मुख्यपृष्ठ-खिडक्या-माहिती सुरक्षिततेचे अर्थशास्त्र. माहिती सुरक्षेच्या खर्चाचा लेखाजोखा राज्यांमध्ये माहिती सुरक्षेचा खर्च

माहिती सुरक्षिततेचे अर्थशास्त्र. माहिती सुरक्षेच्या खर्चाचा लेखाजोखा राज्यांमध्ये माहिती सुरक्षेचा खर्च

21-08-2018T12:03:34+00:00

मोठ्या व्यावसायिक कंपन्या त्यांच्या व्यवसायाची भौतिक सुरक्षा सुनिश्चित करण्यासाठी वार्षिक महसुलाच्या सुमारे 1% खर्च करतात. एंटरप्राइझ सुरक्षा हे तंत्रज्ञान आणि उत्पादन साधनांसारखेच संसाधन आहे. पण येतो तेव्हा डिजिटल संरक्षणडेटा आणि सेवा, आर्थिक जोखीम आणि आवश्यक खर्चांची गणना करणे कठीण होते. सायबर सुरक्षेसाठी आयटी बजेटचे किती पैसे वाजवीपणे वाटप केले जाऊ शकतात आणि तुम्हाला किमान साधनांचा संच आहे की नाही हे आम्ही तुम्हाला सांगू.

माहिती सुरक्षा खर्च वाढत आहेत

त्यानुसार जगभरातील व्यावसायिक संघटनाअहवाल गार्टनरने 2017 मध्ये सायबरसुरक्षा गरजांवर सुमारे $87 अब्ज खर्च केले, ज्यात सॉफ्टवेअर, विशेष सेवा आणि हार्डवेअर यांचा समावेश आहे. हे 2016 च्या तुलनेत 7% अधिक आहे. यावर्षी हा आकडा 93 अब्जांपर्यंत पोहोचण्याची अपेक्षा आहे आणि पुढील वर्षी ती 100 चा टप्पा ओलांडेल.

तज्ञांच्या मते, रशियामध्ये माहिती सुरक्षा सेवा बाजाराचे प्रमाण सुमारे 55-60 अब्ज रूबल (सुमारे 900 हजार डॉलर्स) आहे. त्यातील 2/3 सरकारी आदेशांद्वारे समाविष्ट आहे. कॉर्पोरेट क्षेत्रात, अशा खर्चाचा वाटा एंटरप्राइझचे स्वरूप, भूगोल आणि क्रियाकलापांच्या क्षेत्रावर मोठ्या प्रमाणात अवलंबून असतो.

देशांतर्गत बँका आणि वित्तीय संस्था सरासरीगुंतवणूक करा त्यांच्या सायबरसुरक्षा मध्ये प्रति वर्ष 300 दशलक्ष रूबल, उद्योगपती - 50 दशलक्ष पर्यंत, नेटवर्क कंपन्या (किरकोळ) - 10 ते 50 दशलक्ष पर्यंत.

पण वाढीचे आकडे रशियन बाजारअनेक वर्षांपासून सायबरसुरक्षा जागतिक स्तरावरील 1.5-2 पटीने जास्त आहे. 2016 च्या तुलनेत 2017 मध्ये वाढ 15% (ग्राहकांच्या पैशात) होती. 2018 च्या शेवटी, ते आणखी मजबूत होऊ शकते.

बाजाराचे सामान्य पुनरुज्जीवन आणि त्यांच्या आयटी पायाभूत सुविधा आणि डेटा सुरक्षेच्या वास्तविक सुरक्षेकडे संस्थांचे लक्ष वेधून घेतल्याने उच्च वाढ दर स्पष्ट केले जातात. सिस्टम बांधकाम खर्च माहिती संरक्षणआता गुंतवणूक म्हणून पाहिले जाते, ते आगाऊ नियोजित केले जातात, आणि केवळ अवशिष्ट आधारावर घेतले जात नाहीत.

सकारात्मक तंत्रज्ञानहायलाइट तीन वाढ चालक:

  1. गेल्या 1.5-2 वर्षांच्या उच्च-प्रोफाइल घटनांमुळे आज केवळ आळशी लोकांना एंटरप्राइझच्या आर्थिक स्थिरतेसाठी माहिती सुरक्षिततेची भूमिका समजत नाही. पाचपैकी एक शीर्ष व्यवस्थापक त्यांच्या व्यवसायाच्या संदर्भात व्यावहारिक सुरक्षिततेमध्ये स्वारस्य व्यक्त करतो.

मूलभूत गोष्टींकडे दुर्लक्ष करणाऱ्या व्यवसायांसाठी मागील वर्ष बोधप्रद होते . अद्ययावत अद्यतनांचा अभाव आणि असुरक्षिततेकडे लक्ष न देता काम करण्याची सवय यामुळे फ्रान्समधील रेनॉल्ट कारखाने, जपानमधील होंडा आणि निसान बंद पडले; बँका, ऊर्जा आणि दूरसंचार कंपन्यांना फटका बसला. Maersk साठी, उदाहरणार्थ, त्याची किंमत एका वेळी $300 दशलक्ष आहे.

  1. रॅन्समवेअर व्हायरसची महामारी WannaCry, NotPetya, वाईट ससाघरगुती कंपन्यांना शिकवले की अँटीव्हायरस आणि फायरवॉल स्थापित करणे सुरक्षित वाटण्यासाठी पुरेसे नाही. तुम्हाला एक सर्वसमावेशक रणनीती, तुमच्या IT मालमत्तेची यादी, समर्पित संसाधने आणि धोका प्रतिसाद धोरण आवश्यक आहे.
  2. एका विशिष्ट अर्थाने, राज्याने हा टोन सेट केला आहे, ज्याने डिजिटल अर्थव्यवस्थेच्या दिशेने एक कोर्स जाहीर केला आहे, ज्यामध्ये सर्व क्षेत्रे (आरोग्यसेवा आणि शिक्षणापासून वाहतूक आणि वित्त) समाविष्ट आहेत. या धोरणाचा सर्वसाधारणपणे माहिती तंत्रज्ञान क्षेत्राच्या वाढीवर आणि विशेषतः माहितीच्या सुरक्षिततेवर थेट परिणाम होतो.

माहिती सुरक्षेतील भेद्यतेची किंमत

हे सर्व बोधप्रद आहे, परंतु प्रत्येक व्यवसाय ही एक अनोखी कथा आहे. कंपनीच्या एकूण आयटी बजेटमधून माहितीच्या सुरक्षेवर किती खर्च करायचा हा प्रश्न जरी बरोबर नसला तरी, ग्राहकाच्या दृष्टिकोनातून, सर्वात कठीण आहे.

कॅनडाच्या बाजारपेठेचे उदाहरण वापरून आंतरराष्ट्रीय संशोधन कंपनी IDCकॉल संस्थेच्या एकूण आयटी बजेटमधून सायबरसुरक्षामधील गुंतवणुकीच्या 9.8-13.7% इष्टतम आहे. म्हणजेच, आता कॅनेडियन व्यवसाय या गरजांवर सरासरी सुमारे 10% खर्च करतो (असे मानले जाते की हे निरोगी कंपनीचे सूचक आहे), परंतु, सर्वेक्षणानुसार, ते 14% च्या जवळ असावे असे त्यांना आवडेल.

मनःशांती अनुभवण्यासाठी कंपन्यांनी त्यांच्या माहितीच्या सुरक्षिततेवर किती खर्च करणे आवश्यक आहे याचा अंदाज लावण्यात काही अर्थ नाही. आज, सायबर सुरक्षा घटनांपासून धोक्याचे मूल्यांकन करणे शारीरिक धोक्यांपासून होणारे नुकसान मोजण्यापेक्षा जास्त कठीण नाही. जगभरात आहेआकडेवारी , त्यानुसार:

  • हॅकर हल्ल्यांमुळे जागतिक अर्थव्यवस्थेला वार्षिक $110 बिलियन पेक्षा जास्त नुकसान होते.
  • लहान व्यवसायांसाठी, प्रत्येक घटनेची सरासरी किंमत $188,000 आहे.
  • 2016 मधील 51% हॅक लक्ष्यित होते, म्हणजे, विशिष्ट कंपनीविरूद्ध गुन्हेगारी गटांनी आयोजित केले होते.
  • 75% हल्ले भौतिक नुकसान करण्याच्या उद्देशाने होतात आणि ते आर्थिकदृष्ट्या प्रेरित असतात.

कॅस्परस्की लॅबने त्याचे मोठ्या प्रमाणावर आयोजन केलेअभ्यास . जगभरातील 6 हजार कंपनी तज्ञांच्या सर्वेक्षणानुसार, कॉर्पोरेट नेटवर्क हॅक आणि डेटा लीकमुळे होणारे नुकसान गेल्या काही वर्षांत 20-30% वाढले आहे.

सरासरी किंमतआकार किंवा क्रियाकलाप क्षेत्राकडे दुर्लक्ष करून, व्यावसायिक संस्थांसाठी फेब्रुवारी 2018 पर्यंत नुकसान $1.23 दशलक्ष इतके आहे. SME साठी, कर्मचाऱ्यांची चूक किंवा हॅकर्सच्या यशस्वी कृतीची किंमत $120 हजार आहे.

माहिती सुरक्षिततेसाठी व्यवहार्यता अभ्यास

एंटरप्राइझमध्ये माहिती सुरक्षा व्यवस्थापित करण्यासाठी आवश्यक असलेल्या आर्थिक संसाधनांचे अचूक मूल्यांकन करण्यासाठी, व्यवहार्यता अभ्यास करणे आवश्यक आहे.

  1. आम्ही IT पायाभूत सुविधांची यादी आयोजित करतो आणि जोखमींचे मूल्यांकन करतो, त्यांच्या महत्त्वाच्या उतरत्या क्रमाने असुरक्षिततेची यादी तयार करतो. यामध्ये प्रतिष्ठेचे नुकसान (वाढलेले विमा दर, कमी झालेले क्रेडिट रेटिंग, सेवा डाउनटाइमची किंमत) आणि सिस्टम रिस्टोरेशनची किंमत (हार्डवेअर आणि सॉफ्टवेअर अपडेट) देखील समाविष्ट आहे.
  2. माहिती सुरक्षा प्रणालीने सोडवल्या पाहिजेत अशी कार्ये आम्ही लिहून देतो.
  3. आम्ही समस्या सोडवण्यासाठी आणि त्याची किंमत निर्धारित करण्यासाठी उपकरणे आणि साधने निवडतो.

कंपनीकडे सायबरसुरक्षा धोके आणि जोखमींचे मूल्यांकन करण्याची क्षमता नसल्यास, तुम्ही नेहमी माहिती सुरक्षा ऑडिटसाठी बाहेरून ऑर्डर देऊ शकता. आज ही प्रक्रिया लहान, स्वस्त आणि वेदनारहित आहे.

उच्च स्तरीय प्रक्रिया ऑटोमेशन असलेल्या औद्योगिक कंपन्यांसाठी तज्ञशिफारस करा अनुकूली सुरक्षा आर्किटेक्चर मॉडेल वापरा (अनुकूली सुरक्षा आर्किटेक्चर), गार्टनरने 2014 मध्ये प्रस्तावित केले होते. हे तुम्हाला माहिती सुरक्षा खर्चाचे योग्यरित्या पुनर्वितरण करण्यास अनुमती देते, धोका शोधणे आणि प्रतिसाद साधनांवर अधिक लक्ष देणे आणि IT पायाभूत सुविधांसाठी देखरेख आणि विश्लेषण प्रणालीची अंमलबजावणी सूचित करते.

लहान कंपन्यांसाठी सायबरसुरक्षा किती आहे?

कॅप्टेरा ब्लॉगच्या लेखकांनी निर्णय घेतलामोजणे , वापराच्या पहिल्या वर्षात लहान आणि मध्यम आकाराच्या व्यवसायांसाठी माहिती सुरक्षा प्रणालीची सरासरी किती किंमत आहे. यासाठी ही निवड करण्यात आलीयादी बाजारात 50 लोकप्रिय "बॉक्स्ड" ऑफरमधून.

असे दिसून आले की किंमतीची श्रेणी बरीच मोठी आहे: प्रति वर्ष 50 डॉलर्स (लहान कंपन्यांसाठी 2-3 विनामूल्य उपाय देखील आहेत) ते 6 हजार डॉलर्स (24 हजारांसाठी एकल पॅकेजेस आहेत, परंतु ते गणनामध्ये समाविष्ट केलेले नाहीत. ). सरासरी, एक लहान व्यवसाय मूलभूत सायबर सुरक्षा संरक्षण प्रणाली तयार करण्यासाठी $1,400 खर्च करण्याची अपेक्षा करू शकतो.

