog i stworzenie ogólnej polityki bezpieczeństwa informacji.

Każda firma organizuje swoją działalność zgodnie z prawem i dąży do osiągnięcia swoich celów. Podobne kryteria będą obowiązywać także przy opracowywaniu polityki bezpieczeństwa informacji, wdrażaniu i obsłudze wewnętrznych systemów bezpieczeństwa poufnych danych i zasobów IT. Aby zapewnić najwyższy możliwy poziom bezpieczeństwa informacji w organizacji, po wdrożeniu systemów bezpieczeństwa elementy bezpieczeństwa powinny być systematycznie monitorowane, rekonfigurowane i aktualizowane w miarę potrzeb.

Ochrona informacji obiektów strategicznych

Na początku 2017 roku Duma Państwowa Federacji Rosyjskiej przyjęła w pierwszym czytaniu pakiet ustaw dotyczących bezpieczeństwa informacji i krytycznej infrastruktury informatycznej państwa.

główne źródła zagrożenia informacyjne w sferze wojskowej Federacji Rosyjskiej.

Przewodniczący Sejmowej Komisji ds politykę informacyjną, informatyki i komunikacji Leonid Levin, przedstawiając projekty ustaw, przestrzegł przed wzrostem liczby cyberataków na obiekty o znaczeniu strategicznym. Na posiedzeniu komisji przedstawiciel FSB Nikołaj Muraszow powiedział, że w ciągu roku przeprowadzono 70 milionów cyberataków na obiekty w Rosji. Równolegle z rosnącymi zagrożeniami atakami zewnętrznymi zwiększa się skala, złożoność i koordynacja ataków informacyjnych na terenie kraju.

Przyjęte przez parlamentarzystów projekty ustaw tworzą podstawę prawną do udostępniania informacji w zakresie krajowej infrastruktury krytycznej i poszczególnych branż. Ponadto projekty ustaw precyzują uprawnienia organów rządowych w zakresie bezpieczeństwa informacji i przewidują zaostrzoną odpowiedzialność karną za naruszenia bezpieczeństwa informacji.

Cel badania: analiza i określenie głównych trendów na rosyjskim rynku bezpieczeństwa informacji
Wykorzystano dane Rosstat (formularze sprawozdawcze statystyczne nr 3-Inform, P-3, P-4), sprawozdania finansowe przedsiębiorstw itp.

Wykorzystanie przez organizacje technologii informacyjno-komunikacyjnych oraz narzędzi bezpieczeństwa informacji

  • Do przygotowania ta sekcja wykorzystano zagregowane, odrębne geograficznie oddziały i przedstawicielstwa (Formularz 3-Inform „Informacje o wykorzystaniu technologii informacyjno-komunikacyjnych i produkcji technologia komputerowa, oprogramowanie i świadczenie usług w tych obszarach”.

Analizie poddano okres 2012-2016. Dane nie pretendują do miana kompletności (ponieważ są zbierane od ograniczonej liczby przedsiębiorstw), ale naszym zdaniem można je wykorzystać do oceny trendów. Liczba ankietowanych przedsiębiorstw w badanym okresie wahała się od 200 do 210 tys. Oznacza to, że próba jest dość stabilna i obejmuje najbardziej prawdopodobnych konsumentów (duże i średnie przedsiębiorstwa), którzy odpowiadają za większość sprzedaży.

Dostępność komputerów osobistych w organizacjach

Jak wynika ze statystycznego formularza sprawozdawczego 3-Inform, w 2016 r Organizacje rosyjskie którzy przekazali informacje w tym formularzu, było ich około 12,4 mln komputery osobiste(komputer). W tym przypadku PC oznacza komputery stacjonarne i laptopy; pojęcie to nie obejmuje urządzeń mobilnych Telefony komórkowe i kieszonkowe komputery osobiste.

W ciągu ostatnich 5 lat liczba jednostek PC w organizacjach w całej Rosji wzrosła o 14,9%. Najlepiej wyposażonym okręgiem federalnym jest Centralny Okręg Federalny, w którym znajduje się 30,2% komputerów PC w firmach. Niekwestionowanym wiodącym regionem pod względem tego wskaźnika jest miasto Moskwa, według danych za 2016 rok moskiewskie firmy posiadają około 1,8 mln komputerów PC. Najniższą wartość wskaźnika odnotowano w Północnokaukaskim Okręgu Federalnym, organizacje w tym okręgu posiadają jedynie około 300 tys. jednostek PC, najmniej w Republice Inguszetii – 5,45 tys. jednostek.

Ryż. 1. Liczba komputerów osobistych w organizacjach, Rosja, miliony sztuk.

Wydatki organizacyjne na technologie informacyjno-komunikacyjne

W latach 2014-2015. Niekorzystna sytuacja gospodarcza rosyjskie firmy zmuszone były do ​​minimalizacji kosztów, w tym kosztów informacji i informacji technologie komunikacyjne. W 2014 roku spadek kosztów w sektorze ICT wyniósł 5,7%, jednak na koniec 2015 roku można było zaobserwować lekką pozytywną tendencję. W 2016 roku wydatki rosyjskich firm na technologie informacyjno-komunikacyjne wyniosły 1,25 biliona dolarów. rub., przekraczając poziom sprzed kryzysu w 2013 r. o 0,3%.

Większość kosztów przypada na firmy zlokalizowane w Moskwie – ponad 590 miliardów rubli, czyli 47,2% całości. Największe wydatki organizacji na technologie informacyjno-komunikacyjne w 2016 roku odnotowano w: obwodzie moskiewskim - 76,6 miliarda rubli, Petersburgu - 74,4 miliarda rubli, Region Tiumeń– 56,0 miliarda rubli, Republika Tatarstanu – 24,7 miliarda rubli, obwód Niżny Nowogród – 21,4 miliarda rubli. Najniższe koszty odnotowano w Republice Inguszetii – 220,3 mln rubli.

Ryż. 2. Wysokość wydatków firm na technologie informacyjno-komunikacyjne, Rosja, miliardy rubli.

Wykorzystanie przez organizacje narzędzi bezpieczeństwa informacji

W ostatnim czasie znacząco wzrosła liczba firm korzystających z narzędzi ochrony bezpieczeństwa informacji. Roczna dynamika ich liczby jest dość stabilna (z wyjątkiem 2014 r.) i wynosi około 11-19% rocznie.

Według oficjalnych danych Rosstatu, Najpopularniejszymi obecnie środkami ochrony są techniczne środki uwierzytelniania użytkowników (tokeny, klucze USB, karty inteligentne). Spośród ponad 157 tys. firm, 127 tys. firm (81%) wskazało na wykorzystanie tych konkretnych narzędzi jako ochrony informacji.

Ryż. 3. Rozkład organizacji ze względu na wykorzystanie środków zapewniających bezpieczeństwo informacji w 2016 r., Rosja, %.

Według oficjalnych statystyk, w 2016 roku 161 421 firm korzystało z globalnego Internetu w celach komercyjnych. Wśród organizacji, które korzystają z Internetu w celach komercyjnych i wskazały na stosowanie zabezpieczeń informacji, najpopularniejszym rozwiązaniem jest elektroniczny podpis cyfrowy. To narzędzie Ponad 146 tys. firm, czyli 91% ogółu, wskazało jako środki ochrony. Według wykorzystania narzędzi bezpieczeństwa informacji, firmy rozłożyły się następująco:

    • Środki elektroniczne podpis cyfrowy– 146 887 firm;
    • Regularnie aktualizowane programy antywirusowe– 143 095 firm;
    • Oprogramowanie lub sprzęt uniemożliwiający nieautoryzowany dostęp złośliwe oprogramowanie z informacji globalnych lub lokalnych sieć komputerowa(Firewall) – 101 373 firm;
    • Filtr spamu – 86 292 firm;
    • Narzędzia szyfrujące – 86 074 firm;
    • Systemy wykrywania włamań do komputerów lub sieci – 66 745 firm;
    • Narzędzia programowe do automatyzacji procesów analizy i kontroli bezpieczeństwa systemy komputerowe– 54 409 firm.

Ryż. 4. Dystrybucja firm wykorzystujących Internet w celach komercyjnych, poprzez ochronę informacji przesyłanych w sieciach globalnych, w 2016 r., Rosja, %.

W latach 2012-2016 liczba firm wykorzystujących Internet w celach komercyjnych wzrosła o 34,9%. W 2016 roku 155 028 firm wykorzystywało Internet do komunikacji z dostawcami, a 110 421 firm wykorzystywało Internet do komunikacji z konsumentami. Spośród firm korzystających z Internetu do komunikacji z dostawcami, cel użycia wskazano:

  • uzyskanie informacji o niezbędnych towarach (robotach, usługach) i ich dostawcach – 138 224 firmy;
  • udzielanie informacji o zapotrzebowaniu organizacji na dobra (roboty, usługi) – 103 977 firm;
  • składanie zamówień na towary (pracę, usługi) wymagane przez organizację (z wyłączeniem zamówień przesyłanych pocztą elektroniczną) – 95 207 firm;
  • zapłata za dostarczone towary (roboty, usługi) – 89 279;
  • odbiór produktów elektronicznych – 62 940 firm.

Spośród ogólnej liczby firm wykorzystujących Internet do komunikacji z konsumentami, cel wykorzystania wskazano:

  • udzielanie informacji o organizacji, jej towarach (robotach, usługach) – 101 059 firm;
  • (roboty, usługi) (bez zamówień przesyłanych drogą elektroniczną) – 44 193 firm;
  • realizacja płatności elektronicznych z konsumentami – 51 210 firm;
  • dystrybucja produktów elektronicznych – 12 566 firm;
  • obsługa posprzedażowa (serwis) – 13 580 firm.

Wielkość i dynamika budżetów federalnych władz wykonawczych na informatykę w latach 2016-2017.

Według Skarb Federalny, łączna wielkość limitów zobowiązań budżetowych na rok 2017, przekazana federalnym organom wykonawczym (zwanym dalej federalnym organem wykonawczym) według kodu rodzaju wydatku 242 „Zakup towarów, robót budowlanych, usług w zakresie technologii informacyjno-komunikacyjnych ” w zakresie informacji, które nie stanowią tajemnica państwowa na dzień 1 sierpnia 2017 r. wyniósł 115,2 mld rubli, czyli o około 5,1% więcej niż łączny budżet federalnych władz wykonawczych na informatykę w 2016 r. (109,6 mld rubli według Ministerstwa Telekomunikacji i Komunikacji Masowej). Tym samym, choć łączny wolumen budżetów IT departamentów federalnych z roku na rok rośnie, dynamika wzrostu spadła (w 2016 roku łączny wolumen budżetów IT wzrósł o 8,3% w porównaniu do 2015 roku). W której Istnieje coraz większe rozwarstwienie między „bogatymi” i „biednymi”, jeśli chodzi o wydatki wydziałów na technologie informacyjno-komunikacyjne. Niekwestionowanym liderem nie tylko pod względem wielkości budżetu, ale także osiągnięć w dziedzinie IT jest Federalna Służba Skarbowa. Jego tegoroczny budżet ICT wynosi ponad 17,6 miliarda rubli, co stanowi ponad 15% budżetu wszystkich federalnych władz wykonawczych. Łączny udział pierwszej piątki (Federalna Służba Podatkowa, Fundusz Emerytalny Federacji Rosyjskiej, Skarb Państwa, Ministerstwo Spraw Wewnętrznych, Ministerstwo Telekomunikacji i Komunikacji Masowej) wynosi ponad 53%.

Ryż. 5. Struktura wydatków budżetowych na zakup towarów, robót budowlanych i usług w zakresie technologii informacyjno-komunikacyjnych przez federalne władze wykonawcze w 2017 r., %

Regulacje legislacyjne w zakresie zamówień oprogramowania na potrzeby państwa i gmin

Od 1 stycznia 2016 r. wszystkie organy państwowe i gminne, korporacje państwowe Rosatom i Roscosmos, organy zarządzające państwowymi funduszami pozabudżetowymi, a także instytucje państwowe i budżetowe realizujące zamówienia zgodnie z wymogami Prawo federalne z dnia 5 kwietnia 2013 r. nr 44-FZ „W sprawie systemu zamówień w zakresie zamówień na towary, roboty budowlane, usługi na potrzeby państwa i gmin”, mają obowiązek przestrzegać zakazu przyjmowania oprogramowania pochodzącego z zagranicy w celu realizacji zamówień publicznych na potrzeby władz i gmin. Zakaz został wprowadzony Dekretem Rządu Federacji Rosyjskiej z dnia 16 listopada 2015 r. nr 1236 „W sprawie ustanowienia zakazu dopuszczania oprogramowania pochodzącego z zagranicy w celu nabycia na potrzeby państwowe i komunalne”. Kupując oprogramowanie, powyżsi klienci muszą bezpośrednio wskazać zakaz zakupu importowanego oprogramowania w zawiadomieniu o zakupie. Zakaz dotyczy zakupu programów do komputerów elektronicznych i baz danych, realizowanych niezależnie od rodzaju umowy na nośniku materialnym i (lub) w w formacie elektronicznym za pośrednictwem kanałów komunikacji, a także wyłączne prawa do nich oprogramowanie i prawa do korzystania z takiego oprogramowania.

Istnieje kilka wyjątków, w których dozwolony jest zakup importowanego oprogramowania przez klientów.

  • zakupy oprogramowania i (lub) praw do niego przez misje dyplomatyczne i urzędy konsularne Federacji Rosyjskiej, misje handlowe Federacji Rosyjskiej przy organizacjach międzynarodowych w celu zapewnienia ich działalności na terytorium obcego państwa;
  • zakup oprogramowania i (lub) praw do niego, o którym informacja i (lub) którego zakup stanowi tajemnicę państwową.

We wszystkich innych przypadkach przed zakupem oprogramowania klient będzie zobowiązany do pracy z ujednoliconym rejestrem rosyjskich programów dla komputerów elektronicznych i baz danych oraz klasyfikatorem programów dla komputerów elektronicznych i baz danych.
Utworzeniem i prowadzeniem rejestru jako upoważnionego federalnego organu wykonawczego zajmuje się Ministerstwo Telekomunikacji i Komunikacji Masowej Rosji.
Według stanu na koniec sierpnia 2017 r. w rejestrze znajdowały się 343 produkty programowe należące do klasy „narzędzi bezpieczeństwa informacji” pochodzące od 98 rosyjskich firm deweloperskich. Wśród nich są produkty oprogramowania tak duzi rosyjscy deweloperzy jak:

  • OJSC „Technologie informacyjne i systemy komunikacyjne” („InfoTeKS”) – 37 produktów programowych;
  • JSC Kaspersky Lab - 25 produktów programowych;
  • Security Code LLC - 19 produktów programowych;
  • Crypto-Pro LLC - 18 produktów programowych;
  • Doctor WEB LLC - 12 produktów programowych;
  • S-Terra CSP LLC - 12 produktów programowych;
  • CJSC „Aladyn R.D.” — 8 produktów oprogramowania;
  • JSC „Infowatch” - 6 produktów programowych.

Analiza działań największych graczy w obszarze bezpieczeństwa informacji

  • Jako podstawowe informacje do analizy działalności największych graczy na rynku bezpieczeństwa informacji, przy przygotowaniu niniejszego opracowania wykorzystano informacje o zamówieniach rządowych w zakresie działalności informacyjno-komunikacyjnej, a w szczególności bezpieczeństwa informacji.

Do analizy trendów wybraliśmy 18 firm, które należą do liderów rynku bezpieczeństwa informacji i aktywnie uczestniczą w zamówieniach rządowych. Na liście znajdują się zarówno bezpośredni twórcy oprogramowania oraz sprzętu i systemów bezpieczeństwa oprogramowania, jak i najwięksi integratorzy systemów. Łączne przychody tych spółek w 2016 roku wyniosły 162,3 mld rubli i były wyższe od przychodów z 2015 roku o 8,7%.
Poniżej znajduje się lista firm wybranych do badania.

Tabela 1. Firmy wybrane do badania

Nazwa CYNA Rodzaj działalności (OKVED 2014)
1 Firma "I-Teco" SA 7736227885 Działalność związana z wykorzystaniem technologii komputerowej i Technologie informacyjne, inne (62.09)
2 Croc Inc., spółka z ograniczoną odpowiedzialnością 7701004101
3 „Informzashita”, NIP CJSC 7702148410 Prace badawczo-rozwojowe w zakresie nauk społecznych i humanistycznych (72.20)
4 „Softline Trade”, SA 7736227885
5 „Technoserv AS”, spółka z ograniczoną odpowiedzialnością 7722286471 Handel hurtowy pozostałymi maszynami i urządzeniami (46.69)
6 „Elvis-plus”, SA 7735003794
7 Firma "Asteros" SA 7721163646 Handel hurtowy komputerami, urządzeniami peryferyjnymi do komputerów i oprogramowaniem (46.51
8 „Firma Produkcyjna Wodnik”, LLC 7701256405
9 Lanit, CJSC 7727004113 Handel hurtowy pozostałymi maszynami i urządzeniami biurowymi (46.66)
10 Jet Infosystems spółka z ograniczoną odpowiedzialnością 7729058675 Handel hurtowy komputerami, urządzeniami peryferyjnymi do komputerów i oprogramowaniem (46.51)
11 „Dialognauka”, SA 7701102564 Tworzenie oprogramowania komputerowego (62.01)
12 „Factor-TS”, LLC 7716032944 Produkcja komputerów i sprzęt peryferyjny (26.20)
13 „InfoTeKS”, SA 7710013769 Tworzenie oprogramowania komputerowego (62.01)
14 „Ural Centrum Systemów Bezpieczeństwa”, LLC 6672235068 Działalność w zakresie architektury, inżynierii i doradztwa technicznego w tych dziedzinach (71,1)
15 „ICL-KPO VS”, SA 1660014361 Tworzenie oprogramowania komputerowego (62.01)
16 Grupa NVision, SA 7703282175 Handel hurtowy niewyspecjalizowany (46,90)
17 „Poufna Integracja”, LLC 7811512250 Działalność związana z przetwarzaniem danych, świadczenie usług hostingowych i działalność powiązana (63.11)
18 „Kaluga Astral”, SA 4029017981 Działalność doradcza i praca w terenie technologia komputerowa (62.02

Według stanu na koniec października 2017 r. przedsiębiorstwa z prezentowanej próby zawarły z agencjami rządowymi 1034 umowy na kwotę 24,6 mld rubli. Prowadzenie ta lista pod względem wolumenu zawartych kontraktów firma I-Teco ma 74 kontrakty o wartości 7,5 miliarda rubli.
Na przestrzeni ostatnich lat, z wyjątkiem kryzysowego roku 2014, można zauważyć stały wzrost całkowitego wolumenu kontraktów dla wybranych spółek. Największa dynamika miała miejsce w latach 2015-2016. Tym samym w 2015 roku nastąpił ponad 3,5-krotny wzrost wolumenu kontraktów, w 2016 roku - 1,5-krotny. Według dostępnych danych na temat działalności kontraktowej przedsiębiorstw za okres styczeń-październik 2017 r. można założyć, że w 2017 r. łączny wolumen kontraktów z agencjami rządowymi wyniesie około 37-38 miliardów rubli, co oznacza spadek o około 40 % jest oczekiwany.

Istnieją dwa główne podejścia do uzasadniania kosztów bezpieczeństwa informacji.

Podejście naukowe. Aby to zrobić, konieczne jest zaangażowanie kierownictwa firmy (lub jej właściciela) w ocenę kosztów zasobów informacyjnych i określenie oceny potencjalnych szkód wynikających z naruszeń w zakresie bezpieczeństwa informacji.

1. Jeśli koszt informacji jest niski, nie ma znaczących zagrożeń dla aktywów informacyjnych firmy, a potencjalne szkody są minimalne, zapewnienie bezpieczeństwa informacji wymaga mniejszych nakładów finansowych.

2. Jeżeli informacja ma określoną wartość, zagrożenia i potencjalne szkody są znaczne i określone, pojawia się pytanie o uwzględnienie w budżecie kosztów na podsystem bezpieczeństwa informacji. W takim przypadku konieczne jest zbudowanie systemu korporacyjnego ochrona informacji.

Praktyczne podejście polega na określeniu realnej opcji kosztowej korporacyjnego systemu bezpieczeństwa informacji opartego na podobnych systemach w innych obszarach. Praktycy zajmujący się bezpieczeństwem informacji uważają, że koszt systemu bezpieczeństwa informacji powinien stanowić około 10-20% kosztu systemu korporacyjnego System informacyjny, w zależności od konkretnych wymagań dotyczących reżimu bezpieczeństwa informacji.

Ogólnie przyjęte wymagania dotyczące zapewnienia reżimu bezpieczeństwa informacji „najlepszych praktyk” (w oparciu o praktyczne doświadczenie), sformalizowane w szeregu norm, np. ISO 17799, są wdrażane w praktyce przy opracowywaniu konkretnych metod oceny efektywności systemu bezpieczeństwa informacji.

Aplikacja nowoczesne metody oszacowanie kosztów bezpieczeństwa informacji pozwala obliczyć całą wydatkową część majątku informacyjnego organizacji, obejmującą bezpośrednie i pośrednie koszty sprzętu komputerowego oprogramowanie, wydarzenia organizacyjne, szkolenia i rozwój zawodowy pracowników, reorganizacje, restrukturyzacje przedsiębiorstw itp.

Są niezbędne do wykazania opłacalności istniejących systemów ochrony korporacyjnej i pozwalają szefom służb bezpieczeństwa informacji uzasadnić budżet na bezpieczeństwo informacji, a także wykazać efektywność pracy pracowników odpowiednich służb. Metody szacowania kosztów stosowane przez firmy zagraniczne pozwalają na:

Uzyskaj odpowiednią informację o poziomie rozproszonego bezpieczeństwa środowisko komputerowe oraz całkowity koszt posiadania korporacyjnego systemu bezpieczeństwa informacji.

Porównaj działy bezpieczeństwa informacji organizacji zarówno między sobą, jak i z podobnymi działami innych organizacji w branży.

Optymalizuj inwestycje w bezpieczeństwo informacji organizacji.


Jedną z najbardziej znanych metod szacowania kosztów w odniesieniu do systemu bezpieczeństwa informacji jest metoda całkowity koszt posiadania (TCO) firma Gartner Group Wskaźnik TCO rozumiany jest jako suma kosztów bezpośrednich i pośrednich organizacji (reorganizacji), eksploatacji i utrzymania korporacyjnego systemu bezpieczeństwa informacji w ciągu roku. Jest stosowany na prawie wszystkich głównych etapach cyklu życia korporacyjnego systemu bezpieczeństwa informacji i umożliwia obiektywne i niezależne uzasadnienie ekonomicznej wykonalności wprowadzenia i stosowania określonych środków organizacyjnych i technicznych oraz środków bezpieczeństwa informacji. Dla obiektywności decyzji konieczne jest również dodatkowe uwzględnienie stanu otoczenia zewnętrznego i wewnętrznego przedsiębiorstwa, na przykład wskaźników rozwoju technologicznego, kadrowego i finansowego przedsiębiorstwa.

Porównanie określonego wskaźnika TCO z podobnymi wskaźnikami TCO w branży (z podobnymi firmami) pozwala obiektywnie i niezależnie uzasadnić koszty organizacji związane z bezpieczeństwem informacji. Przecież często okazuje się, że dość trudne lub wręcz praktycznie niemożliwe jest oszacowanie bezpośredniego efektu ekonomicznego tych kosztów.

Całkowity koszt posiadania systemu bezpieczeństwa informacji zazwyczaj składa się z kosztów:

Praca projektowa,

Zakupy i ustawienia oprogramowania środki techniczne ochrona, obejmująca następujące główne grupy: firewalle, narzędzia kryptograficzne, antywirusy i AAA (narzędzia do uwierzytelniania, autoryzacji i administracji),

Koszty zapewnienia bezpieczeństwa fizycznego,

Szkolenie personelu,

Zarządzanie i wsparcie systemowe (administracja bezpieczeństwa),

Audyt bezpieczeństwa informacji, - okresowa modernizacja systemu bezpieczeństwa informacji.

Koszty bezpośrednie obejmują zarówno składniki kosztów kapitałowych (związane ze środkami trwałymi lub „nieruchomością”), jak i koszty pracy, które zaliczane są do kategorii operacji i zarządzania administracyjnego. Do tego dochodzą koszty usług użytkownicy zdalni oraz inne związane ze wspieraniem działalności organizacji.

Z kolei koszty pośrednie odzwierciedlają wpływ korporacyjnego systemu informacyjnego i podsystemu bezpieczeństwa informacji na pracowników organizacji poprzez takie mierzalne wskaźniki, jak przestoje i zamrożenia systemu bezpieczeństwa informacji korporacyjnej i systemu informacyjnego jako całości, koszty operacyjne i wsparcia (nie związane z kosztami bezpośrednimi). Bardzo często koszty pośrednie odgrywają znaczącą rolę, gdyż zwykle nie są początkowo uwzględniane w budżecie bezpieczeństwa informacji, ale ujawniane są w dalszej części analizy kosztów.

Obliczanie wskaźników TCO organizacji odbywa się w następujących obszarach.

Elementy korporacyjnego systemu informatycznego(w tym system bezpieczeństwa informacji) i akty informacyjne organizacji (serwery, komputery klienckie, urządzenia peryferyjne, urządzenia sieciowe).

Wydatki na sprzęt i oprogramowanie służące bezpieczeństwu informacji : Materiały eksploatacyjne i koszty amortyzacji ani serwery, komputery klientów (komputery stacjonarne i komputery mobilne), urządzenia peryferyjne i komponenty sieciowe.

Koszty organizacji bezpieczeństwa informacji: utrzymanie systemu bezpieczeństwa informacji, standardowe wyposażenie bezpieczeństwa urządzenia peryferyjne, serwerów, urządzeń sieciowych, planowanie i zarządzanie procesami bezpieczeństwa informacji, opracowywanie koncepcji i polityk bezpieczeństwa i inne.

Wydatki na funkcjonowanie systemów informatycznych tematy: koszty bezpośrednie utrzymania personelu, koszty pracy i outsourcingu realizowanego przez organizację jako całość lub usługę do wdrożenia pomoc techniczna oraz operacje mające na celu utrzymanie infrastruktury dla użytkowników.

Koszty administracyjne: bezpośrednie koszty personelu, wsparcie operacyjne i koszty dostawców wewnętrznych/zewnętrznych (sprzedawców) wspierających operacje, w tym zarządzanie, finansowanie, nabywanie i szkolenie systemów informatycznych.

Koszty transakcyjne użytkownika końcowego: Koszty samoobsługi użytkownika końcowego, formalne szkolenie użytkownika końcowego, dorywcze (nieformalne) szkolenie, samodzielne kierowanie stosowane rozwiązania, obsługa lokalnego systemu plików.

Koszty przestoju: Roczne straty produktywności użytkownika końcowego spowodowane planowanymi i nieplanowanymi przestojami zasoby sieciowe, w tym komputery klienckie, serwery współdzielone, drukarki, programy użytkowe, zasoby komunikacyjne i oprogramowanie komunikacyjne.

2018-08-21T12:03:34+00:00

Duże firmy komercyjne wydają około 1% rocznych przychodów na zapewnienie bezpieczeństwa fizycznego swojej działalności. Bezpieczeństwo przedsiębiorstwa jest tym samym zasobem, co technologia i środki produkcji. Jednak w przypadku cyfrowej ochrony danych i usług obliczenie ryzyka finansowego i niezbędnych kosztów staje się trudne. Podpowiemy Ci, ile pieniędzy z budżetu IT można rozsądnie przeznaczyć na cyberbezpieczeństwo i czy istnieje minimalny zestaw narzędzi, z którymi możesz sobie poradzić.

Rosną koszty bezpieczeństwa informacji

Według organizacji biznesowych na całym świecie raport Gartner wydał w 2017 roku około 87 miliardów dolarów na potrzeby cyberbezpieczeństwa, w tym na oprogramowanie, specjalistyczne usługi i sprzęt. To o 7% więcej niż w 2016 roku. W tym roku liczba ta ma osiągnąć 93 miliardy, a w przyszłym przekroczyć granicę 100.

Według ekspertów w Rosji wielkość rynku usług bezpieczeństwa informacji wynosi około 55-60 miliardów rubli (około 900 tysięcy dolarów). Z tego 2/3 objęte są zamówieniami rządowymi. W sektorze przedsiębiorstw udział tych kosztów zależy w dużej mierze od formy przedsiębiorstwa, położenia geograficznego i dziedziny działalności.

Krajowe banki i instytucje finansowe średnio inwestować w swoim cyberbezpieczeństwie 300 milionów rubli rocznie, przemysłowcy - do 50 milionów, firmy sieciowe (detaliczne) - od 10 do 50 milionów.

Ale dane dotyczące wzrostu Rynek rosyjski cyberbezpieczeństwo jest już od kilku lat 1,5-2 razy wyższe niż w skali globalnej. W 2017 r. wzrost wyniósł 15% (w pieniądzach klientów) w porównaniu do 2016 r. Pod koniec 2018 roku może okazać się jeszcze solidniejszy.

Wysokie tempo wzrostu tłumaczy się ogólnym ożywieniem rynku i gwałtownie zwiększoną uwagą organizacji prawdziwe bezpieczeństwo infrastrukturę informatyczną i bezpieczeństwo danych. Koszty budowy systemu bezpieczeństwa informacji są obecnie traktowane jako inwestycje; są planowane z wyprzedzeniem, a nie po prostu podejmowane na zasadzie rezydualnej.

Pozytywne Technologieprzegląd najważniejszych wydarzeń trzy czynniki wzrostu:

  1. Głośne wydarzenia ostatnich 1,5–2 lat sprawiły, że dziś tylko leniwi nie rozumieją roli bezpieczeństwa informacji dla stabilności finansowej przedsiębiorstwa. Co piąty menedżer wyższego szczebla wyraża zainteresowanie praktycznym bezpieczeństwem w kontekście prowadzonej przez siebie działalności.

Miniony rok był pouczający dla firm, które ignorują podstawy . Brak aktualne aktualizacje a nawyk pracy bez zwracania uwagi na słabe punkty doprowadził do zamknięcia fabryk Renault we Francji oraz Hondy i Nissana w Japonii; Ucierpiały banki, spółki energetyczne i telekomunikacyjne. Na przykład dla Maerska kosztowało to jednorazowo 300 milionów dolarów.

  1. Epidemie wirusów ransomware WannaCry, NotPetya, Bad Rabbit nauczyły krajowe firmy, że instalowanie programów antywirusowych i firewalli nie wystarczy, aby czuć się bezpiecznie. Potrzebujesz kompleksowej strategii, spisu zasobów IT, dedykowanych zasobów i strategii reagowania na zagrożenia.
  2. W pewnym sensie ton nadaje państwo, które ogłosiło kurs w kierunku gospodarki cyfrowej, obejmujący wszystkie obszary (od opieki zdrowotnej i edukacji po transport i finanse). Polityka ta ma bezpośredni wpływ na rozwój sektora IT w ogóle, a w szczególności na bezpieczeństwo informacji.

Koszt luk w bezpieczeństwie informacji

Wszystko to jest pouczające, ale każda firma to wyjątkowa historia. Pytanie, ile z ogólnego budżetu IT firmy wydać na bezpieczeństwo informacji, choć niesłuszne, jest z punktu widzenia klienta najpilniejsze.

Międzynarodowa firma badawcza IDC na przykładzie rynku kanadyjskiego dzwoni optymalny to 9,8-13,7% inwestycji w cyberbezpieczeństwo z całkowitego budżetu IT w organizacji. Oznacza to, że obecnie kanadyjski biznes wydaje na te potrzeby średnio około 10% (uważa się, że jest to wskaźnik zdrowej firmy), ale sądząc po ankietach, chciałby, aby było to bliżej 14%.

Firmy nie mają sensu zgadywać, ile muszą wydać na bezpieczeństwo swoich informacji, aby poczuć spokój ducha. Obecnie ocena ryzyka wynikającego z incydentów cyberbezpieczeństwa nie jest trudniejsza niż obliczenie strat spowodowanych zagrożeniami fizycznymi. Istnieje na całym świecie Statystyka , według którego:

  • Ataki hakerów kosztują światową gospodarkę ponad 110 miliardów dolarów rocznie.
  • W przypadku małych firm każdy incydent kosztuje średnio 188 000 dolarów.
  • 51% włamań w 2016 r. miało charakter celowy, tj. zostało zorganizowanych przez grupy przestępcze przeciwko konkretnej firmie.
  • 75% ataków ma na celu wyrządzenie szkód materialnych i ma podłoże finansowe.

Kaspersky Lab przeprowadził swoje działania na dużą skalę badanie . Według ankiety przeprowadzonej wśród 6 tysięcy specjalistów firm na całym świecie, w ciągu ostatnich kilku lat szkody spowodowane włamaniami do sieci korporacyjnych i wyciekami danych wzrosły o 20-30%.

Średni koszt szkód dla organizacji komercyjnych, niezależnie od wielkości i dziedziny działalności, według stanu na luty 2018 r., wyniósł 1,23 mln dolarów. Dla MŚP błąd personalny lub udane działanie hakerów kosztuje 120 tys. dolarów.

Studium wykonalności w zakresie bezpieczeństwa informacji

Aby prawidłowo ocenić zasoby finansowe niezbędne do zorganizowania bezpieczeństwa informacji w przedsiębiorstwie, konieczne jest sporządzenie studium wykonalności.

  1. Przeprowadzamy inwentaryzację infrastruktury IT i oceniamy ryzyka, sporządzając listę podatności w kolejności malejącej ich ważności. Obejmuje to również utratę reputacji (wyższe stawki ubezpieczenia, obniżoną zdolność kredytową, koszty przestojów w świadczeniu usług) oraz koszty przywrócenia systemu (aktualizacje sprzętu i oprogramowania).
  2. Określamy zadania, jakie musi rozwiązać system bezpieczeństwa informacji.
  3. Dobieramy sprzęt i narzędzia do rozwiązania problemu oraz ustalamy jego koszt.

Jeżeli firma nie posiada kompetencji do oceny zagrożeń i ryzyka cyberbezpieczeństwa, zawsze można zlecić audyt bezpieczeństwa informacji firmie zewnętrznej. Dziś zabieg ten jest krótki, niedrogi i bezbolesny.

Firmy przemysłowe z wysoki poziom eksperci w dziedzinie automatyzacji procesów polecić użyj modelu adaptacyjnej architektury bezpieczeństwa (Adaptacyjna architektura bezpieczeństwa), zaproponowany w 2014 roku przez Gartnera. Pozwala na prawidłową redystrybucję kosztów bezpieczeństwa informacji, zwracając większą uwagę na narzędzia wykrywania i reagowania na zagrożenia, a także implikuje wdrożenie systemu monitorowania i analityki infrastruktury IT.

Ile kosztuje cyberbezpieczeństwo dla małych firm?

Zdecydowali autorzy bloga Capterra liczyć , ile średnio kosztuje system bezpieczeństwa informacji dla małych i średnich przedsiębiorstw w pierwszym roku użytkowania. W tym celu został wybrany lista spośród 50 popularnych na rynku ofert „pudełkowych”.

Okazało się, że rozpiętość cenowa jest dość duża: od 50 dolarów rocznie (są nawet 2-3 bezpłatne rozwiązania dla małych firm) do 6 tysięcy dolarów (istnieją pojedyncze pakiety po 24 tysiące, ale nie uwzględniono ich w kalkulacji ). Mała firma może wydać średnio 1400 dolarów na budowę podstawowego systemu obrony przed cyberbezpieczeństwem.

Najtańsze są rozwiązania techniczne takie jak biznesowy VPN czy zabezpieczenia E-mail, które pomogą chronić przed określonymi rodzajami zagrożeń (na przykład phishingiem)

Na drugim końcu spektrum znajdują się pełnoprawne systemy monitoringu z „zaawansowanymi” narzędziami reagowania na zdarzenia i kompleksową ochroną. Pomagają chronić sieć korporacyjna przed atakami na dużą skalę, a czasami nawet pozwalają przewidzieć ich wystąpienie i powstrzymać je na wczesnym etapie.

Firma może wybrać kilka modeli płatności za system bezpieczeństwa informacji:

  • Cena za licencję, Średnia cena – 1000-2000 USD lub od 26 do 6000 USD za licencję.
  • Cena za użytkownika. Średni koszt systemu bezpieczeństwa informacji na użytkownika w firmie wynosi 37 dolarów, waha się od 4 do 130 dolarów na osobę miesięcznie.
  • Cena za podłączone urządzenie. Średni koszt tego modelu wynosi 2,25 USD za urządzenie. Ceny wahają się od 0,96 USD do 4,5 USD miesięcznie.

Aby poprawnie obliczyć koszty bezpieczeństwa informacji, nawet mała firma będzie musiała wdrożyć podstawy zarządzania ryzykiem. Pierwsze zdarzenie (awaria strony internetowej, usługi, system płatności), których nie da się naprawić w ciągu 24 godzin, może skutkować zamknięciem firmy.

Jak już wspomniano, bezpieczeństwo przedsiębiorstwa zapewnia zestaw środków na wszystkich etapach jego cyklu życia, jego systemu informacyjnego i ogólnie składa się z kosztów:

  • - Praca projektowa;
  • - zakup i konfiguracja narzędzi do ochrony oprogramowania i sprzętu;
  • - koszty zapewnienia bezpieczeństwa fizycznego;
  • - szkolenie personelu;
  • - zarządzanie systemem i wsparcie;
  • - audyt bezpieczeństwa informacji;
  • - okresowa modernizacja systemu bezpieczeństwa informacji itp.

Wskaźnikiem kosztowym efektywności ekonomicznej zintegrowanego systemu bezpieczeństwa informacji będzie suma bezpośrednich i pośrednich kosztów organizacji, obsługi i utrzymania systemu bezpieczeństwa informacji w ciągu całego roku.

Można go uznać za kluczowy ilościowy wskaźnik efektywności organizacji bezpieczeństwa informacji w firmie, gdyż pozwoli nie tylko oszacować całkowite koszty ochrony, ale także zarządzać tymi kosztami, aby osiągnąć wymagany poziom bezpieczeństwa przedsiębiorstwa. Jednakże koszty bezpośrednie obejmują zarówno składniki kosztów kapitałowych, jak i koszty pracy, które zaliczane są do kategorii operacji i zarządzania administracyjnego. Do tego zaliczają się koszty usług użytkowników zdalnych itp., związane ze wsparciem działalności organizacji.

Koszty pośrednie z kolei odzwierciedlają wpływ zintegrowanego systemu bezpieczeństwa i podsystemu bezpieczeństwa informacji na pracowników poprzez takie mierzalne wskaźniki, jak przestoje i zamrożenia korporacyjnego systemu bezpieczeństwa informacji i zintegrowanego systemu bezpieczeństwa jako całości, koszty operacyjne i koszty wsparcia.

Bardzo często koszty pośrednie odgrywają znaczącą rolę, gdyż zwykle nie są początkowo uwzględniane w budżecie na kompleksowy system bezpieczeństwa, ale ujawniają się wyraźnie w późniejszej analizie kosztów, co ostatecznie prowadzi do wzrostu „ukrytych” kosztów firmy. Zastanówmy się, jak określić koszty bezpośrednie i pośrednie kompleksowego systemu bezpieczeństwa. Załóżmy, że kierownictwo przedsiębiorstwa pracuje nad wdrożeniem kompleksowego systemu bezpieczeństwa informacji w przedsiębiorstwie. Zidentyfikowano już przedmioty i cele ochrony, zagrożenia bezpieczeństwa informacji i środki przeciwdziałania im, zakupiono i zainstalowano niezbędne środki ochrony informacji.

Zazwyczaj koszty bezpieczeństwa informacji dzielą się na następujące kategorie:

  • - koszty utworzenia i utrzymania łącza zarządzającego systemem bezpieczeństwa informacji;
  • - koszty kontroli, czyli ustalenia i potwierdzenia osiągniętego poziomu bezpieczeństwa zasobów przedsiębiorstwa;
  • - koszty wewnętrzne usunięcia skutków naruszenia bezpieczeństwa informacji - koszty poniesione przez organizację w wyniku nieosiągnięcia wymaganego poziomu bezpieczeństwa;
  • - koszty zewnętrzne usunięcia skutków naruszenia bezpieczeństwa informacji - rekompensata za straty powstałe w wyniku naruszenia polityki bezpieczeństwa w przypadkach związanych z wyciekiem informacji, utratą wizerunku firmy, utratą zaufania partnerów i konsumentów itp.;
  • - koszty za Konserwacja systemy bezpieczeństwa informacji i środki zapobiegające naruszeniom polityki bezpieczeństwa przedsiębiorstwa.

W tym przypadku zazwyczaj wyróżnia się koszty jednorazowe i systematyczne.

Jednorazowe koszty stworzenia bezpieczeństwa przedsiębiorstwa: koszty organizacyjne oraz koszty zakupu i instalacji sprzętu ochronnego.

Koszty systematyczne, operacyjne i konserwacyjne. Klasyfikacja kosztów jest warunkowa, ponieważ gromadzenie, klasyfikacja i analiza kosztów bezpieczeństwa informacji jest działania wewnętrzne przedsiębiorstwa, a szczegółowe opracowanie listy zależy od cech konkretnej organizacji.

Najważniejszą rzeczą przy ustalaniu kosztów systemu bezpieczeństwa jest wzajemne zrozumienie i uzgodnienie pozycji kosztowych w przedsiębiorstwie.

Ponadto kategorie kosztów powinny być spójne i nie powinny się powielać. Całkowite wyeliminowanie kosztów bezpieczeństwa jest niemożliwe, ale można je ograniczyć do akceptowalnego poziomu.

Niektóre koszty bezpieczeństwa są absolutnie konieczne, a niektóre można znacznie zmniejszyć lub wyeliminować. Te ostatnie to te, które mogą zniknąć w przypadku braku naruszeń bezpieczeństwa lub ulegną zmniejszeniu, jeśli zmniejszy się liczba i destrukcyjny wpływ naruszeń.

Dbając o bezpieczeństwo i zapobiegając naruszeniom, można wyeliminować lub znacznie ograniczyć następujące koszty:

  • - przywrócenie systemu bezpieczeństwa do wymogów bezpieczeństwa;
  • - przywrócenie zasobów środowiska informacyjnego przedsiębiorstwa;
  • - za zmiany w systemie bezpieczeństwa;
  • - w przypadku sporów prawnych i wypłat odszkodowań;
  • - identyfikacja przyczyn naruszeń bezpieczeństwa.

Koszty konieczne to takie, które są konieczne nawet wtedy, gdy poziom zagrożeń bezpieczeństwa jest dość niski. Są to koszty utrzymania osiągniętego poziomu bezpieczeństwa środowiska informacyjnego przedsiębiorstwa.

Kosztami, których nie da się uniknąć, mogą być:

  • a) konserwacja technicznych środków ochronnych;
  • b) zarządzanie dokumentacją poufną;
  • c) działanie i audyt systemu bezpieczeństwa;
  • G) poziom minimalny inspekcje i kontrole z udziałem wyspecjalizowanych organizacji;
  • e) szkolenie personelu w zakresie metod bezpieczeństwa informacji.

Istnieją jednak inne koszty, które są dość trudne do ustalenia. Pomiędzy nimi:

  • a) koszty przeprowadzenia dodatkowych badań i opracowania nowej strategii rynkowej;
  • b) straty wynikające ze zmniejszenia pierwszeństwa w badania naukowe oraz brak możliwości patentowania i sprzedaży licencji na osiągnięcia naukowo-techniczne;
  • c) koszty związane z eliminowaniem wąskich gardeł w dostawach, produkcji i marketingu produktów;
  • d) straty wynikające z kompromisu w zakresie produktów wytwarzanych przez przedsiębiorstwo i obniżenia ich cen;
  • e) wystąpienie trudności w pozyskaniu sprzętu lub technologii, w tym zwiększenie ich cen, ograniczenie wolumenu dostaw.

Wymienione koszty mogą wynikać z działań personelu różnych działów, na przykład projektowego, technologicznego, planowania ekonomicznego, prawnego, ekonomicznego, marketingowego, polityki taryfowej i cenowej.

Ponieważ jest mało prawdopodobne, aby pracownicy wszystkich tych działów byli zajęci w pełnym wymiarze godzin kwestiami strat zewnętrznych, ustalenie wysokości kosztów należy przeprowadzić z uwzględnieniem faktycznie spędzonego czasu. Nie da się dokładnie wyliczyć jednego ze składników strat zewnętrznych – są to straty związane z podważeniem wizerunku przedsiębiorstwa, zmniejszeniem zaufania konsumentów do produktów i usług przedsiębiorstwa. Z tego powodu wiele korporacji ukrywa fakt, że ich usługi są niebezpieczne. Korporacje boją się ujawnienia takich informacji jeszcze bardziej niż ataków w tej czy innej formie.

Jednak wiele przedsiębiorstw ignoruje te koszty, uznając, że nie można ich określić z jakąkolwiek dokładnością – są one jedynie szacunkowe. Koszty działań zapobiegawczych. Koszty te są prawdopodobnie najtrudniejsze do oszacowania, ponieważ działania zapobiegawcze prowadzone są w różnych działach i dotyczą wielu służb. Koszty te mogą pojawić się na wszystkich etapach cyklu życia zasobów środowiska informacyjnego przedsiębiorstwa:

  • - planowanie i organizacja;
  • - pozyskanie i uruchomienie;
  • - dostawa i wsparcie;
  • - monitorowanie procesów składających się na technologię informatyczną.

Ponadto większość kosztów w tej kategorii dotyczy personelu ochrony. Koszty zapobiegania obejmują przede wszystkim płace i koszty ogólne. Jednak trafność ich ustalenia w dużej mierze zależy od trafności ustalenia czasu spędzonego przez każdego pracownika indywidualnie. Niektóre koszty zapobiegawcze można łatwo zidentyfikować bezpośrednio. Mogą one w szczególności obejmować zapłatę za różne utwory osób trzecich, np.:

  • - konserwacja i konfiguracja narzędzi ochrony oprogramowania i sprzętu, system operacyjny oraz używany sprzęt sieciowy;
  • - wykonywanie prac inżynieryjno-technicznych w zakresie montażu systemów alarmowych, wyposażenia obiektów do przechowywania dokumentów poufnych, zabezpieczenia linie telefonicznełączność, sprzęt komputerowy itp.;
  • - dostarczanie informacji poufnych;
  • - konsultacje;
  • - kursy przygotowujące.

Źródła informacji o uwzględnionych kosztach. Ustalając koszty zapewnienia bezpieczeństwa informacji należy pamiętać, że:

  • - koszty nabycia i uruchomienia oprogramowania i sprzętu można uzyskać z analizy faktur, zapisów w dokumentacji magazynowej itp.;
  • - płatności na rzecz personelu można pobierać z wyciągów;
  • - wielkość wypłat wynagrodzeń należy wziąć pod uwagę faktyczny czas spędzony na wykonywaniu pracy w celu zapewnienia bezpieczeństwa informacji; jeśli tylko część czasu pracownika zostanie poświęcona na działania mające na celu zapewnienie bezpieczeństwa informacji, wówczas wykonalność oceny każdego z elementów nie należy kwestionować wydatków jego czasu;
  • - klasyfikacja kosztów bezpieczeństwa i ich podział na elementy powinny stać się częścią codziennej pracy w przedsiębiorstwie.
Spodobał Ci się artykuł? Podziel się z przyjaciółmi!
Świergot
wydrukować
Czy ten artykuł był pomocny?
Tak
NIE
Dziekuję za odpowiedź!
Coś poszło nie tak i Twój głos nie został policzony.
Dziękuję. Twoja wiadomość została wysłana
Znalazłeś błąd w tekście?
Wybierz, kliknij Ctrl + Enter i naprawimy to!
Podobne wskazówki
Zmiana rozmiaru pliku stronicowania
Zmiana rozmiaru pliku stronicowania
Komputer wyłącza się po 15 sekundach
Komputer wyłącza się po 15 sekundach
Nowy projekt dla grup w Odnoklassnikach
Nowy projekt dla grup w Odnoklassnikach
Która kusza jest najpotężniejsza?
Która kusza jest najpotężniejsza?
Portfel Yandex na Białorusi
Portfel Yandex na Białorusi
„karta motznaya” - program lojalnościowy firmy Belkart
„karta motznaya” - program lojalnościowy firmy Belkart