shtëpia-Dritaret-Ekonomia e Sigurisë së Informacionit. Kontabiliteti për kostot e sigurisë së informacionit Kostot e sigurisë së informacionit në shtete

Ekonomia e Sigurisë së Informacionit. Kontabiliteti për kostot e sigurisë së informacionit Kostot e sigurisë së informacionit në shtete

2018-08-21T12: 03: 34 + 00: 00

Kompanitë e mëdha tregtare shpenzojnë rreth 1% të të ardhurave të tyre vjetore për të siguruar sigurinë fizike të biznesit të tyre. Siguria e ndërmarrjes është po aq burim sa teknologjitë dhe mjetet e prodhimit. Por kur bëhet fjalë për mbrojtjen dixhitale të të dhënave dhe shërbimeve, bëhet e vështirë të llogariten rreziqet financiare dhe kostot e nevojshme. Ne ju tregojmë se sa para nga buxheti i TI-së është e arsyeshme të ndahen për sigurinë kibernetike, a ekziston një grup minimal i mjeteve që mund të shpërndahen.

Kostot e sigurisë janë në rritje

Organizatat tregtare në të gjithë botën, sipasraportin Gartner shpenzoi rreth 87 miliardë dollarë në nevojat e sigurisë kibernetike në 2017, duke përfshirë softuer, shërbime të specializuara dhe pajisje kompjuterike. Kjo është 7% më shumë se në vitin 2016. Këtë vit shifra pritet të arrijë në 93 miliardë dhe vitin e ardhshëm do të kalojë 100.

Sipas ekspertëve, tregu për shërbimet e sigurisë së informacionit në Rusi është rreth 55-60 miliardë rubla (rreth 900 mijë dollarë). 2/3 e tij mbyllet me urdhra të qeverisë. Në sektorin e korporatave, pjesa e kostove të tilla varet shumë nga forma e ndërmarrjes, gjeografia dhe fusha e veprimtarisë.

Bankat vendase dhe strukturat financiare mesatarishtinvestoj në sigurinë e tyre kibernetike 300 milion rubla në vit, industrialistët - deri në 50 milion, kompanitë e rrjetit (me pakicë) - nga 10 në 50 milion.

Por shifrat e rritjes tregu rus për disa vite tani, siguria kibernetike është 1.5-2 herë më e lartë se në shkallë globale. Në vitin 2017, rritja ishte 15% (sa i përket parave të klientëve) në raport me 2016. Deri në fund të vitit 2018, mund të dalë të jetë edhe më mbresëlënëse.

Shkalla e lartë e rritjes është për shkak të ringjalljes së përgjithshme të tregut dhe vëmendjes së shtuar të organizatave për sigurinë reale të infrastrukturës së tyre të TI dhe sigurinë e të dhënave. Kostot e ndërtimit të një sistemi të mbrojtjes së informacionit tani shihen si një investim, ato janë planifikuar paraprakisht, dhe jo vetëm të merren në bazë të mbetjeve.

Teknologjitë Pozitiveveçon tre shtytës të rritjes:

  1. Incidentet e profilit të lartë të 1.5-2 viteve të fundit kanë çuar në faktin se sot vetëm dembelët nuk e kuptojnë rolin e sigurisë së informacionit për stabilitetin financiar të një ndërmarrjeje. Një në pesë menaxherë të lartë interesohet për sigurinë praktike në kontekstin e biznesit të tyre.

Viti i kaluar ka qenë udhëzues për bizneset që injorojnë filloren ... Mungesa e azhurnimeve të azhurnuara dhe zakoni i punës pa i kushtuar vëmendje dobësive çuan në mbylljen e fabrikave të Renault në Francë, Honda dhe Nissan në Japoni; bankat, energjia, kompanitë e telekomunikacionit u prekën. Maersk, për shembull, kushtoi 300 milion dollarë në të njëjtën kohë.

  1. Epidemitë e Ransomware WannaCry, NotPetya, Lepuri i keq u mësoi kompanive vendase që instalimi i antivirusit dhe mureve të zjarrit nuk mjafton për tu ndjerë të sigurt. Ju duhet një strategji gjithëpërfshirëse, një inventar i aseteve tuaja IT, burime të dedikuara dhe një strategji e përgjigjes ndaj kërcënimeve.
  2. Në një kuptim, toni vendoset nga shteti, i cili ka njoftuar një kurs drejt ekonomisë dixhitale, duke mbuluar të gjitha sferat (nga kujdesi shëndetësor dhe arsimi te transporti dhe financat). Kjo politikë ndikon drejtpërdrejt në rritjen e sektorit të IT në përgjithësi dhe sigurinë e informacionit në veçanti.

Kostoja e dobësive të sigurisë

E gjithë kjo është udhëzuese, por çdo biznes është një histori unike. Çështja se sa duhet të shpenzohen për sigurinë e informacionit nga buxheti i përgjithshëm i IT i kompanisë, megjithëse nuk është e saktë, por, nga këndvështrimi i klientit, është çështja më e ngutshme.

Kompania ndërkombëtare e kërkimit IDC në shembullin e tregut kanadezthirrjet investim optimal prej 9.8-13.7% në sigurinë kibernetike të buxhetit total të IT në organizatë. Kjo është, tani biznesi kanadez shpenzon një mesatare prej rreth 10% në këto nevoja (besohet se ky është një tregues i një kompanie të shëndetshme), por, duke gjykuar nga sondazhet, do të dëshironte të ishte më afër 14%.

Nuk ka kuptim që kompanitë të pyesin se sa duhet të shpenzojnë për sigurinë e tyre të informacionit në mënyrë që të ndihen të qetë. Sot, vlerësimi i rreziqeve nga incidentet e sigurisë kibernetike nuk është më e vështirë sesa llogaritja e humbjeve nga kërcënimet fizike. Ka një botëstatistikat , sipas të cilit:

  • Sulmet e hakerëve i kushtojnë ekonomisë globale më shumë se 110 miliardë dollarë në vit.
  • Për bizneset e vogla, çdo incident kushton mesatarisht 188,000 dollarë.
  • 51% e hacks në 2016 ishin në shënjestër, domethënë grupe të organizuara kriminale kundër një kompanie specifike.
  • 75% e sulmeve kryhen me qëllim shkaktimin e dëmit material, të motivuar financiarisht.

Në pranverën e vitit 2018, Kaspersky Lab kreu shkallën e tij të gjerëstudimi ... Sipas një sondazhi të 6 mijë specialistëve të ndërmarrjeve në të gjithë botën, dëmet nga pirateria e rrjeteve të korporatave dhe rrjedhjet e të dhënave janë rritur me 20-30% gjatë dy viteve të fundit.

çmimi mesatar dëmi për shkurt 2018 për organizatat tregtare, pavarësisht nga madhësia, fusha e veprimtarisë, arriti në 1.23 milion dollarë. Për NVM-të, një gabim nga personeli ose veprimet e suksesshme të hakerave kushtojnë 120 mijë dollarë.

Studim i fizibilitetit për sigurinë e informacionit

Për të vlerësuar saktë burimet financiare të kërkuara për organizimin e sigurisë së informacionit në një ndërmarrje, është e nevojshme të hartohet një studim i fizibilitetit.

  1. Ne kryejmë një inventar të infrastrukturës IT dhe vlerësojmë rreziqet, përpilojmë një listë të dobësive në rend zbritës për rëndësinë e tyre. Kjo gjithashtu përfshin humbjet e reputacionit (një rritje në normat e sigurimit, një rënie në një vlerësim të kredisë, kostoja e joproduktive për shërbimet), kostoja e rivendosjes së sistemit (azhurnimi i pajisjeve dhe softverit).
  2. Ne përshkruajmë detyrat që duhet të zgjidhë sistemi i sigurisë së informacionit.
  3. Ne zgjedhim pajisjet, mjetet për zgjidhjen e problemeve dhe përcaktojmë koston e tyre.

Nëse kompania nuk ka kompetenca për të vlerësuar kërcënimet dhe rreziqet e sigurisë kibernetike, gjithmonë mund të porosisni një auditim të jashtëm të sigurisë së informacionit. Sot, kjo procedurë është jetëshkurtër, e lirë dhe pa dhimbje.

Kompanitë industriale me një nivel të lartë të ekspertëve të automatizimit të proceseverekomandoj përdorni një model arkitekture sigurie adaptive (Arkitektura e Sigurisë adaptive), propozuar në 2014 nga Gartner. Ju lejon të rialokoni në mënyrë korrekte kostot e sigurisë së informacionit, duke i kushtuar më shumë vëmendje mjeteve për zbulimin dhe përgjigjen ndaj kërcënimeve, dhe nënkupton zbatimin e një sistemi monitorimi dhe analitik për infrastrukturën e IT.

Sa kushton siguria kibernetike për kompanitë e vogla

Vendosën autorët e blogut Capterranumëroj sa kushton mesatarisht sistemi i sigurisë së informacionit për bizneset e vogla dhe të mesme në vitin e parë të përdorimit. Për këtë u zgjodhlistë nga 50 oferta të njohura "kuti" në treg.

Doli që diapazoni i çmimeve është mjaft i madh: nga 50 dollarë në vit (ka edhe 2-3 zgjidhje falas për ndërmarrjet e vogla) në 6 mijë dollarë (ka paketa të vetme dhe 24 mijë secila, por ato nuk ishin përfshirë në llogaritjen). Mesatarisht, një biznes i vogël mund të llogarisë 1,400 dollarë për të ndërtuar një sistem rudimentar të mbrojtjes kibernetike.