ते सर्वात स्वस्त असतील तांत्रिक उपायजसे की व्यवसाय VPN किंवा ईमेल संरक्षण, जे विशिष्ट प्रकारच्या धोक्यांपासून संरक्षण करण्यात मदत करेल (उदाहरणार्थ, फिशिंग)

स्पेक्ट्रमच्या दुसऱ्या टोकाला "प्रगत" इव्हेंट रिस्पॉन्स टूल्ससह संपूर्ण मॉनिटरिंग सिस्टम आहेत आणि सर्वसमावेशक संरक्षण. ते कॉर्पोरेट नेटवर्कला मोठ्या प्रमाणावरील हल्ल्यांपासून संरक्षित करण्यात मदत करतात आणि कधीकधी त्यांच्या घटनेचा अंदाज लावणे आणि सुरुवातीच्या टप्प्यात त्यांना थांबवणे देखील शक्य करतात.

माहिती सुरक्षा प्रणालीसाठी कंपनी अनेक पेमेंट मॉडेल निवडू शकते:

  • प्रति परवाना किंमत - $1000-2000, किंवा $26 ते $6000 प्रति परवाना.
  • प्रति वापरकर्ता किंमत. एका कंपनीमध्ये प्रति वापरकर्ता माहिती सुरक्षा प्रणालीची सरासरी किंमत $37 आहे, श्रेणी $4 ते $130 प्रति व्यक्ती प्रति महिना आहे.
  • प्रति कनेक्ट केलेल्या डिव्हाइसची किंमत. या मॉडेलची सरासरी किंमत प्रति उपकरण $2.25 आहे. किंमती दरमहा $0.96 ते $4.5 पर्यंत आहेत.

माहिती सुरक्षेच्या खर्चाची अचूक गणना करण्यासाठी, अगदी लहान कंपनीला देखील जोखीम व्यवस्थापनाच्या मूलभूत गोष्टी लागू कराव्या लागतील. पहिलीच घटना (वेबसाइट, सेवा, पेमेंट सिस्टम क्रॅश झाली) जी 24 तासांच्या आत दुरुस्त केली जाऊ शकत नाही त्यामुळे व्यवसाय बंद होऊ शकतो.

संदर्भानुसार, "माहिती सुरक्षा" हा शब्द वापरला जातो भिन्न अर्थ. व्यापक अर्थाने, संकल्पना गोपनीय माहितीचे संरक्षण, उत्पादन प्रक्रिया आणि कंपनीच्या पायाभूत सुविधांना हेतुपुरस्सर किंवा अपघाती कृतींपासून सूचित करते ज्यामुळे आर्थिक नुकसान किंवा प्रतिष्ठा नष्ट होते.

माहिती सुरक्षा तत्त्वे

कोणत्याही उद्योगात माहिती सुरक्षिततेचे मूलभूत तत्त्व नागरिक, समाज आणि राज्य यांच्या हितसंबंधांचा समतोल राखणे. समतोल राखण्याची अडचण ही वस्तुस्थिती आहे की समाज आणि नागरिकांचे हित अनेकदा संघर्ष करतात. नागरिक त्याच्या वैयक्तिक जीवनाचे तपशील, स्त्रोत आणि उत्पन्नाची पातळी आणि वाईट कृत्ये गुप्त ठेवण्याचा प्रयत्न करतात. त्याउलट, समाजाला बेकायदेशीर उत्पन्न, भ्रष्टाचाराची तथ्ये आणि गुन्हेगारी कृत्यांबद्दल माहिती "अवगरण" करण्यात स्वारस्य आहे. राज्य एक प्रतिबंधक यंत्रणा तयार करते आणि व्यवस्थापित करते जी वैयक्तिक डेटा उघड न करण्याच्या नागरिकांच्या अधिकारांचे संरक्षण करते आणि त्याच वेळी गुन्ह्यांचे निराकरण आणि गुन्हेगारांना न्याय मिळवून देण्याशी संबंधित कायदेशीर संबंधांचे नियमन करते.

आधुनिक परिस्थितीत महत्त्व कायदेशीर समर्थन तत्त्व जेव्हा नियामक समर्थन माहिती सुरक्षा उद्योगाच्या विकासाशी गती राखत नाही तेव्हा माहिती सुरक्षा नफा. कायद्यातील तफावत लोकांना केवळ सायबर गुन्ह्यांची जबाबदारी टाळू देत नाही तर प्रगत डेटा संरक्षण तंत्रज्ञानाच्या अंमलबजावणीमध्ये अडथळा आणतात.

जागतिकीकरणाचे तत्व , किंवा माहिती सुरक्षा प्रणालींचे एकत्रीकरण सर्व क्षेत्रांवर परिणाम करते: राजकीय, आर्थिक, सांस्कृतिक. आंतरराष्ट्रीय संप्रेषण प्रणालीच्या विकासासाठी सातत्यपूर्ण डेटा सुरक्षा आवश्यक आहे.

त्यानुसार आर्थिक व्यवहार्यतेचे तत्व , माहिती सुरक्षा उपायांची प्रभावीता खर्च केलेल्या संसाधनांशी जुळली पाहिजे किंवा त्यापेक्षा जास्त असणे आवश्यक आहे. सुरक्षा व्यवस्था राखण्याच्या खर्चाची भरपाई न केल्याने प्रगतीला हानी पोहोचते.

प्रणाली लवचिकता तत्त्व माहिती संरक्षण म्हणजे नवीन तंत्रज्ञानाची निर्मिती आणि अंमलबजावणी रोखणारे कोणतेही शासन निर्बंध काढून टाकणे.

गोपनीयांचे कठोर नियमन, नाही माहिती उघडागृहीत धरते गुप्ततेचे तत्त्व .

डेटा संरक्षित करण्यासाठी जितकी वेगळी हार्डवेअर आणि सॉफ्टवेअर सुरक्षा साधने वापरली जातात, आक्रमणकर्त्यांना भेद्यता आणि बायपास संरक्षण शोधण्यासाठी अधिक वैविध्यपूर्ण ज्ञान आणि कौशल्ये आवश्यक असतात. माहिती सुरक्षा मजबूत करण्याच्या उद्देशाने विविधतेचे तत्व माहिती प्रणाली संरक्षणात्मक यंत्रणा.

नियंत्रण सुलभतेचे तत्त्व माहिती सुरक्षा प्रणाली जितकी क्लिष्ट असेल तितकी वैयक्तिक घटकांची सुसंगतता सत्यापित करणे आणि केंद्रीय प्रशासनाची अंमलबजावणी करणे अधिक कठीण आहे या कल्पनेवर सुरक्षा प्रणाली आधारित आहे.

माहिती सुरक्षेबद्दल कर्मचाऱ्यांच्या निष्ठावान वृत्तीची गुरुकिल्ली म्हणजे माहिती सुरक्षा नियमांचे सतत प्रशिक्षण आणि कंपनीच्या दिवाळखोरीपर्यंत आणि यासह नियमांचे पालन न केल्यामुळे होणाऱ्या परिणामांचे स्पष्ट स्पष्टीकरण. निष्ठेचे तत्व डेटा सुरक्षा प्रणाली प्रशासक आणि सर्व कंपनी कर्मचारी सुरक्षा कर्मचारी प्रेरणेशी संबद्ध करतात. जर कर्मचारी, तसेच प्रतिपक्ष आणि क्लायंट, माहिती सुरक्षा एक अनावश्यक किंवा अगदी प्रतिकूल घटना म्हणून समजत असतील, तर सर्वात शक्तिशाली प्रणाली देखील कंपनीमधील माहितीच्या सुरक्षिततेची हमी देऊ शकत नाहीत.

सूचीबद्ध तत्त्वे सर्व उद्योगांमध्ये माहिती सुरक्षा सुनिश्चित करण्यासाठी आधार आहेत, जी उद्योगाच्या वैशिष्ट्यांवर अवलंबून घटकांसह पूरक आहेत. बँकिंग क्षेत्र, ऊर्जा आणि माध्यमे यांची उदाहरणे पाहू.

बँका

सायबर हल्ला तंत्रज्ञानाचा विकास बँकांना नवीन सादर करण्यास आणि सतत सुधारणा करण्यास भाग पाडतो मूलभूत प्रणालीसुरक्षा बँकिंग क्षेत्रातील माहिती सुरक्षा विकसित करण्याचे उद्दिष्ट हे आहे की माहिती संसाधने सुरक्षित करू शकतील आणि वित्तीय संस्थांच्या प्रमुख व्यावसायिक प्रक्रियांमध्ये नवीनतम IT उत्पादनांचे एकत्रीकरण सुनिश्चित करू शकतील अशा तांत्रिक उपायांचा विकास करणे.

वित्तीय संस्थांच्या माहितीची सुरक्षा सुनिश्चित करण्यासाठी यंत्रणा मंजूर आंतरराष्ट्रीय करार आणि करार तसेच फेडरल कायदे आणि मानकांनुसार तयार केली गेली आहे. रशियन बँकांसाठी माहिती सुरक्षिततेच्या क्षेत्रातील संदर्भ बिंदू आहेत:

  • बँक ऑफ रशिया मानक STO BR IBBS-1.0-2010 “बँकिंग प्रणाली संस्थांची माहिती सुरक्षा सुनिश्चित करणे रशियाचे संघराज्य»;
  • फेडरल कायदा क्रमांक 161 “राष्ट्रीय वर पेमेंट सिस्टम»;
  • फेडरल लॉ क्रमांक 152 “वैयक्तिक डेटावर”;
  • पेमेंट कार्ड इंडस्ट्री डेटा सिक्युरिटी स्टँडर्ड PCI DSS आणि इतर कागदपत्रे.

विविध कायदे आणि मानकांचे पालन करण्याची आवश्यकता या वस्तुस्थितीमुळे आहे की बँका अनेक भिन्न ऑपरेशन्स करतात, वेगवेगळ्या भागात कार्य करतात, ज्यासाठी त्यांच्या स्वतःच्या सुरक्षा साधनांची आवश्यकता असते. उदाहरणार्थ, रिमोट बँकिंग सर्व्हिसेस (RBS) दरम्यान माहितीची सुरक्षितता सुनिश्चित करण्यामध्ये सुरक्षा पायाभूत सुविधा निर्माण करणे समाविष्ट आहे, ज्यामध्ये बँकिंग अनुप्रयोगांचे संरक्षण करणे आणि डेटा प्रवाह नियंत्रित करणे समाविष्ट आहे. देखरेख बँकिंग व्यवहारआणि घटनेचा तपास. माहिती संसाधनांचे बहु-घटक संरक्षण RBS सेवा वापरताना फसवणुकीशी संबंधित धोके कमी करणे तसेच बँकेच्या प्रतिष्ठेचे संरक्षण सुनिश्चित करते.

माहिती संरक्षणइतर उद्योगांप्रमाणेच बँकिंग क्षेत्रही कर्मचाऱ्यांवर अवलंबून आहे. बँकांमधील माहिती सुरक्षिततेचे वैशिष्ट्य म्हणजे नियामक स्तरावरील सुरक्षा तज्ञांकडे वाढलेले लक्ष. 2017 च्या सुरूवातीस, बँक ऑफ रशियाने श्रम आणि सामाजिक संरक्षण मंत्रालयासह FSTEC, माहिती सुरक्षा तज्ञांसाठी शिक्षण आणि विज्ञान मंत्रालयाच्या सहभागासह एकत्र केले.

बँकेत माहिती सुरक्षा ऑडिट योग्यरित्या कसे करावे?

ऊर्जा

ऊर्जा कॉम्प्लेक्स हे धोरणात्मक उद्योगांपैकी एक आहे ज्यांना माहिती सुरक्षा सुनिश्चित करण्यासाठी विशेष उपाय आवश्यक आहेत. प्रशासन आणि विभागांमध्ये कामाच्या ठिकाणी असल्यास पुरेसे आहे मानक अर्थमाहिती सुरक्षा, नंतर ऊर्जा निर्मितीच्या तांत्रिक क्षेत्रांमध्ये संरक्षण आणि अंतिम वापरकर्त्यांपर्यंत वितरण यासाठी वाढीव नियंत्रण आवश्यक आहे. ऊर्जा क्षेत्रातील संरक्षणाचा मुख्य उद्देश माहिती नाही, परंतु तांत्रिक प्रक्रिया. या प्रकरणात, सुरक्षा प्रणालीने तांत्रिक प्रक्रिया आणि स्वयंचलित नियंत्रण प्रणालीची अखंडता सुनिश्चित करणे आवश्यक आहे. म्हणून, ऊर्जा क्षेत्रातील उपक्रमांमध्ये माहिती सुरक्षा यंत्रणा लागू करण्यापूर्वी, तज्ञ अभ्यास करतात:

  • संरक्षणाची वस्तू - तांत्रिक प्रक्रिया;
  • ऊर्जा क्षेत्रात वापरलेली उपकरणे (टेलिमेकॅनिक्स);
  • संबंधित घटक (रिले संरक्षण, ऑटोमेशन, ऊर्जा मीटरिंग).

ऊर्जा क्षेत्रातील माहिती सुरक्षेचे महत्त्व माहितीच्या सायबर धोक्यांच्या अंमलबजावणीच्या परिणामांवरून निश्चित केले जाते. हे केवळ भौतिक नुकसान किंवा प्रतिष्ठेला धक्काच नाही तर, सर्वात महत्त्वाचे म्हणजे, नागरिकांच्या आरोग्यास हानी पोहोचवणे, पर्यावरणाचा विघटन, शहर किंवा प्रदेशाच्या पायाभूत सुविधांमध्ये व्यत्यय.

ऊर्जा क्षेत्रातील माहिती सुरक्षा प्रणालीची रचना करणे सुरक्षिततेच्या जोखमींचे अंदाज आणि मूल्यांकन करण्यापासून सुरू होते. मुख्य मूल्यांकन पद्धत संभाव्य धोक्यांचे मॉडेलिंग आहे, जी सुरक्षा प्रणाली आयोजित करताना संसाधनांचे तर्कशुद्ध वितरण करण्यास आणि सायबर धोक्यांच्या अंमलबजावणीस प्रतिबंध करण्यास मदत करते. याव्यतिरिक्त, ऊर्जा क्षेत्रातील सुरक्षा जोखमींचे मूल्यांकन सातत्य द्वारे दर्शविले जाते: जास्तीत जास्त संरक्षण सुनिश्चित करण्यासाठी आणि सिस्टम अद्ययावत ठेवण्यासाठी सेटिंग्जमध्ये त्वरित बदल करण्यासाठी सिस्टम ऑपरेशन दरम्यान ऑडिट सतत केले जातात.

जनसंपर्क

मीडियामधील माहिती सुरक्षेचे मुख्य कार्य म्हणजे नागरिक, समाज आणि राज्य यांच्या हितांसह राष्ट्रीय हितांचे रक्षण करणे. आधुनिक परिस्थितीत प्रसारमाध्यमांच्या क्रियाकलाप तयार करण्यासाठी खाली येतात माहिती प्रवाहबातम्या आणि पत्रकारितेच्या सामग्रीच्या स्वरूपात जे प्राप्त, प्रक्रिया आणि अंतिम ग्राहकांना वितरित केले जातात: वाचक, दर्शक, वेबसाइट अभ्यागत.

मास मीडियाच्या क्षेत्रात सुरक्षा सुनिश्चित करणे आणि नियंत्रित करणे अनेक क्षेत्रांमध्ये लागू केले जाते आणि त्यात समाविष्ट आहे:

  • माहिती हल्ल्याच्या धोक्याच्या प्रसंगी संकट-विरोधी प्रक्रियेवरील शिफारसींचा विकास;
  • मीडिया संपादकीय कार्यालये, प्रेस सेवा आणि जनसंपर्क विभाग यांच्या कर्मचाऱ्यांसाठी माहिती सुरक्षिततेवर प्रशिक्षण कार्यक्रम;
  • माहितीवर हल्ला झालेल्या संस्थांचे तात्पुरते बाह्य प्रशासन.

माध्यमांमधील माहितीच्या सुरक्षेची दुसरी समस्या म्हणजे पक्षपात. घटनांचे वस्तुनिष्ठ कव्हरेज सुनिश्चित करण्यासाठी, सरकारी अधिकारी, व्यवस्थापन आणि/किंवा मीडियाच्या मालकाच्या दबावापासून पत्रकारांचे संरक्षण करणारी आणि त्याच वेळी अप्रामाणिक माध्यम प्रतिनिधींच्या कृतींपासून प्रामाणिक व्यावसायिक संरचनांचे संरक्षण करणारी एक संरक्षण यंत्रणा आवश्यक आहे.

मीडिया क्षेत्रातील माहिती सुरक्षेचा आणखी एक आधारस्तंभ म्हणजे डेटावर प्रवेश प्रतिबंधित करणे. समस्या अशी आहे की माहितीच्या धोक्यांना प्रतिबंध करण्यासाठी माहितीवर प्रवेश प्रतिबंधित करणे सेन्सॉरशिपसाठी "कव्हर" बनत नाही. माध्यमांना अधिक पारदर्शक बनवणारा आणि राष्ट्रीय सुरक्षा हितसंबंधांना होणारी हानी टाळण्यास मदत करणारा उपाय माहिती संसाधनांच्या प्रवेशावरील मसुदा कन्व्हेन्शनमध्ये समाविष्ट आहे, जो युरोपियन युनियनमध्ये मतदानाच्या प्रतीक्षेत आहे. दस्तऐवजाचे नियम असे गृहीत धरतात की राज्य इंटरनेटवर योग्य नोंदणी तयार करून सर्व अधिकृत दस्तऐवजांमध्ये समान प्रवेश सुनिश्चित करते आणि प्रवेश प्रतिबंध सेट करते जे बदलले जाऊ शकत नाहीत. फक्त दोन अपवाद आहेत जे तुम्हाला माहिती संसाधनांवर प्रवेश करण्यावरील निर्बंध उठवण्याची परवानगी देतात:

  • सार्वजनिक लाभ, जे सामान्य परिस्थितीत प्रसाराच्या अधीन नसलेले डेटा देखील सार्वजनिक करण्याची क्षमता सूचित करते;
  • राष्ट्रीय हितमाहिती लपविल्यास राज्याचे नुकसान होईल.

खाजगी क्षेत्र

बाजारपेठेतील अर्थव्यवस्थेच्या विकासासह, वाढ आणि स्पर्धेची तीव्रता, कंपनीची प्रतिष्ठा अमूर्त मालमत्तेचा अविभाज्य भाग बनते. सकारात्मक प्रतिमेची निर्मिती आणि जतन थेट माहिती सुरक्षिततेच्या पातळीवर अवलंबून असते. तसेच आहे अभिप्राय, जेव्हा बाजारात कंपनीची स्थापित प्रतिमा माहिती सुरक्षिततेची हमी म्हणून काम करते. या दृष्टिकोनासह, तीन प्रकारच्या व्यावसायिक प्रतिष्ठा ओळखल्या जातात:

1. "निरुपयोगी" संस्थेची प्रतिमा, ज्यातील माहिती संसाधनांमध्ये स्वारस्य नाही, कारण ते तृतीय पक्षाच्या हानीसाठी किंवा फायद्यासाठी वापरले जाऊ शकत नाहीत.

2. मजबूत प्रतिस्पर्ध्याची प्रतिमा, ज्यांची सुरक्षा धोक्यात "अधिक महाग" आहे. माहितीच्या हल्ल्याला मागे टाकण्याच्या संधींच्या अस्पष्ट सीमांमुळे भयंकर प्रतिस्पर्ध्याची प्रतिष्ठा राखण्यात मदत होते: माहिती संरक्षणाची क्षमता समजून घेणे जितके कठीण असेल तितकी कंपनी हल्लेखोरांच्या नजरेत अधिक अभेद्य दिसते.

3. "उपयुक्त" संस्थेची प्रतिमा. एखाद्या संभाव्य आक्रमकाला कंपनीच्या व्यवहार्यतेमध्ये स्वारस्य असल्यास, माहितीच्या हल्ल्याऐवजी, संवाद आणि सामान्य माहिती सुरक्षा धोरण तयार करणे शक्य आहे.

प्रत्येक कंपनी कायद्याचे पालन करून आपले क्रियाकलाप आयोजित करते आणि आपली उद्दिष्टे साध्य करण्याचा प्रयत्न करते. माहिती सुरक्षा धोरण विकसित करताना, गोपनीय डेटा आणि आयटी संसाधनांसाठी अंतर्गत सुरक्षा प्रणालीची अंमलबजावणी आणि संचालन करतानाही असेच निकष लागू होतील. एखाद्या संस्थेमध्ये माहिती सुरक्षिततेची सर्वोच्च संभाव्य पातळी सुनिश्चित करण्यासाठी, एकदा सुरक्षा प्रणाली लागू झाल्यानंतर, सुरक्षा घटकांचे पद्धतशीरपणे परीक्षण केले जावे, पुन्हा कॉन्फिगर केले जावे आणि आवश्यकतेनुसार अद्यतनित केले जावे.

मोक्याच्या वस्तूंची माहिती संरक्षण

2017 च्या सुरूवातीस, रशियन फेडरेशनच्या राज्य ड्यूमाने माहिती सुरक्षा आणि देशाच्या महत्त्वपूर्ण माहिती पायाभूत सुविधांशी संबंधित बिलांचे पॅकेज प्रथम वाचन स्वीकारले.

मुख्य स्रोत माहिती धमक्यारशियन फेडरेशनच्या लष्करी क्षेत्रात.

माहिती धोरणाच्या संसदीय समितीचे अध्यक्ष, माहिती तंत्रज्ञानआणि संप्रेषणे लिओनिड लेव्हिन यांनी बिले सादर करताना, धोरणात्मकदृष्ट्या महत्त्वपूर्ण वस्तूंवर सायबर हल्ल्यांच्या संख्येत वाढ झाल्याबद्दल चेतावणी दिली. समितीच्या बैठकीत एफएसबीचे प्रतिनिधी निकोलाई मुराशोव्ह म्हणाले की, वर्षभरात रशियातील वस्तूंवर 70 दशलक्ष सायबर हल्ले करण्यात आले. बाह्य हल्ल्यांच्या वाढत्या धोक्यांसोबतच, देशातील माहिती हल्ल्यांचे प्रमाण, गुंतागुंत आणि समन्वय वाढत आहे.

संसद सदस्यांनी मंजूर केलेली विधेयके तयार करतात कायदेशीर आधारराष्ट्रीय गंभीर पायाभूत सुविधा आणि वैयक्तिक उद्योगांच्या क्षेत्रातील माहिती प्रदान करणे. याव्यतिरिक्त, बिले माहिती सुरक्षेच्या क्षेत्रातील सरकारी संस्थांचे अधिकार निर्धारित करतात आणि माहितीच्या सुरक्षेच्या उल्लंघनासाठी कठोर गुन्हेगारी उत्तरदायित्व प्रदान करतात.

"आर्थिक वृत्तपत्र. प्रादेशिक अंक", 2008, एन 41

आधुनिक परिस्थितीत, माहिती सुरक्षा सुनिश्चित करण्याचे महत्त्व कमी लेखले जाऊ शकत नाही. थोडीशी गळती गोपनीय माहितीप्रतिस्पर्ध्यांमुळे कंपनीचे मोठे आर्थिक नुकसान होऊ शकते, उत्पादन थांबू शकते आणि दिवाळखोरी देखील होऊ शकते.

माहिती सुरक्षेची उद्दिष्टे आहेत: गळती, चोरी, नुकसान, विकृतीकरण आणि माहितीचे खोटेपणा रोखणे; माहिती नष्ट करणे, सुधारणे, विकृत करणे, कॉपी करणे, ब्लॉक करणे या अनधिकृत कृतींना प्रतिबंध; माहिती संसाधनांमध्ये बेकायदेशीर हस्तक्षेपाचे इतर प्रकार प्रतिबंधित करणे आणि माहिती प्रणालीसंस्था

माहितीचे संरक्षण करण्याच्या खर्चामध्ये मुख्यतः अनधिकृत प्रवेशापासून त्याचे संरक्षण सुनिश्चित करण्यासाठी साधनांचे संपादन समाविष्ट आहे. माहितीची सुरक्षा सुनिश्चित करण्याचे अनेक माध्यम आहेत ते दोनमध्ये विभागले जाऊ शकतात: मोठे गट. पहिला निधी आहे ज्याचा भौतिक आधार आहे, जसे की तिजोरी, सीसीटीव्ही कॅमेरे, सुरक्षा यंत्रणा इ. हिशेबात ते स्थिर मालमत्ता म्हणून गणले जातात. दुसरे म्हणजे अशी साधने ज्यांना भौतिक आधार नाही, जसे की अँटी-व्हायरस प्रोग्राम, इलेक्ट्रॉनिक स्वरूपात माहितीवर प्रवेश प्रतिबंधित करण्यासाठी प्रोग्राम इ. अशा माहितीच्या सुरक्षिततेच्या साधनांसाठी लेखांकनाची वैशिष्ट्ये विचारात घेऊ या.

माहिती सुरक्षा सुनिश्चित करण्यासाठी प्रोग्राम खरेदी करताना, त्याचे विशेष अधिकार खरेदीदाराकडे जात नाहीत, फक्त प्रोग्रामची एक संरक्षित प्रत खरेदी केली जाते, जी खरेदीदार कॉपी किंवा वितरित करू शकत नाही. म्हणून, अशा कार्यक्रमांचा लेखाजोखा करताना, चॅपद्वारे मार्गदर्शन केले पाहिजे. VI नवीन PBU 14/2007 च्या "अमूर्त मालमत्ता वापरण्याच्या अधिकाराच्या मंजूरी (पावती) संबंधित व्यवहारांसाठी लेखा" "अमूर्त मालमत्तेसाठी लेखा".

क्वचित प्रसंगी, माहिती सुरक्षा कार्यक्रम खरेदी करताना, कंपनी उत्पादनाचे विशेष अधिकार प्राप्त करते. या प्रकरणात, कार्यक्रम अमूर्त मालमत्ता (अमूर्त मालमत्ता) म्हणून लेखा खात्यात घेतला जाईल.

लेखामधील PBU 14/2007 नुसार, अटींवर वापरण्यासाठी प्रदान केलेली अमूर्त मालमत्ता परवाना करार, ज्याच्या वापराच्या अधिकारासाठी देयके निश्चित एक-वेळ पेमेंटच्या स्वरूपात केली जातात आणि ज्याचे विशेष अधिकार खरेदीदाराकडे हस्तांतरित केले जात नाहीत, ते प्राप्तकर्त्याने स्थगित खर्चाचा भाग म्हणून विचारात घेतले पाहिजेत आणि त्यात प्रतिबिंबित केले पाहिजेत. ताळेबंद खाते (कलम 39). या प्रकरणात, ज्या कालावधीत हे खर्च खर्च खात्यांमध्ये लिहून दिले जातील तो कालावधी परवाना कराराद्वारे स्थापित केला जातो. टॅक्स अकाउंटिंगमध्ये, नफा कराच्या उद्देशांसाठी माहिती संरक्षणासाठी प्रोग्राम खरेदी करण्याच्या किंमती इतर खर्चाच्या रूपात विचारात घेतल्या जातात आणि त्याचप्रमाणे - समान भागांमध्ये परवाना करारामध्ये स्थापित केलेल्या कालावधीत (खंड 26, खंड 1, अनुच्छेद 264) रशियन फेडरेशनचा कर संहिता).

वापरण्याच्या अधिकारासाठी देय असल्यास सॉफ्टवेअर उत्पादन, माहिती सुरक्षा प्रदान करणे, नियतकालिक पेमेंटच्या स्वरूपात केले जाते, नंतर पीबीयू 14/2007 च्या कलम 39 नुसार ते वापरकर्त्याद्वारे अहवाल कालावधीच्या खर्चामध्ये समाविष्ट केले जातात ज्यामध्ये ते केले गेले होते.

व्यवहारात, परवाना करार नेहमी सॉफ्टवेअरच्या वापराचा कालावधी सूचित करत नाही. जेव्हा उत्पन्न आणि खर्च यांच्यातील संबंध स्पष्टपणे परिभाषित केले जाऊ शकत नाहीत, तेव्हा कर लेखा मध्ये, माहिती संरक्षणासाठी प्रोग्राम खरेदी करण्यासाठीचे खर्च आयकर मोजण्याच्या उद्देशाने करदात्याद्वारे स्वतंत्रपणे वितरीत केले जातात, उत्पन्नाची एकसमान ओळख तत्त्व लक्षात घेऊन आणि खर्च (रशियन फेडरेशनच्या कर संहितेच्या अनुच्छेद 272 मधील खंड 1). अकाउंटिंगमध्ये, ज्या कालावधीत हे खर्च खाते 97 मधून राइट ऑफ केले जातील तो कालावधी प्रोग्रामच्या वापराच्या अपेक्षित वेळेच्या आधारावर एंटरप्राइझच्या व्यवस्थापनाद्वारे सेट केला जातो.

उदाहरण १. OJSC "अल्फा" ने परवानाकृत प्रत मिळवली अँटीव्हायरस प्रोग्रामव्हॅट (18%) सह 118,000 रूबलसाठी Betta LLC कडून. परवाना करार 9 महिन्यांच्या प्रोग्रामच्या वापराचा कालावधी स्थापित करतो.

ओजेएससी "अल्फा" च्या अकाउंटिंग रेकॉर्डमध्ये प्रोग्राम खालीलप्रमाणे विचारात घेतला पाहिजे:

डी-टी 60, के-टी 51 - 118,000 घासणे. - पुरवठादाराला सॉफ्टवेअरची किंमत दिली गेली आहे;

डी-टी 60, के-टी 97 - 100,000 घासणे. - प्राप्त कार्यक्रम स्थगित खर्च म्हणून परावर्तित होतो;

डी-टी 002 - 100,000 घासणे. - प्राप्त केलेला प्रोग्राम ऑफ बॅलन्स शीट खात्यात परावर्तित होतो;

डी-टी 19, के-टी 60 - 18,000 घासणे. - व्हॅट वाटप;

Dt 68, Kt 19 - 18,000 घासणे. - व्हॅट कपातीसाठी स्वीकारले;

डी-टी 26 (44), के-टी 97 - 11,111.11 घासणे. (RUB 100,000: 9 महिने) - मासिक 9 महिन्यांसाठी अँटी-व्हायरस प्रोग्रामची किंमत खर्च म्हणून समान भागांमध्ये लिहिली जाते.

उदाहरण 1 च्या अटी बदलूया: असे म्हणूया की अल्फा ओजेएससी एकाच वेळी नाही तर परवाना कराराच्या संपूर्ण मुदतीमध्ये समान हप्त्यांमध्ये पेमेंट करते. देय रक्कम 11,800 रूबल असेल. प्रत्येक महिन्यासाठी, व्हॅटसह.

या प्रकरणात, खालील नोंदी अकाउंटिंगमध्ये केल्या जातील:

डी-टी 002 - 90,000 घासणे. (RUB 10,000 x 9 महिने) - प्राप्त केलेला प्रोग्राम ऑफ-बॅलन्स शीट खात्यात परावर्तित होतो;

डी-टी 60, के-टी 51 - 11,800 घासणे. - सॉफ्टवेअर उत्पादनाची किंमत पुरवठादाराला 9 महिन्यांसाठी मासिक दिली जाते;

डी-टी 19, के-टी 60 - 1800 घासणे. - व्हॅट वाटप;

डी-टी 26 (44), के-टी 60 - 10,000 घासणे. - कार्यक्रमाची किंमत खर्च म्हणून लिहिली जाते;

डी-टी 68, के-टी 19 - 1800 घासणे. - व्हॅट कपातीसाठी स्वीकारले.

बऱ्याचदा, परवाना करार कालबाह्य होण्यापूर्वी, माहिती सुरक्षा कार्यक्रम विकसित करणारी कंपनी अद्यतन जारी करते. या प्रकरणात, नूतनीकरणाच्या वेळी लेखा आणि कर लेखामधील खर्च स्वीकारले जातील.

डेव्हलपमेंट कंपनीची माहिती पुनरावलोकनासाठी विनामूल्य प्रदान करणे देखील एक सामान्य प्रथा आहे. सॉफ्टवेअरअल्प कालावधीसाठी संस्था. विनामूल्य प्राप्त झालेल्या माहिती सुरक्षा कार्यक्रमाचे योग्यरितीने प्रतिबिंबित करण्यासाठी, ते बाजार मूल्यावर स्थगित उत्पन्नाचा भाग म्हणून विचारात घेतले पाहिजे.

उदाहरण २. LLC "Betta" ने OJSC "Alfa" ला माहिती सुरक्षा सॉफ्टवेअर 3 महिन्यांच्या कालावधीसाठी पुनरावलोकनासाठी विनामूल्य प्रदान केले. या सॉफ्टवेअर उत्पादनाची बाजार किंमत 3300 रूबल आहे.

अल्फा ओजेएससीच्या अकाउंटिंग रेकॉर्डमध्ये खालील नोंदी केल्या पाहिजेत:

डी-टी 97, के-टी 98 - 3300 घासणे. - विनामुल्य मिळालेले सॉफ्टवेअर अकाउंटिंगसाठी स्वीकारले गेले आहे;

डी-टी 98, के-टी 91 - 1100 घासणे. - तीन महिन्यांसाठी मासिक, स्थगित उत्पन्नाचा काही भाग इतर उत्पन्न म्हणून स्वीकारला जातो.

टॅक्स अकाउंटिंगमध्ये, नि:शुल्क प्राप्त झालेल्या प्रोग्राममधून मिळणारे उत्पन्न देखील तीन महिन्यांच्या आत स्वीकारले जाईल (रशियन फेडरेशनच्या कर संहितेच्या अनुच्छेद 271 मधील कलम 2).

माहिती संरक्षण खर्चामध्ये केवळ माहिती सुरक्षा साधनांचे संपादनच नाही तर माहिती संरक्षणासाठी सल्ला (माहिती) सेवांचा खर्च देखील समाविष्ट असतो (अमूर्त मालमत्ता, स्थिर मालमत्ता किंवा संस्थेच्या इतर मालमत्तेच्या संपादनाशी संबंधित नाही). पीबीयू 10/99 च्या कलम 7 नुसार "संस्थेचा खर्च" नुसार, लेखामधील सल्लागार सेवांसाठीच्या खर्चाचा अहवाल कालावधीत सामान्य क्रियाकलापांच्या खर्चामध्ये समावेश केला जातो जेव्हा ते खर्च केले जातात. कर लेखा मध्ये, ते उत्पादनांच्या उत्पादन आणि विक्रीशी संबंधित इतर खर्च म्हणून वर्गीकृत केले जातात (खंड 15, खंड 1, रशियन फेडरेशनच्या कर संहितेच्या अनुच्छेद 264).

उदाहरण ३. LLC "Betta" ने OJSC "अल्फा" ला VAT - 9,000 rubles सह एकूण 59,000 रूबलसाठी माहिती सुरक्षिततेवर सल्ला सेवा प्रदान केली.

अल्फा ओजेएससीच्या अकाउंटिंग रेकॉर्डमध्ये खालील नोंदी केल्या पाहिजेत:

डी-टी 76, के-टी 51 - 59,000 घासणे. - सल्लागार सेवांसाठी पैसे दिले;

Dt 26 (44), Kt 76 - 50,000 घासणे. - माहितीच्या सुरक्षेवरील सल्लागार सेवा सामान्य क्रियाकलापांसाठी खर्च म्हणून रद्द केल्या जातात;

Dt 19, Kt 76 - 9000 घासणे. - व्हॅट वाटप;

Dt 68, Kt 19 - 9000 घासणे. - व्हॅट कपातीसाठी स्वीकारले.

परिच्छेदांनुसार, आयकरासाठी करपात्र आधार कमी करणारे खर्च म्हणून सरलीकृत कर प्रणाली वापरणारे उपक्रम. 19 कलम 1 कला. रशियन फेडरेशनच्या कर संहितेचा 346.16 केवळ माहिती सुरक्षितता सुनिश्चित करणाऱ्या कार्यक्रमांच्या खरेदीची किंमत स्वीकारण्यास सक्षम असेल. कला मध्ये माहिती सुरक्षा सल्ला सेवांसाठी खर्च. रशियन फेडरेशनच्या कर संहितेच्या 346.16 मध्ये उल्लेख नाही, म्हणून, नफा कर उद्देशांसाठी, संस्थांना ते स्वीकारण्याचा अधिकार नाही.

व्ही. श्चानिकोव्ह

लेखापरीक्षक सहाय्यक

ऑडिट विभाग

बेकर टिली रुसॉडिट एलएलसी

माहिती सुरक्षिततेच्या खर्चाचे औचित्य कसे ठरवायचे?

दयाळू परवानगीने पुनर्मुद्रित ओजेएससी इन्फोटेक्स इंटरनेट ट्रस्ट
स्त्रोत मजकूर स्थित आहे येथे.

कंपनी परिपक्वता पातळी

गार्टनर ग्रुप माहिती सुरक्षा (IS) च्या दृष्टीने कंपनीच्या परिपक्वतेचे 4 स्तर ओळखतो:

  • पातळी 0:
    • कंपनीच्या माहितीच्या सुरक्षेमध्ये कोणीही गुंतलेले नाही;
    • निधी नाही;
    • माहिती सुरक्षा मानक माध्यमांचा वापर करून लागू केली जाते ऑपरेटिंग सिस्टम, DBMS आणि अनुप्रयोग (संकेतशब्द संरक्षण, संसाधने आणि सेवांवर प्रवेश नियंत्रण).
  • पातळी 1:
    • व्यवस्थापनाद्वारे माहिती सुरक्षा ही पूर्णपणे "तांत्रिक" समस्या मानली जाते; कंपनीच्या माहिती सुरक्षा प्रणाली (ISMS) च्या विकासासाठी कोणताही एकीकृत कार्यक्रम (संकल्पना, धोरण) नाही;
    • एकूण आयटी बजेटमध्ये निधी दिला जातो;
    • माहिती सुरक्षितता शून्य पातळी + माध्यमांद्वारे लागू केली जाते राखीव प्रत, अँटीव्हायरस एजंट, फायरवॉल, VPN आयोजित करण्याचे साधन (संरक्षणाचे पारंपारिक साधन).
  • पातळी 2:
    • माहिती सुरक्षा व्यवस्थापनाद्वारे संस्थात्मक आणि तांत्रिक उपायांचे एक जटिल म्हणून मानले जाते, उत्पादन प्रक्रियेसाठी माहिती सुरक्षिततेचे महत्त्व समजले जाते, व्यवस्थापनाद्वारे मंजूर कंपनीच्या ISMS च्या विकासासाठी एक कार्यक्रम आहे;
    • माहिती सुरक्षा प्रथम-स्तरीय साधने + वर्धित प्रमाणीकरण साधने, ईमेल संदेश आणि वेब सामग्रीचे विश्लेषण करण्यासाठी साधने, IDS (घुसखोरी शोध प्रणाली), सुरक्षा विश्लेषण साधने, SSO (एक-वेळ प्रमाणीकरण साधने), PKI (सार्वजनिक की पायाभूत सुविधा) आणि संस्थात्मक उपाय (अंतर्गत आणि बाह्य ऑडिट, जोखीम विश्लेषण, माहिती सुरक्षा धोरण, नियम, कार्यपद्धती, नियम आणि मार्गदर्शक तत्त्वे).
  • स्तर 3:
    • माहिती सुरक्षा हा कॉर्पोरेट संस्कृतीचा एक भाग आहे, एक CISA (वरिष्ठ माहिती सुरक्षा अधिकारी) नियुक्त करण्यात आला आहे;
    • स्वतंत्र बजेटमध्ये निधी दिला जातो;
    • माहिती सुरक्षा द्वितीय स्तर + माहिती सुरक्षा व्यवस्थापन प्रणाली, CSIRT (माहिती सुरक्षा घटना प्रतिसाद संघ), SLA (सेवा स्तर करार) द्वारे लागू केली जाते.

गार्टनर ग्रुप (2001 साठी प्रदान केलेला डेटा) नुसार, वर्णन केलेल्या 4 स्तरांच्या संबंधात कंपन्यांची टक्केवारी खालीलप्रमाणे आहे:
स्तर 0 - 30%,
स्तर 1 - 55%,
स्तर 2 - 10%,
स्तर 3 - 5%.

2005 साठी गार्टनर ग्रुपचा अंदाज खालीलप्रमाणे आहे:
स्तर 0 - 20%,
स्तर 1 - 35%,
स्तर 2 - 30%,
स्तर 3 - 15%.

आकडेवारी दर्शविते की बहुतेक कंपन्यांनी (55%) सध्या पारंपारिक तांत्रिक सुरक्षा उपायांचा किमान आवश्यक संच (स्तर 1) लागू केला आहे.

विविध तंत्रज्ञान आणि सुरक्षा उपायांची अंमलबजावणी करताना, अनेकदा प्रश्न उद्भवतात. प्रथम काय अंमलात आणायचे, घुसखोरी शोध प्रणाली किंवा PKI पायाभूत सुविधा? कोणते अधिक प्रभावी होईल? स्टीफन रॉस, डेलॉइट आणि टचचे संचालक, वैयक्तिक माहिती सुरक्षा उपाय आणि साधनांच्या परिणामकारकतेचे मूल्यांकन करण्यासाठी खालील दृष्टीकोन प्रस्तावित करतात.

वरील आलेखाच्या आधारे, हे पाहिले जाऊ शकते की सर्वात महाग आणि कमी प्रभावी म्हणजे विशेष साधने (इन-हाउस किंवा कस्टम-मेड).

सर्वात महाग, परंतु त्याच वेळी सर्वात प्रभावी, श्रेणी 4 संरक्षण उत्पादने आहेत (गार्टनर ग्रुपनुसार स्तर 2 आणि 3). या श्रेणीतील साधने लागू करण्यासाठी, जोखीम विश्लेषण प्रक्रिया वापरणे आवश्यक आहे. या प्रकरणात जोखीम विश्लेषण हे सुनिश्चित करेल की माहिती सुरक्षा उल्लंघनाच्या विद्यमान धोक्यांसाठी अंमलबजावणी खर्च पुरेसे आहेत.

स्वस्त करण्यासाठी, पण येत उच्चस्तरीयपरिणामकारकता, संस्थात्मक उपाय (अंतर्गत आणि बाह्य ऑडिट, जोखीम विश्लेषण, माहिती सुरक्षा धोरण, व्यवसाय सातत्य योजना, नियम, कार्यपद्धती, नियम आणि मार्गदर्शक तत्त्वे) समाविष्ट करा.

संरक्षणाच्या अतिरिक्त साधनांचा परिचय (स्तर 2 आणि 3 मध्ये संक्रमण) करण्यासाठी महत्त्वपूर्ण आर्थिक गुंतवणूक आणि त्यानुसार, समर्थन आवश्यक आहे. व्यवस्थापनाने मंजूर केलेल्या आणि स्वाक्षरी केलेल्या युनिफाइड ISMS डेव्हलपमेंट प्रोग्रामच्या अनुपस्थितीमुळे सुरक्षेतील गुंतवणुकीचे समर्थन करण्याची समस्या वाढते.

जोखीम विश्लेषण

असे औचित्य हे जोखीम विश्लेषणाचे परिणाम असू शकतात आणि जोखीम विश्लेषणाची अंमलबजावणी करण्यासाठी आणि आकडेवारी संकलित करण्याच्या पद्धती कंपनीच्या माहिती सुरक्षा धोरणामध्ये निर्दिष्ट केल्या पाहिजेत.

जोखीम विश्लेषण प्रक्रियेमध्ये 6 अनुक्रमिक टप्पे असतात:

1. संरक्षित वस्तूंची ओळख आणि वर्गीकरण (संरक्षित करण्यासाठी कंपनी संसाधने);

3. आक्रमणकर्त्याचे मॉडेल तयार करणे;

4. धमक्या आणि भेद्यता ओळखणे, वर्गीकरण आणि विश्लेषण;

5. जोखीम मूल्यांकन;

6. संघटनात्मक उपाय आणि संरक्षणाच्या तांत्रिक माध्यमांची निवड.

टप्प्यावर संरक्षणाच्या वस्तूंची ओळख आणि वर्गीकरणखालील क्षेत्रांमध्ये कंपनीच्या संसाधनांची यादी आयोजित करणे आवश्यक आहे:

  • माहिती संसाधने(गोपनीय आणि गंभीर कंपनी माहिती);
  • सॉफ्टवेअर संसाधने (OS, DBMS, गंभीर अनुप्रयोग, जसे की ERP);
  • भौतिक संसाधने (सर्व्हर, वर्कस्टेशन्स, नेटवर्क आणि दूरसंचार उपकरणे);
  • सेवा संसाधने ( ईमेल, www, इ.).

वर्गीकरणसंसाधनाची गोपनीयता आणि गंभीरतेची पातळी निश्चित करणे आहे. गोपनीयतेचा अर्थ संसाधनाद्वारे संग्रहित, प्रक्रिया आणि प्रसारित केलेल्या माहितीच्या गुप्ततेच्या पातळीला सूचित करते. गंभीरता ही कंपनीच्या उत्पादन प्रक्रियेच्या कार्यक्षमतेवर संसाधनाच्या प्रभावाची डिग्री म्हणून समजली जाते (उदाहरणार्थ, दूरसंचार संसाधने कमी झाल्यास, प्रदाता कंपनी दिवाळखोर होऊ शकते). गोपनीयता आणि गंभीरतेच्या मापदंडांना विशिष्ट गुणात्मक मूल्ये नियुक्त करून, आपण कंपनीच्या उत्पादन प्रक्रियेतील सहभागाच्या दृष्टीने प्रत्येक संसाधनाचे महत्त्व निर्धारित करू शकता.

माहिती सुरक्षिततेच्या दृष्टिकोनातून कंपनीच्या संसाधनांचे महत्त्व निश्चित करण्यासाठी, तुम्ही खालील सारणी मिळवू शकता:

उदाहरणार्थ, कंपनीच्या कर्मचाऱ्यांच्या पगाराच्या पातळीबद्दल माहिती असलेल्या फायलींमध्ये "कठोरपणे गोपनीय" (गोपनीयता पॅरामीटर) आणि "क्षुल्लक" (गंभीरता पॅरामीटर) मूल्य असते. ही मूल्ये सारणीमध्ये बदलून, तुम्ही महत्त्वाचा अविभाज्य सूचक मिळवू शकता या संसाधनाचा. आंतरराष्ट्रीय मानक ISO TR 13335 मध्ये वर्गीकरण पद्धतींचे विविध पर्याय दिले आहेत.

हल्लेखोर मॉडेल तयार करणेखालील पॅरामीटर्सनुसार संभाव्य उल्लंघनकर्त्यांचे वर्गीकरण करण्याची प्रक्रिया आहे:

  • आक्रमणकर्त्याचा प्रकार (स्पर्धक, क्लायंट, विकसक, कंपनी कर्मचारी इ.);
  • संरक्षणाच्या वस्तूंच्या संबंधात आक्रमणकर्त्याची स्थिती (अंतर्गत, बाह्य);
  • संरक्षित वस्तू आणि पर्यावरण (उच्च, मध्यम, निम्न) बद्दल ज्ञानाची पातळी;
  • संरक्षित वस्तूंमध्ये प्रवेश करण्याच्या क्षमतेची पातळी (जास्तीत जास्त, सरासरी, किमान);
  • कृतीचा कालावधी (सतत, विशिष्ट वेळेच्या अंतराने);
  • कारवाईचे स्थान (हल्ल्यादरम्यान हल्लेखोराचे अपेक्षित स्थान).

हल्लेखोराच्या मॉडेलच्या सूचीबद्ध पॅरामीटर्सना गुणात्मक मूल्ये नियुक्त करून, कोणीही आक्रमणकर्त्याची क्षमता (धमक्या लागू करण्यासाठी आक्रमणकर्त्याच्या क्षमतांचे अविभाज्य वैशिष्ट्य) निर्धारित करू शकते.

धमक्या आणि भेद्यता ओळखणे, वर्गीकरण आणि विश्लेषणतुम्हाला संरक्षित वस्तूंवर हल्ले अंमलात आणण्याचे मार्ग निर्धारित करण्याची परवानगी देते. भेद्यता हे संसाधन किंवा त्याच्या वातावरणाचे गुणधर्म आहेत जे आक्रमणकर्त्याद्वारे धमक्या लागू करण्यासाठी वापरले जातात. सॉफ्टवेअर संसाधन असुरक्षिततेची सूची इंटरनेटवर आढळू शकते.

खालील निकषांनुसार धमक्यांचे वर्गीकरण केले जाते:

  • धमकीचे नाव;
  • हल्लेखोर प्रकार;
  • अंमलबजावणीचे साधन;
  • शोषित असुरक्षा;
  • केलेल्या कृती;
  • अंमलबजावणी वारंवारता.

मुख्य पॅरामीटर म्हणजे धमकीच्या अंमलबजावणीची वारंवारता. हे "हल्लाखोर संभाव्य" आणि "संसाधन सुरक्षा" पॅरामीटर्सच्या मूल्यांवर अवलंबून असते. "संसाधन सुरक्षा" पॅरामीटरचे मूल्य तज्ञांच्या मूल्यांकनांद्वारे निर्धारित केले जाते. पॅरामीटरचे मूल्य निर्धारित करताना, आक्रमणकर्त्याचे व्यक्तिपरक मापदंड विचारात घेतले जातात: धमकीची अंमलबजावणी करण्यासाठी प्रेरणा आणि धमक्या लागू करण्याच्या प्रयत्नांची आकडेवारी. या प्रकारच्या(उपलब्ध असल्यास). धोका आणि भेद्यता विश्लेषण स्टेजचा परिणाम प्रत्येक धोक्यासाठी "अंमलबजावणी वारंवारता" पॅरामीटरचे मूल्यांकन आहे.

टप्प्यावर जोखीम मूल्यांकनमाहिती सुरक्षा उल्लंघनाच्या धमक्यांमुळे होणारे संभाव्य नुकसान प्रत्येक संसाधन किंवा संसाधनांच्या गटासाठी निर्धारित केले जाते.

नुकसानाचे गुणात्मक सूचक दोन पॅरामीटर्सवर अवलंबून असते:

  • संसाधनाचे महत्त्व;
  • या संसाधनावर धमकी अंमलबजावणीची वारंवारता.

प्राप्त झालेल्या नुकसानीच्या मुल्यांकनाच्या आधारे, पुरेसे संस्थात्मक उपाय वाजवीपणे निवडले जातात आणि तांत्रिक माध्यमसंरक्षण

घटनांची आकडेवारी जमा करणे

जोखमीचे मूल्यांकन करण्यासाठी प्रस्तावित कार्यपद्धतीतील एकमेव कमकुवत मुद्दा आणि त्यानुसार, नवीन किंवा विद्यमान संरक्षण तंत्रज्ञान बदलण्याच्या गरजेचे समर्थन करणे म्हणजे "धोक्याच्या घटनेची वारंवारता" या पॅरामीटरचे निर्धारण. या पॅरामीटरची वस्तुनिष्ठ मूल्ये प्राप्त करण्याचा एकमेव मार्ग म्हणजे घटनांची आकडेवारी जमा करणे. संचित आकडेवारी, उदाहरणार्थ, एका वर्षात तुम्हाला प्रति संसाधन (विशिष्ट प्रकारच्या) धोक्यांच्या अंमलबजावणीची संख्या (विशिष्ट प्रकारची) निर्धारित करण्यास अनुमती देईल. घटना प्रक्रिया प्रक्रियेचा भाग म्हणून आकडेवारी गोळा करण्याचे काम करणे उचित आहे.

कॅस्परस्की लॅब ग्लोबल कॉर्पोरेट आयटी सुरक्षा जोखीम सर्वेक्षण हे जगभरातील कॉर्पोरेट माहिती सुरक्षिततेच्या ट्रेंडचे वार्षिक विश्लेषण आहे. आम्ही सायबर सुरक्षेच्या अशा महत्त्वाच्या पैलूंचा विचार करतो जसे की माहिती सुरक्षा खर्चाची रक्कम, सध्याचे धोके विविध प्रकारकंपन्या आणि या धोक्यांना तोंड देण्याचे आर्थिक परिणाम. याशिवाय, माहिती सुरक्षा अर्थसंकल्प तत्त्वांबद्दल अधिकाऱ्यांकडून शिकून, आम्ही पाहू शकतो की जगातील विविध क्षेत्रांतील कंपन्या धोक्याच्या लँडस्केपमधील बदलांना कसा प्रतिसाद देत आहेत.

2017 मध्ये, आम्ही हे समजून घेण्याचा प्रयत्न केला की कंपन्या माहिती सुरक्षितता हा खर्च घटक म्हणून पाहत आहेत (एक आवश्यक वाईट ज्यासाठी त्यांना पैसे वाटप करण्यास भाग पाडले जाते) किंवा ते एक धोरणात्मक गुंतवणूक मानू लागले आहेत (म्हणजे, व्यवसायातील सातत्य सुनिश्चित करण्याचे साधन. वेगाने विकसित होत असलेल्या सायबर धोक्यांच्या युगात महत्त्वपूर्ण फायदे प्रदान करते).

हा एक अतिशय महत्त्वाचा प्रश्न आहे, विशेषत: जगातील बहुतेक प्रदेशांमध्ये आयटी बजेट कमी होत असल्याने.

रशियामध्ये, तथापि, 2017 मध्ये सुरक्षेसाठी वाटप केलेल्या सरासरी बजेटमध्ये थोडीशी वाढ झाली - 2%. रशियामधील सरासरी माहिती सुरक्षा बजेट सुमारे 15.4 दशलक्ष रूबल होते.

हा अहवाल सर्व आकारांच्या कंपन्यांना भेडसावणाऱ्या धोक्यांचे प्रकार, तसेच आयटी खर्चाच्या ठराविक नमुन्यांचा बारकाईने विचार करतो.

सामान्य माहिती आणि संशोधन पद्धती

ग्लोबल कॅस्परस्की लॅब कॉर्पोरेट आयटी सुरक्षा जोखीम सर्वेक्षण हे त्यांच्या संस्थांच्या आयटी सेवा व्यवस्थापित करणाऱ्या अधिकाऱ्यांचे सर्वेक्षण आहे, जे 2011 पासून दरवर्षी आयोजित केले जाते.

सर्वात अलीकडील डेटा मार्च आणि एप्रिल 2017 मध्ये गोळा करण्यात आला. 30 पेक्षा जास्त देशांतील एकूण 5,274 उत्तरदात्यांचे सर्वेक्षण करण्यात आले, ज्यामध्ये सर्व आकारांच्या कंपन्यांचा समावेश आहे.

अहवाल कधीकधी खालील पदनामांचा वापर करतो: लहान व्यवसाय - 50 पेक्षा कमी कर्मचारी, SMB (मध्यम आणि लहान व्यवसाय - 50 ते 250 कर्मचारी) आणि मोठा व्यवसाय (250 पेक्षा जास्त कर्मचारी असलेल्या कंपन्या). सध्याचा अहवाल सर्वेक्षणातील सर्वात प्रकट मापदंडांचे विश्लेषण सादर करतो.

मुख्य निष्कर्ष:

सर्व आकारांच्या कंपन्यांसाठी सायबर धोक्यांचा सामना करणे अधिक कठीण होत आहे आणि संरक्षण खर्चही वाढत आहे. रशियामध्ये, मध्यम आणि लहान व्यवसायांच्या विभागात, फक्त एका सायबर घटनेचे परिणाम काढून टाकण्याची सरासरी किंमत 1.6 दशलक्ष रूबल आहे आणि मोठ्या व्यवसाय विभागासाठी खर्च 16.1 दशलक्ष रूबल आहे.

माहिती सुरक्षेसाठी वाटप केलेल्या आयटी बजेटचा वाटा वाढत आहे. हे कोणत्याही आकाराच्या कंपन्यांसाठी वैशिष्ट्यपूर्ण आहे. एकूण बजेट कमी राहते, आणि रशियामध्ये वाढ केवळ 2% होती, म्हणून तज्ञांना काही संसाधनांसह त्यांची कार्ये पार पाडण्यास भाग पाडले जाते.

एकाच घटनेमुळे होणारे नुकसान वाढत आहे आणि ज्या कंपन्या माहिती सुरक्षा खर्चाला प्राधान्य देत नाहीत त्या लवकरच गंभीर संकटात सापडतील. अभ्यासात असे दिसून आले आहे की एसएमबी विभागात, कंपन्या प्रत्येक सुरक्षा घटनेसाठी सुमारे 300 हजार रूबल कर्मचाऱ्यांना अतिरिक्त देयके खर्च करतात आणि मोठ्या कंपन्याब्रँडला होणारे नुकसान कमी करण्यासाठी 2.7 दशलक्ष रूबल खर्च करू शकतात.

सुरक्षा घटनांमुळे नुकसान

सायबरसुरक्षा घटनांमुळे होणारे नुकसान सतत वाढत आहे: कंपन्यांना विविध परिणामांना सामोरे जावे लागते. अतिरिक्त कामनवीन कर्मचारी नियुक्त करण्यापूर्वी लोकांसह. 2017 मध्ये, डेटा अखंडतेचे उल्लंघन झाल्यास आर्थिक नुकसानामध्ये आणखी वाढ झाली आहे. याचा दृष्टिकोनावर परिणाम झाला पाहिजे हा मुद्दा: कंपन्या सायबरसुरक्षा खर्चाला एक आवश्यक वाईट म्हणून पाहणे बंद करतील आणि त्याकडे एक गुंतवणूक म्हणून पाहण्यास सुरुवात करतील ज्यामुळे आक्रमण झाल्यास लक्षणीय आर्थिक नुकसान टाळता येईल.

गंभीर डेटा उल्लंघन वाढत्या महाग आहेत

CTOs साठी सर्वात मोठी चिंतेची बाब म्हणजे प्रचंड हल्ले ज्यामुळे लाखो रेकॉर्ड लीक होतात. हे UK च्या राष्ट्रीय आरोग्य सेवा (NHS) वर हल्ले होते. सोनीकिंवा “गेम ऑफ थ्रोन्स” या मालिकेशी संबंधित गोपनीय डेटा रिलीझ करून एचबीओ टेलिव्हिजन चॅनेलचे हॅकिंग. मात्र, प्रत्यक्षात अशा मोठ्या घटना नियमापेक्षा अपवाद ठरतात. गेल्या वर्षापर्यंत, बहुतेक सायबर हल्ल्यांनी बातम्यांचे मथळे बनवले नाहीत आणि तज्ञांसाठी विशेष अहवालांचा प्रांत राहिला. अर्थात, रॅन्समवेअर महामारीने परिस्थिती थोडी बदलली आहे, परंतु तरीही व्यवसायाच्या कॉर्पोरेट विभागाला संपूर्ण चित्र समजलेले नाही.

ज्ञात मोठ्या प्रमाणावर सायबर हल्ल्यांची संख्या तुलनेने कमी आहे याचा अर्थ असा नाही की बहुतेक हल्ल्यांमुळे होणारे नुकसान नगण्य आहे. तर, "नमुनेदार" डेटा उल्लंघनाचे निराकरण करण्यासाठी कंपन्या सरासरी किती खर्च करतात? आम्ही अभ्यासातील सहभागींना मागील वर्षात घडलेल्या कोणत्याही सुरक्षिततेच्या घटनेमुळे त्यांच्या कंपनीने किती खर्च/तोटा केला याचा अंदाज घेण्यास सांगितले.

50 किंवा त्याहून अधिक कर्मचारी असलेल्या सर्व कंपन्यांना खालीलपैकी प्रत्येक श्रेणीमध्ये झालेल्या खर्चाचा अंदाज लावणे आवश्यक होते:

प्रत्येक श्रेण्यांसाठी, आम्ही माहिती सुरक्षेच्या घटनांना सामोरे जाणाऱ्या कंपन्यांनी केलेल्या सरासरी खर्चाची गणना केली आणि सर्व श्रेण्यांच्या बेरजेमुळे आम्हाला माहिती सुरक्षा घटनेमुळे झालेल्या एकूण नुकसानीचा अंदाज लावता आला.

खाली आम्ही SMB आणि मोठ्या व्यावसायिक विभागांचे परिणाम स्वतंत्रपणे सादर करतो, कारण त्यांची आकडेवारी अनेक प्रकारे भिन्न आहे. उदाहरणार्थ, रशियन एसएमबी कंपन्यांचे सरासरी नुकसान जवळजवळ 1.6 दशलक्ष रूबल आहे आणि मोठ्या व्यवसायांसाठी ते जवळजवळ दहापट जास्त आहे - 16.1 दशलक्ष रूबल. यावरून असे दिसून येते की सायबर हल्ले सर्व आकाराच्या कंपन्यांसाठी महाग आहेत.

जेव्हा डेटा अखंडतेचे उल्लंघन केले जाते तेव्हा मोठ्या व्यवसायांना सरासरी अधिक नुकसान सहन करावे लागते हे आश्चर्यकारक नाही, परंतु श्रेणीनुसार नुकसानाच्या वितरणाचे विश्लेषण करणे मनोरंजक आहे.

गेल्या वर्षी, अतिरिक्त कर्मचारी लाभ हे SMB आणि मोठ्या व्यवसायांसाठी सर्वात महत्त्वपूर्ण खर्चाचे घटक होते. मात्र, यंदा चित्र बदलले असून विविध आकाराच्या कंपन्यांकडे विविध मुख्य खर्चाच्या वस्तू आहेत. लहान आणि मध्यम आकाराच्या व्यवसायांना कर्मचाऱ्यांच्या फायद्यांमध्ये सर्वाधिक नुकसान होत आहे. परंतु मोठ्या उद्योगांनी ब्रँडच्या प्रतिष्ठेला होणारे नुकसान कमी करण्यासाठी अतिरिक्त पीआरमध्ये गुंतवणूक करण्यास सुरुवात केली. याव्यतिरिक्त, मोठ्या व्यवसायांसाठी एक महत्त्वपूर्ण खर्च आयटम सुधारण्याची किंमत होती तांत्रिक उपकरणेआणि अतिरिक्त सॉफ्टवेअर खरेदी करणे.

सर्व कंपन्यांसाठी, कर्मचारी प्रशिक्षण खर्च वाढला आहे. सुरक्षेच्या घटनांमुळे अनेकदा कंपन्यांना सायबर साक्षरता वाढवण्याचे आणि धोक्याची बुद्धिमत्ता सुधारण्याचे महत्त्व कळते.

मोठ्या कंपन्यांची अधिक विस्तृत अंतर्गत संसाधने आणि त्यांच्या क्रियाकलापांच्या नियमनाची वैशिष्ठ्ये स्वतःच धोका दूर करण्याच्या किंमती आणि नुकसान भरपाईच्या खर्चामध्ये भिन्न संतुलन निर्धारित करतात. विम्याच्या हप्त्यात वाढ, क्रेडिट रेटिंग कमी होणे आणि कंपनीवरील विश्वास कमी होणे ही एक मोठी किंमत होती: सरासरी, प्रत्येक घटनेनंतर मोठ्या कंपन्यायावर ते सुमारे 2.3 दशलक्ष रूबल गमावतात.

आमच्या संशोधनातून असे दिसून आले आहे की कंपनीच्या खर्चात होणारी बरीच वाढ क्रेडिट रेटिंग, ब्रँड प्रतिमा आणि नुकसान भरपाईच्या स्वरूपात प्रतिष्ठेचे नुकसान रोखण्याच्या - किंवा कमीत कमी कमी करण्याच्या गरजेमुळे होते.

जसजसे नवीन नियम अधिक व्यापक होत जातात, तसतसे सरासरी खर्च वाढतच जाण्याची शक्यता असते, ज्यामुळे कंपन्यांनी सर्व घटनांची सार्वजनिकपणे तक्रार करावी आणि डेटा सुरक्षा पारदर्शकता वाढवावी लागते.

असे ट्रेंड वैशिष्ट्यपूर्ण आहेत, उदाहरणार्थ, जपानमध्ये, जेथे सुरक्षा उल्लंघनाचे परिणाम दूर करण्याची सरासरी किंमत दुपटीने वाढली आहे: 2016 मध्ये $580 हजार ते 2017 मध्ये $1.3 दशलक्ष. सायबर सुरक्षा धोक्यांमध्ये वाढ होण्याच्या प्रतिसादात जपान सरकारने नियम कडक केले आहेत. 2017 मध्ये, नवीन कायदे लागू झाले, ज्यामुळे खर्चात अचानक वाढ झाली.

तथापि, कायदे विकसित करणे आणि अंमलबजावणी करणे वेळ घेते. कॉर्पोरेट आयटी लँडस्केपच्या जलद विकासासह आणि सायबर धोक्यांच्या उत्क्रांतीमुळे, नियामक उपायांमधील अंतर ही एक गंभीर समस्या बनत आहे. उदाहरणार्थ, नवीन जपानी मानके 2015 मध्ये परत मान्य केले होते, परंतु त्यांच्या अंमलात येण्यास संपूर्ण दोन वर्षे विलंब करावा लागला. अनेकांसाठी, हा विलंब खूप महाग होता: या दोन वर्षांमध्ये, अनेक मोठ्या जपानी कंपन्या महागड्या हल्ल्यांना बळी पडल्या. एक उदाहरण म्हणजे ट्रॅव्हल कंपनी जेटीबी कॉर्पोरेशन, ज्याला 2016 मध्ये मोठ्या प्रमाणात गळती लागली. नावे, पत्ते आणि पासपोर्ट क्रमांकांसह 8 दशलक्ष ग्राहकांचा डेटा चोरीला गेला.

हे जागतिक समस्येच्या लक्षणांपैकी एक आहे: धोके वेगाने विकसित होत आहेत आणि सरकार आणि कंपन्यांची जडत्व खूप जास्त आहे. स्क्रू घट्ट करण्याचे आणखी एक उदाहरण म्हणजे जनरल युरोपियन डेटा प्रोटेक्शन स्टँडर्ड्स (GDPR), जे मे 2018 मध्ये अंमलात आले आणि EU नागरिकांच्या डेटावर प्रक्रिया आणि संग्रहित करण्याच्या स्वीकारार्ह मार्गांना लक्षणीयरीत्या मर्यादित केले.

जगभरातील कायदे बदलत आहेत, परंतु ते सायबर धोक्यांसह राहू शकत नाहीत - रशियामधील रॅन्समवेअरच्या तीन लहरींनी आम्हाला 2017 मध्ये याची आठवण करून दिली. म्हणून, व्यवसायांनी कायद्याच्या अपूर्णतेबद्दल जागरूक असले पाहिजे आणि वास्तविक परिस्थितीनुसार संरक्षण मजबूत केले पाहिजे - किंवा प्रतिष्ठा आणि ग्राहकांचे नुकसान आधीच स्वीकारले पाहिजे. नवीन ते नियामक आवश्यकतामुदतीची वाट न पाहता तयारी करणे योग्य आहे. संबंधित कायदे जारी केल्यानंतर धोरणे बदलून, कंपन्या केवळ दंडच नव्हे तर त्यांच्या स्वत:च्या आणि क्लायंटच्या डेटाच्या सुरक्षिततेचाही धोका पत्करतात.

इतर कोणाच्याही असुरक्षिततेसारख्या गोष्टी नाहीत: भागीदार संरक्षणातील अंतर महाग आहे

डेटा लीकपासून संरक्षण करण्यासाठी, आक्रमणकर्ते कोणते अटॅक वेक्टर वापरतात हे समजून घेणे फार महत्वाचे आहे. या बदल्यात, ही माहिती तुम्हाला कोणत्या प्रकारचे हल्ले सर्वात महाग आहेत हे समजण्यास मदत करेल.

सर्वेक्षणात असे दिसून आले की खालील घटनांचे मध्यम आणि लहान व्यवसायांसाठी सर्वात गंभीर आर्थिक परिणाम झाले:

  • तृतीय-पक्ष उपकरणांवर होस्ट केलेल्या पायाभूत सुविधांवर परिणाम करणाऱ्या घटना (RUB 17.2 दशलक्ष)
  • तृतीय पक्षांना प्रभावित करणाऱ्या घटना मेघ सेवा, जी कंपनी वापरते (RUB 3.6 दशलक्ष)
  • द्वारे अयोग्य संप्रेषण मोबाइल उपकरणे(रू. २.५ दशलक्ष)
  • मोबाइल उपकरणांचे भौतिक नुकसान, संस्थेला जोखमीच्या समोर आणणे (RUB 2.1 दशलक्ष)
  • इंटरनेटशी जोडलेल्या गैर-संगणक उपकरणांचा समावेश असलेल्या घटना (उदा. औद्योगिक प्रणालीनियंत्रण, इंटरनेट ऑफ थिंग्स) (RUB 1.7 दशलक्ष)

मोठ्या व्यवसायांची परिस्थिती थोडी वेगळी आहे:

  • लक्ष्यित हल्ले (RUB 75 दशलक्ष)
  • तृतीय-पक्ष विक्रेत्यांच्या क्लाउड सेवांवर परिणाम करणाऱ्या घटना (RUB 19 दशलक्ष)
  • व्हायरस आणि मालवेअर (RUB 9 दशलक्ष)
  • मोबाइल उपकरणांद्वारे अयोग्य डेटा एक्सचेंज (RUB 7.3 दशलक्ष)
  • पुरवठादारांवर परिणाम करणाऱ्या घटना ज्यांच्याशी कंपन्या डेटाची देवाणघेवाण करतात (RUB 4.4 दशलक्ष)

हा डेटा दर्शवितो की, बऱ्याचदा, व्यावसायिक भागीदारांसह सुरक्षा समस्यांमुळे होणारे हल्ले कोणत्याही आकाराच्या कंपन्यांसाठी जवळजवळ सर्वात महाग असतात. हे तृतीय-पक्ष प्रदात्यांकडून क्लाउड किंवा इतर पायाभूत सुविधा भाड्याने देणाऱ्या संस्था आणि भागीदारांसह त्यांचा डेटा शेअर करणाऱ्या कंपन्यांना लागू होते.

एकदा तुम्ही दुसऱ्या कंपनीला तुमच्या डेटा किंवा पायाभूत सुविधांमध्ये प्रवेश दिला की त्यांच्या कमकुवतपणा तुमची समस्या बनतात. तथापि, आम्ही यापूर्वी असे निरीक्षण केले आहे की बहुतेक संस्था याला पुरेसे महत्त्व देत नाहीत. त्यामुळे या प्रकारच्या घटनांमुळे सर्वात जास्त खर्च येतो हे आश्चर्यकारक नाही: कोणताही बॉक्सर तुम्हाला सांगेल की हा सहसा अनपेक्षित धक्का असतो ज्यामुळे बाद फेरी होते.

आणखी एक वेक्टर देखील लगेच लक्षात घेण्याजोगा आहे ज्याने अनपेक्षितपणे मध्यम-आकाराच्या व्यवसायांसाठी शीर्ष 5 धोक्यांमध्ये स्थान मिळवले: संगणक नसलेल्या कनेक्ट केलेल्या उपकरणांशी संबंधित हल्ले. आज, इंटरनेट ऑफ थिंग्ज (IoT) वरील रहदारी इतर कोणत्याही तंत्रज्ञानाद्वारे व्युत्पन्न केलेल्या रहदारीपेक्षा खूप वेगाने वाढत आहे. नवीन घडामोडी व्यवसायाच्या पायाभूत सुविधांमध्ये संभाव्य असुरक्षिततेची संख्या कशी वाढवत आहेत याचे हे आणखी एक उदाहरण आहे. विशेषतः, IoT डिव्हाइसेसवर फॅक्टरी डीफॉल्ट पासवर्ड आणि कमकुवत सुरक्षा वैशिष्ट्यांचा व्यापक वापर केल्यामुळे त्यांना Mirai सारख्या बॉटनेटसाठी एक आदर्श लक्ष्य बनले आहे, मालवेअर जे मोठ्या संख्येने असुरक्षित उपकरणे एकत्र करू शकतात. एकल नेटवर्कनिवडलेल्या लक्ष्यांवर मोठ्या प्रमाणात DDoS हल्ले करण्यासाठी.

मोठ्या व्यावसायिक विभागातील लक्ष्यित हल्ल्यांमुळे झालेल्या नुकसानीचे प्रमाण लक्षणीय आहे - या धोक्याचा सामना करणे अत्यंत कठीण आहे. गेल्या काही वर्षांत, बँकांवर अनेक उच्च-प्रोफाइल लक्ष्यित हल्ले ज्ञात झाले आहेत, जे या निराशाजनक आकडेवारीला बळकटी देतात.

जोखीम कमी करण्यासाठी गुंतवणूक

आमच्या संशोधनाने दाखवल्याप्रमाणे, माहितीच्या सुरक्षेसाठीचे धोके अधिक गंभीर होत आहेत. या परिस्थितीत, माहिती सुरक्षा बजेटच्या स्थितीबद्दल कोणीही काळजी करू शकत नाही. त्यांच्या बदलांचे विश्लेषण करून, आम्ही ठरवू शकतो की संस्था त्यांच्या सुरक्षेचा खर्च चालक म्हणून पाहत आहेत की नाही, किंवा शिल्लक हळूहळू गुंतवणुकीसाठी एक क्षेत्र म्हणून बदलत आहे जे वास्तविक स्पर्धात्मक फायदा प्रदान करते.

बजेटचा आकार कंपनीचा आयटी सुरक्षेबाबतचा दृष्टिकोन, व्यवस्थापनाच्या दृष्टिकोनातून संरक्षणात्मक यंत्रणेच्या भूमिकेचे महत्त्व आणि जोखीम घेण्याची संस्थेची तयारी दर्शवितो.

माहिती सुरक्षा बजेट: शेअर वाढत आहे, “पाई” कमी होत आहे

बचत आणि आउटसोर्सिंगमुळे आयटी बजेटमध्ये कपात झाल्याचे आपण या वर्षी पाहिले आहे. असे असूनही (किंवा कदाचित याचा परिणाम म्हणून) या आयटी बजेटमधील माहिती सुरक्षिततेचा वाटा वाढला आहे. रशियामध्ये, सर्व आकारांच्या कंपन्यांमध्ये सकारात्मक कल दिसून येतो. अपुऱ्या संसाधनांच्या परिस्थितीत कार्यरत असलेल्या सूक्ष्म-व्यवसायांमध्येही, माहिती सुरक्षेसाठी वाटप केलेल्या आयटी बजेटचा वाटा काही टक्क्यांनी वाढला आहे.

याचा अर्थ असा आहे की कंपन्यांना माहिती सुरक्षिततेचे महत्त्व कळू लागले आहे. कदाचित यावरून असे दिसून येते की माहितीची सुरक्षितता अनेकांना खर्चाचा स्रोत न मानता संभाव्य उपयुक्त गुंतवणूक म्हणून समजू लागली आहे.

जगभरातील आयटी बजेट लक्षणीयरीत्या कमी होत असल्याचे आपण पाहतो. माहिती सुरक्षिततेला पाईचा मोठा तुकडा मिळत असताना, पाई स्वतःच लहान होत आहे. हा ट्रेंड चिंताजनक आहे, विशेषत: या क्षेत्रात किती उच्च दावे आहेत आणि प्रत्येक हल्ला किती महाग आहे.

रशियामध्ये, 2017 मध्ये मोठ्या व्यवसायांसाठी माहिती सुरक्षेसाठी सरासरी बजेट 400 दशलक्ष रूबल आणि लहान आणि मध्यम आकाराच्या व्यवसायांसाठी - 4.6 दशलक्ष रूबलपर्यंत पोहोचले.

नमुना: रशियामधील 694 प्रतिसादकर्ते बजेटचे मूल्यांकन करण्यास सक्षम आहेत

संस्था प्रदान करतात हे आश्चर्यकारक नाही सरकारी सेवा(संरक्षण क्षेत्रासह), आणि आर्थिक संस्थाजगभरात या वर्षी माहिती सुरक्षेसाठी सर्वाधिक खर्च होत आहे. या दोन्ही क्षेत्रातील व्यवसायांनी सुरक्षेवर सरासरी $5 दशलक्ष पेक्षा जास्त खर्च केला. हे देखील लक्षात घेण्यासारखे आहे की IT आणि दूरसंचार क्षेत्र तसेच ऊर्जा उद्योगातील कंपन्यांनी देखील माहिती सुरक्षेवर सरासरीपेक्षा जास्त खर्च केला आहे, जरी त्यांचे बजेट $5 ऐवजी $3 दशलक्ष जवळ होते.

तथापि, जर तुम्ही एकूण खर्च कर्मचाऱ्यांच्या संख्येने विभाजित केले तर, सरकारी संस्था यादीच्या तळाशी जातात. सरासरी, IT आणि दूरसंचार क्षेत्र माहिती सुरक्षेवर दरडोई $1,258 खर्च करते, तर ऊर्जा क्षेत्र $1,344 आणि वित्तीय सेवा कंपन्या $1,436 खर्च करतात. तुलनेसाठी, सरकारी संस्थामाहिती सुरक्षिततेसाठी प्रति व्यक्ती फक्त $959 वाटप करा.

आयटी आणि दूरसंचार विभाग आणि ऊर्जा पुरवठा उद्योग या दोन्हीमध्ये, प्रति कर्मचारी उच्च खर्च बहुधा बौद्धिक संपत्तीचे संरक्षण करण्याच्या गरजेशी संबंधित आहे, जे विशेषतः अर्थव्यवस्थेच्या या क्षेत्रांमध्ये संबंधित आहे. ऊर्जा पुरवठा संस्थांच्या बाबतीत, उच्च सुरक्षा खर्च देखील असू शकतात कारण या कंपन्या लक्ष्यित हल्ल्यांना अधिक असुरक्षित आहेत, गटांद्वारे आयोजितघुसखोर

या उद्योगात, माहिती सुरक्षेमध्ये गुंतवणूक करणे टिकून राहण्यासाठी महत्त्वपूर्ण बनते कारण ते व्यवसायातील सातत्य सुनिश्चित करते, ऊर्जा पुरवठ्यासाठी एक महत्त्वपूर्ण घटक. या उद्योगात यशस्वी सायबर हल्ल्याचे परिणाम विशेषतः गंभीर आहेत, म्हणून माहिती सुरक्षिततेमध्ये गुंतवणूक केल्याने खूप मूर्त फायदे आहेत.

रशियामध्ये, आयटी आणि दूरसंचार, तसेच औद्योगिक उपक्रम, प्रामुख्याने माहिती सुरक्षिततेमध्ये गुंतवले जातात - पूर्वीची सरासरी किंमत 300 दशलक्ष रूबलपर्यंत पोहोचते, नंतरच्यासाठी - 80 दशलक्ष रूबल. औद्योगिक आणि उत्पादन कंपन्या विशेषत: अवलंबून असतात स्वयंचलित प्रणालीउत्पादन प्रक्रियेची सातत्य सुनिश्चित करण्यासाठी व्यवस्थापन (ICS). त्याच वेळी, आयसीएसवरील हल्ल्यांची संख्या वाढत आहे: गेल्या 12 महिन्यांत त्यांची संख्या 5% वाढली आहे.

माहिती सुरक्षिततेमध्ये गुंतवणूक करण्याची कारणे

क्षेत्रांमधील माहिती सुरक्षिततेमध्ये गुंतवणुकीच्या रकमेचा प्रसार खूप मोठा आहे. म्हणूनच, माहिती सुरक्षिततेवर मर्यादित संसाधने खर्च करण्यास कंपन्यांना प्रवृत्त करणारी कारणे समजून घेणे विशेषतः महत्वाचे आहे. हेतू जाणून घेतल्याशिवाय, एखादी कंपनी तिच्या IT पायाभूत सुविधांच्या सुरक्षेसाठी खर्च केलेला पैसा फेकून देण्याचे मानते की ते फायदेशीर गुंतवणूक म्हणून पाहते हे समजणे अशक्य आहे.

2017 मध्ये, जगभरातील लक्षणीय अधिक कंपन्यांनी कबूल केले की गुंतवणुकीवरील अपेक्षित परताव्याकडे दुर्लक्ष करून ते सायबरसुरक्षिततेमध्ये गुंतवणूक करतील: 2016 मधील 56% च्या तुलनेत 63%. हे दर्शविते की अधिकाधिक कंपन्या माहिती सुरक्षिततेचे महत्त्व समजतात.

माहिती सुरक्षा बजेट वाढण्याची मुख्य कारणे, रशिया

सर्वच कंपन्यांना गुंतवणुकीवर त्वरित परतावा मिळण्याची अपेक्षा नसते, परंतु अनेक जागतिक कंपन्यांनी माहिती सुरक्षा बजेट (32%) वाढवण्याचे कारण म्हणून कंपनीच्या उच्च व्यवस्थापनासह प्रमुख भागधारकांकडून दबाव आणला. यावरून असे दिसून येते की माहिती सुरक्षा खर्चाच्या वाढीमध्ये कंपन्यांना त्यांचा धोरणात्मक फायदा दिसू लागला आहे: सुरक्षा उपाय केवळ हल्ल्याच्या वेळीच स्वतःचे संरक्षण करू शकत नाहीत, तर त्यांचा डेटा चांगल्या हातात असल्याचे ग्राहकांना देखील दाखवून देतात. व्यवसाय सातत्य सुनिश्चित करण्यासाठी, ज्यामध्ये कंपनीचे व्यवस्थापन स्वारस्य आहे.

माहिती सुरक्षेवरील खर्च वाढवण्याचे सर्वात लोकप्रिय कारण बहुतेक देशांतर्गत कंपन्यांनी वाढत्या गुंतागुंतीच्या IT पायाभूत सुविधांचे (46%) संरक्षण करण्याची गरज म्हणून उद्धृत केले होते आणि माहिती सुरक्षा तज्ञांच्या कौशल्यांमध्ये सुधारणा करण्याची गरज 30% ने नोंदवली होती. ही आकडेवारी कंपनीच्या स्वतःच्या कर्मचाऱ्यांची कौशल्ये विकसित करून कंपनीसाठी उपलब्ध कौशल्याची पातळी वाढवण्याची गरज दर्शविते. खरंच, SMEs आणि मोठे उद्योग सारखेच सायबर धोक्यांविरुद्धच्या लढ्यात त्यांच्या अंतर्गत कर्मचाऱ्यांना पाठिंबा देण्यासाठी वाढत्या प्रमाणात गुंतवणूक करत आहेत.

त्याच वेळी, रशियन व्यवसायांमध्ये नवीन व्यवसाय ऑपरेशन्स किंवा कंपनीच्या विस्तारामुळे माहिती सुरक्षिततेवर खर्च वाढवण्याची गरज कमी झाली आहे: गेल्या वर्षी 36% वरून 2017 मध्ये 30%. कदाचित आमच्या कंपन्यांना अलीकडे ज्या समष्टी आर्थिक घटकांना सामोरे जावे लागले आहे ते ते प्रतिबिंबित करते.

निष्कर्ष

WannaCry, exPetr आणि BadRabbit सारख्या मोठ्या हल्ल्यांमुळे 2017 मध्ये मोठे नुकसान झाले. लक्ष्यित हल्ल्यांमुळे होणारे नुकसान, विशेषतः वर रशियन बँका. हे सर्व दर्शविते की सायबर धोक्याची लँडस्केप झपाट्याने आणि असह्यपणे बदलत आहे. कंपन्यांना त्यांच्या संरक्षणाशी जुळवून घेणे किंवा व्यवसायापासून दूर राहण्यास भाग पाडले जाते.

सायबर हल्ल्यांना सामोरे जाण्याच्या तयारीची किंमत आणि पीडित व्यक्तीने केलेल्या खर्चामधील फरक हा व्यवसायाच्या निर्णयांमधील वाढत्या प्रमाणात महत्त्वाचा घटक आहे.

अहवालात असे दिसून आले आहे की सामान्य लोकांसाठी कमी स्वारस्य असलेल्या तुलनेने लहान डेटा उल्लंघन कंपनीसाठी खूप महाग असू शकतात आणि तिच्या ऑपरेशनवर गंभीरपणे परिणाम करू शकतात. सुरक्षा घटनांच्या वाढत्या खर्चाचे आणखी एक कारण म्हणजे जगभरातील नियमांमधील बदल. कंपन्यांनी एकतर पालन न करणे आणि संभाव्य हॅकिंग या दोन्हीशी जुळवून घेणे किंवा धोका पत्करणे आवश्यक आहे.

या परिस्थितीत, सर्व परिणाम आणि खर्च विचारात घेणे विशेषतः महत्वाचे आहे. कदाचित त्यामुळेच विविध देशांतील अधिकाधिक कंपन्या त्यांच्या IT बजेटमध्ये माहिती सुरक्षिततेचा वाटा वाढवत आहेत. 2017 मध्ये, जगभरातील लक्षणीय अधिक कंपन्यांनी कबूल केले की गुंतवणुकीवरील अपेक्षित परताव्याकडे दुर्लक्ष करून ते सायबरसुरक्षिततेमध्ये गुंतवणूक करतील: 2016 मधील 56% च्या तुलनेत 63%.

बहुधा, सायबरसुरक्षा घटनांचा खर्च जसजसा वाढत जातो, तसतसे ज्या संस्था आयटी खर्चाला सुरक्षा गुंतवणूक म्हणून पाहतात आणि त्यावर लक्षणीय रक्कम खर्च करण्यास तयार असतात, त्या याला सामोरे जाण्यासाठी अधिक चांगल्या प्रकारे तयार होतील. संभाव्य त्रास. तुमच्या कंपनीत काय परिस्थिती आहे?

संबंधित प्रकाशने: