ინფორმაციის უსაფრთხოების ხარჯები. საწარმოს ინფორმაციის უსაფრთხოების პირდაპირი და არაპირდაპირი ხარჯები. ინფორმაციული უსაფრთხოების ბიუჯეტი: წილი იზრდება, „ღვეზელი“ მცირდება

გლობალური რისკის კვლევა ინფორმაციის დაცვაბიზნესისთვის (Kaspersky Lab Global Corporate IT Security Risks Survey) არის კორპორატიული ინფორმაციის უსაფრთხოების ტენდენციების ყოველწლიური ანალიზი მთელს მსოფლიოში. ჩვენ განვიხილავთ კიბერუსაფრთხოების ისეთ მნიშვნელოვან ასპექტებს, როგორიცაა ინფორმაციული უსაფრთხოების ღირებულება, საფრთხის რეალური ტიპები სხვადასხვა ტიპის კომპანიებისთვის და ამ საფრთხეების დაძლევის ფინანსური შედეგები. გარდა ამისა, აღმასრულებლებისგან ინფორმაციული უსაფრთხოების ბიუჯეტის პრინციპების შესწავლით, ჩვენ შეგვიძლია დავინახოთ, თუ როგორ რეაგირებენ კომპანიები მსოფლიოს სხვადასხვა რეგიონში საფრთხის ლანდშაფტის ცვლილებებზე.

2017 წელს ჩვენ შევეცადეთ გაგვერკვია, ხედავენ თუ არა კომპანიები ინფორმაციულ უსაფრთხოებას, როგორც დანახარჯების წყაროს (აუცილებელი ბოროტება, რაზეც მათ ფულის დახარჯვა უწევთ) თუ იწყებენ მას სტრატეგიულ ინვესტიციას (ანუ ბიზნესის უწყვეტობის უზრუნველსაყოფად, რომელიც უზრუნველყოფს მნიშვნელოვან წყაროს). უპირატესობები სწრაფად განვითარებადი კიბერ საფრთხეების ეპოქაში).

ეს ძალიან მნიშვნელოვანი საკითხია, მით უმეტეს, რომ IT ბიუჯეტი მსოფლიოს უმეტეს რეგიონებში მცირდება.

რუსეთში კი, 2017 წელს დაფიქსირდა უსაფრთხოებისთვის გამოყოფილი საშუალო ბიუჯეტის უმნიშვნელო ზრდა - 2%. რუსეთში კიბერუსაფრთხოების საშუალო ბიუჯეტი დაახლოებით 15,4 მილიონი რუბლი იყო.

ამ ანგარიშში დეტალურადაა აღწერილი ყველა ზომის კომპანიების წინაშე მდგარი საფრთხეების ტიპები, ასევე IT ხარჯების განაწილების დამახასიათებელი ნიმუშები.

ზოგადი ინფორმაცია და კვლევის მეთოდოლოგია

Kaspersky Lab-ის გლობალური კორპორაციული IT უსაფრთხოების რისკების კვლევა არის გამოკითხვა აღმასრულებლებისა, რომლებიც მართავენ IT სერვისებს თავიანთ ორგანიზაციებში, რომელიც ყოველწლიურად ტარდება 2011 წლიდან.

უახლესი მონაცემები შეგროვდა 2017 წლის მარტსა და აპრილში. სულ გამოიკითხა 5274 რესპონდენტი 30-ზე მეტი ქვეყნიდან და კვლევაში მონაწილეობა მიიღო ყველა ზომის კომპანიამ.

ანგარიშში ზოგჯერ გამოიყენება შემდეგი აღნიშვნები: მცირე ბიზნესი - 50-ზე ნაკლები თანამშრომელი, SMB (საშუალო და მცირე ბიზნესი - 50-დან 250-მდე თანამშრომელი) და დიდი ბიზნესი (კომპანიები 250-ზე მეტი თანამშრომელი). მიმდინარე მოხსენებაში წარმოდგენილია კვლევის ყველაზე გამოვლენილი პარამეტრების ანალიზი.

ძირითადი დასკვნები:

კიბერ საფრთხეები უფრო რთული ხდება ყველა ზომის კომპანიისთვის და ასევე იზრდება თავდაცვის ხარჯებიც. რუსეთში, საშუალო და მცირე ბიზნესის სეგმენტში, მხოლოდ ერთი კიბერ ინციდენტის შედეგების აღმოფხვრის საშუალო ღირებულება 1,6 მილიონი რუბლია, ხოლო მსხვილი ბიზნესის სეგმენტისთვის, ხარჯები 16,1 მილიონი რუბლია.

ინფორმაციული უსაფრთხოებისთვის გამოყოფილი IT ბიუჯეტის წილი იზრდება. ეს ეხება ნებისმიერი ზომის კომპანიებს. ბიუჯეტის მთლიანი ოდენობა, თუმცა, დაბალია და რუსეთში ზრდა მხოლოდ 2% იყო, ამიტომ სპეციალისტები იძულებულნი არიან შეასრულონ თავიანთი ამოცანები მცირე რესურსებით.

ერთი ინციდენტის ზარალი იზრდება და კომპანიები, რომლებიც არ ანიჭებენ პრიორიტეტს კიბერუსაფრთხოების ხარჯებს, შესაძლოა მალე სერიოზული პრობლემები აღმოჩნდნენ. კვლევამ აჩვენა, რომ SMB სეგმენტში კომპანიები ხარჯავენ დაახლოებით 300 ათას რუბლს უსაფრთხოების ყოველი ინციდენტისთვის პერსონალისთვის დამატებით გადასახადებზე, ხოლო დიდ კორპორაციებს შეუძლიათ დახარჯონ 2,7 მილიონი რუბლი ბრენდისთვის მიყენებული ზიანის შესამცირებლად.

ზიანი უსაფრთხოების ინციდენტებით

კიბერუსაფრთხოების ინციდენტების ზარალი მუდმივად იზრდება: კომპანიებს უწევთ გაუმკლავდეთ მათ ბევრ შედეგს, დამატებითი სამუშაოსაზოგადოებასთან ახალი თანამშრომლების დაქირავებამდე. 2017 წელს აღინიშნა ფინანსური ზარალის შემდგომი ზრდა მონაცემთა მთლიანობის დარღვევის შემთხვევაში. ამან უნდა შეცვალოს ჩვენი მიდგომა ამ საკითხთან დაკავშირებით: კომპანიები შეწყვეტენ კიბერუსაფრთხოების ხარჯვას აუცილებელ ბოროტებად და დაიწყებენ მას ინვესტიციას, რომელიც თავიდან აიცილებს მნიშვნელოვან ფინანსურ ზარალს თავდასხმის შემთხვევაში.

მონაცემთა მძიმე დარღვევა სულ უფრო და უფრო ძვირი ჯდება

CTO-ებს ყველაზე მეტად აწუხებთ მასიური თავდასხმები, რომლებიც მილიონობით ჩანაწერს ავრცელებს. ასეთი იყო თავდასხმები დიდი ბრიტანეთის ჯანდაცვის ეროვნულ სამსახურზე (NHS), Sony ან HBO არხის გატეხვა სერიალ Game of Thrones-თან დაკავშირებული კონფიდენციალური მონაცემების გამჟღავნებით. თუმცა, სინამდვილეში, ასეთი მნიშვნელოვანი ინციდენტები გამონაკლისია და არა წესი. კიბერშეტევების უმეტესობა შარშანდელ სათაურში არ მოხვდა და სპეციალისტებისთვის სპეციალური მოხსენებების რიგად დარჩა. რა თქმა უნდა, გამოსასყიდი პროგრამების ეპიდემიებმა ცოტა შეცვალა სიტუაცია, მაგრამ ბიზნესის კორპორატიული სეგმენტი მაინც ვერ აცნობიერებს მთლიან სურათს.

ცნობილი ფართომასშტაბიანი კიბერშეტევების შედარებით მცირე რაოდენობა არ ნიშნავს, რომ თავდასხმების უმეტესი ნაწილი უმნიშვნელოა. მაშ, რამდენს ხარჯავენ კომპანიები საშუალოდ მონაცემთა „ტიპიური“ დარღვევის გამოსასწორებლად? ჩვენ ვთხოვეთ კვლევის მონაწილეებს შეეფასებინათ რამდენი დახარჯა/დაკარგა მათმა კომპანიამ უსაფრთხოების ნებისმიერი ინციდენტის შედეგად, რომელიც მოხდა გასულ წელს.

ყველა კომპანიას, სადაც 50 ან მეტი თანამშრომელი იყო, მოეთხოვებოდათ შეეფასებინათ გაწეული ხარჯები თითოეულ შემდეგ კატეგორიაში:

თითოეული კატეგორიისთვის ჩვენ გამოვთვალეთ კომპანიების მიერ გაწეული საშუალო ხარჯები, რომლებსაც შეექმნათ ინფორმაციული უსაფრთხოების ინციდენტი და ყველა კატეგორიის ჯამმა საშუალება მოგვცა შეგვეფასებინა ინფორმაციული უსაფრთხოების ინციდენტის შედეგად მიყენებული მთლიანი ზიანი.

მცირე და საშუალო ბიზნესის და მსხვილი ბიზნესის სეგმენტების შედეგები მოცემულია ქვემოთ ცალკე, რადგან მათთვის სტატისტიკა მრავალი თვალსაზრისით განსხვავდება. მაგალითად, რუსული SMB კომპანიების საშუალო ზარალი თითქმის 1,6 მილიონი რუბლია, ხოლო მსხვილი ბიზნესისთვის ეს თითქმის ათჯერ მეტია - 16,1 მილიონი რუბლი. ეს გვიჩვენებს, რომ კიბერშეტევები ძვირია ყველა ზომის კომპანიისთვის.

გასაკვირი არ არის, რომ მსხვილი ბიზნესი, საშუალოდ, უფრო მეტ ზარალს განიცდის მონაცემთა მთლიანობის დარღვევის გამო, მაგრამ საინტერესოა ზარალის განაწილების ანალიზი კატეგორიების მიხედვით.

გასულ წელს, დასაქმებულთა შეღავათები იყო ყველაზე დიდი ხარჯი როგორც მცირე ბიზნესისთვის, ასევე მსხვილი ბიზნესისთვის. თუმცა, წელს სურათი შეიცვალა და ხარჯვის ძირითად პუნქტად სხვადასხვა ზომის კომპანიები გახდნენ. მცირე და საშუალო ბიზნესი კვლავაც ყველაზე მეტს კარგავს თანამშრომელთა შეღავათებზე. მაგრამ მსხვილმა ბიზნესმა დაიწყო დამატებით პიარში ინვესტირება, რათა შემცირდეს ბრენდის რეპუტაციის ზიანი. გარდა ამისა, მსხვილი ბიზნესისთვის მნიშვნელოვანი ხარჯების პუნქტი იყო ტექნიკური აღჭურვილობის გაუმჯობესებისა და დამატებითი პროგრამული უზრუნველყოფის შეძენის ხარჯები.

ყველა კომპანიისთვის გაიზარდა თანამშრომლების გადამზადების ღირებულება. უსაფრთხოების ინციდენტები ხშირად აიძულებს კომპანიებს გააცნობიერონ კიბერ წიგნიერების გაზრდისა და საფრთხეების დაზვერვის გაუმჯობესების მნიშვნელობა.

მსხვილი კომპანიების უფრო ფართო შიდა რესურსები და მათი რეგულირების თავისებურებები განსაზღვრავს განსხვავებულ ბალანსს თავად საფრთხის აღმოფხვრის ხარჯებსა და ზიანის ანაზღაურების ხარჯებს შორის. სადაზღვევო პრემიების ზრდა, საკრედიტო რეიტინგების გაუარესება და კომპანიისადმი ნდობის შელახვა გახდა სერიოზული ხარჯების პუნქტი: საშუალოდ, ყოველი ინციდენტის შემდეგ, მსხვილი კომპანიები ამაზე კარგავენ დაახლოებით 2,3 მილიონ რუბლს.

ჩვენი კვლევა აჩვენებს, რომ დანახარჯების ზრდის დიდი ნაწილი განპირობებული იყო რეპუტაციის ზარალის თავიდან აცილების ან თუნდაც შერბილების აუცილებლობით საკრედიტო ქულების, ბრენდის იმიჯის და კომპენსაციის სახით.

უფრო და უფრო მეტი ახალი რეგულაციების დანერგვით ყველგან, საშუალო ზიანი სავარაუდოდ გაგრძელდება: კომპანიებს მოუწევთ საჯაროდ შეატყობინონ ყველა ინციდენტი და გაზარდონ მონაცემთა დაცვის გამჭვირვალობა.

ასეთი ტენდენციები ტიპიურია, მაგალითად, იაპონიაში, სადაც უსაფრთხოების დარღვევის გამოსწორების საშუალო ღირებულება გაორმაგდა 2016 წელს 580,000 აშშ დოლარიდან 2017 წელს 1.3 მილიონ დოლარამდე. იაპონიის მთავრობამ გადადგა ნაბიჯები მარეგულირებელი მოთხოვნების გამკაცრებისთვის კიბერუსაფრთხოების საფრთხეების გაზრდის გამო. 2017 წელს ახალი კანონები ამოქმედდა, რამაც ხარჯების უეცარი ზრდა გამოიწვია.

თუმცა კანონების შემუშავებას და განხორციელებას დრო სჭირდება. სწრაფად განვითარებადი კორპორატიული IT ლანდშაფტით და კიბერ საფრთხეების ევოლუციით, მარეგულირებელი ნარჩენები ხდება მთავარი საკითხი. მაგალითად, ახალი იაპონური სტანდარტები შეთანხმებული იქნა ჯერ კიდევ 2015 წელს, მაგრამ მათი ძალაში შესვლა ორი წლით უნდა გადაიდოს. ბევრისთვის ეს შეფერხება ძალიან ძვირი დაუჯდა: ბოლო ორი წლის განმავლობაში, იაპონური მსხვილი კომპანიები ძვირადღირებული თავდასხმების მსხვერპლი გახდა. ერთი მაგალითია ტურისტული კომპანია JTB Corp., რომელიც 2016 წელს უზარმაზარი გაჟონვის წინაშე აღმოჩნდა. მოიპარეს 8 მილიონი მომხმარებლის მონაცემები, მათ შორის სახელები, მისამართები და პასპორტის ნომრები.

ეს არის გლობალური პრობლემის ერთ-ერთი სიმპტომი: საფრთხეები სწრაფად ვითარდება და მთავრობებისა და კომპანიების ინერცია ძალიან მაღალია. ხრახნების გამკაცრების კიდევ ერთი მაგალითია მონაცემთა დაცვის საერთო ევროპული რეგულაციები (GDPR), რომელიც ძალაში შედის 2018 წლის მაისში და მნიშვნელოვნად ზღუდავს ევროკავშირის მოქალაქეების მონაცემების დამუშავებისა და შენახვის მისაღებ გზებს.

კანონები იცვლება მთელ მსოფლიოში, მაგრამ ისინი ვერ ახერხებენ კიბერ საფრთხეებს - ამის შესახებ 2017 წელს რუსეთში გამოსყიდვის სამმა ტალღამ შეახსენა. ამიტომ, ბიზნესებმა უნდა გააცნობიერონ კანონის არასრულყოფილება და გააძლიერონ დაცვა ფაქტობრივი გარემოებების შესაბამისად - ან წინასწარ გადადგნენ რეპუტაციისა და მომხმარებლებისთვის ზიანის მიყენების მიზნით. ღირს ახალი მარეგულირებელი მოთხოვნების მომზადება ვადების მოლოდინის გარეშე. შესაბამისი კანონების გამოქვეყნების შემდეგ პოლიტიკის შეცვლით, კომპანიები რისკავს არა მხოლოდ ჯარიმებს, არამედ საკუთარი და კლიენტების მონაცემების უსაფრთხოებას.

არ არსებობს სხვა ადამიანების დაუცველობა: პარტნიორების დაცვის დარღვევა ძვირია

მონაცემთა გაჟონვისგან დასაცავად, ძალიან მნიშვნელოვანია იმის გაგება, თუ რა შეტევის ვექტორებს იყენებენ თავდამსხმელები. თავის მხრივ, ეს ინფორმაცია დაგეხმარებათ გაიგოთ, რომელი ტიპის თავდასხმები ღირს ყველაზე მეტად.

კვლევამ აჩვენა, რომ შემდეგ ინციდენტებს ყველაზე მძიმე ფინანსური შედეგები მოჰყვა საშუალო და მცირე ბიზნესისთვის:

  • ინციდენტები, რომლებიც გავლენას ახდენს მესამე მხარის აღჭურვილობაზე განთავსებულ ინფრასტრუქტურაზე (17,2 მილიონი რუბლი)
  • ინციდენტები, რომლებიც გავლენას ახდენენ კომპანიის მიერ გამოყენებული მესამე მხარის ღრუბლოვან სერვისებზე (3,6 მილიონი რუბლი)
  • არასწორი კომუნიკაცია მეშვეობით მობილური მოწყობილობები(2,5 მილიონი რუბლი)
  • მობილური მოწყობილობების ფიზიკური დაკარგვა, რისკების ქვეშ მყოფი ორგანიზაცია (2,1 მილიონი რუბლი)
  • ინციდენტები, რომლებიც დაკავშირებულია ინტერნეტთან დაკავშირებულ არა გამოთვლით მოწყობილობებთან (მაგალითად, სამრეწველო კონტროლის სისტემები, ნივთების ინტერნეტი) (1,7 მილიონი რუბლი)

მსხვილი ბიზნესის მდგომარეობა გარკვეულწილად განსხვავებულია:

  • მიზნობრივი შეტევები (75 მილიონი რუბლი)
  • ინციდენტები, რომლებიც გავლენას ახდენს მესამე მხარის მოვაჭრეების ღრუბლოვან სერვისებზე (19 მილიონი რუბლი)
  • ვირუსები და მავნე პროგრამა(9 მილიონი რუბლი)
  • მობილური მოწყობილობების მეშვეობით მონაცემთა შეუსაბამო გაცვლა (7,3 მილიონი რუბლი)
  • ინციდენტები, რომლებიც გავლენას ახდენენ მომწოდებლებზე, რომლებთანაც კომპანიები ცვლიან მონაცემებს (4,4 მილიონი რუბლი)

ეს მონაცემები აჩვენებს, რომ ძალიან ხშირად, ბიზნესპარტნიორებთან უსაფრთხოების პრობლემებით გამოწვეული თავდასხმები ნებისმიერი ზომის კომპანიებს თითქმის ყველაზე მეტად უჯდებათ. ეს ეხება ორივე ორგანიზაციას, რომლებიც იქირავებენ მესამე მხარის პროვაიდერებიღრუბელი ან სხვა ინფრასტრუქტურა, ასევე კომპანიები, რომლებიც თავიანთ მონაცემებს პარტნიორებს უზიარებენ.

მას შემდეგ რაც სხვა კომპანიას აძლევთ წვდომას თქვენს მონაცემებზე ან ინფრასტრუქტურაზე, მათი სისუსტეები გახდება თქვენი პრობლემა. თუმცა, წარსულში ვნახეთ, რომ ორგანიზაციების უმეტესობა ამას საკმარის მნიშვნელობას არ ანიჭებს. ამიტომ გასაკვირი არ არის, რომ მსგავსი ინციდენტები იწვევს უდიდეს ხარჯებს: ნებისმიერი მოკრივე გეტყვით, რომ ჩვეულებრივ, მოულოდნელი დარტყმა იწვევს ნოკაუტს.

ასევე დაუყოვნებლივ აღსანიშნავია კიდევ ერთი ვექტორი, რომელიც მოულოდნელად შევიდა ტოპ 5 საფრთხეში საშუალო ზომის ბიზნესისთვის: შეტევები დაკავშირებული არაკომპიუტერულ მოწყობილობებთან. დღეს ნივთების ინტერნეტის (IoT) ტრაფიკი ბევრად უფრო სწრაფად იზრდება, ვიდრე ნებისმიერი სხვა ტექნოლოგიით წარმოქმნილი ტრაფიკი. ეს არის კიდევ ერთი მაგალითი იმისა, თუ როგორ ზრდის ახალი მოვლენები ბიზნეს ინფრასტრუქტურის პოტენციურ მოწყვლადობას. კერძოდ, ქარხნული ნაგულისხმევი პაროლების ფართო გამოყენებამ და სუსტმა უსაფრთხოებამ IoT მოწყობილობებზე გახადა ისინი იდეალური დაჭერა Mirai-ის ტიპის ბოტნეტებისთვის, მავნე პროგრამით, რომელსაც შეუძლია დააკავშიროს დაუცველი მოწყობილობების დიდი რაოდენობა. ერთიანი ქსელიგანახორციელოს ფართომასშტაბიანი DDoS შეტევები შერჩეულ სამიზნეებზე.

აღსანიშნავია მსხვილ ბიზნეს სეგმენტში მიზანმიმართული თავდასხმების ზარალის ოდენობა - ამ საფრთხის წინააღმდეგ ბრძოლა უკიდურესად რთულია. ბოლო ორი წლის განმავლობაში ცნობილი გახდა ბანკებზე არაერთი გახმაურებული მიზნობრივი თავდასხმა, რაც ასევე აძლიერებს ამ იმედგაცრუებულ სტატისტიკას.

ინვესტიცია რისკის შემცირებაში

როგორც ჩვენმა კვლევამ აჩვენა, ინფორმაციული უსაფრთხოების საფრთხე სულ უფრო და უფრო სერიოზული ხდება. ამ პირობებში, თავად ინფორმაციული უსაფრთხოების ბიუჯეტის მდგომარეობა არ შეიძლება იყოს შემაშფოთებელი. მათი ცვლილებების გაანალიზებით, ჩვენ შეგვიძლია გადავწყვიტოთ, განიხილავენ თუ არა ორგანიზაციები თავიანთ უსაფრთხოებას, როგორც ხარჯების წყაროს, თუ ბალანსი თანდათან იცვლება და ისინი იწყებენ იმის დანახვას, როგორც ინვესტიციის შესაძლებლობას, რომელიც უზრუნველყოფს რეალურ კონკურენტულ უპირატესობას.

ბიუჯეტის ზომა გვიჩვენებს კომპანიის დამოკიდებულებას IT უსაფრთხოების მიმართ, უსაფრთხოების სისტემის როლის მნიშვნელობას მენეჯმენტის თვალსაზრისით და ორგანიზაციის მზადყოფნას გარისკოს.

ინფორმაციული უსაფრთხოების ბიუჯეტი: წილი იზრდება, „ღვეზელი“ მცირდება

წელს ჩვენ ვხედავთ, რომ დანაზოგმა და აუთსორსინგიმ გამოიწვია IT ბიუჯეტის შემცირება. ამის მიუხედავად (და შესაძლოა ამის გამო), ინფორმაციული უსაფრთხოების წილი ამ IT ბიუჯეტებში გაიზარდა. რუსეთში დადებითი ტენდენცია შეინიშნება ყველა ზომის კომპანიებში. მცირე რესურსების მქონე მიკრობიზნესებს შორისაც კი, ინფორმაციული უსაფრთხოებისთვის გამოყოფილი IT ბიუჯეტის წილი გაიზარდა, თუმცა პროცენტით.

ეს ნიშნავს, რომ კომპანიები საბოლოოდ იწყებენ ინფორმაციული უსაფრთხოების მნიშვნელობის გაგებას. შესაძლოა, ეს გვიჩვენებს, რომ ინფორმაციული უსაფრთხოება ბევრმა განიხილა, როგორც პოტენციურად ღირებული ინვესტიცია და არა ძვირადღირებული.

ჩვენ ვხედავთ, რომ მსოფლიოში IT ბიუჯეტები მნიშვნელოვნად შემცირებულია. მიუხედავად იმისა, რომ ინფორმაციული უსაფრთხოება ტორტის უფრო დიდ ნაწილს იღებს, თავად ტორტი მცირდება. ტენდენცია შემაშფოთებელია, განსაკუთრებით იმის გათვალისწინებით, თუ რამდენად მაღალია ფსონები ამ სფეროში და რამდენად ძვირია თითოეული შეტევა.

რუსეთში, მსხვილი ბიზნესისთვის ინფორმაციის უსაფრთხოების საშუალო ბიუჯეტი 2017 წელს მიაღწია 400 მილიონ რუბლს, ხოლო SMB-ებისთვის - 4,6 მილიონ რუბლს.

ნიმუში: 694 რესპონდენტი რუსეთში, რომელსაც შეუძლია ბიუჯეტის შეფასება

გასაკვირი არ არის, რომ საჯარო მომსახურეობის ორგანიზაციები (მათ შორის თავდაცვის სექტორი) და ფინანსური ინსტიტუტები მთელ მსოფლიოში აფიქსირებენ ყველაზე მაღალ ხარჯებს კიბერუსაფრთხოებაზე წელს. ორივე ამ სექტორის ბიზნესები უსაფრთხოებისთვის საშუალოდ 5 მილიონ დოლარზე მეტს ხარჯავდნენ. აღსანიშნავია, რომ IT და სატელეკომუნიკაციო სექტორმა, ისევე როგორც ენერგეტიკულმა კომპანიებმა, ასევე დახარჯეს საშუალოზე მეტი ინფორმაციის უსაფრთხოებაზე, თუმცა მათი ბიუჯეტი $5-ის ნაცვლად $3 მილიონს მიუახლოვდა.

თუმცა, თუ მთლიან ხარჯებს გავყოფთ დასაქმებულთა რაოდენობაზე, მაშინ სახელმწიფო ორგანიზაციები სიის ბოლოში გადადიან. საშუალოდ, IT და ტელეკომის სექტორი ხარჯავს $1,258 ინფორმაციულ უსაფრთხოებას ერთ სულ მოსახლეზე, ხოლო ენერგეტიკის სექტორი ხარჯავს $1,344 და ფინანსური კომპანიები $1,436. შედარებისთვის, სამთავრობო უწყებები ერთ ადამიანზე მხოლოდ 959 დოლარს გამოყოფენ ინფორმაციის უსაფრთხოებისთვის.

როგორც IT, ასევე ტელეკომუნიკაციებში და ენერგეტიკულ ინდუსტრიაში, მაღალი ღირებულება ერთ თანამშრომელზე, სავარაუდოდ, გამოწვეულია დაცვის საჭიროებით. ინტელექტუალური საკუთრების. ელექტრომომარაგების ორგანიზაციების შემთხვევაში, დაცვის მაღალი ღირებულება შეიძლება გამოწვეული იყოს იმითაც, რომ ეს კომპანიები სულ უფრო დაუცველები არიან მავნე ჯგუფების მიერ ორგანიზებული მიზნობრივი შეტევების მიმართ.

ამ ინდუსტრიაში ინვესტიცია ინფორმაციულ უსაფრთხოებაში ხდება გადარჩენის გასაღები, რადგან ის უზრუნველყოფს ბიზნესის უწყვეტობას - უკიდურესად მნიშვნელოვანი ფაქტორი ენერგომომარაგებისთვის. ამ ინდუსტრიაში წარმატებული კიბერშეტევის შედეგები განსაკუთრებით მძიმეა, ამიტომ ინფორმაციულ უსაფრთხოებაში ინვესტირებას ძალიან ხელშესახები სარგებელი მოაქვს.

რუსეთში, IT და ტელეკომუნიკაციები, ისევე როგორც სამრეწველო საწარმოები, უპირველეს ყოვლისა ინვესტიციას ახდენენ ინფორმაციის უსაფრთხოებაში - პირველის საშუალო ხარჯები აღწევს 300 მილიონ რუბლს, მეორესთვის - 80 მილიონ რუბლს. სამრეწველო და საწარმოო კომპანიები, როგორც წესი, ეყრდნობიან ავტომატური სისტემებიმენეჯმენტი (ICS) წარმოების პროცესების უწყვეტობის უზრუნველსაყოფად. ამავდროულად, ICS-ზე თავდასხმების რაოდენობა იზრდება: ბოლო 12 თვის განმავლობაში მათი რიცხვი 5%-ით გაიზარდა.

ინფორმაციის უსაფრთხოებაში ინვესტიციის მიზეზები

ინფორმაციული უსაფრთხოების სფეროში ინვესტიციების გავრცელება სექტორებს შორის ძალიან დიდია. აქედან გამომდინარე, განსაკუთრებით მნიშვნელოვანია იმის გარკვევა, თუ რატომ ხარჯავენ კომპანიები შეზღუდული რესურსების ინფორმაციულ უსაფრთხოებას. მოტივების ცოდნის გარეშე შეუძლებელია იმის გაგება, კომპანია IT ინფრასტრუქტურის უსაფრთხოებაზე დახარჯულ ფულს გადაყრად მიიჩნევს თუ მას მომგებიან ინვესტიციად მიიჩნევს.

2017 წელს, მნიშვნელოვნად მეტმა კომპანიამ მთელ მსოფლიოში აღიარა, რომ ისინი აპირებდნენ ინვესტიციების ჩადებას კიბერუსაფრთხოებაში ინვესტიციის მოსალოდნელი უკუგების მიუხედავად: 63% 2016 წლის 56%-თან შედარებით. ეს აჩვენებს, რომ სულ უფრო მეტ კომპანიას ესმის ინფორმაციული უსაფრთხოების მნიშვნელობა.

ინფორმაციული უსაფრთხოების ბიუჯეტის ზრდის ძირითადი მიზეზები, რუსეთი

ყველა კომპანია არ ელის ინვესტიციების სწრაფ დაბრუნებას, მაგრამ ბევრმა გლობალურმა კომპანიამ დაასახელა ზეწოლა ძირითადი დაინტერესებული მხარეების, მათ შორის უმაღლესი მენეჯმენტის (32%), როგორც ინფორმაციის უსაფრთხოების ბიუჯეტის გაზრდის მიზეზი. ეს აჩვენებს, რომ კომპანიები იწყებენ სტრატეგიული უპირატესობის დანახვას ინფორმაციული უსაფრთხოების ხარჯების ზრდაში: უსაფრთხოების ზომები საშუალებას იძლევა არა მხოლოდ დაიცვან თავი თავდასხმის შემთხვევაში, არამედ აჩვენონ კლიენტებს, რომ მათი მონაცემები კარგ ხელშია და ასევე. უზრუნველყოს ბიზნესის უწყვეტობა, რითაც დაინტერესებულია კომპანიის მენეჯმენტი.

ინფორმაციული უსაფრთხოების ღირებულების გაზრდის ყველაზე პოპულარულ მიზეზად შიდა კომპანიების უმეტესობამ უწოდა მზარდი რთული IT ინფრასტრუქტურის დაცვის აუცილებლობა (46%), ხოლო ინფორმაციული უსაფრთხოების ექსპერტების კვალიფიკაციის ამაღლების აუცილებლობა აღინიშნა 30% -ით. ეს მაჩვენებლები მიუთითებს კომპანიისთვის ხელმისაწვდომი ექსპერტიზის დონის ამაღლების აუცილებლობაზე საკუთარი თანამშრომლების უნარების განვითარებით. მართლაც, როგორც მცირე და საშუალო ბიზნესი, ასევე მსხვილი საწარმოები სულ უფრო მეტ ინვესტიციებს ახორციელებენ თავიანთი შიდა სამუშაო ძალის მხარდასაჭერად კიბერსაფრთხეებთან ბრძოლაში.

ამავდროულად, შემცირდა ინფორმაციული უსაფრთხოების ღირებულების გაზრდის აუცილებლობა ახალი ბიზნეს ოპერაციების ან კომპანიის გაფართოების გამო რუსულ ბიზნესებს შორის: გასულ წელს 36%-დან 2017 წელს 30%-მდე. შესაძლოა, ეს ასახავს იმ მაკროეკონომიკურ ფაქტორებს, რომლებთანაც ბოლო დროს ჩვენს კომპანიებს მოუწიათ გამკლავება.

დასკვნა

მასიური თავდასხმები, როგორიცაა WannaCry, exPetr და BadRabbit, 2017 წელს დიდი ზიანი მიაყენეს. ასევე დიდია მიზანმიმართული თავდასხმების ზარალი, განსაკუთრებით რუსულ ბანკებზე. ეს ყველაფერი მეტყველებს იმაზე, რომ კიბერ საფრთხეების ლანდშაფტი სწრაფად და გარდაუვალად იცვლება. კომპანიებმა უნდა შეცვალონ თავიანთი დაცვა ან დარჩნენ უმუშევრად.

ბიზნეს გადაწყვეტილების მიღებისას სულ უფრო მნიშვნელოვანი ფაქტორია განსხვავება კიბერთავდასხმების მოსაგერიებლად მომზადების ღირებულებასა და მსხვერპლის მიერ გაწეულ ხარჯებს შორის.

ანგარიში აჩვენებს, რომ მონაცემთა შედარებით მცირე დარღვევაც კი, რომელიც არ აინტერესებს ფართო საზოგადოებას, შეიძლება ძალიან ძვირი დაუჯდეს კომპანიისთვის და სერიოზულად იმოქმედოს მის მუშაობაზე. უსაფრთხოების ინციდენტების შემთხვევაში ხარჯების ზრდის კიდევ ერთი მიზეზი მსოფლიოში კანონმდებლობის ცვლილებებია. კომპანიებს ან უნდა მოერგოთ ან რისკავს როგორც შეუსაბამობას, ასევე შესაძლო ჰაკერებს.

ამ პირობებში განსაკუთრებით მნიშვნელოვანია ყველა შედეგისა და ხარჯის გათვალისწინება. ალბათ ამიტომაა, რომ სულ უფრო მეტი კომპანია სხვადასხვა ქვეყნიდან ზრდის ინფორმაციული უსაფრთხოების წილს IT ბიუჯეტებში. 2017 წელს მსოფლიოს მასშტაბით გაცილებით მეტმა კომპანიამ აღიარა, რომ აპირებდნენ ინვესტიციების განხორციელებას კიბერუსაფრთხოებაში, მიუხედავად ინვესტიციის მოსალოდნელი ანაზღაურებისა: 63% 2016 წლის 56%-თან შედარებით.

სავარაუდოდ, კიბერუსაფრთხოების ინციდენტების ღირებულების გაზრდის გამო, სწორედ ის ორგანიზაციები, რომლებიც ითვლებიან IT ხარჯებს უსაფრთხოების ინვესტიციად და მზად არიან დახარჯონ მნიშვნელოვანი თანხები მათზე, უკეთ მომზადდებიან შესაძლო პრობლემებისთვის. რა მდგომარეობაა თქვენს კომპანიაში?

Ანოტაცია: ლექციაზე განხილულია ინფორმაციული უსაფრთხოების უზრუნველყოფის ღონისძიებების განხორციელების მიზანშეწონილობის ამოცანები და მეთოდები ეკონომიკური ანალიზის გარკვეულ პირობებში.

ინფორმაციული უსაფრთხოების ეკონომიკის მეთოდოლოგიური საფუძვლები

ინფორმაციის უსაფრთხოების მენეჯმენტი, ისევე როგორც მენეჯმენტი საქმიანობის ბევრ სხვა სფეროში, მოიცავს სხვადასხვა მენეჯმენტის გადაწყვეტილებების პერიოდულ მიღებას, რომლებიც, როგორც წესი, მოიცავს გარკვეული ალტერნატივის არჩევას (ერთ-ერთი შესაძლო ორგანიზაციული სქემის ან ერთ-ერთი ხელმისაწვდომი ტექნიკური გადაწყვეტის არჩევა) ან განსაზღვრას. ცალკეული ორგანიზაციული ან/და გარკვეული პარამეტრები ტექნიკური სისტემებიდა ქვესისტემები. მიღების სიტუაციაში ალტერნატივების არჩევის ერთ-ერთი შესაძლო მიდგომა მენეჯმენტის გადაწყვეტილებაარის ე.წ. „ნებაყოფლობითი“ მიდგომა, როდესაც გადაწყვეტილება მიიღება ინტუიციურად ამა თუ იმ მიზეზის გამო და არ შეიძლება ჩამოყალიბდეს ფორმალურად დასაბუთებული მიზეზობრივი კავშირი გარკვეულ საწყის ნაგებობებსა და კონკრეტულ გადაწყვეტილებას შორის. აშკარაა, რომ „ნებაყოფლობითი“ მიდგომის ალტერნატივა არის გადაწყვეტილების მიღება გარკვეული ფორმალური პროცედურების საფუძველზე და თანმიმდევრული ანალიზი.

ამ ანალიზის საფუძველი და შემდგომი გადაწყვეტილების მიღებაარის ეკონომიკური ანალიზი, რომელიც გულისხმობს ყველა (ან სულ მცირე ძირითადი) ფაქტორების შესწავლას, რომელთა გავლენითაც ხდება გაანალიზებული სისტემების განვითარება, მათი ქცევის ნიმუშები, ცვლილებების დინამიკა, ასევე უნივერსალურის გამოყენება. ფულადი ღირებულება. სწორედ ადეკვატურად აგებული ეკონომიკური მოდელებისა და მათი დახმარებით განხორციელებული ეკონომიკური ანალიზის საფუძველზე უნდა იქნას მიღებული გადაწყვეტილებები როგორც განვითარების ზოგად სტრატეგიასთან, ასევე ინდივიდუალურ ორგანიზაციულ და ტექნიკურ ზომებთან დაკავშირებით, როგორც სახელმწიფოების, რეგიონების და ინდუსტრიების დონეზე, ასევე. ცალკეული საწარმოების, განყოფილებებისა და საინფორმაციო სისტემების დონე.

ამავდროულად, ისევე როგორც ნებისმიერი ინდუსტრიის ეკონომიკას აქვს თავისი მახასიათებლები, ინფორმაციული უსაფრთხოების ეკონომიკა, რომელიც განიხილება შედარებით დამოუკიდებელ დისციპლინად, ერთი მხრივ, ეფუძნება ზოგიერთ ზოგად ეკონომიკურ კანონებს და ანალიზის მეთოდებს და მეორეს მხრივ, მას სჭირდება ინდივიდუალური გაგება, ანალიზის სპეციფიკური მიდგომების შემუშავება, ამ სფეროსთვის დამახასიათებელი სტატისტიკური მონაცემების დაგროვება, სტაბილური იდეების ჩამოყალიბება იმ ფაქტორების შესახებ, რომელთა გავლენის ქვეშ Ინფორმაციული სისტემებიდა ინფორმაციის უსაფრთხოების ინსტრუმენტები.

ეკონომიკური ანალიზის ამოცანების სირთულე საქმიანობის თითქმის ყველა სფეროში, როგორც წესი, განპირობებულია იმით, რომ ეკონომიკური მოდელების მრავალი ძირითადი პარამეტრი არ შეიძლება საიმედოდ შეფასდეს და ისინი ალბათური ხასიათისაა (როგორიცაა, მაგალითად, სამომხმარებლო მოთხოვნის მაჩვენებლები). ანალიზი ასევე გართულებულია იმით, რომ ასეთი პარამეტრების მცირე რყევებმაც კი (შეფასების შესწორება) შეიძლება სერიოზულად იმოქმედოს ობიექტური ფუნქციის მნიშვნელობებზე და, შესაბამისად, ანალიზის შედეგებზე დაყრდნობით მიღებულ გადაწყვეტილებებზე. ამრიგად, ეკონომიკური ანალიზის ჩატარების პროცესში გათვლების მაქსიმალური სანდოობის უზრუნველსაყოფად და გადაწყვეტილების მიღებააუცილებელია სამუშაოების ერთობლიობის ორგანიზება საწყისი ინფორმაციის შესაგროვებლად, პროგნოზირების მნიშვნელობების გამოთვლაზე, სხვადასხვა დარგის ექსპერტებთან გასაუბრებაზე და ყველა მონაცემის დასამუშავებლად. ამავდროულად, ასეთი ანალიზის ჩატარების პროცესში აუცილებელია ყურადღების მიქცევა Განსაკუთრებული ყურადღებაშუალედური გადაწყვეტილებები ზოგად მოდელში შემავალი გარკვეული პარამეტრების შეფასებებთან დაკავშირებით. ასევე აუცილებელია გავითვალისწინოთ ის ფაქტი, რომ თავად ასეთი ანალიზი შეიძლება აღმოჩნდეს საკმაოდ რესურსზე ინტენსიური პროცედურა და მოითხოვოს დამატებითი სპეციალისტებისა და მესამე მხარის კონსულტანტების ჩართვა, ასევე სხვადასხვა სპეციალისტების (ექსპერტების) ძალისხმევა. თავად საწარმოში მუშაობა - ყველა ეს ხარჯი საბოლოოდ უნდა იყოს გამართლებული.

ეკონომიკური ანალიზის განსაკუთრებული სირთულე ისეთ სფეროში, როგორიცაა Ინფორმაციის დაცვა, განისაზღვრება ისეთი სპეციფიკური ფაქტორებით, როგორიცაა:

  • ამ სფეროში გამოყენებული საინფორმაციო ტექნოლოგიებისა და მეთოდების სწრაფი განვითარება (როგორც დაცვის საშუალებები და მეთოდები, ასევე თავდასხმის საშუალებები და მეთოდები);
  • საინფორმაციო სისტემებზე თავდასხმის ყველა შესაძლო სცენარის საიმედოდ პროგნოზირების შეუძლებლობა და თავდამსხმელთა ქცევის ნიმუშები;
  • საინფორმაციო რესურსების ღირებულების საიმედო, საკმარისად ზუსტი შეფასების, აგრეთვე სხვადასხვა დარღვევების შედეგების ფულადი თვალსაზრისით შეფასების შეუძლებლობა.

ეს მოითხოვს დამატებით ძალისხმევას ეკონომიკური ანალიზის პროცესის ორგანიზებისთვის და ასევე ხშირად იწვევს იმ ფაქტს, რომ ინფორმაციული უსაფრთხოების უზრუნველყოფასთან დაკავშირებული მრავალი გადაწყვეტილება შეიძლება არაადეკვატური აღმოჩნდეს. სიტუაციების მაგალითები, როდესაც ეკონომიკური ანალიზის მეთოდოლოგიის განუვითარებლობა უარყოფითად მოქმედებს ინფორმაციული უსაფრთხოების მდგომარეობაზე, შეიძლება იყოს შემთხვევები, როდესაც:

  • საწარმოს ხელმძღვანელობამ შეიძლება მიიღოს არაადეკვატური გადაწყვეტილებები ინფორმაციული უსაფრთხოების ინსტრუმენტებში ინვესტიციებთან დაკავშირებით, რამაც, თავის მხრივ, შეიძლება გამოიწვიოს ზარალი, რომლის თავიდან აცილებაც შეიძლებოდა;
  • საწარმოს მენეჯმენტს შეუძლია მიიღოს გარკვეული გადაწყვეტილებები საწარმოში ბიზნეს პროცესების ორგანიზებასთან და ინფორმაციის დამუშავების პროცესებთან დაკავშირებით, მიმდინარე ხარჯების შემცირებისა და პერსონალის ტვირთის შემცირების სურვილის საფუძველზე, არ გაითვალისწინოს არასაკმარისი უსაფრთხოების ეკონომიკური შედეგები. საინფორმაციო რესურსები;
  • დაზღვეულსა და მზღვეველს არ შეუძლიათ დადონ ინფორმაციული რისკის დაზღვევის ხელშეკრულება ან ასეთი ხელშეკრულებისთვის არაადეკვატური პარამეტრების დადგენა იმის გამო, რომ არ არსებობს გარიგების ეკონომიკური პარამეტრების შეფასების მოდელები და მეთოდები.

ინვესტიციების ანალიზი ინფორმაციული უსაფრთხოების ინსტრუმენტებში

მათი ამჟამინდელი საქმიანობის დროს საწარმოებს მუდმივად უწევთ გამკლავება გარკვეულ ცვლილებებთან: იხვეწება ბიზნეს პროცესები, იცვლება ბაზრის პირობები და მოხმარებული მატერიალური რესურსებისა და სერვისების ბაზრები, ჩნდება ახალი ტექნოლოგიები, კონკურენტები და კონტრაგენტები ცვლიან ქცევას. იცვლება კანონმდებლობა და სახელმწიფო პოლიტიკა და ა.შ. დ. ამ პირობებში მენეჯერებს (მათ შორის ინფორმაციული უსაფრთხოების უზრუნველყოფაზე პასუხისმგებელ პირებს) მუდმივად უწევთ მიმდინარე ცვლილებების ანალიზი და თავიანთი სამუშაოს ადაპტაცია მუდმივად ცვალებად სიტუაციასთან. კონკრეტული ფორმები, რომლებშიც ლიდერების რეაქცია ვლინდება, შეიძლება განსხვავებული იყოს. ეს შეიძლება იყოს მარკეტინგული პოლიტიკის ცვლილება, ბიზნეს პროცესების რეორგანიზაცია, ტექნოლოგიის ცვლილება, პროდუქტის ცვლილება, კონკურენტებთან შერწყმა ან მათი შთანთქმა და ა.შ. თუმცა, ცვალებად გარემოში ქცევის შესაძლო მოდელების მრავალფეროვნებით, თითქმის ყველა მათგანი გაერთიანებულია მათთვის საერთო ერთი მნიშვნელოვანი მეთოდოლოგიური ელემენტით: უმეტეს შემთხვევაში, ბიზნესის რეაქცია ახალ საფრთხეებზე და ახალ შესაძლებლობებზე გულისხმობს ახლის განხორციელებას. მეტ-ნაკლებად გრძელვადიანი და რესურსზე ინტენსიური ინვესტიციები (ინვესტიციები) გარკვეულ ორგანიზაციულ ან/და ტექნიკურ ღონისძიებებში, რომლებიც, ერთის მხრივ, გულისხმობს რესურსების (ფულის) ხარჯვას, ხოლო მეორე მხრივ, იძლევა მოპოვების შესაძლებლობას. ახალი შეღავათები, გამოხატული შემოსავლის ზრდით ან ზოგიერთი მიმდინარე ხარჯების შემცირებით.

ამრიგად, იმ სიტუაციაში, როდესაც აუცილებელია ახალი ორგანიზაციული ან ტექნიკური ღონისძიებების გატარება (პროექტის განხორციელება), ინფორმაციული უსაფრთხოების ეფექტური ორგანიზებაზე პასუხისმგებელი პირების მთავარი ამოცანაა მკაფიოდ დააკავშირონ ხარჯები, რომლებიც გაწეული იქნება. კავშირი ამ მოვლენის განხორციელებასთან (როგორც ერთჯერადი, ასევე მუდმივი მიმდინარეობა) და დამატებითი (ახალი) ფულადი ნაკადები, რომლებიც მიიღება. ამ შემთხვევაში, ფულადი ნაკადები შეიძლება გავიგოთ, როგორც ხარჯების დაზოგვა, ზარალის პრევენცია, ასევე დამატებითი შემოსავალი საწარმოსთვის.

როგორც ამ თანაფარდობის ამსახველი მთავარი ინდიკატორი, ეკონომიკურ პრაქტიკაში ჩვეულებრივ გამოიყენება ინვესტიციის დაბრუნების ფუნქცია - Return on Investment, .

(14.1)

დისკონტირების ფუნქცია გამოიყენება საინვესტიციო ინვესტიციების ანალიზისას დროის ფაქტორის გავლენის გასათვალისწინებლად და მრავალდროული ხარჯების ერთ მომენტამდე (ჩვეულებრივ, პროექტის დაწყების მომენტში) მიყვანის მიზნით. ფასდაკლების განაკვეთი ამ შემთხვევაში საშუალებას გაძლევთ გაითვალისწინოთ ფულის ღირებულების ცვლილება დროთა განმავლობაში.

ინვესტიციის დაბრუნების მოდელი (14.1) ნათლად ასახავს ორ მთავარ ამოცანას, რომელიც უნდა გადაწყდეს ნებისმიერი საინვესტიციო პროექტის და, კერძოდ, ინფორმაციული უსაფრთხოების პროექტის ანალიზის დროს: პროექტთან დაკავშირებული ხარჯების გაანგარიშება და დამატებითი ფულადი ნაკადების გაანგარიშება. თუ მთლიანი გასული 10-15 წლის განმავლობაში მთლიანი ღირებულების () გამოთვლის მეთოდოლოგია საკმაოდ სრულად ჩამოყალიბდა ("საკუთრების მთლიანი ღირებულების" კონცეფციის სახით, TCO - საკუთრების მთლიანი ღირებულება, TCO) და აქტიურად გამოიყენება პრაქტიკაში სხვადასხვა ტიპის საინფორმაციო სისტემებისა და ელემენტების საინფორმაციო ინფრასტრუქტურის მიმართ, შემდეგში ინვესტიციების შედეგად მიღებული დამატებითი ფულადი ნაკადების () გაანგარიშება. ინფორმაციის უსაფრთხოების ინსტრუმენტებიჩვეულებრივ იწვევს სერიოზულ პრობლემებს. ამ ინდიკატორის გამოთვლის ერთ-ერთი ყველაზე პერსპექტიული მიდგომაა ტექნიკა, რომელიც დაფუძნებულია საინფორმაციო რესურსების დაზიანების რისკების რაოდენობრივ (ფულად) შეფასებაზე და ამ რისკების შემცირების შეფასებაზე, რომელიც დაკავშირებულია ინფორმაციის დასაცავად დამატებითი ღონისძიებების განხორციელებასთან.

ამრიგად, ზოგადად, ინფორმაციული უსაფრთხოების უზრუნველყოფისკენ მიმართულ პროექტებში ინვესტიციის მიზანშეწონილობის ანალიზის მეთოდოლოგიის შემადგენლობა სქემატურად არის წარმოდგენილი ნახ. 14.1.

პროექტის განხორციელებასთან დაკავშირებული ხარჯების ანალიზმა, თუმცა შედარებით მარტივი ამოცანა, მაინც შეიძლება გამოიწვიოს გარკვეული სირთულეები. ისევე როგორც ინფორმაციული ტექნოლოგიების სფეროში მრავალი სხვა პროექტისთვის, მიზანშეწონილია განახორციელოს ხარჯების ანალიზი ინფორმაციული უსაფრთხოების სფეროში პროექტების განსახორციელებლად, ცნობილი საბაზისო მეთოდოლოგიის "საკუთრების მთლიანი ღირებულება" - TCO საფუძველზე. (საკუთრების მთლიანი ღირებულება - TCO), შემოღებული საკონსულტაციო კომპანია "გარტნერ ჯგუფის" მიერ 1987 წელს, როგორც მიმართა პერსონალური კომპიუტერები. ზოგადად, ეს მეთოდოლოგია ორიენტირებულია დანახარჯების (როგორც პირდაპირი, ასევე არაპირდაპირი) ანალიზის სისრულის უზრუნველსაყოფად. საინფორმაციო ტექნოლოგიადა საინფორმაციო სისტემები, სიტუაციებში, როდესაც აუცილებელია ასეთი სისტემების დანერგვისა და გამოყენების ეკონომიკური შედეგების შეფასება: ინვესტიციების ეფექტურობის შეფასებისას, ალტერნატიული ტექნოლოგიების შედარებისას, კაპიტალის და მიმდინარე ბიუჯეტების შედგენისას და ა.შ.

ზოგადად, CER-ის მთლიანი ღირებულება მოიცავს:

  • დიზაინის ხარჯები საინფორმაციო სისტემა;
  • ტექნიკის შეძენის ღირებულება და პროგრამული ინსტრუმენტები: Კომპიუტერული ინჟინერია, ქსელის აპარატურა, პროგრამული უზრუნველყოფა (გამოყენებული ლიცენზირების მეთოდების გათვალისწინებით), ასევე იჯარის გადახდები;
  • განვითარების ხარჯები პროგრამული უზრუნველყოფადა მისი დოკუმენტაცია, აგრეთვე მასში არსებული შეცდომების გამოსწორება და ექსპლუატაციის პერიოდში დახვეწა;
  • საინფორმაციო სისტემების მიმდინარე ადმინისტრირების ხარჯები (მათ შორის, მესამე მხარის ორგანიზაციების სერვისების გადახდა, რომლებსაც ეს ფუნქციები ექვემდებარება აუთსორსსს);
  • ტექნიკური უზრუნველყოფისა და მომსახურების ხარჯები;
  • სახარჯო მასალების ღირებულება;
  • სატელეკომუნიკაციო მომსახურების ხარჯები (ინტერნეტზე წვდომა, გამოყოფილი და dial-up საკომუნიკაციო არხები და ა.შ.);
  • როგორც მომხმარებლების, ასევე IT დეპარტამენტებისა და ინფორმაციული უსაფრთხოების დეპარტამენტის თანამშრომლების სწავლების ღირებულება;
  • არაპირდაპირი ხარჯები - საწარმოს ხარჯები, რომლებიც დაკავშირებულია მომხმარებლების მიერ დროის დაკარგვასთან საინფორმაციო სისტემების მუშაობაში ჩავარდნის შემთხვევაში.

ასევე, ინფორმაციული უსაფრთხოების დონის ამაღლების ხარჯების გაანგარიშებისას აუცილებელია ბიზნეს პროცესების რეორგანიზაციის ხარჯები და. საინფორმაციო მუშაობაპერსონალით: ბიზნესისა და ინფორმაციული უსაფრთხოების კონსულტანტების მომსახურების გადახდა, ორგანიზაციული დოკუმენტაციის შემუშავების ხარჯები, ინფორმაციული უსაფრთხოების აუდიტის ჩატარების ხარჯები და ა.შ. გარდა ამისა, ხარჯების გაანალიზებისას ასევე აუცილებელია გავითვალისწინოთ ის ფაქტი, რომ უმეტეს შემთხვევაში ინფორმაციული უსაფრთხოების ინსტრუმენტების დანერგვა გულისხმობს საწარმოს პერსონალისთვის დამატებითი პასუხისმგებლობის გაჩენას და დამატებითი ოპერაციების განხორციელების აუცილებლობას. ინფორმაციული სისტემები. ეს იწვევს საწარმოს თანამშრომლების პროდუქტიულობის გარკვეულ შემცირებას და, შესაბამისად, შეიძლება გამოიწვიოს დამატებითი ხარჯები.

როგორ გავამართლოთ ინფორმაციული უსაფრთხოების ღირებულება?

გადაბეჭდილი კეთილი ნებართვით OJSC InfoTeKS Internet Trust
ორიგინალური ტექსტი არის Აქ.

კომპანიის სიმწიფის დონეები

Gartner Group განსაზღვრავს კომპანიის სიმწიფის 4 დონეს ინფორმაციის უსაფრთხოების (IS) თვალსაზრისით:

  • 0 დონე:
    • ინფორმაციული უსაფრთხოებით კომპანიაში არავინ არ არის დაკავებული, კომპანიის მენეჯმენტი ვერ აცნობიერებს ინფორმაციული უსაფრთხოების პრობლემების მნიშვნელობას;
    • არ არის დაფინანსება;
    • IS ხორციელდება რეგულარული საშუალებებით ოპერატიული სისტემა, DBMS და აპლიკაციები (პაროლით დაცვა, რესურსებზე და სერვისებზე წვდომის კონტროლი).
  • 1 დონე:
    • ინფორმაციული უსაფრთხოება მენეჯმენტის მიერ განიხილება, როგორც წმინდა „ტექნიკური“ პრობლემა, არ არსებობს კომპანიის ინფორმაციული უსაფრთხოების სისტემის (ISIS) განვითარების ერთიანი პროგრამა (კონცეფცია, პოლიტიკა);
    • დაფინანსება ხორციელდება ზოგადი IT ბიუჯეტის ფარგლებში;
    • IS ხორციელდება ნულოვანი დონის + საშუალებებით სარეზერვო ასლი, ანტივირუსული ხელსაწყოები, ფაირვოლლები, VPN ორგანიზაციის ხელსაწყოები (ტრადიციული უსაფრთხოების ინსტრუმენტები).
  • 2 დონე:
    • IS განიხილება მენეჯმენტის მიერ, როგორც ორგანიზაციული და ტექნიკური ღონისძიებების ერთობლიობა, არსებობს IS-ის მნიშვნელობის გააზრება საწარმოო პროცესებისთვის, არსებობს მენეჯმენტის მიერ დამტკიცებული კომპანიის IS Maintenance System-ის განვითარების პროგრამა;
    • IS დანერგილია პირველი დონის ხელსაწყოებით + ძლიერი ავტორიზაციის ხელსაწყოებით, ელ.ფოსტის და ვებ შინაარსის ანალიზის ხელსაწყოებით, IDS (შეჭრის აღმოჩენის სისტემები), უსაფრთხოების ანალიზის ხელსაწყოებით, SSO (ერთჯერადი ავტორიზაციის ხელსაწყოებით), PKI (საჯარო გასაღების ინფრასტრუქტურა) და ორგანიზაციული ზომებით (შიდა და გარე აუდიტი, რისკის ანალიზი, ინფორმაციული უსაფრთხოების პოლიტიკა, რეგულაციები, პროცედურები, რეგულაციები და გაიდლაინები).
  • 3 დონე:
    • IS არის კორპორატიული კულტურის ნაწილი, დაინიშნა CISA (IS-ის უფროსი ოფიცერი);
    • დაფინანსება ხორციელდება ცალკე ბიუჯეტის ფარგლებში;
    • IS დანერგილია მეორე დონის + IS მართვის სისტემების, CSIRT (IS დარღვევის შემთხვევებზე რეაგირების ჯგუფის), SLA (მომსახურების დონის შეთანხმების) საშუალებით.

Gartner Group-ის (მონაცემები 2001 წლის მონაცემებით), კომპანიების პროცენტული მაჩვენებელი აღწერილ 4 დონესთან მიმართებაში ასეთია:
0 დონე - 30%,
დონე 1 - 55%,
დონე 2 - 10%,
დონე 3 - 5%.

Gartner Group-ის 2005 წლის პროგნოზი ასეთია:
დონე 0 - 20%,
დონე 1 - 35%,
დონე 2 - 30%,
დონე 3 - 15%.

სტატისტიკა აჩვენებს, რომ კომპანიების უმრავლესობამ (55%) უკვე დანერგა ტრადიციული ტექნიკური დაცვის საშუალებების მინიმალური საჭირო ნაკრები (დონე 1).

სხვადასხვა ტექნოლოგიებისა და დაცვის საშუალებების დანერგვისას ხშირად ჩნდება კითხვები. რა უნდა დანერგოთ პირველ რიგში, შეჭრის აღმოჩენის სისტემა თუ PKI ინფრასტრუქტურა? რა იქნება უფრო ეფექტური? Deloitte&Touche-ის დირექტორი სტივენ როსი გთავაზობთ შემდეგ მიდგომას ინფორმაციის უსაფრთხოების უზრუნველყოფის ინდივიდუალური ღონისძიებებისა და საშუალებების ეფექტურობის შესაფასებლად.

ზემოაღნიშნული გრაფიკიდან გამომდინარე, ჩანს, რომ ყველაზე ძვირი და ნაკლებად ეფექტურია სპეციალიზებული ინსტრუმენტები (საკუთარი ან პერსონალური განვითარება).

ყველაზე ძვირი, მაგრამ ამავე დროს ყველაზე ეფექტურია მე-4 კატეგორიის დამცავი ხელსაწყოები (დონეები 2 და 3 Gartner Group-ის მიხედვით). ამ კატეგორიის სახსრების განსახორციელებლად აუცილებელია რისკის ანალიზის პროცედურის გამოყენება. რისკის ანალიზი ამ შემთხვევაში შესაძლებელს გახდის იმპლემენტაციის ხარჯების ადეკვატურობის გარანტიას IS-ის დარღვევის არსებულ საფრთხეებთან.

ყველაზე იაფი, მაგრამ ეფექტურობის მაღალი დონით, არის ორგანიზაციული ღონისძიებები (შიდა და გარე აუდიტი, რისკის ანალიზი, ინფორმაციის უსაფრთხოების პოლიტიკა, ბიზნესის უწყვეტობის გეგმა, რეგულაციები, პროცედურები, რეგულაციები და გაიდლაინები).

დამატებითი დაცვის საშუალებების დანერგვა (მე-2 და მე-3 დონეებზე გადასვლა) მოითხოვს მნიშვნელოვან ფინანსურ ინვესტიციებს და, შესაბამისად, დასაბუთებას. მენეჯმენტის მიერ დამტკიცებული და ხელმოწერილი IS Maintenance System-ის განვითარების ერთიანი პროგრამის არარსებობა ამძაფრებს უსაფრთხოებაში ინვესტიციების გამართლების პრობლემას.

რისკის ანალიზი

ასეთი დასაბუთება შეიძლება გახდეს რისკის ანალიზის შედეგები და ინციდენტებზე დაგროვილი სტატისტიკა, რისკის ანალიზის განხორციელებისა და სტატისტიკის დაგროვების მექანიზმები გათვალისწინებული უნდა იყოს კომპანიის ინფორმაციული უსაფრთხოების პოლიტიკაში.

რისკის ანალიზის პროცესი შედგება 6 თანმიმდევრული ეტაპისგან:

1. დაცვის ობიექტების (დასაცავი კომპანიის რესურსების) იდენტიფიკაცია და კლასიფიკაცია;

3. თავდამსხმელის მოდელის აგება;

4. საფრთხეებისა და დაუცველობის იდენტიფიცირება, კლასიფიკაცია და ანალიზი;

5. რისკის შეფასება;

6. ორგანიზაციული ღონისძიებებისა და დაცვის ტექნიკური საშუალებების არჩევანი.

სცენაზე დაცვის ობიექტების იდენტიფიკაცია და კლასიფიკაციააუცილებელია კომპანიის რესურსების ინვენტარიზაცია შემდეგ სფეროებში:

  • საინფორმაციო რესურსები (კონფიდენციალური და კრიტიკული კომპანიის ინფორმაცია);
  • პროგრამული რესურსები (OS, DBMS, კრიტიკული აპლიკაციები, როგორიცაა ERP);
  • ფიზიკური რესურსები (სერვერები, სამუშაო სადგურები, ქსელი და სატელეკომუნიკაციო აღჭურვილობა);
  • სერვისის რესურსები ( ელფოსტა, www და ა.შ.).

კატეგორიზაციაარის რესურსის კონფიდენციალურობის და კრიტიკულობის დონის განსაზღვრა. კონფიდენციალურობა გულისხმობს ინფორმაციის საიდუმლოების დონეს, რომელიც ინახება, მუშავდება და გადაცემულია რესურსით. კრიტიკულობა გაგებულია, როგორც რესურსის გავლენის ხარისხი კომპანიის წარმოების პროცესების ეფექტურობაზე (მაგალითად, სატელეკომუნიკაციო რესურსების შეფერხების შემთხვევაში, პროვაიდერი კომპანია შეიძლება გაკოტრდეს). კონფიდენციალურობისა და კრიტიკულობის პარამეტრებზე გარკვეული ხარისხობრივი მნიშვნელობების მინიჭებით, შესაძლებელია განისაზღვროს თითოეული რესურსის მნიშვნელობის დონე კომპანიის საწარმოო პროცესებში მისი მონაწილეობის თვალსაზრისით.

კომპანიის რესურსების მნიშვნელობის დასადგენად ინფორმაციის უსაფრთხოების თვალსაზრისით, შეგიძლიათ მიიღოთ შემდეგი ცხრილი:

მაგალითად, ფაილებს, რომლებსაც აქვთ ინფორმაცია კომპანიის თანამშრომლების ხელფასების დონის შესახებ, აქვთ მნიშვნელობა "მკაცრად კონფიდენციალური" (კონფიდენციალურობის პარამეტრი) და მნიშვნელობა "მნიშვნელოვანი" (კრიტიკულობის პარამეტრი). ამ მნიშვნელობების ცხრილში ჩანაცვლებით, შეგიძლიათ მიიღოთ ამ რესურსის მნიშვნელობის განუყოფელი მაჩვენებელი. კატეგორიზაციის მეთოდების სხვადასხვა ვარიანტები მოცემულია საერთაშორისო სტანდარტში ISO TR 13335.

თავდამსხმელის მოდელის აგებაარის პოტენციური დამნაშავეების კლასიფიკაციის პროცესი შემდეგი პარამეტრების მიხედვით:

  • თავდამსხმელის ტიპი (კონკურენტი, კლიენტი, დეველოპერი, კომპანიის თანამშრომელი და ა.შ.);
  • თავდამსხმელის პოზიცია დაცვის ობიექტებთან მიმართებაში (შიდა, გარე);
  • დაცვის ობიექტებისა და გარემოს შესახებ ცოდნის დონე (მაღალი, საშუალო, დაბალი);
  • დაცულ ობიექტებზე წვდომის შესაძლებლობების დონე (მაქსიმალური, საშუალო, მინიმალური);
  • მოქმედების დრო (მუდმივად, გარკვეული დროის ინტერვალებით);
  • მოქმედების ადგილი (თავდამსხმელის განზრახული მდებარეობა თავდასხმის დროს).

თავდამსხმელის მოდელის ჩამოთვლილ პარამეტრებზე თვისებრივი მნიშვნელობების მინიჭებით შესაძლებელია თავდამსხმელის პოტენციალის დადგენა (თავდამსხმელის საფრთხის განხორციელების უნარის განუყოფელი მახასიათებელი).

საფრთხეებისა და მოწყვლადობის იდენტიფიკაცია, კლასიფიკაცია და ანალიზისაშუალებას გაძლევთ განსაზღვროთ დაცულ ობიექტებზე თავდასხმების განხორციელების გზები. დაუცველობა არის რესურსის ან მისი გარემოს თვისებები, რომელსაც თავდამსხმელი იყენებს საფრთხეების განსახორციელებლად. პროგრამული უზრუნველყოფის რესურსების დაუცველობის სია შეგიძლიათ იხილოთ ინტერნეტში.

საფრთხეები კლასიფიცირდება შემდეგი კრიტერიუმების მიხედვით:

  • საფრთხის დასახელება;
  • თავდამსხმელის ტიპი;
  • განხორციელების საშუალებები;
  • გამოყენებული დაუცველობა;
  • განხორციელებული ქმედებები;
  • განხორციელების სიხშირე.

მთავარი პარამეტრი არის საფრთხის განხორციელების სიხშირე. ეს დამოკიდებულია "თავდამსხმელის პოტენციალის" და "რესურსების უსაფრთხოების" პარამეტრების მნიშვნელობებზე. "რესურსების უსაფრთხოების" პარამეტრის მნიშვნელობა განისაზღვრება ექსპერტთა შეფასებებით. პარამეტრის მნიშვნელობის განსაზღვრისას მხედველობაში მიიღება თავდამსხმელის სუბიექტური პარამეტრები: საფრთხის განხორციელების მოტივაცია და სტატისტიკა საფრთხის განხორციელების მცდელობიდან. ამ ტიპის(თუ არის შესაძლებელი). საფრთხეებისა და დაუცველობის ანალიზის ეტაპის შედეგია თითოეული საფრთხისათვის პარამეტრის „განხორციელების სიხშირე“ შეფასება.

სცენაზე რისკის შეფასებაგანისაზღვრება ინფორმაციული უსაფრთხოების საფრთხის პოტენციური ზიანი თითოეული რესურსისთვის ან რესურსების ჯგუფისთვის.

დაზიანების ხარისხობრივი მაჩვენებელი დამოკიდებულია ორ პარამეტრზე:

  • რესურსის მნიშვნელობა;
  • ამ რესურსისთვის საფრთხის სიხშირე.

მიღებული ზიანის შეფასების საფუძველზე გონივრულად არის შერჩეული ადექვატური ორგანიზაციული ღონისძიებები და დაცვის ტექნიკური საშუალებები.

ინციდენტების სტატისტიკის დაგროვება

შემოთავაზებული რისკის შეფასების მეთოდოლოგიაში ერთადერთი სუსტი წერტილი და, შესაბამისად, დაცვის ახალი ტექნოლოგიების დანერგვის ან შეცვლის აუცილებლობის დასაბუთება არის „საფრთხის რეალიზაციის სიხშირის“ პარამეტრის განსაზღვრა. ამ პარამეტრის ობიექტური მნიშვნელობების მიღების ერთადერთი გზა არის ინციდენტების სტატისტიკის დაგროვება. დაგროვილი სტატისტიკა, მაგალითად, ერთი წლის განმავლობაში საშუალებას მოგცემთ განისაზღვროს საფრთხეების (გარკვეული ტიპის) განხორციელების რაოდენობა რესურსზე (გარკვეული ტიპის). მიზანშეწონილია სტატისტიკის დაგროვებაზე სამუშაოების ჩატარება ინციდენტების დამუშავების პროცედურის ფარგლებში.

ისინი ინვესტიციას ახორციელებენ კომპიუტერული უსაფრთხოების მრავალფეროვან ტექნოლოგიებში, პლატფორმებიდან დაწყებული, პროგრამული უზრუნველყოფის დაუცველობის აღმოჩენის პრემიების გადახდამდე, დიაგნოსტიკასა და პროგრამული უზრუნველყოფის ავტომატიზირებულ ტესტირებამდე. მაგრამ ყველაზე მეტად მათ იზიდავს ავთენტიფიკაციისა და პირადობის ინფორმაციის მართვის ტექნოლოგიები - დაახლოებით 900 მილიონი დოლარის ინვესტიცია განხორციელდა ამ ტექნოლოგიებით დაკავებულ სტარტაპებში 2019 წლის ბოლოს.

კიბერუსაფრთხოების განათლების სტარტაპებში ინვესტიციებმა მიაღწია 418 მილიონ აშშ დოლარს 2019 წელს KnowBe4-ის დახმარებით, რომელმაც მოიზიდა $300 მილიონი. სტარტაპი გთავაზობთ ფიშინგის შეტევის სიმულაციური პლატფორმას და სასწავლო პროგრამებს.

დაახლოებით 412 მილიონი აშშ დოლარი 2019 წელს მიიღეს კომპანიებმა, რომლებიც ჩართულნი არიან ნივთების ინტერნეტის უსაფრთხოებაში. ამ კატეგორიაში ინვესტიციების მხრივ ლიდერია SentinelOne, რომელმაც 2019 წელს 120 მილიონი დოლარი მიიღო ბოლო წერტილების დაცვის ტექნოლოგიების განვითარებისთვის.

ამავდროულად, Metacurity-ის ანალიტიკოსები გვაწვდიან სხვა მონაცემებს, რომლებიც ახასიათებს ვითარებას სარისკო კაპიტალის დაფინანსების ბაზარზე ინფორმაციული უსაფრთხოების სექტორში. 2019 წელს აქ ინვესტიციების მოცულობამ 6,57 მილიარდ დოლარს მიაღწია, 2018 წლის 3,88 მილიარდი დოლარიდან. გაიზარდა ტრანზაქციების რაოდენობაც - 133-დან 219-მდე. ამასთან, ინვესტიციების საშუალო მოცულობა ერთ ტრანზაქციაზე პრაქტიკულად უცვლელი დარჩა და Metacurity-ში გამოთვლილი 29.2 მილიონი შეადგინა 2019 წლის ბოლოს.

2018

ზრდა 9%-ით 37 მილიარდ დოლარამდე – Canalys

2018 წელს აღჭურვილობის, პროგრამული უზრუნველყოფისა და ინფორმაციული უსაფრთხოებისთვის განკუთვნილი სერვისების გაყიდვებმა მიაღწია 37 მილიარდ დოლარს, რაც გაიზარდა 9%-ით წლის დანიშნულების მაჩვენებელთან მიმართებაში (34 მილიარდი დოლარი). ასეთი მონაცემები Canalys-ის ანალიტიკოსებმა 2019 წლის 28 მარტს გამოაქვეყნეს.

მიუხედავად იმისა, რომ ბევრი კომპანია პრიორიტეტს ანიჭებს მათი აქტივების, მონაცემების, საბოლოო წერტილების, ქსელების, თანამშრომლებისა და მომხმარებლების დაცვას, კიბერუსაფრთხოებამ 2018 წელს მთლიანი IT დანახარჯების მხოლოდ 2% შეადგინა. თუმცა, სულ უფრო მეტი ახალი საფრთხე ჩნდება, ისინი უფრო რთული და ხშირი ხდება, რაც ინფორმაციული უსაფრთხოების გადაწყვეტილებების მწარმოებლებს ზრდის ახალ შესაძლებლობებს აძლევს. კიბერუსაფრთხოებაზე ჯამური დანახარჯები სავარაუდოდ 2020 წელს 42 მილიარდ დოლარს გადააჭარბებს.

Canalys-ის ანალიტიკოსი მეთიუ ბურთი თვლის, რომ ინფორმაციული უსაფრთხოების დანერგვის ახალ მოდელებზე გადასვლა დაჩქარდება. მომხმარებლები ცვლიან თავიანთი IT ბიუჯეტის ხასიათს საჯარო ღრუბლოვანი სერვისებით და მოქნილი გამოწერებით დაფუძნებული სერვისებით.

2018 წელს ინფორმაციული უსაფრთხოების დანერგვის პროექტების დაახლოებით 82% მოიცავდა ტრადიციული აპარატურის და პროგრამული უზრუნველყოფის გამოყენებას. დანარჩენ 18%-ში გამოყენებული იყო ვირტუალიზაცია, საჯარო ღრუბლები და ინფორმაციული უსაფრთხოების სერვისები.

2020 წლისთვის ინფორმაციული უსაფრთხოების სისტემების ტრადიციული დანერგვის მოდელების წილი 70%-მდე შემცირდება, რადგან ახალი გადაწყვეტილებები პოპულარობას იძენს ბაზარზე.

გამყიდველებს მოუწევთ შექმნან ბიზნეს მოდელების ფართო სპექტრი ამ გადასვლის მხარდასაჭერად, რადგან სხვადასხვა პროდუქტი შეეფერება სხვადასხვა ტიპის განლაგებას. დღეს ბევრისთვის მთავარი გამოწვევაა ახალი მოდელები უფრო მეტად ფოკუსირებული გახდეს შვილობილი არხზე და მათი ინტეგრირება არსებულებთან. შვილობილი პროგრამები, განსაკუთრებით მომხმარებელთა ტრანზაქციებთან დაკავშირებით ღრუბლოვანი პლატფორმების საშუალებით. ზოგიერთ ღრუბლოვან ბაზარს უკვე უპასუხა ამაზე, რაც პარტნიორებს აძლევდა შეთავაზების საშუალებას ინდივიდუალური შეთავაზებებიდა ფასები პირდაპირ მომხმარებლებზე გარიგების რეგისტრაციისა და ფასდაკლებების თვალყურის დევნებით, ”- თქვა მეთიუ ბოლმა პოსტში 2019 წლის 29 მარტს.

Canalys-ის ანალიტიკოსის, კეტაკი ბორადის თქმით, კიბერუსაფრთხოების ტექნოლოგიების წამყვანმა მომწოდებლებმა წარმოადგინეს პროდუქტის განაწილების ახალი მოდელები, რომლებიც მოიცავს კომპანიების გადასვლას სააბონენტო სქემაზე და გაზრდის ოპერაციებს ღრუბლოვან ინფრასტრუქტურაში.


კიბერუსაფრთხოების ბაზარი დარჩა უაღრესად დინამიური, რეკორდული გარიგების აქტივობით და მოცულობით მზარდი მარეგულირებელი და ტექნიკური მოთხოვნების საპასუხოდ, ისევე როგორც მონაცემთა დარღვევის მუდმივი რისკის, თქვა Momentum Cyber-ის თანადამფუძნებელმა და მმართველმა პარტნიორმა ერიკ მაკალპაინმა. „ჩვენ გვჯერა, რომ ეს იმპულსი გააგრძელებს სექტორის ახალ ტერიტორიაზე გადასვლას, რადგან ის ცდილობს დაუპირისპირდეს წარმოქმნილ საფრთხეებს და კონსოლიდაცია მოახდინოს მომწოდებლების დაღლილობისა და მზარდი უნარების დეფიციტის პირობებში.

2017

კიბერუსაფრთხოების ხარჯებმა 100 მილიარდ დოლარს გადააჭარბა

2017 წელს ინფორმაციული უსაფრთხოების (IS) - პროდუქტებისა და სერვისების გლობალურმა ხარჯებმა 101,5 მილიარდ დოლარს მიაღწია, ნათქვამია Gartner-ის კვლევით კომპანიაში 2018 წლის აგვისტოს შუა რიცხვებში. 2017 წლის ბოლოს ექსპერტებმა ეს ბაზარი 89,13 მილიარდ დოლარად შეაფასეს, შეფასების მნიშვნელოვანი ზრდის მიზეზი არ არის ცნობილი.

CIO-ები მზად არიან დაეხმარონ თავიანთ ორგანიზაციებს უსაფრთხოდ გამოიყენონ ტექნოლოგიური პლატფორმები, რომ გახდნენ უფრო კონკურენტუნარიანი და წარმართონ ბიზნესის ზრდა, თქვა სიდჰარტ დეშპანდემ, Gartner-ის კვლევის დირექტორმა. - უნარების მუდმივი დეფიციტი და მარეგულირებელი ცვლილებები, როგორიცაა მონაცემთა დაცვის ზოგადი რეგულაცია (GDPR) ევროპაში, ხელს უწყობს კიბერუსაფრთხოების სერვისების ბაზარზე შემდგომ ზრდას.

ექსპერტები მიიჩნევენ, რომ ინფორმაციის დაცვის ღირებულების გაზრდის ხელშემწყობი ერთ-ერთი მთავარი ფაქტორია საფრთხეების გამოვლენისა და მათზე რეაგირების ახალი მეთოდების დანერგვა - ისინი გახდნენ. მთავარი პრიორიტეტიორგანიზაციების უსაფრთხოება 2018 წელს.

Gartner-ის შეფასებით, 2017 წელს კიბერთავდაცვის სერვისებზე ორგანიზაციების ხარჯებმა გლობალურად 52,3 მილიარდ დოლარს გადააჭარბა, 2018 წელს კი ეს ხარჯები 58,9 მილიარდ დოლარამდე გაიზრდება.

2017 წელს კომპანიებმა 2,4 მილიარდი დოლარი დახარჯეს აპლიკაციების დაცვაზე, 2,6 მილიარდი დოლარი მონაცემთა დაცვაზე და 185 მილიონი დოლარი ღრუბლოვანი სერვისების დაცვაზე.

იდენტიფიკაციისა და წვდომის მართვის გადაწყვეტილებების წლიურმა გაყიდვებმა (Identity And Access Management) შეადგინა 8,8 მილიარდი, ხოლო IT ინფრასტრუქტურის დაცვის საშუალებების დანერგვა $12,6 მილიარდამდე გაიზარდა.

ასევე კვლევაში საუბარია 10,9 მილიარდი დოლარის ოდენობის ხარჯებზე ქსელის უსაფრთხოების უზრუნველსაყოფად გამოყენებულ აღჭურვილობაზე. მათმა მწარმოებლებმა 3,9 მილიარდი დოლარი გამოიმუშავეს ინფორმაციული უსაფრთხოების რისკის მართვის სისტემებიდან.

გარტნერის კვლევის თანახმად, სამომხმარებლო ინფორმაციის უსაფრთხოების ხარჯები 2017 წელს ანალიტიკოსების მიერ შეფასებულია 5,9 მილიარდ დოლარად.

Gartner-მა ბაზრის მოცულობა 89,13 მილიარდ დოლარად შეაფასა

2017 წლის დეკემბერში ცნობილი გახდა, რომ კომპანიების მსოფლიო ხარჯები ინფორმაციული უსაფრთხოების (IS) უზრუნველსაყოფად 2017 წელს 89,13 მილიარდ აშშ დოლარს შეადგენს. Gartner-ის შეფასებით, კიბერუსაფრთხოების კორპორატიული ხარჯები თითქმის 7 მილიარდ დოლარად გადააჭარბებს 2016 წელს 82,2 მილიარდ დოლარს. .

ექსპერტები ინფორმაციული უსაფრთხოების სერვისებს ყველაზე დიდ ხარჯად მიიჩნევენ: 2017 წელს კომპანიები ამ მიზნებისთვის 53 მილიარდ დოლარზე მეტს გამოყოფენ 2016 წლის 48,8 მილიარდი დოლარის წინააღმდეგ. ინფორმაციული უსაფრთხოების ბაზრის სიდიდით მეორე სეგმენტია ინფრასტრუქტურის დაცვის გადაწყვეტილებები, რომელთა ხარჯები 2017 წელს 16,2 მილიარდი დოლარი იქნება, ნაცვლად ერთი წლის წინანდელი 15,2 მილიარდი დოლარისა. ქსელის უსაფრთხოების აღჭურვილობა მესამე ადგილზეა (10,93 მილიარდი დოლარი).

ინფორმაციული უსაფრთხოების ხარჯების სტრუქტურა ასევე მოიცავს სამომხმარებლო პროგრამულ უზრუნველყოფას ინფორმაციის უსაფრთხოებისა და იდენტიფიკაციისა და წვდომის მართვის სისტემებისთვის (Identity and Access Management, IAM). 2017 წელს Gartner-ი ამ სფეროებში ხარჯებს 4,64 და 4,3 მილიარდ დოლარად აფასებს, 2016 წელს კი მაჩვენებლები შესაბამისად 4,57 და 3,9 მილიარდ აშშ დოლარს შეადგენს.

ანალიტიკოსები ინფორმაციული უსაფრთხოების ბაზრის შემდგომ ზრდას ელიან: 2018 წელს, ორგანიზაციები კიდევ 8%-ით გაზრდიან კიბერთავდაცვის ხარჯებს და ამ მიზნებისთვის ჯამში 96,3 მილიარდ დოლარს გამოყოფენ და კომპანიებს ციფრული ბიზნეს სტრატეგიისკენ მიმართავენ.

ზოგადად, კიბერუსაფრთხოებაზე დანახარჯები დიდწილად განპირობებულია კომპანიების რეაქციით კიბერუსაფრთხოების ინციდენტებზე, რადგან მსოფლიოში იზრდება რეზონანსული კიბერშეტევების და ინფორმაციის გაჟონვის რიცხვი, რომლითაც ორგანიზაციები განიცდიან, - პროგნოზს კომენტარს აკეთებს Gartner-ის კვლევის დირექტორი რუჯერო კონტუ. .

ანალიტიკოსის სიტყვებს ადასტურებს Gartner-ის მიერ 2016 წელს მიღებული გამოკითხვისას, რომელშიც მონაწილეობა მიიღო 512 ორგანიზაციამ რვა ქვეყნიდან: ავსტრალია, კანადა, საფრანგეთი, გერმანია, ინდოეთი, სინგაპური და შეერთებული შტატები.

გამოკითხულთა 53%-მა კიბერუსაფრთხოების რისკს დაასახელა, როგორც კიბერუსაფრთხოების ხარჯების ზრდის მთავარი მამოძრავებელი ფაქტორი. ამ რიცხვიდან, გამოკითხულთა უმაღლესმა პროცენტმა განაცხადა, რომ კიბერთავდასხმების საფრთხე ყველაზე დიდ გავლენას ახდენს ინფორმაციული უსაფრთხოების ხარჯების გადაწყვეტილებებზე.

Gartner-ის 2018 წლის პროგნოზი ითვალისწინებს ხარჯების გაზრდას ყველა ძირითად სფეროში. ამგვარად, დაახლოებით 57,7 მილიარდი დოლარი (+ 4,65 მილიარდი დოლარი) დაიხარჯება კიბერთავდაცვის სერვისებზე, დაახლოებით 17,5 მილიარდი დოლარი (+ 1,25 მილიარდი დოლარი) ინფრასტრუქტურის უსაფრთხოებაზე და 11,67 მილიარდი დოლარი (+ 1,25 მილიარდი აშშ დოლარი) ქსელების დაცვის აღჭურვილობაზე 735 მილიონი აშშ დოლარი, სამომხმარებლო პროგრამულ უზრუნველყოფაზე. - $4.74 მილიარდი (+$109 მილიონი) და IAM სისტემებზე - $4.69 მილიარდი (+$416 მილიონი).

ანალიტიკოსები ასევე თვლიან, რომ 2020 წლისთვის მსოფლიოში ორგანიზაციების 60%-ზე მეტი ერთდროულად განახორციელებს ინვესტიციას მონაცემთა დაცვის რამდენიმე ინსტრუმენტში, მათ შორის ინფორმაციის დაკარგვის პრევენცია, დაშიფვრა და აუდიტი. 2017 წლის ბოლოსთვის ასეთი გადაწყვეტილებების შემსყიდველი კომპანიების წილი 35%-ად შეფასდა.

ინფორმაციული უსაფრთხოებისთვის კორპორატიული ხარჯების კიდევ ერთი მნიშვნელოვანი პუნქტი იქნება მესამე მხარის სპეციალისტების ჩართვა. მოსალოდნელია, რომ კიბერუსაფრთხოების სფეროში პერსონალის დეფიციტის ფონზე, კიბერუსაფრთხოების სისტემების მზარდი ტექნიკური სირთულე და კომპანიების კიბერუსაფრთხოების აუთსორსინგის ხარჯების ზრდა 2018 წელს 11%-ით გაიზრდება და იქნება $18,5 მილიარდი.

Gartner-ის შეფასებით, 2019 წლისთვის კორპორატიული ხარჯები მესამე მხარის კიბერუსაფრთხოების ექსპერტებზე შეადგენს კიბერუსაფრთხოების პროგრამული უზრუნველყოფისა და აპარატურის მთლიანი დანახარჯების 75%-ს, რაც 2016 წლის 63%-ს შეადგენს.

IDC პროგნოზირებს ბაზრის ზომას $82 მილიარდი

ხარჯების ორი მესამედი დაეცემა კომპანიებს, რომლებიც დაკავშირებულია დიდ და ძალიან დიდ ბიზნესთან. 2019 წლისთვის IDC-ის ანალიტიკოსების აზრით, 1000-ზე მეტი თანამშრომელი კორპორაციების ხარჯები $50 მილიარდს გადააჭარბებს.

2016 წელი: ბაზრის მოცულობა $73.7 მილიარდი, ზრდა 2-ჯერ მეტია, ვიდრე IT ბაზარი

2016 წლის ოქტომბერში ანალიტიკურმა კომპანიამ IDC-მ წარმოადგინა გლობალური საინფორმაციო უსაფრთხოების ბაზრის კვლევის მოკლე შედეგები. მოსალოდნელია, რომ მისი ზრდა უფრო მაღალი იქნება, ვიდრე IT ბაზარზე.

IDC-მ გამოთვალა, რომ კიბერდაცვის აღჭურვილობის, პროგრამული უზრუნველყოფისა და სერვისების გლობალური გაყიდვები 2016 წელს მიაღწევს დაახლოებით 73,7 მილიარდ დოლარს, ხოლო 2020 წელს ეს მაჩვენებელი 100 მილიარდ დოლარს გადააჭარბებს და 101,6 მილიარდ დოლარს შეადგენს. 2016 წლიდან 2020 წლამდე კიბერუსაფრთხოების ბაზარი - ტექნოლოგიები ყოველწლიურად გაიზრდება საშუალოდ 8.3%-ით, რაც ორჯერ აღემატება IT ინდუსტრიის მოსალოდნელ ტემპს.


2016 წლის ბოლოს კიბერუსაფრთხოების ყველაზე დიდი ხარჯები ($8,6 მილიარდი) ბანკებშია მოსალოდნელი. ასეთი ინვესტიციების მოცულობით მეორე, მესამე და მეოთხე ადგილებს დაიკავებენ დისკრეტული მწარმოებელი საწარმოები, სამთავრობო ორგანოები და უწყვეტი წარმოების საწარმოები, შესაბამისად, რაც შეადგენს ხარჯების დაახლოებით 37%-ს.

ანალიტიკოსები ლიდერობენ კიბერუსაფრთხოებაში ინვესტიციების გაზრდის დინამიკაში ჯანდაცვაში (2016-2020 წლებში მოსალოდნელია საშუალო წლიური ზრდა 10,3%-მდე). კიბერთავდაცვის ღირებულება ტელეკომში, საბინაო, სამთავრობო უწყებებში და საინვესტიციო და ფასიანი ქაღალდების ბაზარზე გაიზრდება დაახლოებით 9%-ით წელიწადში.

კიბერუსაფრთხოების უდიდეს ბაზარს მკვლევარები ამერიკულს უწოდებენ, რომლის მოცულობა 2016 წელს $31,5 მილიარდს მიაღწევს, სამეულში ასევე მოხვდება დასავლეთ ევროპა და აზია-წყნარი ოკეანის რეგიონი (იაპონიის გამოკლებით). IDC-ის კვლევის მოკლე ვერსიაში არ არის ინფორმაცია რუსეთის ბაზრის შესახებ.

დიმიტრი გვოზდევი, რუსული კომპანია Security Monitor-ის გენერალური დირექტორი, პროგნოზირებს სერვისების წილის ზრდას რუსეთის უსაფრთხოების მთლიან ხარჯებში 30-35%-დან 40-45%-მდე და ასევე პროგნოზირებს კლიენტის ბაზრის სტრუქტურის განვითარებას - ჯამიდან. სახელმწიფო, ფინანსური და ენერგეტიკული სექტორების ჭარბობს საშუალო ზომის საწარმოების მიმართ უფრო ფართო ინდუსტრიებიდან.

ერთ-ერთი ტენდენცია უნდა იყოს შიდა პროგრამული პროდუქტების წილის განვითარება იმპორტის ჩანაცვლების საკითხებთან და საგარეო პოლიტიკურ ვითარებასთან დაკავშირებით. თუმცა, როგორ აისახება ეს ფინანსურ მაჩვენებლებზე, დიდწილად იქნება დამოკიდებული რუბლის გაცვლით კურსზე და უცხოელი მოვაჭრეების საფასო პოლიტიკაზე, რომლებიც კვლავ იკავებენ შიდა პროგრამული გადაწყვეტილებების ბაზრის მინიმუმ ნახევარს და აღჭურვილობის სეგმენტში ორ მესამედს. ასევე, კიბერუსაფრთხოების გადაწყვეტილებების ყველა რუსული ბაზრის საბოლოო წლიური ფინანსური შედეგი შეიძლება დაერთოს გარე ეკონომიკურ ფაქტორებს, - იტყობინება გვოზდევმა TAdviser-თან საუბარში.

2015

ᲑᲐᲖᲠᲘᲡ ᲖᲝᲛᲐ

ფედერალური ხარჯები

კიბერდანაშაული

ღირებულება-თითო დარღვევაზე

ᲤᲘᲜᲐᲜᲡᲣᲠᲘ ᲛᲝᲛᲡᲐᲮᲣᲠᲔᲑᲐ

საერთაშორისო

უსაფრთხოების ანალიტიკა

2013 წელი: EMEA ბაზარი გაიზარდა 2,5 მილიარდ დოლარამდე.

EMEA-ს რეგიონის (ევროპა, ახლო აღმოსავლეთი და აფრიკა) უსაფრთხოების საშუალებების ბაზრის მოცულობა 2012 წელთან შედარებით 2,4%-ით გაიზარდა და 2,5 მილიარდი დოლარი შეადგინა. კომპიუტერული ქსელები– UTM გადაწყვეტილებები (საფრთხის ერთიანი მართვა). ამავდროულად IDC-მ იწინასწარმეტყველა, რომ ინფორმაციული უსაფრთხოების ტექნიკური საშუალებების ბაზარი 2018 წლისთვის მიაღწევს 4,2 მილიარდ აშშ დოლარს, საშუალო წლიური ზრდით 5,4%-ით.

2013 წლის ბოლოს, EMEA-ს რეგიონში ინფორმაციული უსაფრთხოების ტექნიკური საშუალებების გაყიდვიდან მიღებული შემოსავლების მხრივ მომწოდებლებს შორის წამყვანი პოზიცია დაიკავა Check Point-მა. IDC-ის მონაცემებით, გამყიდველის შემოსავალი ამ სეგმენტში 2013 წელს გაიზარდა 3,8%-ით და შეადგინა $374,64 მილიონი, რაც შეესაბამება ბაზრის წილს 19,3%.

2012: PAC პროგნოზი: კიბერუსაფრთხოების ბაზარი წელიწადში 8%-ით გაიზრდება

ინფორმაციული უსაფრთხოების გლობალური ბაზარი ყოველწლიურად გაიზრდება 8%-ით 2016 წლამდე, როდესაც ის შეიძლება 36 მილიარდ ევროს მიაღწიოს, ნათქვამია კვლევაში.

როგორც უკვე აღვნიშნეთ, საწარმოს უსაფრთხოება უზრუნველყოფილია ღონისძიებების მთელი რიგით მისი სასიცოცხლო ციკლის ყველა ეტაპზე, მისი საინფორმაციო სისტემა და, ზოგადად, იგი შედგება ხარჯებისგან:

  • - საპროექტო სამუშაოები;
  • - პროგრამული და ტექნიკის დაცვის საშუალებების შესყიდვები და პარამეტრები;
  • - ფიზიკური უსაფრთხოების ხარჯები;
  • - კადრების მომზადება;
  • - სისტემის მართვა და მხარდაჭერა;
  • - ინფორმაციის უსაფრთხოების აუდიტი;
  • - ინფორმაციული უსაფრთხოების სისტემის პერიოდული მოდერნიზაცია და ა.შ.

ინფორმაციული უსაფრთხოების ინტეგრირებული სისტემის ეკონომიკური ეფექტურობის ღირებულების ინდიკატორი იქნება წლის განმავლობაში ინფორმაციული უსაფრთხოების სისტემის ორგანიზაციის, ექსპლუატაციისა და ტექნიკური მომსახურების პირდაპირი და არაპირდაპირი ხარჯების ჯამი.

ის შეიძლება ჩაითვალოს კომპანიაში ინფორმაციული უსაფრთხოების ორგანიზების ეფექტურობის ძირითად რაოდენობრივ ინდიკატორად, რადგან ის საშუალებას მისცემს არა მხოლოდ შეაფასოს დაცვის მთლიანი ხარჯები, არამედ მართოს ეს ხარჯები საწარმოს უსაფრთხოების საჭირო დონის მისაღწევად. თუმცა, პირდაპირი ხარჯები მოიცავს როგორც კაპიტალის ღირებულების კომპონენტებს, ასევე შრომის ხარჯებს, რომლებიც აღირიცხება ოპერაციებისა და ადმინისტრაციის პირობებში. ეს ასევე მოიცავს მომსახურების ხარჯებს. დისტანციური მომხმარებლებიდა ორგანიზაციის საქმიანობის ხელშეწყობასთან დაკავშირებული სხვა.

თავის მხრივ, არაპირდაპირი ხარჯები ასახავს უსაფრთხოების ინტეგრირებული სისტემის და ინფორმაციის დაცვის ქვესისტემის გავლენას თანამშრომლებზე ისეთი გაზომვადი ინდიკატორების მეშვეობით, როგორებიცაა კორპორატიული ინფორმაციის უსაფრთხოების სისტემის და მთლიანობაში ინტეგრირებული უსაფრთხოების სისტემის შეფერხება და „გაყინვა“, ოპერაციების ხარჯები და. მხარდაჭერა.

ძალიან ხშირად, არაპირდაპირი ხარჯები მნიშვნელოვან როლს თამაშობს, რადგან ისინი, როგორც წესი, თავდაპირველად არ აისახება ბიუჯეტში ინტეგრირებული უსაფრთხოების სისტემისთვის, მაგრამ მკაფიოდ იდენტიფიცირებულია მოგვიანებით ხარჯების ანალიზში, რაც საბოლოოდ იწვევს "ფარული" ხარჯების ზრდას. კომპანია. იფიქრეთ იმაზე, თუ როგორ შეგიძლიათ განსაზღვროთ უსაფრთხოების ინტეგრირებული სისტემის პირდაპირი და არაპირდაპირი ხარჯები. დავუშვათ, რომ საწარმოს მენეჯმენტი მუშაობს საწარმოში ინფორმაციული უსაფრთხოების ინტეგრირებული სისტემის დანერგვაზე. უკვე დადგინდა დაცვის ობიექტები და მიზნები, ინფორმაციული უსაფრთხოების საფრთხე და მათთან დაპირისპირების ღონისძიებები, შეძენილია და დამონტაჟდა ინფორმაციის დაცვის აუცილებელი საშუალებები.

როგორც წესი, ინფორმაციის უსაფრთხოების ხარჯები იყოფა შემდეგ კატეგორიებად:

  • - ინფორმაციული უსაფრთხოების სისტემის მართვის რგოლის ფორმირებისა და შენარჩუნების ხარჯები;
  • - კონტროლის ღირებულება, ანუ საწარმოს რესურსების დაცვის მიღწეული დონის განსაზღვრა და დადასტურება;
  • - ინფორმაციული უსაფრთხოების დარღვევის შედეგების აღმოფხვრის შიდა ხარჯები - ორგანიზაციის მიერ გაწეული ხარჯები უსაფრთხოების საჭირო დონის მიუღწევლობის შედეგად;
  • -ინფორმაციული უსაფრთხოების დარღვევის შედეგების აღმოფხვრის გარე ხარჯები - ზარალის კომპენსაცია უსაფრთხოების პოლიტიკის დარღვევის შემთხვევაში ინფორმაციის გაჟონვასთან, კომპანიის იმიჯის დაკარგვასთან, პარტნიორებისა და მომხმარებლების ნდობის დაკარგვასთან და ა.შ.
  • - ხარჯები მოვლაინფორმაციული უსაფრთხოების სისტემები და ზომები საწარმოს უსაფრთხოების პოლიტიკის დარღვევის თავიდან ასაცილებლად.

ამ შემთხვევაში, ჩვეულებრივ, განასხვავებენ ერთჯერად და სისტემატურ ხარჯებს.

საწარმოს უსაფრთხოების ფორმირების ერთჯერადი ხარჯები: ორგანიზაციული ხარჯები და ხარჯები დამცავი აღჭურვილობის შეძენისა და მონტაჟისთვის.

სისტემური, საოპერაციო და ტექნიკური ხარჯები. ხარჯების კლასიფიკაცია პირობითია, რადგან ინფორმაციული უსაფრთხოების ხარჯების შეგროვება, კლასიფიკაცია და ანალიზი არის საწარმოების შიდა საქმიანობა, ხოლო სიის დეტალური შემუშავება დამოკიდებულია კონკრეტული ორგანიზაციის მახასიათებლებზე.

უსაფრთხოების სისტემის ღირებულების განსაზღვრისას მთავარია ურთიერთგაგება და შეთანხმება საწარმოს ფარგლებში დანახარჯების საკითხებზე.

გარდა ამისა, ხარჯების კატეგორიები უნდა იყოს თანმიმდევრული და არ უნდა გადაფარდეს. უსაფრთხოების ხარჯების სრულად აღმოფხვრა შეუძლებელია, მაგრამ მათი მიყვანა შესაძლებელია მისაღებ დონემდე.

ზოგიერთი სახის უსაფრთხოების ხარჯები აბსოლუტურად აუცილებელია, ზოგი კი შეიძლება მნიშვნელოვნად შემცირდეს ან აღმოიფხვრას. ეს უკანასკნელი არის ის, რომელიც შეიძლება გაქრეს უსაფრთხოების დარღვევის არარსებობის შემთხვევაში ან შემცირდეს, თუ დარღვევის რაოდენობა და დესტრუქციული გავლენა შემცირდება.

თუ დაცულია უსაფრთხოება და თავიდან აიცილება დარღვევები, შემდეგი ხარჯები შეიძლება აღმოიფხვრას ან მნიშვნელოვნად შემცირდეს:

  • - უსაფრთხოების სისტემის აღდგენა უსაფრთხოების მოთხოვნებთან შესაბამისობაში;
  • - რესურსების აღდგენა საინფორმაციო გარემოსაწარმოები;
  • - უსაფრთხოების სისტემის შიგნით ცვლილებებისთვის;
  • - სამართლებრივ დავებზე და კომპენსაციების გადახდაზე;
  • - უსაფრთხოების დარღვევის მიზეზების იდენტიფიცირება.

აუცილებელი ხარჯები არის ის, რაც აუცილებელია მაშინაც კი, თუ უსაფრთხოების საფრთხის დონე საკმარისად დაბალია. ეს არის საწარმოს ინფორმაციული გარემოს უსაფრთხოების მიღწეული დონის შენარჩუნების ხარჯები.

გარდაუვალი ხარჯები შეიძლება შეიცავდეს:

  • ა) დაცვის ტექნიკური საშუალებების მოვლა;
  • ბ) კონფიდენციალური საოფისე მუშაობა;
  • გ) უსაფრთხოების სისტემის ექსპლუატაცია და აუდიტი;
  • დ) ინსპექტირებისა და კონტროლის მინიმალური დონე სპეციალიზებული ორგანიზაციების ჩართულობით;
  • ე) პერსონალის მომზადება ინფორმაციული უსაფრთხოების მეთოდებში.

თუმცა არის სხვა ხარჯებიც, რომელთა დადგენა რთულია. Მათ შორის:

  • ა) დამატებითი კვლევის ღირებულება და ახალი ბაზრის სტრატეგიის შემუშავება;
  • ბ) ზარალი სამეცნიერო კვლევებში პრიორიტეტის შემცირებისა და სამეცნიერო და ტექნოლოგიური მიღწევების ლიცენზიების დაპატენტებისა და გაყიდვის შეუძლებლობის გამო;
  • გ) ხარჯები, რომლებიც დაკავშირებულია პროდუქციის მიწოდების, წარმოებისა და მარკეტინგის დროს „შეფერხებების“ აღმოფხვრასთან;
  • დ) ზარალი საწარმოს მიერ წარმოებული პროდუქციის კომპრომეტირებით და მასზე ფასების შემცირებით;
  • ე) აღჭურვილობის ან ტექნოლოგიების შეძენისას სირთულეების წარმოქმნა, მათ შორის ფასების ზრდა, მარაგების მოცულობის შეზღუდვა.

ჩამოთვლილი ხარჯები შეიძლება გამოწვეული იყოს სხვადასხვა განყოფილების პერსონალის ქმედებებით, მაგალითად, დიზაინი, ტექნოლოგია, დაგეგმვა და ეკონომიკური, იურიდიული, ეკონომიკური, მარკეტინგის დეპარტამენტი, სატარიფო პოლიტიკა და ფასები.

ვინაიდან ყველა ეს დეპარტამენტი ნაკლებად სავარაუდოა, რომ იყოს დაკავებული სრულ განაკვეთზე გარე დანაკარგებით, ხარჯების დადგენა უნდა დაფუძნდეს რეალურ დახარჯულ დროს. გარე ზარალის ერთ-ერთი ელემენტი არ შეიძლება ზუსტად გამოითვალოს - ეს არის ზარალი, რომელიც დაკავშირებულია საწარმოს იმიჯის შელახვასთან, საწარმოს პროდუქტებისა და სერვისების მიმართ მომხმარებელთა ნდობის შემცირებასთან. სწორედ ამ მიზეზით ბევრი კორპორაცია მალავს, რომ მათი მომსახურება დაუცველია. კორპორაციებს ასეთი ინფორმაციის გავრცელების უფრო მეტად ეშინიათ, ვიდრე თავდასხმების ამა თუ იმ ფორმით.

თუმცა, ბევრი ბიზნესი უგულებელყოფს ამ ხარჯებს იმ მოტივით, რომ მათი დადგენა შეუძლებელია რაიმე ხარისხის სიზუსტით - ისინი მხოლოდ სპეკულაციურია. პრევენციის ხარჯები. ეს ხარჯები, ალბათ, ყველაზე რთული შესაფასებელია, რადგან პრევენციული ქმედებები ტარდება სხვადასხვა დეპარტამენტში და გავლენას ახდენს ბევრ სერვისზე. ეს ხარჯები შეიძლება გამოჩნდეს საწარმოს საინფორმაციო გარემოს რესურსების სასიცოცხლო ციკლის ყველა ეტაპზე:

  • - დაგეგმვა და ორგანიზაცია;
  • - შეძენა და ექსპლუატაციაში გაშვება;
  • - მიწოდება და მხარდაჭერა;
  • - ინფორმაციული ტექნოლოგიების შემადგენელი პროცესების მონიტორინგი.

გარდა ამისა, ამ კატეგორიის ხარჯების უმეტესობა დაკავშირებულია უსაფრთხოების პერსონალის მუშაობასთან. პრევენციის ხარჯები ძირითადად მოიცავს ხელფასს და ზედნადებს. ამასთან, მათი განსაზღვრის სიზუსტე უფრო მეტად დამოკიდებულია თითოეული თანამშრომლის მიერ ინდივიდუალურად დახარჯული დროის დადგენის სიზუსტეზე. ზოგიერთი პრევენციული ხარჯი ადვილია პირდაპირ იდენტიფიცირება. ისინი, კერძოდ, შეიძლება შეიცავდეს მესამე მხარის სხვადასხვა სამუშაოს გადახდას, მაგალითად:

  • - პროგრამული უზრუნველყოფისა და ტექნიკის დაცვის ხელსაწყოების, ოპერაციული სისტემების და გამოყენებული ქსელური აღჭურვილობის შენარჩუნება და კონფიგურაცია;
  • - საინჟინრო-ტექნიკური სამუშაოების ჩატარება განგაშის სისტემის დასაყენებლად, კონფიდენციალური დოკუმენტების შენახვის აღჭურვა, სატელეფონო ხაზების, კომპიუტერული აღჭურვილობის და ა.შ.
  • - კონფიდენციალური ინფორმაციის მიწოდება;
  • - კონსულტაციები;
  • - სასწავლო კურსები.

განხილული ხარჯების შესახებ ინფორმაციის წყაროები. ინფორმაციული უსაფრთხოების უზრუნველყოფის ხარჯების განსაზღვრისას აუცილებელია გახსოვდეთ, რომ:

  • - პროგრამული უზრუნველყოფისა და ტექნიკის შეძენისა და ექსპლუატაციაში შესვლის ღირებულების მიღება შესაძლებელია ინვოისების, საწყობის დოკუმენტაციაში ჩანაწერების ანალიზიდან და ა.შ.
  • - პერსონალის ანაზღაურება შესაძლებელია ამონაწერებიდან;
  • - ხელფასის გადახდის მოცულობა უნდა იქნას გათვალისწინებული ინფორმაციული უსაფრთხოების სამუშაოზე დახარჯული ფაქტობრივი დროის გათვალისწინებით, თუ თანამშრომლის დროის მხოლოდ ნაწილი იხარჯება ინფორმაციის უსაფრთხოების საქმიანობაზე, მაშინ მისი დროის ღირებულების თითოეული კომპონენტის შეფასების მიზანშეწონილობა. არ უნდა დაიკითხოს;
  • - უსაფრთხოების ხარჯების კლასიფიკაცია და ელემენტების მიხედვით მათი განაწილება უნდა გახდეს საწარმოში ყოველდღიური მუშაობის ნაწილი.


ᲓᲐᲙᲐᲕᲨᲘᲠᲔᲑᲣᲚᲘ ᲡᲢᲐᲢᲘᲔᲑᲘ