Më të lira janë zgjidhjet teknike të tilla si një VPN biznesi ose mbrojtje me email që mund të ndihmojë në mbrojtjen ndaj llojeve specifike të kërcënimeve (të tilla si phishing)

Në skajin tjetër të spektrit janë sistemet e monitorimit të plotë me përgjigjen e ngjarjeve "të përparuara" dhe mjete gjithëpërfshirëse të mbrojtjes. Ato ndihmojnë në mbrojtjen e rrjetit të korporatave nga sulmet në shkallë të gjerë dhe ndonjëherë lejojnë edhe parashikimin e pamjes së tyre, duke i ndaluar ato në një fazë të hershme.

Kompania mund të zgjedhë disa modele pagese për sistemin e sigurisë së informacionit:

  • Çmimi për licencë, Çmimi mesatar - 1000-2000 $, ose 26 deri në 6000 dollarë për licencë.
  • Çmimi për përdorues. Kostoja mesatare e një sistemi të sigurisë së informacionit për përdorues në një kompani është 37 dollarë, diapazoni është nga 4 deri në 130 dollarë për person në muaj.
  • Çmimi për pajisjen e lidhur. Kostoja mesatare për këtë model është 2.25 dollarë për pajisje. Çmimi varion nga 0.96 $ në 4.5 $ në muaj.

Për të llogaritur saktë koston e sigurisë së informacionit, edhe një kompani e vogël do të duhet të zbatojë bazat e menaxhimit të rrezikut. Incidenti i parë (uebfaqja, shërbimi, sistemi i pagesës ra), i cili nuk mund të korrigjohet brenda 24 orësh, mund të çojë në mbylljen e biznesit.

Në varësi të kontekstit, termi "siguri e informacionit" përdoret në kuptime të ndryshme... Në kuptimin e saj më të gjerë, koncepti nënkupton mbrojtjen e informacionit konfidencial, procesit të prodhimit, infrastrukturës së kompanisë nga veprime të qëllimshme ose aksidentale që çojnë në dëm financiar ose humbje të reputacionit.

Parimet e sigurisë së informacionit

Në çdo industri parimi themelor i sigurisë së informacionit është të mbash një ekuilibër të interesave të qytetarit, shoqërisë dhe shtetit. Vështirësia për të mbajtur një ekuilibër qëndron në faktin se interesat e shoqërisë dhe qytetarit shpesh bien në konflikt. Qytetari kërkon të mbajë të fshehtë detajet e jetës së tij personale, burimet dhe nivelin e të ardhurave, veprimet e këqija. Përkundrazi, shoqëria është e interesuar të "deklasifikojë" informacionin në lidhje me të ardhurat e paligjshme, faktet e korrupsionit dhe veprimet kriminale. Shteti krijon dhe administron një mekanizëm frenues që mbron të drejtat e qytetarëve për mos zbulimin e të dhënave personale dhe në të njëjtën kohë rregullon marrëdhëniet juridike që lidhen me zbulimin e krimeve dhe vënien e autorëve para drejtësisë.

E rëndësishme në mjedisin e sotëm parimi i mbështetjes ligjore merr sigurinë e informacionit kur mbështetja rregullatore nuk ecën me hapin e zhvillimit të industrisë së sigurisë së informacionit. Boshllëqet ligjore jo vetëm që lejojnë shmangien e përgjegjësisë për krimet kibernetike, por gjithashtu pengojnë zbatimin e teknologjive të përparuara të mbrojtjes së të dhënave.

Parimi i globalizimit , ose integrimi i sistemeve të sigurisë së informacionit prek të gjithë sektorët: politik, ekonomik, kulturor. Zhvillimi i sistemeve ndërkombëtare të komunikimit kërkon siguri të qëndrueshme të të dhënave.

Sipas parimi i përshtatshmërisë ekonomike , efektiviteti i masave për të siguruar sigurinë e informacionit duhet të përputhet ose të tejkalojë burimet e shpenzuara. Kostoja e pariparueshme e mirëmbajtjes së një sistemi sigurie dëmton vetëm progresin.

Parimi i fleksibilitetit të sistemeve mbrojtja e informacionit nënkupton eliminimin e çdo kufizimi të regjimit që parandalon gjenerimin dhe zbatimin e teknologjive të reja.

Rregulluar rreptësisht konfidenciale dhe jo informacion i hapur sugjeron parimi i mos fshehtësisë .

Sa më shumë mjete të ndryshme sigurie të harduerit dhe softuerit të përdoren për të mbrojtur të dhënat, aq më shumë njohuri dhe aftësi të gjithanshme kërkohen që sulmuesit të zbulojnë dobësitë dhe mbrojtjen e bajpasit. Ai synon të forcojë sigurinë e informacionit parimi i diversitetit mekanizmat mbrojtës të sistemeve të informacionit.

Parimi i lehtësisë së kontrollit sistemi i sigurisë bazohet në idenë se sa më kompleks të jetë sistemi i sigurisë së informacionit, aq më e vështirë është të kontrollohet qëndrueshmëria e përbërësve individualë dhe të zbatohet administrata qendrore.

Çelësi i qëndrimit besnik të personelit ndaj sigurisë së informacionit është trajnimi i vazhdueshëm në rregullat e sigurisë së informacionit dhe shpjegimet e qarta të pasojave të mosrespektimit të rregullave, deri në falimentimin e kompanisë. Parimi i besnikërisë për administratorët e sigurisë së të dhënave dhe të gjithë personelin e kompanisë, siguria është e lidhur me motivimin e punonjësve. Nëse punonjësit, si dhe palët dhe klientët e perceptojnë sigurinë e informacionit si të panevojshëm apo edhe armiqësor, edhe sistemet më të fuqishme nuk mund të garantojnë sigurinë e informacionit në kompani.

Parimet e renditura janë baza për sigurimin e sigurisë së informacionit në të gjitha industritë, e cila plotësohet me elemente në varësi të specifikave të industrisë. Le të shohim shembujt e bankave, energjisë dhe medias.

Bankat

Zhvillimi i teknologjive të sulmeve kibernetike i detyron bankat të prezantojnë të reja dhe të përmirësohen vazhdimisht sistemet themelore sigurinë. Qëllimi i zhvillimit të sigurisë së informacionit në sektorin bankar është të zhvillojë zgjidhje të tilla teknologjike që janë në gjendje të sigurojnë burime informacioni dhe të sigurojnë integrimin e produkteve më të fundit të IT në proceset kryesore të biznesit të institucioneve financiare.

Mekanizmat e sigurisë së informacionit të institucioneve financiare janë ndërtuar në përputhje me konventat dhe marrëveshjet ndërkombëtare të ratifikuara, si dhe ligjet federale dhe standardet. Më poshtë janë standardet në fushën e sigurisë së informacionit për bankat ruse:

  • Standardi i Bankës së Rusisë STO BR IBBS-1.0-2010 "Garantimi i sigurisë së informacionit të organizatave në sistemin bankar të Federatës Ruse";
  • Ligji Federal Nr. 161 "Për Kombëtaren sistemi i pagesave»;
  • Ligji Federal Nr. 152 "Për të dhënat personale";
  • Standardi i Sigurisë së të Dhënave të Industrisë së Kartave të Pagesës PCI DSS dhe dokumente të tjera.

Nevoja për të ndjekur ligje dhe standarde të ndryshme shoqërohet me faktin se bankat kryejnë shumë operacione të ndryshme, kryejnë veprimtari në drejtime të ndryshme që kanë nevojë për mjetet e tyre të sigurisë. Për shembull, sigurimi i sigurisë së informacionit në shërbimet bankare në distancë (RBS) përfshin krijimin e një infrastrukture sigurie, e cila përfshin mjete të mbrojtjes së aplikacioneve bankare, kontrollimin e rrjedhave të të dhënave. monitorimin e transaksioneve bankare dhe hetimin e incidenteve. Mbrojtja me shumë përbërës e burimeve të informacionit minimizon kërcënimet që lidhen me mashtrimin kur përdorin shërbimet RBS, si dhe mbron reputacionin e bankës.

Siguria e informacionit sektori bankar, ashtu si industritë e tjera, varet nga personeli. Veçori e sigurisë së informacionit në banka është rritja e vëmendjes për specialistët e sigurisë në nivelin e rregullatorit. Në fillim të vitit 2017, Banka e Rusisë së bashku me Ministrinë e Punës dhe Mbrojtjes Sociale me pjesëmarrjen e FSTEC, Ministrisë së Arsimit dhe Shkencës për specialistët e sigurisë së informacionit.

Si të kryeni një auditim IB në një bankë në mënyrë korrekte?

Energjia

Kompleksi energjetik është një nga industritë strategjike që kërkojnë masa të veçanta për të garantuar sigurinë e informacionit. Nëse në vendet e punës në administrata dhe departamente ka mjaft mjetet standarde IS, mbrojtja në vendet teknologjike të gjenerimit dhe shpërndarjes së energjisë tek përdoruesit përfundimtarë ka nevojë për kontroll të shtuar. Objekti kryesor i mbrojtjes në sektorin e energjisë nuk është informacioni, por procesi teknologjik... Sistemi i sigurisë në këtë rast duhet të sigurojë integritetin e procesit teknologjik dhe sistemeve të kontrollit të automatizuar. Prandaj, para prezantimit të mekanizmave të sigurisë së informacionit në ndërmarrjet e sektorit të energjisë, ekspertët studiojnë:

  • objekt i mbrojtjes është një proces teknologjik;
  • pajisje të përdorura në inxhinierinë e energjisë (telemekanikë);
  • faktorët shoqërues (mbrojtja e stafetës, automatizimi, matja e energjisë).

Rëndësia e sigurisë së informacionit në sektorin e energjisë përcaktohet nga pasojat e zbatimit të kërcënimeve kibernetike të informacionit. Kjo nuk është vetëm dëm material ose goditje e reputacionit, por mbi të gjitha - dëmtim i shëndetit të qytetarëve, prishja e mjedisit, shkelja e infrastrukturës së një qyteti ose rajoni.

Projektimi i një sistemi të sigurisë së informacionit në sektorin e energjisë fillon me parashikimin dhe vlerësimin e rreziqeve të sigurisë. Metoda kryesore e vlerësimit është modelimi i kërcënimeve të mundshme, i cili ndihmon në alokimin racional të burimeve gjatë organizimit të një sistemi sigurie dhe parandalimin e zbatimit të kërcënimeve kibernetike. Për më tepër, vlerësimi i rreziqeve të sigurisë në sektorin e energjisë është i vazhdueshëm: auditimi kryhet vazhdimisht gjatë funksionimit të sistemit me qëllim ndryshimin në kohë të cilësimeve për të siguruar shkallën maksimale të mbrojtjes dhe për ta mbajtur sistemin të azhurnuar.

Media

Detyra kryesore e sigurisë së informacionit në media është mbrojtja e interesave kombëtare, përfshirë interesat e qytetarit, shoqërisë dhe shtetit. Aktiviteti i mediave në kushte moderne reduktohet në krijimin e flukseve të informacionit në formën e lajmeve dhe materialeve gazetareske që merren, përpunohen dhe lëshohen për konsumatorët e fundit: lexuesit, shikuesit, vizitorët e faqeve.

Sigurimi dhe kontrolli i sigurisë në fushën e masmedias zbatohet në disa drejtime dhe përfshin:

  • zhvillimi i rekomandimeve për procedurat antikrizë në rast të realizimit të kërcënimit të sulmit në informacion;
  • programe trajnimi mbi sigurinë e informacionit për punonjësit e redaksive të mediave, shërbimet e shtypit, departamentet e marrëdhënieve me publikun;
  • administrim i përkohshëm i jashtëm i një organizate që ka pësuar një sulm informacioni.

Një problem tjetër i sigurisë së informacionit në media është paragjykimi. Për të siguruar një mbulim objektiv të ngjarjeve, kërkohet një mekanizëm mbrojtës që do të mbrojë gazetarët nga presioni i zyrtarëve qeveritarë, menaxhmenti dhe / ose pronari i medias, dhe në të njëjtën kohë - të sigurojë struktura biznesi me mirëbesim nga veprimet e përfaqësuesve të pandershëm të mediave.

Kufizimi i aksesit në të dhëna është një gur themeli i sigurisë së informacionit në sektorin e medias. Problemi është se kufizimi i aksesit në informacion në mënyrë që të parandalojë kërcënimet e informacionit nuk bëhet një "mbulesë" për censurimin. Një vendim që do ta bëjë punën e medias më transparente dhe do të ndihmojë në shmangien e dëmtimit të interesave të sigurisë kombëtare përmbahet në draftin e Konventës për Qasjen në Burimet e Informacionit, e cila është në pritje të votimit në Bashkimin Evropian. Normat e dokumentit supozojnë se shteti siguron qasje të barabartë në të gjitha dokumentet zyrtare duke krijuar regjistra të duhur në internet dhe vendos kufizime të hyrjes që nuk mund të ndryshohen. Ekzistojnë vetëm dy përjashtime që do t'ju lejojnë të anuloni kufizimet në qasjen në burimet e informacionit:

  • përfitim publik, e cila nënkupton aftësinë për të botuar edhe ato të dhëna që nuk janë subjekt i shpërndarjes në kushte normale;
  • interesi kombëtarnëse fshehja e informacionit dëmton shtetin.

Sektori privat

Me zhvillimin e një ekonomie tregu, rritjen dhe rritjen e konkurrencës, reputacioni i kompanisë bëhet një pjesë integrale e aktiveve jo-materiale. Formimi dhe siguria e një imazhi pozitiv varet drejtpërdrejt nga niveli i sigurisë së informacionit. Nuk është dhe reagimekur imazhi i vendosur i kompanisë në treg shërben si garanci e sigurisë së informacionit. Me këtë qasje, ekzistojnë tre lloje të reputacionit të biznesit:

1. Imazhi i një organizate "të padobishme", burimet e informacionit të të cilave nuk janë me interes, pasi ato nuk mund të përdoren në dëm ose në përfitim të një pale të tretë.

2. Imazhi i një kundërshtari të fortë, për të kërcënuar sigurinë e së cilës është "e imja e dashur". Turbullira e kufijve të mundësive për të zmbrapsur një sulm informacioni ndihmon në ruajtjen e reputacionit të një kundërshtari të frikshëm: sa më e vështirë të kuptosh potencialin e mbrojtjes së informacionit, aq më e padepërtueshme një kompani duket në sytë e sulmuesve.

3. Imazhi i një organizate "të dobishme"... Nëse një agresor i mundshëm është i interesuar në qëndrueshmërinë e kompanisë, në vend të një sulmi informacioni, dialogu dhe formimi i një politike të përbashkët të sigurisë së informacionit janë të mundshme.

Çdo kompani organizon aktivitetet e saj, duke respektuar normat e ligjit dhe duke u përpjekur për të arritur qëllimet e përcaktuara. Kritere të ngjashme do të përshtaten në zhvillimin e politikës së sigurisë së informacionit, zbatimin dhe funksionimin e sistemeve të brendshme të sigurisë për të dhënat konfidenciale dhe burimet e IT. Për të siguruar nivelin më të lartë të mundshëm të sigurisë së informacionit në një organizatë, pas implementimit të sistemeve të sigurisë, komponentët e sigurisë duhet të monitorohen, rikonfigurohen dhe azhurnohen sistematikisht sipas nevojës.

Mbrojtja e informacionit për objektet strategjike

Në fillim të vitit 2017, Duma e Shtetit e Federatës Ruse miratoi në leximin e parë një paketë faturash që lidhen me sigurinë e informacionit dhe infrastrukturën kritike të informacionit të vendit.

Burimet kryesore të kërcënimeve të informacionit në sferën ushtarake të Federatës Ruse.

Kryetari i Komisionit Parlamentar të Politikës së Informacionit, teknologjia e informacionit dhe komunikimet Leonid Levin, duke paraqitur faturat, paralajmëroi për një rritje në numrin e sulmeve kibernetike ndaj objekteve të rëndësishme strategjike. Në një takim të komitetit, përfaqësuesi i FSB-së Nikolai Murashov tha se 70 milion sulme kibernetike u kryen ndaj objekteve në Rusi gjatë vitit. Njëkohësisht me kërcënimet në rritje të sulmeve të jashtme, shkalla, kompleksiteti dhe koordinimi i sulmeve të informacionit brenda vendit po rriten.

Faturat e miratuara nga parlamentarët krijojnë bazën ligjore për sigurimin e informacionit në fushën e infrastrukturës kritike kombëtare dhe industrive individuale. Për më tepër, projektligjet përshkruajnë kompetencat e organeve shtetërore në fushën e sigurisë së informacionit dhe parashikojnë përgjegjësi më të ashpër penale për shkeljen e sigurisë së informacionit.

"Gazeta financiare. Edicioni rajonal", 2008, N 41

Në kushtet moderne, rëndësia e garantimit të sigurisë së informacionit nuk mund të nënvlerësohet. Rrjedhja më e vogël informacion konfidencial ndaj konkurrentëve mund të çojë në humbje të mëdha ekonomike për kompaninë, ndalesa të prodhimit dhe madje edhe falimentim.

Objektivat e sigurisë së informacionit janë: parandalimi i rrjedhjeve, vjedhjeve, humbjeve, shtrembërimeve, falsifikimi i informacionit; parandalimi i veprimeve të paautorizuara për shkatërrimin, modifikimin, shtrembërimin, kopjimin, bllokimin e informacionit; parandalimin e formave të tjera të ndërhyrjes së paligjshme në burimet e informacionit dhe sistemet e informacionit organizatat.

Kostot e mbrojtjes së informacionit kryesisht përfshijnë blerjen e mjeteve për të siguruar mbrojtjen e tij nga hyrja e paautorizuar. Ka shumë mjete për të siguruar mbrojtjen e informacionit, me kusht që ato të mund të ndahen në dy grupe të mëdha... E para janë mjetet që kanë një bazë materiale, siç janë kasafortat, kamerat CCTV, sistemet e sigurisë, etj. Në kontabilitet, ato llogariten si pasuri fikse. E dyta janë mjetet që nuk kanë bazë materiale, siç janë programet anti-virus, programet për të kufizuar hyrjen në informacion në formë elektronike, etj. Merrni parasysh tiparet e kontabilitetit për mjete të tilla të sigurisë së informacionit.

Kur blini një program për të siguruar mbrojtjen e informacionit, të drejtat ekskluzive për të nuk i kalojnë blerësit, blihet vetëm një kopje e mbrojtur e programit, të cilën blerësi nuk mund ta kopjojë ose shpërndajë. Prandaj, kur merren parasysh programe të tilla, duhet të udhëhiqet nga Ch. VI "Kontabiliteti për operacionet në lidhje me dhënien (pranimin) e së drejtës për të përdorur asete të paprekshme" të PBU-së së re 14/2007 "Kontabiliteti i aktiveve jo-materiale".

Në raste të rralla, kur përvetësoni programe të sigurisë së informacionit, të drejtat ekskluzive për këtë produkt transferohen te kompania. Në këtë rast, programi do të kontabilizohet në kontabilitet si pasuri të paprekshme (aktive jo-materiale).

Sipas PBU 14/2007 në kontabilitet, aktivet jo-materiale parashikohen për përdorim sipas kushteve marrëveshja e licencëspagesat për të drejtën e përdorimit të cilat bëhen në formën e një pagese fikse një herë dhe të drejtat ekskluzive për të cilat nuk kalojnë te blerësi duhet të llogariten nga marrësi si shpenzime të shtyra dhe të pasqyrohen në llogarinë jashtë bilancit (klauzola 39). Në këtë rast, periudha gjatë së cilës këto shpenzime do të shlyhen në llogaritë e shpenzimeve përcaktohet nga marrëveshja e licencës. Në kontabilitetin tatimor, kostot e blerjes së programeve për mbrojtjen e informacionit për qëllime tatimore llogariten si shpenzime të tjera dhe shlyhen në të njëjtën mënyrë - në pjesë të barabarta gjatë periudhës së specifikuar në marrëveshjen e licencës (nënparagrafi 26 i paragrafit 1 të nenit 264 të Kodit Tatimor të Federatës Ruse).

Nëse pagesa për të drejtën e përdorimit produkt softueriksigurimi i mbrojtjes së informacionit bëhet në formën e pagesave periodike, atëherë sipas klauzolës 39 të PBU 14/2007 ato përfshihen nga përdoruesi në shpenzimet e periudhës raportuese në të cilën janë bërë.

Në praktikë, marrëveshja e licencës nuk tregon gjithmonë termin e përdorimit të softuerit. Kur marrëdhënia midis të ardhurave dhe shpenzimeve nuk mund të përcaktohet qartë, në kontabilitetin tatimor, kostot e marrjes së programeve të mbrojtjes së informacionit shpërndahen nga tatimpaguesi në mënyrë të pavarur për qëllimin e llogaritjes së tatimit mbi fitimin, duke marrë parasysh parimin e uniformitetit të njohjes së të ardhurave dhe shpenzimeve (klauzola 1 e nenit 272 të Kodit Tatimor të Federatës Ruse). Në kontabilitet, periudha gjatë së cilës këto shpenzime do të debitohen nga llogaria 97 përcaktohet nga menaxhmenti i ndërmarrjes bazuar në kohën e pritur të përdorimit të programit.

Shembulli 1... OJSC "Alpha" fitoi një kopje të licencuar softuer antivirus nga Betta LLC për 118,000 rubla, përfshirë TVSH-në (18%). Marrëveshja e licencës përcakton një periudhë të përdorimit të programit për 9 muaj.

Në kontabilitetin e OJSC "Alpha", programi duhet të merret parasysh si më poshtë:

D-t 60, K-t 51 - 118,000 rubla. - furnitorit i është paguar kostoja e softuerit;

D-t 60, K-t 97 - 100,000 rubla. - programi i marrë pasqyrohet si shpenzim i shtyrë;

D-t 002 - 100,000 rubla. - programi i marrë pasqyrohet në llogarinë jashtë bilancit;

D-t 19, K-t 60 - 18,000 rubla. - TVSH e alokuar;

D-t 68, K-t 19 - 18,000 rubla. - pranuar për zbritjen e TVSH-së;

D-t 26 (44), K-t 97 - 11,111,11 rubla. (100,000 rubla: 9 muaj) - çdo muaj për 9 muaj kostoja e programit anti-virus shlyhet si shpenzime në pjesë të barabarta.

Le të ndryshojmë kushtet e shembullit 1: le të themi që OJSC "Alpha" nuk e bën pagesën në shumë, por në këste të barabarta gjatë gjithë periudhës së vlefshmërisë së marrëveshjes së licencës. Pagesat do të arrijnë në 11 800 rubla. për çdo muaj, përfshirë TVSH-në.

Në këtë rast, shënimet e mëposhtme do të bëhen në kontabilitet:

D-t 002 - 90,000 rubla. (10,000 rubla x 9 muaj) - programi i marrë pasqyrohet në llogarinë jashtë bilancit;

D-t 60, K-t 51 - 11 800 rubla. - çdo muaj brenda 9 muajve furnizuesit i paguhet kostoja e produktit të softuerit;

D-t 19, K-t 60 - 1800 rubla. - TVSH e alokuar;

D-t 26 (44), K-t 60 - 10,000 rubla. - kostoja e programit është shlyer si shpenzim;

D-t 68, K-t 19 - 1800 rubla. - pranuar për zbritjen e TVSH-së.

Shpesh, para skadimit të marrëveshjes së licencës, kompania që zhvillon softuer të sigurisë së informacionit lëshon një azhurnim. Në këtë rast, shpenzimet në kontabilitet dhe kontabilitetin tatimor do të pranohen në një kohë pas azhurnimit.

Alsoshtë gjithashtu praktikë e zakonshme kur një kompani zhvilluese siguron të vetat softuer organizatat për një kohë të shkurtër. Në mënyrë që të pasqyrojë saktë programin e sigurisë së informacionit të marrë falas, ai duhet të merret parasysh si pjesë e të ardhurave të shtyra me vlerën e tregut.

Shembulli 2... Betta LLC siguroi OJSC Alfa me softuer të sigurisë së informacionit për një periudhë prej 3 muajsh falas. Çmimi i tregut të këtij produkti softuer është 3300 rubla.

Regjistrimet e mëposhtme duhet të bëhen në regjistrat kontabël të OJSC "Alpha":

D-t 97, K-t 98 - 3300 rubla. - marrë parasysh softuerin e marrë falas;

D-t 98, K-t 91 - 1100 rubla. - çdo muaj për tre muaj, një pjesë e të ardhurave të shtyra pranohet si të ardhura të tjera.

Në kontabilitetin tatimor, të ardhurat nga një program i marrë falas do të pranohen gjithashtu brenda tre muajsh (klauzola 2 e nenit 271 të Kodit Tatimor të Federatës Ruse).

Kostot e mbrojtjes së informacionit përfshijnë jo vetëm blerjen e mjeteve të sigurisë së informacionit, por edhe koston e shërbimeve të këshillimit (informacionit) për mbrojtjen e informacionit (që nuk lidhen me blerjen e aktiveve jo-materiale, aseteve fikse ose aktiveve të tjera të organizatës). Sipas klauzolës 7 të PBU 10/99 "Shpenzimet e organizimit", kostot e shërbimeve të konsulencës në kontabilitet përfshihen në përbërjen e shpenzimeve për aktivitetet e zakonshme në periudhën raportuese kur ato ndodhën. Në kontabilitetin tatimor, ato i referohen shpenzimeve të tjera që lidhen me prodhimin dhe shitjen e produkteve (nënparagrafi 15 i paragrafit 1 të nenit 264 të Kodit Tatimor të Federatës Ruse).

Shembulli 3... Betta LLC siguroi shërbime këshilluese për sigurinë e informacionit Alpha OJSC për një shumë totale prej 59,000 rubla, përfshirë TVSH - 9,000 rubla.

Regjistrimet e mëposhtme duhet të bëhen në regjistrat kontabël të OJSC "Alpha":

D-t 76, K-t 51 - 59,000 rubla. - paguar për shërbimet e këshillimit;

D-t 26 (44), CT 76 - 50,000 rubla. - Shërbimet e këshillimit për sigurinë e informacionit shlyhen si shpenzime për aktivitete të zakonshme;

D-t 19, K-t 76 - 9000 rubla. - TVSH e alokuar;

D-t 68, K-t 19 - 9000 rubla. - pranuar për zbritjen e TVSH-së.

Kompanitë që përdorin sistemin e thjeshtuar të taksave si shpenzime që ulin bazën e tatueshme për tatimin mbi të ardhurat, në përputhje me paragrafët. 19 f. 1 i artit. 346.16 i Kodit Tatimor të Federatës Ruse do të jetë në gjendje të pranojë vetëm kostot e blerjes së softuerit të sigurisë së informacionit. Kostot e këshillimit për sigurinë e informacionit në Art. 346.16 të Kodit Tatimor të Federatës Ruse nuk përmenden, prandaj, për qëllime të taksimit të fitimeve, organizata nuk ka të drejtë t'i pranojë ato.

V.Schanikov

Ndihmës i auditorit

departamenti i auditimit

Baker Tilly Rusaudit LLC

Si të justifikojmë koston e sigurisë së informacionit?

Ribotuar me leje të mirë Besimi në Internet i OJSC InfoTeKS
Teksti origjinal është i vendosur ketu.

Nivelet e maturimit të ndërmarrjes

Grupi Gartner identifikon 4 nivele të pjekurisë së kompanisë për sa i përket sigurisë së informacionit (IS):

  • 0 niveli:
    • Askush nuk merret me sigurinë e informacionit në kompani, menaxhmenti i kompanisë nuk e kupton rëndësinë e problemeve të sigurisë së informacionit;
    • Nuk ka fonde të disponueshme;
    • IS zbatohet me mjete standarde sistemet operative, DBMS dhe aplikacionet (mbrojtja me fjalëkalim, diferencimi i qasjes në burime dhe shërbime).
  • Niveli i parë:
    • IS konsiderohet nga menaxhmenti si një problem thjesht "teknik", nuk ka një program të vetëm (koncept, politikë) për zhvillimin e sistemit të sigurisë së informacionit (ISS) të kompanisë;
    • Financimi është brenda buxhetit të përgjithshëm të IT;
    • IS implementohet me anë të nivelit zero + mjete rezervë, mjete antivirus, firewalls, mjete të organizimit VPN (mjete tradicionale të mbrojtjes).
  • Niveli i 2-të:
    • IS konsiderohet nga menaxhmenti si një kompleks i masave organizative dhe teknike, ekziston një kuptim i rëndësisë së IS për proceset e prodhimit, ekziston një program për zhvillimin e ISMS të kompanisë të aprovuar nga menaxhmenti;
    • Siguria e informacionit zbatohet me anë të nivelit të parë + mjeteve të vërtetimit të fortë, mjeteve të analizimit të mesazheve postare dhe përmbajtjes në internet, IDS (sistemet e zbulimit të ndërhyrjeve), mjetet e analizës së sigurisë, SSO (mjetet e vërtetimit të vetëm), PKI (infrastruktura e çelësit publik) dhe masat organizative (të brendshme dhe të jashtme) auditimi, analiza e rrezikut, politika e sigurisë së informacionit, rregulloret, procedurat, rregulloret dhe udhëzimet).
  • Niveli 3:
    • IS është pjesë e kulturës së korporatave, e emëruar nga CISA (zyrtar i lartë i sigurisë së informacionit);
    • Financimi sigurohet nën një buxhet të veçantë;
    • IS zbatohet me anë të niveleve të dyta + sistemet e menaxhimit të IS, CSIRT (ekipi i përgjigjes ndaj shkeljeve IS), SLA (marrëveshja e nivelit të shërbimit).

Sipas Gartner Group (të dhënat janë për vitin 2001), përqindja e kompanive në lidhje me 4 nivelet e përshkruara është si më poshtë:
0 niveli - 30%,
Niveli i parë - 55%,
Niveli i 2 - 10%,
Niveli i 3-të - 5%.

Parashikimi i Grupit Gartner për 2005 është si më poshtë:
0 niveli - 20%,
Niveli i parë - 35%,
Niveli i 2-të - 30%,
Niveli 3 - 15%.

Statistikat tregojnë se shumica e ndërmarrjeve (55%) tani kanë zbatuar grupin minimal të kërkuar të mjeteve teknike tradicionale të mbrojtjes (niveli 1).

Gjatë zbatimit të teknologjive dhe mjeteve të ndryshme të mbrojtjes, shpesh lindin pyetje. Çfarë duhet zbatuar së pari, sistemi i zbulimit të ndërhyrjeve ose infrastruktura PKI? Çfarë do të jetë më efektive? Stephen Ross, drejtori i Deloitte & Touche, ofron qasjen vijuese për vlerësimin e efektivitetit të masave dhe mjeteve individuale të sigurisë.

Bazuar në grafikun e mësipërm, mund të shihet se mjetet më të shtrenjta dhe më pak efektive janë mjetet e specializuara (zhvillimet vetanake ose ato me porosi).

Më e shtrenjta, por në të njëjtën kohë, më efektive janë mbrojtja e kategorisë 4 (niveli 2 dhe 3 sipas Grupit Gartner). Për të zbatuar këtë kategori fondesh, është e nevojshme të përdoret procedura e analizës së rrezikut. Analiza e rrezikut në këtë rast do të bëjë të mundur garantimin e mjaftueshmërisë së kostove të zbatimit për kërcënimet ekzistuese të shkeljes së IS

Më të lirë, por me një nivel të lartë të efikasitetit, janë masat organizative (auditimi i brendshëm dhe i jashtëm, analiza e rrezikut, politika e sigurisë së informacionit, plani i vazhdimësisë së biznesit, rregulloret, procedurat, rregulloret dhe udhëzimet).

Futja e mjeteve shtesë të mbrojtjes (kalimi në nivelet 2 dhe 3) kërkon investime të konsiderueshme financiare dhe, në përputhje me rrethanat, arsyetim. Mungesa e një programi të unifikuar për zhvillimin e ISMS, i aprovuar dhe i nënshkruar nga menaxhmenti, përkeqëson problemin e justifikimit të investimeve në siguri.

Analiza e rrezikut

Rezultatet e analizës së rrezikut dhe statistikave të grumbulluara mbi incidentet mund të shërbejnë si justifikim i tillë.Mekanizmat për zbatimin e analizës së rrezikut dhe statistikat e akumuluara duhet të përcaktohen në politikën e sigurisë së informacionit të kompanisë.

Procesi i analizës së rrezikut përbëhet nga 6 hapa vijues:

1. Identifikimi dhe klasifikimi i objekteve të mbrojtura (burimet e ndërmarrjes që duhen mbrojtur);

3. Ndërtimi i një modeli të sulmuesit;

4. Identifikimi, klasifikimi dhe analizimi i kërcënimeve dhe dobësive;

5. Vlerësimi i rrezikut;

6. Zgjedhja e masave organizative dhe mjeteve teknike të mbrojtjes.

Në skenë identifikimin dhe klasifikimin e objekteve të mbrojtura është e nevojshme të bëhet një inventar i burimeve të kompanisë në fushat e mëposhtme:

  • Burimet informative (informacion konfidencial dhe kritik i ndërmarrjes);
  • Burimet e softuerit (OS, DBMS, aplikacione kritike, të tilla si ERP);
  • Burimet fizike (serverat, stacionet e punës, rrjeti dhe pajisjet e telekomunikacionit);
  • Burimet e shërbimit ( email, www, etj).

Kategorizimi është përcaktimi i nivelit të konfidencialitetit dhe kritikitetit të burimit. Konfidencialiteti i referohet nivelit të sekretit të informacionit që ruhet, përpunohet dhe transmetohet nga burimi. Kritikiteti kuptohet si shkalla e ndikimit të burimit në efikasitetin e funksionimit të proceseve të prodhimit të kompanisë (për shembull, në rast të një joproduktive të burimeve telekomunikuese, kompania ofruese mund të falimentojë). Duke caktuar vlera të caktuara cilësore të konfidencialitetit dhe parametrave të kriticitetit, ju mund të përcaktoni nivelin e rëndësisë së secilit burim për sa i përket pjesëmarrjes së tij në proceset e prodhimit të kompanisë.

Për të përcaktuar rëndësinë e burimeve të kompanisë në drejtim të sigurisë së informacionit, mund të merrni tabelën e mëposhtme:

Për shembull, skedarët me informacione në lidhje me nivelin e pagës së punonjësve të kompanisë kanë vlerën "rreptësisht konfidenciale" (parametri i konfidencialitetit) dhe vlera "i papërfillshëm" (parametri i kritikitetit). Duke zëvendësuar këto vlera në tabelë, mund të merrni një tregues integral të rëndësisë të këtij burimi... Variantet e ndryshme të metodave të kategorizimit janë dhënë në standardin ndërkombëtar ISO TR 13335.

Ndërtimi i një modeli sulmues është procesi i klasifikimit të shkelësve të mundshëm sipas parametrave të mëposhtëm:

  • Lloji i sulmuesit (konkurrenti, klienti, zhvilluesi, punonjësi i kompanisë, etj.);
  • Pozicioni i sulmuesit në lidhje me objektet e mbrojtjes (të brendshme, të jashtme);
  • Niveli i njohurive rreth objekteve të mbrojtjes dhe mjedisit (i lartë, i mesëm, i ulët);
  • Niveli i mundësive për qasje në objektet e mbrojtura (maksimumi, mesatarja, minimumi);
  • Koha e veprimit (vazhdimisht, në intervale të caktuara kohore);
  • Vendndodhja (vendndodhja e synuar e sulmuesit gjatë sulmit).

Duke caktuar vlera cilësore në parametrat e renditur të modelit të sulmuesit, është e mundur të përcaktohet potenciali i sulmuesit (një karakteristikë integrale e aftësive të sulmuesit për të zbatuar kërcënimet).

Identifikimi, klasifikimi dhe analizimi i kërcënimeve dhe dobësive ju lejon të përcaktoni mënyrat për të zbatuar sulmet ndaj objekteve të mbrojtura. Vulnerabilitetet janë veti të një burimi ose mjedisit të tij që përdoren nga një sulmues për të zbatuar kërcënimet. Lista e dobësive të burimeve të softuerit mund të gjendet në internet.

Kërcënimet klasifikohen sipas kritereve të mëposhtme:

  • emrin e kërcënimit;
  • lloji i sulmuesit;
  • mjetet e zbatimit;
  • dobësitë e shfrytëzuara;
  • veprimet e kryera;
  • frekuenca e zbatimit.

Parametri kryesor është frekuenca e kërcënimit. Kjo varet nga vlerat e parametrave "potenciali sulmues" dhe "siguria e burimeve". Vlera e parametrit "siguria e burimeve" përcaktohet nga vlerësimet e ekspertëve. Kur përcaktohet vlera e parametrit, merren parasysh parametrat subjektivë të sulmuesit: motivimi për zbatimin e kërcënimit dhe statistikat nga përpjekjet për të zbatuar kërcënimet të këtij lloji (nëse në dispozicion). Rezultati i fazës së analizës së kërcënimit dhe cenueshmërisë është një vlerësim i parametrit "frekuenca e zbatimit" për secilin prej kërcënimeve.

Në skenë vlerësimet e rrezikut dëmi i mundshëm nga kërcënimet e shkeljeve të sigurisë së informacionit përcaktohet për secilin burim ose grup burimesh.

Treguesi cilësor i dëmit varet nga dy parametra:

  • Rëndësia e burimit;
  • Frekuenca e kërcënimit ndaj këtij burimi.

Bazuar në vlerësimet e marra të dëmit, masat adekuate organizative janë zgjedhur në mënyrë të arsyeshme dhe mjetet teknike mbrojtje.

Grumbullimi i statistikave të incidenteve

E vetmja dobësi në metodologjinë e propozuar për vlerësimin e rrezikut dhe, në përputhje me rrethanat, arsyetimin e nevojës për të futur teknologji të reja mbrojtëse ose ndryshuese ekzistuese është përcaktimi i parametrit "frekuenca e realizimit të kërcënimit". Mënyra e vetme për të marrë vlera objektive për këtë parametër është grumbullimi i statistikave për incidentet. Statistikat e grumbulluara, për shembull, për një vit do të na lejojnë të përcaktojmë numrin e kërcënimeve (të një lloji të caktuar) për burim (të një lloji të caktuar). Shtë e këshillueshme që të punohet në akumulimin e statistikave si pjesë e procedurës së trajtimit të incidenteve.

Anketa Globale e Rreziqeve të Sigurisë së Korporatave të Kaspersky Lab është një analizë vjetore e trendeve të sigurisë së informacionit të korporatave në të gjithë botën. Ne i konsiderojmë aspekte të tilla të rëndësishme të sigurisë kibernetike si kostoja e sigurisë së informacionit, llojet aktuale të kërcënimeve për lloje të ndryshme të ndërmarrjeve dhe pasojat financiare të përballjes me këto kërcënime. Përveç kësaj, duke fituar pasqyrë në buxhetimin e sigurisë së informacionit nga drejtuesit, ne mund të shohim se si kompanitë në të gjithë botën po u përgjigjen ndryshimeve në peisazhin e kërcënimeve.

Në vitin 2017, ne u përpoqëm të kuptonim nëse kompanitë e shohin sigurinë e informacionit si një burim kostoje (një e keqe e domosdoshme për të cilën duhet të shpenzojnë para), ose kanë filluar ta konsiderojnë atë një investim strategjik (domethënë, një mjet për të siguruar vazhdimësinë e biznesit që siguron përfitime të konsiderueshme në një epokë të shpejtë zhvillimi i kërcënimeve kibernetike).

Kjo është një çështje shumë e rëndësishme, veçanërisht pasi buxheti i IT ka rënë në shumicën e rajoneve të botës.

Në Rusi, megjithatë, 2017 pa një rritje të lehtë në buxhetin mesatar të sigurisë - 2%. Buxheti mesatar i sigurisë së informacionit në Rusi ishte rreth 15.4 milion rubla.

Ky raport detajon llojet e kërcënimeve me të cilat përballen kompanitë e të gjitha madhësive, si dhe modelet në shpërndarjen e kostove të IT.

Metodologjia e përgjithshme e informacionit dhe kërkimit

Anketa globale e korporatave të Kaspersky Lab për Risqet e Sigurisë është një studim i menaxherëve të IT në organizatat e tyre që kryhet çdo vit që nga viti 2011.

Të dhënat më të fundit u mblodhën në Mars dhe Prill 2017. Një total prej 5,274 të anketuarve nga më shumë se 30 vende u intervistuan, kompani të madhësive të ndryshme morën pjesë në studim.

Përcaktimet e mëposhtme përdoren ndonjëherë në raport: biznes i vogël - më pak se 50 të punësuar, SMB (biznes i mesëm dhe i vogël - nga 50 në 250 punonjës) dhe biznes i madh (kompani me një staf prej 250 personash). Raporti aktual paraqet një analizë të parametrave më tregues nga sondazhi.

Konkluzionet kryesore:

Kompanitë e të gjitha madhësive e kanë gjithnjë e më të vështirë të merren me kërcënimet kibernetike dhe kostot e mbrojtjes janë gjithashtu në rritje. Në Rusi, në segmentin e bizneseve të mesme dhe të vogla, kostoja mesatare e eliminimit të pasojave të vetëm një incidenti kibernetik është 1.6 milion rubla, dhe për segmentin e biznesit të madh, kostot janë 16.1 milion rubla.

Pjesa e buxhetit të IT kushtuar sigurisë së informacionit po rritet. Kjo është e vërtetë për kompanitë e të gjitha madhësive. Në të njëjtën kohë, shuma totale e buxhetit mbetet e ulët dhe në Rusi rritja ishte vetëm 2%, kështu që specialistët janë të detyruar të kryejnë detyrat e tyre me pak burime.

Dëmi vetëm nga një incident po rritet, dhe kompanitë që nuk u japin përparësi kostove të sigurisë së informacionit së shpejti mund të përballen me sfida të mëdha. Studimi tregoi se në segmentin SMB kompanitë shpenzojnë rreth 300 mijë rubla për çdo incident sigurie në pagesa shtesë për stafin, dhe korporatat e mëdha mund të shpenzojnë 2.7 milion rubla për të zvogëluar dëmtimin e markës.

Dëmtimi nga incidentet e sigurisë

Dëmi nga incidentet e sigurisë kibernetike vazhdon të rritet, pasi kompanitë duhet të përballen me një mori pasojash, nga shtrirja shtesë e publikut në punësimin e punonjësve të rinj. Në vitin 2017, pati një rritje të mëtejshme të humbjeve financiare në rast të shkeljeve të integritetit të të dhënave. Kjo duhet të ndikojë në qasjen ndaj kjo çështje: Kompanitë do të ndalojnë së shikuari kostot e sigurisë kibernetike si një e keqe e domosdoshme dhe do të fillojnë t'i shohin ato si investime që do të shmangin humbjet e konsiderueshme monetare në rast sulmi.

Shkeljet serioze të integritetit të të dhënave po bëhen gjithnjë e më të shtrenjta

Shqetësimi më i madh i CTO-ve janë sulmet masive që nxjerrin miliona të dhëna. Këto ishin sulmet ndaj Shërbimit Shëndetësor Kombëtar të MB (NHS), sony ose piraterie në HBO me lëshimin e të dhënave konfidenciale në lidhje me serialin "Game of Thrones". Në realitet, megjithatë, incidente të tilla të mëdha janë përjashtim sesa rregull. Shumica e sulmeve kibernetike deri vitin e kaluar nuk bënë tituj kryesorë dhe mbetën domeni i raporteve speciale për specialistët. Sigurisht, epidemitë e ransomware e kanë ndryshuar situatën pak, por gjithsesi segmenti i korporatave të biznesit nuk e kupton tërë tablonë.

Numri relativisht i vogël i sulmeve kibernetike të njohura në shkallë të gjerë nuk do të thotë se dëmi nga shumica e sulmeve është i parëndësishëm. Pra, sa shpenzojnë mesatarisht kompanitë për të rregulluar një shkelje "tipike" të integritetit të të dhënave? Ne u kërkuam pjesëmarrësve të sondazhit të vlerësonin se sa shpenzoi / humbi kompania e tyre si rezultat i ndonjë incidenti të sigurisë që ndodhi vitin e kaluar.

Të gjitha ndërmarrjeve me 50 ose më shumë të punësuar u kërkua të vlerësojnë kostot e bëra në secilën nga kategoritë e mëposhtme:

Për secilën prej kategorive, ne kemi llogaritur kostot mesatare të bëra nga kompanitë e hasura në incidentet e sigurisë së informacionit dhe shuma e të gjitha kategorive na lejoi të vlerësonim sasinë e dëmit total të shkaktuar nga një incident i sigurisë së informacionit.

Rezultatet për segmentin e NVM-ve dhe biznesin e madh tregohen veçmas më poshtë, pasi që statistikat për to ndryshojnë në shumë mënyra. Për shembull, dëmi mesatar për kompanitë ruse të SMB është pothuajse 1.6 milion rubla, ndërsa për bizneset e mëdha është pothuajse dhjetë herë më i lartë - 16.1 milion rubla. Kjo tregon se sulmet kibernetike janë të kushtueshme për kompanitë e të gjitha madhësive.

Nuk është për t'u habitur që bizneset e mëdha, mesatarisht, pësojnë më shumë humbje kur cenohet integriteti i të dhënave, por është interesante të analizohet shpërndarja e dëmit sipas kategorive.

Në vitin e kaluar, përfitimet e punonjësve ishin shpenzimi më i madh për SMB-në dhe bizneset e mëdha. Sidoqoftë, këtë vit pamja ka ndryshuar, me artikuj të ndryshëm të kostos duke u bërë artikujt kryesorë për kompani me madhësi të ndryshme. Bizneset e vogla dhe të mesme ende humbin më së shumti nga përfitimet e punonjësve. Por biznesi i madh filloi të investojë në PR shtesë në mënyrë që të zvogëlojë dëmtimin e reputacionit të markës. Përveç kësaj, kostoja e përmirësimit pajisje teknike dhe blerjen e softuerit shtesë.

Për të gjitha kompanitë, kostoja e trajnimit të punonjësve është rritur. Incidentet e sigurisë shpesh i bëjnë kompanitë të kuptojnë rëndësinë e rritjes së shkrim-leximit në internet dhe përmirësimit të inteligjencës së kërcënimeve.

Burimet më të gjera të brendshme të ndërmarrjeve të mëdha dhe specifikat e rregullimit të aktiviteteve të tyre përcaktojnë një ekuilibër të ndryshëm midis kostove të eleminimit të kërcënimit në vetvete dhe kostove të dëmeve. Primet e rritura të sigurimit, përkeqësimi i vlerësimeve të kredisë dhe dëmtimi i besimit te kompania ishin një zë serioz i shpenzimeve: mesatarisht pas çdo incidenti ndërmarrjet e mëdha humbni rreth 2.3 milion rubla për këtë.

Hulumtimi ynë tregoi se shumë nga rritjet e kostos ishin për shkak të nevojës për të parandaluar - ose të paktën të zvogëlojmë - humbjet e reputacionit në formën e vlerësimit të kredisë, imazhit të markës dhe kompensimit.

Me miratimin e gjerë të rregulloreve të reja, dëmi mesatar ka të ngjarë të vazhdojë të rritet, pasi kompanitë do të duhet të raportojnë publikisht të gjitha incidentet dhe të përmirësojnë transparencën e mbrojtjes së të dhënave.

Trende të tilla janë tipike, për shembull, në Japoni, ku kostoja mesatare e eliminimit të pasojave të një shkelje të sigurisë është dyfishuar: nga 580,000 dollarë në 2016 në 1.3 milion dollarë në 2017. Qeveria japoneze ka ndërmarrë hapa për të forcuar kërkesat rregullatore në përgjigje të një rritje të kërcënimeve të sigurisë kibernetike. Në vitin 2017, ligjet e reja hynë në fuqi, të cilat shkaktuan një rritje të papritur të kostove.

Sidoqoftë, zhvillimi dhe zbatimi i ligjeve kërkon kohë. Me peizazhin e korporatave në zhvillim të shpejtë të IT dhe evolucionin e kërcënimeve kibernetike, vonesa rregullatore po bëhet një sfidë e madhe. Për shembull, e re standardet japoneze ishin rënë dakord përsëri në 2015, por hyrja e tyre në fuqi duhej shtyrë për dy vjet të tërë. Për shumë, vonesa erdhi me një kosto: gjatë dy viteve të fundit, një numër i madh i kompanive japoneze ranë viktima të sulmeve të kushtueshme. Një shembull është kompania e udhëtimeve JTB Corp., e cila u përball me një rrjedhje të madhe në 2016. Janë vjedhur 8 milion të dhëna të klientëve, përfshirë emrat, adresat dhe numrat e pasaportave.

Ky është një simptomë e një problemi global: kërcënimet po zhvillohen me shpejtësi, dhe inercia e qeverive dhe kompanive është shumë e lartë. Një shembull tjetër i shtrëngimit të vidave është Rregullorja Evropiane e Mbrojtjes së të Dhënave (GDPR), e cila hyn në fuqi në maj 2018 dhe kufizon ndjeshëm mënyrat e pranueshme të përpunimit dhe ruajtjes së të dhënave të qytetarëve të BE-së.

Ligjet po ndryshojnë në të gjithë botën, por ato nuk mund të vazhdojnë me kërcënimet kibernetike - tre valë të ransomware në 2017 kujtuan për këtë në Rusi. Prandaj, biznesi duhet të jetë i vetëdijshëm për legjislacionin e papërsosur dhe të forcojë mbrojtjen në përputhje me rrethanat faktike - ose të durojë paraprakisht dëmtimin e reputacionit dhe klientëve. Vlen të përgatitet për kërkesat e reja rregullatore pa pritur për afatet. Duke ndryshuar politikat pasi të jenë miratuar ligjet përkatëse, kompanitë rrezikojnë jo vetëm gjobitje, por edhe sigurinë e të dhënave të tyre dhe të klientëve.

Nuk ka dobësi të huaja: vrimat e mbrojtjes së partnerëve janë të shtrenjta

Në mënyrë që të mbroheni nga rrjedhjet e të dhënave, është shumë e rëndësishme të kuptohet se cilët vektorë sulmi përdoren nga sulmuesit. Nga ana tjetër, ky informacion do t'ju ndihmojë të kuptoni se cilat lloje të sulmeve janë më të shtrenjtat.

Sondazhi tregoi se incidentet e mëposhtme kishin pasojat më të rënda financiare për bizneset e mesme dhe të vogla:

  • Incidentet që prekin infrastrukturën e vendosur në pajisjet e palëve të treta (17.2 milion RUB)
  • Incidentet që prekin palët e treta shërbime cloude përdorur nga kompania (3.6 milion rubla)
  • Shkëmbimi jo i duhur i të dhënave përmes pajisjet mobile (2.5 milion rubla)
  • Humbja fizike e pajisjeve mobile që ekspozojnë organizatën ndaj rreziqeve (2.1 milion RUB)
  • Incidentet që përfshijnë pajisje jo-kompjuterike të lidhura në internet (për shembull, sistemet industriale menaxhim, internet i gjërave) (1.7 milion rubla.)

Situata me biznesin e madh është disi e ndryshme:

  • Sulmet e synuara (75 milion RUB)
  • Incidentet që prekin shërbimet cloud të palëve të treta (19 milion RUB)
  • Viruse dhe programe me qëllim të keq (9 milion RUB)
  • Shkëmbimi jo i duhur i të dhënave përmes pajisjeve mobile (7.3 milion RUB)
  • Incidentet që prekin furnitorët me të cilët kompanitë shkëmbejnë të dhëna (4.4 milion rubla)

Nga këto të dhëna, mund të shihet se, shumë shpesh, sulmet e shkaktuara nga çështjet e sigurisë me partnerët e biznesit i kushtojnë kompanive më të shtrenjta të të gjitha madhësive. Kjo vlen për të dy organizatat që marrin me qira cloud ose infrastrukturë tjetër nga ofruesit e palëve të treta, dhe kompanitë që shkëmbejnë të dhënat e tyre me partnerët.

Pasi t’i jepni një kompani tjetër akses në të dhënat ose infrastrukturën tuaj, dobësitë e tyre bëhen problemi juaj. Sidoqoftë, ne tashmë kemi vërejtur se shumica e organizatave nuk i japin rëndësi të mjaftueshme kësaj. Prandaj, nuk është për t'u habitur që incidentet e këtij lloji janë më të kushtueshmet: çdo boksier do t'ju tregojë se është goditja e papritur që zakonisht rrëzon.

Gjithashtu menjëherë vërehet një vektor tjetër që ka hyrë papritur në 5 kërcënimet kryesore për biznesin e mesëm: sulmet që lidhen me pajisje të lidhura përveç kompjuterëve. Sot, trafiku i Internet of Things (IoT) po rritet shumë më shpejt sesa trafiku i gjeneruar nga çdo teknologji tjetër. Ky është një shembull tjetër sesi zhvillimet e reja po rrisin numrin e dobësive potenciale në infrastrukturën e biznesit. Në veçanti, përdorimi i gjerë i fjalëkalimeve të parazgjedhura të fabrikës dhe karakteristikat e dobëta të sigurisë në pajisjet IoT i ka bërë ata një kapje ideale për botnet si Mirai, malware që mund të bashkojë një numër të madh të pajisjeve të prekshme në një rrjet të vetëm për të nisur sulme të shkallës së gjerë DDoS kundër synimeve të zgjedhura.

Tërhiqet vëmendja për sasinë e humbjeve nga sulmet e shënjestruara në segmentin e biznesit të madh - ky kërcënim është jashtëzakonisht i vështirë për t'u përballur. Gjatë dy viteve të fundit, një numër sulmesh të profilit të lartë të shënjestruar ndaj bankave janë bërë të njohura, gjë që gjithashtu përforcon këto statistika zhgënjyese.

Investimi në zvogëlimin e rrezikut

Hulumtimi ynë ka treguar se kërcënimet ndaj sigurisë së informacionit po bëhen më serioze. Në këto kushte, nuk mund të mos shqetësohemi për gjendjen e vetë buxhetit të sigurisë së informacionit. Duke analizuar ndryshimet e tyre, ne mund të vendosim nëse organizatat e shohin sigurinë e tyre si një burim i kostove, ose bilanci gradualisht po ndryshon, dhe ata kanë filluar të shohin një fushë për investime që japin një avantazh të vërtetë konkurrues.

Madhësia e buxhetit tregon qëndrimin e kompanisë ndaj sigurisë së IT, rëndësinë e rolit të sistemit të sigurisë nga pikëpamja e menaxhimit dhe gatishmërinë e organizatës për të ndërmarrë rreziqe.

Buxheti i sigurisë së informacionit: pjesa është në rritje, "byrek" është në rënie

Këtë vit, ne shohim se kursimet dhe burimet e jashtme kanë çuar në tkurrjen e buxheteve të IT. Përkundër kësaj (dhe ndoshta për shkak të kësaj), pjesa e sigurisë së informacionit në këto buxhete të IT është rritur. Në Rusi, një tendencë pozitive mund të shihet në kompani të të gjitha madhësive. Edhe në mesin e bizneseve mikro që veprojnë në kushte të burimeve të pamjaftueshme, pesha e buxheteve të IT-ve kushtuar sigurisë së informacionit është rritur, megjithëse me një fraksion prej një përqindjeje.

Kjo do të thotë që kompanitë më në fund kanë filluar të kuptojnë rëndësinë e sigurisë së informacionit. Ndoshta kjo tregon se siguria e informacionit është perceptuar nga shumë si një investim potencialisht i dobishëm, dhe jo si një burim i kostove.

Ne po shohim që në botën e IT buxhetet janë zvogëluar ndjeshëm. Ndërsa siguria kibernetike po merr një pjesë më të madhe të byrekut, byreku vetë po zvogëlohet. Trendi është alarmues, veçanërisht duke pasur parasysh sa të larta janë aksionet në këtë zonë dhe sa i shtrenjtë është çdo sulm.

Në Rusi, buxheti mesatar i sigurisë së informacionit për biznesin e madh në vitin 2017 arriti në 400 milion rubla, dhe për SMB - 4.6 milion rubla.

Shembull: 694 të anketuar në Rusi në gjendje të vlerësojnë buxhetin

Nuk është për t'u habitur që organizatat ofrojnë shërbimet qeveritare (përfshirë sektorin e mbrojtjes), dhe institucionet financiare në të gjithë botën këtë vit po raportojnë shpenzimet më të larta për sigurinë e informacionit. Bizneset në të dy këta sektorë shpenzuan mesatarisht më shumë se 5 milion dollarë amerikanë për sigurinë. Vlen të përmendet se sektori i IT dhe telekomunikacionit, si dhe kompanitë e energjisë, gjithashtu shpenzuan më shumë se mesatarja për sigurinë e informacionit, megjithëse buxhetet e tyre dolën të ishin më afër 3 milion dollarë, jo 5 dollarë.

Sidoqoftë, nëse i ndani kostot totale me numrin e të punësuarve, atëherë organizatat qeveritare kalojnë në fund të listës. Mesatarisht, IT dhe telekomi shpenzon 1258 dollarë për frymë për sigurinë kibernetike, ndërsa sektori i energjisë shpenzon 1344 dollarë dhe kompanitë e financave 1436 dollarë. Per krahasim, institucionet shtetërore alokoni vetëm 959 dollarë për person për sigurinë e informacionit.

Si në segmentin IT dhe telekomunikacion, ashtu edhe në industrinë e furnizimit me energji, kostot e larta për punonjës lidhen më shumë me nevojën për të mbrojtur pronësinë intelektuale, e cila është veçanërisht urgjente në këta sektorë ekonomikë. Në rastin e shërbimeve, kostot e larta të mbrojtjes mund të burojnë gjithashtu nga fakti që këto kompani janë gjithnjë e më të ndjeshme ndaj sulmeve të synuara nga grupe të dëmshme.

Në këtë industri, investimi në sigurinë e informacionit është thelbësor për mbijetesën, sepse vazhdimësia e biznesit është thelbësore për furnizimin me energji elektrike. Pasojat e një sulmi kibernetik të suksesshëm në këtë industri janë veçanërisht të vështira, kështu që investimet në sigurinë e informacionit marrin përfitime shumë të prekshme.

Në Rusi, IT dhe telekomunikacioni investohen kryesisht në sigurinë e informacionit, si dhe ndërmarrjet industriale - kostot mesatare për të parën arrijnë në 300 milion rubla, për të dytën - 80 milion rubla. Kompanitë industriale dhe prodhuese kanë prirjen të mbështeten sisteme të automatizuara sistemi i menaxhimit (SHKB) për të siguruar vazhdimësinë e proceseve të prodhimit. Në të njëjtën kohë, sulmet ndaj ICS janë duke u rritur në numër: gjatë 12 muajve të fundit, numri i tyre është rritur me 5%.

Arsyet për të investuar në sigurinë e informacionit

Përhapja e shumave të investimeve në sigurinë e informacionit ndërmjet sektorëve është shumë e madhe. Prandaj, është veçanërisht e rëndësishme të zbulohen arsyet që i shtyjnë kompanitë të shpenzojnë burime të kufizuara për sigurinë e informacionit. Pa ditur motivet, është e pamundur të kuptohet nëse kompania i konsideron paratë e shpenzuara për sigurinë e infrastrukturës IT të humbur, apo i konsideron ato një investim fitimprurës.

Në vitin 2017, shumë më tepër kompani në të gjithë botën pranuan se do të investonin në sigurinë kibernetike, pavarësisht nga kthimi i pritur i investimit: 63%, nga 56% në 2016. Kjo tregon se gjithnjë e më shumë kompani e kuptojnë rëndësinë e sigurisë së informacionit.

Arsyet kryesore për rritjen e buxhetit të sigurisë së informacionit, Rusi

Jo të gjitha ndërmarrjet presin një kthim të shpejtë të investimit, por shumë kompani globale përmendën presionin nga palët kryesore të interesit, duke përfshirë menaxhimin e lartë të kompanisë (32%), si arsye për rritjen e buxheteve të sigurisë së informacionit. Kjo tregon se kompanitë kanë filluar të shohin avantazhin e tyre strategjik në rritjen e kostove të sigurisë së informacionit: masat e sigurisë lejojnë jo vetëm të mbrojnë veten në rast sulmi, por gjithashtu t'u demonstrojnë klientëve se të dhënat e tyre janë në duar të mira, si dhe për të siguruar vazhdimësinë e biznesit, në të cilën menaxhmenti i kompanisë është i interesuar ...

Arsyeja më e popullarizuar për rritjen e kostos së sigurisë së informacionit shumica e ndërmarrjeve vendase përmendën nevojën për të mbrojtur një infrastrukturë gjithnjë e më komplekse të IT (46%), dhe nevoja për të përmirësuar kualifikimet e ekspertëve të sigurisë së informacionit vuri në dukje 30%. Këto numra tregojnë nevojën për të përmirësuar nivelin e ekspertizës në dispozicion të kompanisë duke zhvilluar aftësitë e punonjësve të saj. Në të vërtetë, si ndërmarrjet e vogla dhe të mesme dhe të mëdha po investojnë gjithnjë e më shumë në mbështetjen e fuqisë së tyre të brendshme të punës në luftën kundër kërcënimeve kibernetike.

Në të njëjtën kohë, nevoja për të rritur kostot e sigurisë së informacionit për shkak të operacioneve të reja të biznesit ose zgjerimit të ndërmarrjes midis biznesit rus u ul: nga 36% vitin e kaluar në 30% në 2017. Ndoshta pasqyron faktorët makroekonomikë me të cilët kompanitë tona u është dashur të përballen kohët e fundit.

Përfundim

Sulmet masive të tilla si WannaCry, exPetr dhe BadRabbit shkaktuan dëme masive në 2017. Dëmi është gjithashtu i madh nga sulmet e shënjestruara, veçanërisht në bankat ruse. E gjithë kjo tregon se peizazhi i kërcënimit kibernetik po ndryshon me shpejtësi dhe në mënyrë të pashmangshme. Kompanitë duhet të përshtatin mbrojtjen e tyre ose të lihen jashtë biznesit.

Një faktor gjithnjë e më i rëndësishëm në marrjen e vendimeve të biznesit është ndryshimi midis kostos së përgatitjes për të shmangur një sulm kibernetik dhe kostos për viktimën.

Raporti tregon se edhe shkelje relativisht të vogla të të dhënave që nuk janë me interes për publikun e gjerë mund të jenë shumë të kushtueshme për kompaninë dhe të ndikojnë seriozisht në operacionet e saj. Një arsye tjetër për rritjen e kostove në rast të incidenteve të sigurisë janë ndryshimet në legjislacion në të gjithë botën. Kompanitë duhet të përshtaten ose të rrezikojnë si mosrespektimin ashtu edhe piraterinë e mundshme.

Në këto rrethana, bëhet veçanërisht e rëndësishme të merren parasysh të gjitha pasojat dhe kostot. Ndoshta kjo është arsyeja pse gjithnjë e më shumë kompani nga vende të ndryshme po rrisin pjesën e sigurisë së informacionit në buxhetet e tyre të IT. Në vitin 2017, shumë më tepër kompani në të gjithë botën pranuan se do të investonin në sigurinë kibernetike, pavarësisht nga kthimi i pritur i investimit: 63%, nga 56% në 2016.

Më shumë gjasa, për shkak të dëmit në rritje nga incidentet e sigurisë kibernetike, janë ato organizata që i konsiderojnë kostot e IT si investime në siguri dhe janë të gatshme të shpenzojnë fonde të konsiderueshme për to, do të jenë më të përgatitur për problemet e mundshme. Cila është situata në kompaninë tuaj?

Publikime të ngjashme: