Adnotacja: Na wykładzie omówione są zadania i metody analizy ekonomicznej możliwości wdrożenia środków zapewniających bezpieczeństwo informacji w określonych warunkach.
Zarządzanie bezpieczeństwem informacji, jak również zarządzanie w wielu innych obszarach działalności, wiąże się z okresowym podejmowaniem różnorodnych decyzji zarządczych, które z reguły polegają na wyborze określonych alternatyw (wybór jednego z możliwych schematów organizacyjnych lub jednego z dostępnych rozwiązań technicznych ) lub określenie określonych parametrów poszczególnych organizacji i/lub systemy techniczne i podsystemy. Jednym z możliwych podejść do wyboru alternatyw w sytuacji podjęcia decyzji zarządczej jest tzw. podejście „wolicjonalne”, gdy decyzja z tego czy innego powodu jest podejmowana intuicyjnie i nie można ustalić formalnie uzasadnionego związku przyczynowo-skutkowego pomiędzy pewnymi przesłankami wyjściowymi a podjętą konkretną decyzją. Jest oczywiste, że alternatywą dla podejścia „silnej woli” jest podejmowanie decyzji w oparciu o pewne formalne procedury i analiza sekwencyjna.
Podstawa takiej analizy i później podejmowanie decyzji to analiza ekonomiczna, która polega na badaniu wszystkich (lub przynajmniej głównych) czynników, pod wpływem których następuje rozwój analizowanych systemów, wzorców ich zachowania, dynamiki zmian, a także wykorzystania uniwersalnych wycena pieniężna. To w oparciu o odpowiednio skonstruowane modele ekonomiczne i przeprowadzoną za ich pomocą analizę ekonomiczną należy podejmować decyzje dotyczące zarówno ogólnej strategii rozwoju, jak i poszczególnych środków organizacyjno-technicznych, zarówno na poziomie państw, regionów i branż, jak i na poziomie poziomie poszczególnych przedsiębiorstw, oddziałów i systemów informatycznych.
Jednocześnie, tak jak ekonomika każdej gałęzi działalności ma swoją specyfikę, tak ekonomika bezpieczeństwa informacji, uważana za stosunkowo niezależną dyscyplinę, z jednej strony opiera się na pewnych ogólnych prawach ekonomicznych i metodach analizy, z drugiej zaś z drugiej strony wymaga indywidualnego zrozumienia i opracowania specyficznych podejść do analizy, gromadzenia danych statystycznych specyficznych dla tego obszaru, ukształtowania się stabilnych wyobrażeń na temat czynników, pod wpływem których funkcjonują systemy informacyjne I narzędzia bezpieczeństwa informacji.
Złożoność problemów analizy ekonomicznej w niemal wszystkich obszarach działalności wynika z reguły z faktu, że wielu kluczowych parametrów modeli ekonomicznych nie można wiarygodnie ocenić, a mają one charakter probabilistyczny (jak np. popyt konsumencki). Analizę komplikuje również fakt, że nawet niewielkie wahania (korekta szacunków) takich parametrów mogą poważnie wpłynąć na wartości funkcji celu, a co za tym idzie, na decyzje podejmowane na podstawie wyników analizy. Tym samym, aby zapewnić jak największą wiarygodność obliczeń w procesie przeprowadzania analiz ekonomicznych oraz podejmowanie decyzji konieczne jest zorganizowanie kompleksu prac w celu zebrania informacji wstępnych, obliczenia wartości prognoz, przeprowadzenia wywiadów z ekspertami z różnych dziedzin i przetworzenia wszystkich danych. Jednocześnie w procesie przeprowadzania takiej analizy należy zwrócić szczególną uwagę na decyzje pośrednie dotyczące oceny niektórych parametrów zawartych w model ogólny. Należy również wziąć pod uwagę fakt, że sama taka analiza może okazać się procedurą dość zasobochłonną i wymagać zaangażowania dodatkowych specjalistów i konsultantów zewnętrznych, a także wysiłków różnych specjalistów (ekspertów) praca w samym przedsiębiorstwie – wszystkie te koszty ostatecznie muszą być uzasadnione.
Szczególna złożoność analizy ekonomicznej w takim obszarze jak bezpieczeństwo informacji, zależy od takich specyficznych czynników, jak:
Wymaga to dodatkowych wysiłków w celu uporządkowania procesu analizy ekonomicznej, a także często prowadzi do tego, że wiele decyzji podejmowanych w zakresie bezpieczeństwa informacji może okazać się nieadekwatnych. Przykładami sytuacji, w których niedostateczny rozwój metodologii analizy ekonomicznej negatywnie wpływa na stan bezpieczeństwa informacji, są przypadki, gdy:
W toku swojej bieżącej działalności przedsiębiorstwa nieustannie muszą mierzyć się z pewnymi zmianami: udoskonalaniem procesów biznesowych, zmieniają się warunki rynków zbytu oraz rynków konsumowanych zasobów materialnych i usług, pojawiają się nowe technologie, zmieniają się konkurenci i kontrahenci zmieniają się zachowania, ustawodawstwo i polityka rządu itp. W tych warunkach menedżerowie (w tym ci odpowiedzialni za zapewnienie bezpieczeństwa informacji) muszą na bieżąco analizować zachodzące zmiany i dostosowywać swoją pracę do stale zmieniającej się sytuacji. Konkretne formy, w jakich przejawiają się reakcje menedżerów, mogą się różnić. Może to być zmiana polityki marketingowej, reorganizacja procesów biznesowych, zmiana technologii, zmiana wytwarzanego produktu, fuzja z konkurentami lub ich przejęcie itp. Jednak przy całej różnorodności możliwych modeli zachowań w zmieniającym się otoczeniu prawie wszystkie łączy jeden ważny wspólny element metodologiczny: w większości przypadków reakcja biznesu na nowe zagrożenia i nowe możliwości polega na tworzeniu nowych, mniej lub bardziej długotrwałych -terminowe i zasobochłonne inwestycje (inwestycje) w określone środki organizacyjne i/lub techniczne, które z jednej strony wiążą się z wydatkami zasobów ( gotówka), a z drugiej strony dają możliwość otrzymania nowych świadczeń, wyrażających się w zwiększeniu dochodów lub ograniczeniu części bieżących wydatków.
Zatem w sytuacji konieczności przeprowadzenia nowych działań organizacyjnych lub technicznych (wdrożenia projektu) głównym zadaniem osób odpowiedzialnych za efektywną organizację bezpieczeństwa informacji jest jasne określenie kosztów, jakie trzeba będzie ponieść w w związku z realizacją tej działalności (zarówno jednorazowej, jak i stałej) oraz dodatkowe (nowe) przepływy pieniężne, które zostaną uzyskane. W w tym przypadku Przepływy pieniężne mogą oznaczać oszczędności, zapobieganie stratom, a także dodatkowy dochód dla przedsiębiorstwa.
W praktyce gospodarczej zwyczajowo stosuje się funkcję zwrotu z inwestycji jako główny wskaźnik odzwierciedlający tę relację.
| (14.1) |
Funkcja dyskontowania wykorzystywana jest przy analizie inwestycji w celu uwzględnienia wpływu czynnika czasu i sprowadzenia kosztów w różnym czasie do jednego punktu (zwykle jest to moment rozpoczęcia realizacji projektu). Stopa dyskontowa w tym przypadku uwzględnia zmiany wartości pieniądza w czasie.
Model zwrotu z inwestycji (14.1) wyraźnie pokazuje, jakie dwa główne zadania należy rozwiązać analizując dowolny projekt inwestycyjny, a w szczególności projekt wdrożenia działań z zakresu bezpieczeństwa informacji: obliczenie kosztów związanych z projektem i obliczenie dodatkowych środków pieniężnych przepływ. Jeśli metodologia obliczania kosztów całkowitych () w ciągu ostatnich 10-15 lat została ogólnie w pełni ukształtowana (w formie koncepcji „Całkowitego kosztu posiadania”, TCO - całkowity koszt posiadania, TCO) i jest aktywnie wykorzystywana w praktyce w odniesieniu do różne typy systemów informatycznych i elementów infrastruktury informatycznej, następnie obliczenie dodatkowych przepływów pieniężnych () uzyskanych w wyniku inwestycji w narzędzia bezpieczeństwa informacji z reguły powoduje poważne trudności. Jednym z najbardziej obiecujących podejść do obliczania tego wskaźnika jest metodologia oparta na ilościowej (pieniężnej) ocenie ryzyka uszkodzenia zasobów informacyjnych oraz ocenie redukcji tego ryzyka związanej z wdrożeniem dodatkowych środków ochrony informacji .
Zatem ogólnie rzecz biorąc, skład metodyki analizy możliwości inwestowania w projekty mające na celu zapewnienie bezpieczeństwa informacji przedstawiono schematycznie na ryc.
Analiza kosztów związanych z realizacją projektu, choć jest zadaniem stosunkowo prostszym, może jednak przysporzyć pewnych trudności. Podobnie jak w przypadku wielu innych projektów z zakresu technologii informatycznych, wskazane jest dokonanie analizy kosztów realizacji projektów z zakresu bezpieczeństwa informacji w oparciu o znaną podstawową metodologię „Total Cost of Ownership” – TCO (Total Cost of Ownership – TCO), wprowadzonego przez firmę konsultingową „Gartner Group” w 1987 roku w odniesieniu do komputerów osobistych. Generalnie metodologia ta ma na celu zapewnienie pełnej analizy kosztów (zarówno bezpośrednich, jak i pośrednich) związanych z technologiami informacyjnymi i systemami informacyjnymi w sytuacjach, w których konieczna jest ocena skutków ekonomicznych wdrożenia i użytkowania takich systemów: przy ocenie efektywność inwestycji, porównywanie technologii alternatywnych, sporządzanie budżetów kapitałowych i operacyjnych itp.
Ogólnie rzecz biorąc, całkowita wartość TCO obejmuje:
Ponadto przy obliczaniu kosztów podniesienia poziomu bezpieczeństwa informacji należy uwzględnić koszty reorganizacji procesów biznesowych i pracy informacyjnej z personelem: opłaty za usługi konsultantów biznesowych i konsultantów w kwestiach bezpieczeństwa informacji, koszty rozwoju dokumentacji organizacyjnej, koszty przeprowadzenia audytów stanu bezpieczeństwa informacji itp. .str. Ponadto analizując koszty, należy również wziąć pod uwagę fakt, że w większości przypadków wprowadzenie narzędzi bezpieczeństwa informacji implikuje pojawienie się dodatkowych obowiązków dla personelu przedsiębiorstwa i konieczność wykonywania dodatkowych operacji podczas pracy z systemami informatycznymi . Powoduje to nieznaczny spadek produktywności pracowników firmy i w związku z tym może wiązać się z dodatkowymi kosztami.
Cel badania: analiza i określenie głównych trendów na rosyjskim rynku bezpieczeństwa informacji
Wykorzystano dane Rosstat (formularze sprawozdawcze statystyczne nr 3-Inform, P-3, P-4), sprawozdania finansowe przedsiębiorstw itp.
Analizie poddano okres 2012-2016. Dane nie pretendują do miana kompletności (ponieważ są zbierane od ograniczonej liczby przedsiębiorstw), ale naszym zdaniem można je wykorzystać do oceny trendów. Liczba ankietowanych przedsiębiorstw w badanym okresie wahała się od 200 do 210 tys. Oznacza to, że próba jest dość stabilna i obejmuje najbardziej prawdopodobnych konsumentów (duże i średnie przedsiębiorstwa), którzy odpowiadają za większość sprzedaży.
Według formularza statystycznego 3-Inform, w 2016 roku około 12,4 miliona jednostek w rosyjskich organizacjach przekazało informacje w tym formularzu komputery osobiste(komputer). W tym przypadku PC oznacza komputer stacjonarny i laptopy, koncepcja ta nie obejmuje urządzeń mobilnych telefony komórkowe i kieszonkowe komputery osobiste.
W ciągu ostatnich 5 lat liczba jednostek PC w organizacjach w całej Rosji wzrosła o 14,9%. Najlepiej wyposażonym okręgiem federalnym jest Centralny Okręg Federalny, w którym znajduje się 30,2% komputerów PC w firmach. Niekwestionowanym wiodącym regionem pod względem tego wskaźnika jest miasto Moskwa, według danych za 2016 rok moskiewskie firmy posiadają około 1,8 miliona komputerów PC. Najniższą wartość wskaźnika odnotowano w Północnokaukaskim Okręgu Federalnym, organizacje w tym okręgu posiadają jedynie około 300 tys. jednostek PC, najmniej w Republice Inguszetii – 5,45 tys. jednostek.
W latach 2014-2015. Niekorzystna sytuacja gospodarcza rosyjskie firmy zmuszone były do minimalizacji kosztów, w tym kosztów technologii informacyjno-komunikacyjnych. W 2014 roku spadek kosztów w sektorze ICT wyniósł 5,7%, jednak na koniec 2015 roku można było zaobserwować lekką pozytywną tendencję. W 2016 roku rosyjskie firmy wydały 1,25 biliona dolarów na technologie informacyjno-komunikacyjne. rub., przekraczając poziom sprzed kryzysu w 2013 r. o 0,3%.
Większość kosztów przypada na firmy zlokalizowane w Moskwie – ponad 590 miliardów rubli, czyli 47,2% całości. Największe wolumeny wydatków organizacji na technologie informacyjno-komunikacyjne w 2016 r. odnotowano w: obwodzie moskiewskim – 76,6 mld rubli, Petersburgu – 74,4 mld rubli, obwodzie tiumeńskim – 56,0 mld rubli, Republice Tatarstanu – 24,7 mld rubli, Niżnym Nowogrodzie region – 21,4 miliarda rubli. Najniższe koszty odnotowano w Republice Inguszetii – 220,3 mln rubli.
W ostatnim czasie znacząco wzrosła liczba firm korzystających z narzędzi ochrony bezpieczeństwa informacji. Roczna dynamika ich liczby jest dość stabilna (z wyjątkiem 2014 r.) i wynosi około 11-19% rocznie.
Według oficjalnych danych Rosstatu, Najpopularniejszymi obecnie środkami ochrony są techniczne środki uwierzytelniania użytkowników (tokeny, klucze USB, karty inteligentne). Spośród ponad 157 tys. firm, 127 tys. firm (81%) wskazało na wykorzystanie tych konkretnych narzędzi jako ochrony informacji.
Według oficjalnych statystyk, w 2016 roku 161 421 firm korzystało z globalnego Internetu w celach komercyjnych. Wśród organizacji, które korzystają z Internetu w celach komercyjnych i wskazały na stosowanie zabezpieczeń informacji, najpopularniejszym rozwiązaniem jest elektroniczny podpis cyfrowy. To narzędzie Ponad 146 tys. firm, czyli 91% ogółu, wskazało jako środki ochrony. Według wykorzystania narzędzi bezpieczeństwa informacji, firmy rozłożyły się następująco:
W latach 2012-2016 liczba firm wykorzystujących Internet w celach komercyjnych wzrosła o 34,9%. W 2016 roku 155 028 firm wykorzystywało Internet do komunikacji z dostawcami, a 110 421 firm wykorzystywało Internet do komunikacji z konsumentami. Spośród firm korzystających z Internetu do komunikacji z dostawcami, cel użycia wskazano:
Spośród ogólnej liczby firm wykorzystujących Internet do komunikacji z konsumentami, cel wykorzystania wskazano:
Według Skarb Federalny, łączna wielkość limitów zobowiązań budżetowych na rok 2017, przekazana federalnym organom wykonawczym (zwanym dalej federalnym organem wykonawczym) według kodu rodzaju wydatku 242 „Zakup towarów, robót budowlanych, usług w zakresie technologii informacyjno-komunikacyjnych ”w zakresie informacji nie stanowiących tajemnicy państwowej, według stanu na dzień 1 sierpnia 2017 r. wyniosła 115,2 mld rubli, co stanowi o około 5,1% więcej niż łączny budżet federalnych władz wykonawczych na informatykę w 2016 r. (109,6 mld rubli – podaje Ministerstwo Telekomunikacji i Komunikacji Masowej). Tym samym, choć łączny wolumen budżetów IT departamentów federalnych z roku na rok rośnie, dynamika wzrostu spadła (w 2016 roku łączny wolumen budżetów IT wzrósł o 8,3% w porównaniu do 2015 roku). Naraz Istnieje coraz większe rozwarstwienie między „bogatymi” i „biednymi”, jeśli chodzi o wydatki wydziałów na technologie informacyjno-komunikacyjne. Niekwestionowanym liderem nie tylko pod względem wielkości budżetu, ale także osiągnięć w dziedzinie IT jest Federalna Służba Skarbowa. Jego tegoroczny budżet ICT wynosi ponad 17,6 miliarda rubli, co stanowi ponad 15% budżetu wszystkich federalnych władz wykonawczych. Łączny udział pierwszej piątki (Federalna Służba Podatkowa, Fundusz Emerytalny Federacji Rosyjskiej, Skarb Państwa, Ministerstwo Spraw Wewnętrznych, Ministerstwo Telekomunikacji i Komunikacji Masowej) wynosi ponad 53%.
Od 1 stycznia 2016 r. wszystkie organy państwowe i gminne, korporacje państwowe Rosatom i Roscosmos, organy zarządzające państwowymi funduszami pozabudżetowymi, a także instytucje państwowe i budżetowe realizujące zamówienia zgodnie z wymogami ustawy federalnej z dnia 5 kwietnia 2013 r. Nr 44 -FZ „W sprawie systemu zamówień w zakresie zamówień na towary, roboty budowlane, usługi na potrzeby państwa i gmin”, mają obowiązek przestrzegać zakazu dopuszczania oprogramowania pochodzącego z zagranicy dla celów zamówień na potrzeby państwa i gminy. Zakaz został wprowadzony Dekretem Rządu Federacji Rosyjskiej z dnia 16 listopada 2015 r. nr 1236 „W sprawie ustanowienia zakazu dopuszczania oprogramowania pochodzącego z zagranicy w celu nabycia na potrzeby państwowe i komunalne”. Kupując oprogramowanie, powyżsi klienci muszą bezpośrednio wskazać zakaz zakupu importowanego oprogramowania w zawiadomieniu o zakupie. Zakaz dotyczy nabywania programów do komputerów elektronicznych i baz danych, realizowanych niezależnie od rodzaju umowy na nośniku materialnym i (lub) drogą elektroniczną za pośrednictwem kanałów komunikacji, a także praw wyłącznych do takiego oprogramowania oraz praw do korzystania z tego oprogramowania.
Istnieje kilka wyjątków, w których dozwolony jest zakup importowanego oprogramowania przez klientów.
We wszystkich innych przypadkach klient będzie zobowiązany do współpracy jeden rejestr Rosyjskie programy dla komputerów elektronicznych i baz danych oraz klasyfikator programów dla komputerów elektronicznych i baz danych.
Utworzeniem i prowadzeniem rejestru jako upoważnionego federalnego organu wykonawczego zajmuje się Ministerstwo Telekomunikacji i Komunikacji Masowej Rosji.
Według stanu na koniec sierpnia 2017 r. w rejestrze znajdowały się 343 produkty programowe należące do klasy „narzędzi bezpieczeństwa informacji” pochodzące od 98 rosyjskich firm deweloperskich. Wśród nich znajdują się produkty oprogramowania takich głównych rosyjskich programistów, jak:
Do analizy trendów wybraliśmy 18 firm, które należą do liderów rynku bezpieczeństwa informacji i aktywnie uczestniczą w zamówieniach rządowych. Na liście znajdują się zarówno bezpośredni twórcy oprogramowania oraz sprzętu i systemów bezpieczeństwa oprogramowania, jak i najwięksi integratorów systemów. Łączne przychody tych spółek w 2016 roku wyniosły 162,3 mld rubli i były o 8,7% wyższe niż w roku 2015.
Poniżej znajduje się lista firm wybranych do badania.
| № | Nazwa | CYNA | Rodzaj działalności (OKVED 2014) |
| 1 | Firma "I-Teco" SA | 7736227885 | Działalność związana z wykorzystaniem technologii komputerowej i technologii informatycznych, pozostała (62.09) |
| 2 | Croc Inc., spółka z ograniczoną odpowiedzialnością | 7701004101 | |
| 3 | „Informzashita”, NIP CJSC | 7702148410 | Prace badawczo-rozwojowe w zakresie nauk społecznych i humanistycznych (72.20) |
| 4 | „Softline Trade”, SA | 7736227885 | |
| 5 | „Technoserv AS”, spółka z ograniczoną odpowiedzialnością | 7722286471 | Handel hurtowy pozostałymi maszynami i urządzeniami (46.69) |
| 6 | „Elvis-plus”, SA | 7735003794 | |
| 7 | Firma "Asteros" SA | 7721163646 | Handel hurtowy komputerami, urządzeniami peryferyjnymi do komputerów i oprogramowaniem (46.51 |
| 8 | „Firma Produkcyjna Wodnik”, LLC | 7701256405 | |
| 9 | Lanit, CJSC | 7727004113 | Handel hurtowy pozostałymi maszynami i urządzeniami biurowymi (46.66) |
| 10 | Jet Infosystems spółka z ograniczoną odpowiedzialnością | 7729058675 | Handel hurtowy komputerami, urządzeniami peryferyjnymi do komputerów i oprogramowaniem (46.51) |
| 11 | „Dialognauka”, SA | 7701102564 | Tworzenie oprogramowania komputerowego (62.01) |
| 12 | „Factor-TS”, LLC | 7716032944 | Produkcja komputerów i sprzętu peryferyjnego (26.20) |
| 13 | „InfoTeKS”, SA | 7710013769 | Tworzenie oprogramowania komputerowego (62.01) |
| 14 | „Ural Centrum Systemów Bezpieczeństwa”, LLC | 6672235068 | Działalność w zakresie architektury, inżynierii i doradztwa technicznego w tych dziedzinach (71,1) |
| 15 | „ICL-KPO VS”, SA | 1660014361 | Tworzenie oprogramowania komputerowego (62.01) |
| 16 | Grupa NVision, SA | 7703282175 | Handel hurtowy niewyspecjalizowany (46,90) |
| 17 | „Poufna Integracja”, LLC | 7811512250 | Działalność związana z przetwarzaniem danych, świadczenie usług hostingowych i działalność powiązana (63.11) |
| 18 | „Kaluga Astral”, SA | 4029017981 | Działalność doradcza i praca w terenie technologia komputerowa (62.02 |
Według stanu na koniec października 2017 r. przedsiębiorstwa z prezentowanej próby zawarły z agencjami rządowymi 1034 umowy na kwotę 24,6 mld rubli. Liderem tego zestawienia pod względem wolumenu zawartych kontraktów jest firma I-Teco – 74 kontrakty o wartości 7,5 miliarda rubli.
Na przestrzeni ostatnich lat, z wyjątkiem kryzysowego roku 2014, można zauważyć stały wzrost całkowitego wolumenu kontraktów dla wybranych spółek. Największa dynamika miała miejsce w latach 2015-2016. Tym samym w 2015 roku nastąpił ponad 3,5-krotny wzrost wolumenu kontraktów, w 2016 roku - 1,5-krotny. Według dostępnych danych na temat działalności kontraktowej przedsiębiorstw za okres styczeń-październik 2017 r. można założyć, że w 2017 r. łączny wolumen kontraktów z agencjami rządowymi wyniesie około 37-38 miliardów rubli, co oznacza spadek o około 40 oczekuje się %.
Inwestują w różne technologie bezpieczeństwa komputerowego - od platform umożliwiających płacenie premii za wykrywanie luk w programach po diagnostykę i automatyczne testowanie programów. Jednak przede wszystkim przyciągają ich technologie uwierzytelniania i zarządzania informacjami o tożsamości – na koniec 2019 roku w start-upy zajmujące się tymi technologiami zainwestowano około 900 milionów dolarów.
Inwestycje w start-upy szkoleniowe z zakresu cyberbezpieczeństwa osiągnęły w 2019 r. 418 mln dolarów, na czele z KnowBe4, który zebrał 300 mln dolarów. Startup oferuje platformę do symulacji ataków phishingowych oraz szereg programów szkoleniowych.
W 2019 roku firmy zajmujące się bezpieczeństwem Internetu Rzeczy otrzymały około 412 mln dolarów. Liderem w tej kategorii pod względem wolumenu inwestycji jest SentinelOne, który w 2019 roku otrzymał 120 mln dolarów na rozwój technologii ochrony punktów końcowych.
Jednocześnie analitycy Metacurity dostarczają kolejnych danych charakteryzujących sytuację na rynku finansowania przedsięwzięć typu venture w sektorze bezpieczeństwa informacji. W 2019 r. wolumen inwestycji tutaj sięgnął 6,57 mld dolarów, co oznacza wzrost z 3,88 mld dolarów w 2018 r. Wzrosła także liczba transakcji – ze 133 do 219. Jednocześnie średni wolumen inwestycji na transakcję pozostał praktycznie niezmieniony i na koniec 2019 roku wyniósł 29,2 mln – według obliczeń Metacurity.
W 2018 roku sprzedaż sprzętu, oprogramowania i usług służących bezpieczeństwu informacji (IS) osiągnęła poziom 37 miliardów dolarów, co oznacza wzrost o 9% w porównaniu do roku poprzedniego (34 miliardy dolarów). Takie dane opublikowali analitycy Canalys 28 marca 2019 roku.
Mimo że wiele firm priorytetowo traktuje ochronę swoich zasobów, danych, punktów końcowych, sieci, pracowników i klientów, cyberbezpieczeństwo stanowiło zaledwie 2% całkowitych wydatków na IT w 2018 roku – twierdzą. Pojawia się jednak coraz więcej nowych zagrożeń, stają się one coraz bardziej złożone i częstsze, co stwarza producentom rozwiązań z zakresu bezpieczeństwa informacji nowe możliwości rozwoju. Oczekuje się, że całkowite wydatki na cyberbezpieczeństwo w 2020 roku przekroczą 42 miliardy dolarów.
Analityk Canalys Matthew Ball uważa, że przejście na nowe modele wdrażania bezpieczeństwa informacji ulegnie przyspieszeniu. Klienci zmieniają charakter swoich budżetów IT, korzystając z usług chmury publicznej i elastycznych usług opartych na subskrypcji.
Około 82% wdrożeń bezpieczeństwa informacji w 2018 r. dotyczyło wykorzystania tradycyjnego sprzętu i oprogramowania. W pozostałych 18% przypadków wykorzystano wirtualizację, chmury publiczne i usługi bezpieczeństwa informacji.
Do 2020 roku udział tradycyjnych modeli wdrażania systemów bezpieczeństwa informacji spadnie do 70% w związku ze wzrostem popularności nowych rozwiązań na rynku.
| Dostawcy będą musieli stworzyć szeroką gamę modeli biznesowych, aby wesprzeć to przejście, ponieważ różne produkty pasują do siebie różne typy wdrożenia. Głównym wyzwaniem dla wielu jest dziś skupienie nowych modeli na kanałach afiliacyjnych i zintegrowanie ich z już istniejącymi programy partnerskie zwłaszcza w przypadku transakcji z klientami za pośrednictwem platform chmurowych. Niektóre rynki chmurowe już na to zareagowały, umożliwiając partnerom oferowanie dostosowanych ofert i cen bezpośrednio klientom poprzez śledzenie rejestracji transakcji i rabatów, poinformował Matthew Ball w poście z 29 marca 2019 r. |
Według analityka Canalys, Ketaki Borade, czołowi dostawcy technologii cyberbezpieczeństwa wprowadzili nowe modele dystrybucji produktów, które obejmują przejście firm na model subskrypcyjny i zwiększenie liczby operacji w infrastrukturze chmurowej.
| Rynek cyberbezpieczeństwa pozostał bardzo dynamiczny i odnotował rekordową liczbę transakcji oraz wolumen transakcji w odpowiedzi na rosnące wymagania regulacyjne i techniczne, a także utrzymujące się powszechne ryzyko naruszeń danych, powiedział Eric McAlpine, współzałożyciel i partner zarządzający Momentum Cyber. „Wierzymy, że ta dynamika będzie w dalszym ciągu wypychać sektor na nowe terytorium, ponieważ będzie on starał się stawić czoła pojawiającym się zagrożeniom i konsolidować się w obliczu zmęczenia dostawców i rosnących niedoborów wykwalifikowanej siły roboczej”. |
W 2017 r. globalne wydatki na produkty i usługi związane z bezpieczeństwem informacji (IS) osiągnęły 101,5 miliarda dolarów, podała firma badawcza Gartner w połowie sierpnia 2018 r. Na koniec 2017 roku eksperci wycenili ten rynek na 89,13 miliardów dolarów. Nie podano, co spowodowało znaczny wzrost wyceny.
| CISO chcą pomóc swoim organizacjom w bezpiecznym korzystaniu z platform technologicznych, aby zwiększyć konkurencyjność i stymulować rozwój biznesu, mówi Siddharth Deshpande, dyrektor ds. badań w firmie Gartner. - Ciągłe niedobory wykwalifikowanej siły roboczej i zmiany regulacyjne, takie jak ogólne rozporządzenie o ochronie danych (RODO) w Europie, napędzają dalszy rozwój rynku usług w zakresie cyberbezpieczeństwa. |
Eksperci uważają, że jednym z kluczowych czynników wpływających na wzrost kosztów bezpieczeństwa informacji jest wprowadzenie nowych metod wykrywania i reagowania na zagrożenia, które w 2018 roku stały się najwyższym priorytetem bezpieczeństwa organizacji.
Według szacunków Gartnera w 2017 roku wydatki organizacji na usługi cyberochrony na całym świecie przekroczyły 52,3 miliarda dolarów. W 2018 roku koszty te wzrosną do 58,9 miliarda dolarów.
W 2017 roku firmy wydały 2,4 miliarda dolarów na ochronę aplikacji, 2,6 miliarda dolarów na ochronę danych, usługi w chmurze- 185 milionów dolarów
Roczna sprzedaż rozwiązań do zarządzania tożsamością i dostępem (Identity And Access Management) wyniosła 8,8 miliarda. Sprzedaż narzędzi do ochrony infrastruktury IT wzrosła do 12,6 miliarda dolarów.
Badanie wskazuje również, że sprzęt używany do świadczenia usług kosztuje 10,9 miliarda dolarów bezpieczeństwo sieci. Ich producenci zarobili 3,9 miliarda dolarów na systemach zarządzania ryzykiem związanym z bezpieczeństwem informacji.
Według badania Gartnera analitycy szacują, że wydatki na cyberbezpieczeństwo konsumentów w 2017 roku wyniosą 5,9 miliarda dolarów.
W grudniu 2017 roku okazało się, że globalne wydatki firm na bezpieczeństwo informacji (IS) w 2017 roku wyniosą 89,13 miliardów dolarów. Według Gartnera wydatki przedsiębiorstw na cyberbezpieczeństwo przekroczą kwotę 82,2 miliardów dolarów z 2016 roku o prawie 7 miliardów dolarów.
Za największą pozycję wydatków eksperci uważają usługi związane z bezpieczeństwem informacji: w 2017 roku firmy przeznaczą na te cele ponad 53 miliardy dolarów w porównaniu do 48,8 miliardów dolarów w 2016 roku. Drugim co do wielkości segmentem rynku bezpieczeństwa informacji są rozwiązania z zakresu ochrony infrastruktury, których koszty w 2017 roku wyniosą 16,2 miliarda dolarów zamiast 15,2 miliarda dolarów rok temu. Na trzecim miejscu znajduje się sprzęt zapewniający bezpieczeństwo sieci (10,93 miliarda dolarów).
Struktura wydatków na bezpieczeństwo informacji uwzględnia także oprogramowanie konsumenckie służące bezpieczeństwu informacji oraz systemom identyfikacji i zarządzania dostępem (Identity and Access Management, IAM). Gartner szacuje koszty w tych obszarach w 2017 roku na 4,64 miliarda dolarów i 4,3 miliarda dolarów, podczas gdy w 2016 roku były to odpowiednio 4,57 miliarda dolarów i 3,9 miliarda dolarów.
Analitycy spodziewają się dalszego wzrostu rynku bezpieczeństwa informacji: w 2018 roku organizacje zwiększą wydatki na cyberochronę o kolejne 8% i przeznaczą na te cele łącznie 96,3 miliarda dolarów. Wśród czynników wzrostu eksperci wymienili zmieniające się regulacje w sektorze bezpieczeństwa informacji świadomość nowych zagrożeń i zwrot firm w stronę cyfrowej strategii biznesowej.
| Ogólnie rzecz biorąc, wydatki na cyberbezpieczeństwo w dużej mierze wynikają z reakcji firm na incydenty związane z bezpieczeństwem informacji, ponieważ na całym świecie rośnie liczba głośnych cyberataków i wycieków informacji dotykających organizacje, mówi Ruggero Contu, dyrektor ds. badań w firmie Gartner, komentując prognozę . |
Słowa analityka potwierdzają dane uzyskane przez Gartnera w 2016 roku podczas badania, w którym wzięło udział 512 organizacji z ośmiu krajów: Australii, Kanady, Francji, Niemiec, Indii, Singapuru i USA.
53% respondentów wymieniło zagrożenia dla cyberbezpieczeństwa jako główną siłę napędową zwiększonych wydatków na cyberbezpieczeństwo. Z tej liczby największy odsetek respondentów stwierdził, że zagrożenie cyberatakami ma największy wpływ na decyzje dotyczące wydatków na bezpieczeństwo informacji.
Prognoza Gartnera na rok 2018 przewiduje zwiększenie wydatków we wszystkich głównych obszarach. Tym samym na usługi cyberochrony zostanie wydane około 57,7 miliarda dolarów (+4,65 miliarda dolarów), na zapewnienie bezpieczeństwa infrastruktury około 17,5 miliarda dolarów (+1,25 miliarda dolarów), a na oprogramowanie konsumenckie – 4,74 miliarda dolarów (11,67 miliarda dolarów (+735 milionów dolarów) ( +109 mln dolarów), a dla systemów IAM – 4,69 mld dolarów (+416 mln dolarów).
Analitycy uważają również, że do 2020 r. ponad 60% organizacji na świecie zainwestuje jednocześnie w kilka narzędzi do ochrony danych, w tym w narzędzia zapobiegające utracie informacji, szyfrujące i audytujące. Na koniec 2017 roku udział firm kupujących tego typu rozwiązania szacowano na 35%.
Kolejną istotną pozycją wydatków przedsiębiorstw na bezpieczeństwo informacji będzie zaangażowanie zewnętrznych specjalistów. Oczekuje się, że w kontekście niedoborów kadrowych w dziedzinie cyberbezpieczeństwa, rosnącej złożoności technicznej systemów bezpieczeństwa informacji i rosnących zagrożeń cybernetycznych, koszty firm z tytułu outsourcingu bezpieczeństwa informacji w 2018 roku wzrosną o 11% i wyniosą 18,5 miliarda dolarów.
Gartner szacuje, że do 2019 r. wydatki przedsiębiorstw na zewnętrznych ekspertów ds. cyberbezpieczeństwa będą stanowić 75% łącznych wydatków na oprogramowanie i sprzęt do cyberbezpieczeństwa, w porównaniu z 63% w 2016 r.
Dwie trzecie kosztów pokryją spółki zaliczone do przedsiębiorstw dużych i bardzo dużych. Według analityków IDC do 2019 roku koszty korporacji zatrudniających ponad 1000 pracowników przekroczą granicę 50 miliardów dolarów.
W październiku 2016 roku firma analityczna IDC przedstawiła krótkie wyniki badania globalnego rynku bezpieczeństwa informacji. Oczekuje się, że jego wzrost będzie dwukrotnie większy niż rynek IT.
IDC obliczyło, że globalna sprzedaż sprzętu, oprogramowania i usług z zakresu cyberochrony wyniesie w 2016 roku około 73,7 miliardów dolarów, a w 2020 roku przekroczy 100 miliardów dolarów i wyniesie 101,6 miliardów dolarów. W okresie od 2016 do 2020 roku rynek bezpieczeństwa informacji – technologia będzie rosła w średnim tempie 8,3% rocznie, co stanowi dwukrotność oczekiwanej stopy wzrostu branży IT.
Największe wydatki na bezpieczeństwo informacji (8,6 mld dolarów) na koniec 2016 roku spodziewane są w bankach. Na drugim, trzecim i czwartym miejscu pod względem wielkości takich inwestycji znajdą się odpowiednio przedsiębiorstwa produkcji dyskretnej, agencje rządowe i przedsiębiorstwa produkcji ciągłej, które będą odpowiadać za około 37% wydatków.
Analitycy przodują w dynamice wzrostu inwestycji w bezpieczeństwo informacji w służbie zdrowia (w latach 2016-2020 przewidywany jest średnioroczny wzrost na poziomie 10,3%). Koszty cyberochrony w telekomunikacji, sektorze mieszkaniowym, agencjach rządowych oraz na rynku inwestycyjnym i papierów wartościowych będą rosły o około 9% rocznie.
Największym rynkiem bezpieczeństwa informacji badacze nazywają rynek amerykański, którego wolumen w 2016 roku osiągnie 31,5 miliarda dolarów. W pierwszej trójce znajdą się także Europa Zachodnia oraz region Azji i Pacyfiku (bez Japonii). W skróconej wersji badania IDC nie ma żadnych informacji na temat rynku rosyjskiego.
Dyrektor generalny Rosyjska firma„Monitor bezpieczeństwa” Dmitrij Gvozdev przewiduje wzrost udziału usług w całkowitych wydatkach Rosji na bezpieczeństwo z 30-35% do 40-45%, a także przewiduje rozwój struktury klientów na rynku - od całkowitej dominacji rządu , finansowym i energetycznym w stronę średnich przedsiębiorstw z szerszej gamy branż.
| Jednym z trendów powinien być rozwój udziału krajowego oprogramowania w powiązaniu z problematyką substytucji importu oraz sytuacją w polityce zagranicznej. Jednak w jakim stopniu znajdzie to odzwierciedlenie we wskaźnikach finansowych, będzie w dużej mierze zależeć od kursu rubla i polityki cenowej zagranicznych dostawców, którzy nadal zajmują co najmniej połowę krajowego rynku rozwiązania programowe i do dwóch trzecich w segmencie wyposażenia. Ostateczny roczny wynik finansowy całego rosyjskiego rynku rozwiązań w zakresie bezpieczeństwa informacji można powiązać także z zewnętrznymi czynnikami ekonomicznymi, powiedział Gvozdev w rozmowie z TAdviserem. |
WIELKOŚĆ RYNKU
WYDATKI FEDERALNE
CYBERPRZESTĘPCZOŚĆ
KOSZT NARUSZENIA
USŁUGI FINANSOWE
Międzynarodowy
ANALITYKA BEZPIECZEŃSTWA
Wolumen rynku sprzętu zabezpieczającego w regionie EMEA (Europa, Bliski Wschód i Afryka) wzrósł o 2,4% w porównaniu do 2012 roku i wyniósł 2,5 miliarda dolarów. Analitycy uznali wielofunkcyjne systemy oprogramowania i sprzętu do ochrony za największy i najszybciej rozwijający się segment rynku rozważany. sieci komputerowe– Rozwiązania UTM (Unified Threat Management). Jednocześnie IDC przewidziało, że rynek środki techniczne Wartość bezpieczeństwa informacji osiągnie do 2018 r. 4,2 miliarda dolarów, przy średnim rocznym wzroście na poziomie 5,4%.
Na koniec 2013 roku wiodącą pozycję wśród dostawców pod względem przychodów ze sprzedaży sprzętu bezpieczeństwa informacji w regionie EMEA zajęła firma Check Point. Według IDC przychody sprzedawcy w tym segmencie za 2013 rok wzrosły o 3,8% i wyniosły 374,64 mln dolarów, co odpowiada udziałowi w rynku na poziomie 19,3%.
Z badania wynika, że światowy rynek bezpieczeństwa informacji będzie rósł o 8% rocznie do 2016 r., kiedy to może osiągnąć wartość 36 miliardów euro.
„Gazeta Finansowa. Wydanie regionalne”, 2008, N 41
We współczesnych warunkach nie można niedoceniać znaczenia zapewnienia bezpieczeństwa informacji. Najmniejszy wyciek poufnych informacji do konkurencji może skutkować dużymi stratami ekonomicznymi dla firmy, przestojem produkcji, a nawet bankructwem.
Cele bezpieczeństwa informacji to: zapobieganie wyciekom, kradzieży, utracie, zniekształceniu i fałszowaniu informacji; zapobieganie nieuprawnionym działaniom mającym na celu niszczenie, modyfikowanie, zniekształcanie, kopiowanie, blokowanie informacji; zapobieganie innym formom nielegalnej ingerencji w zasoby informacyjne i systemy informacyjne organizacji.
Koszty ochrony informacji obejmują przede wszystkim zakup środków zapewniających jej ochronę przed nieuprawnionym dostępem. Sposobów zapewnienia bezpieczeństwa informacji jest wiele, można je podzielić na dwie duże grupy. Pierwsza to fundusze mające podłoże materialne, takie jak sejfy, kamery CCTV, systemy bezpieczeństwa itp. W rachunkowości zalicza się je do środków trwałych. Drugim są narzędzia nie posiadające podłoża materialnego, takie jak programy antywirusowe, programy ograniczające dostęp do informacji w formie elektronicznej itp. Rozważmy cechy rozliczania takich środków bezpieczeństwa informacji.
Kupując program zapewniający bezpieczeństwo informacji, wyłączne prawa do niego nie przechodzą na kupującego; kupowana jest jedynie chroniona kopia programu, której kupujący nie może kopiować ani rozpowszechniać. Dlatego też przy rozliczaniu takich programów należy kierować się rozdz. VI „Rachunkowość transakcji związanych z udzieleniem (otrzymaniem) prawa do korzystania z wartości niematerialnych i prawnych” nowego PBU 14/2007 „Rachunkowość wartości niematerialnych i prawnych”.
W rzadkich przypadkach, kupując programy bezpieczeństwa informacji, firma otrzymuje wyłączne prawa do nich ten produkt. W takim przypadku program zostanie rozliczony w rachunkowości jako wartości niematerialne i prawne (wartości niematerialne i prawne).
Zgodnie z PBU 14/2007 w zakresie rachunkowości wartości niematerialne i prawne oddane do użytkowania na zasadach umowa licencyjna, których płatności za prawo do korzystania dokonywane są w formie stałej jednorazowej opłaty i których wyłączne prawa nie przechodzą na kupującego, odbiorca musi uwzględnić w rozliczeniach międzyokresowych kosztów i odzwierciedlić w rachunek pozabilansowy (klauzula 39). W takim przypadku okres, w którym wydatki te będą odpisywane na konta kosztów, określa umowa licencyjna. W rachunkowości podatkowej koszty zakupu programów służących do ochrony informacji dla celów podatku dochodowego zalicza się do pozostałych wydatków i odpisuje w analogiczny sposób – w równych częściach, przez okres ustalony w umowie licencyjnej (klauzula 26 ust. 1 art. 264 ust. Ordynacja podatkowa Federacji Rosyjskiej).
W przypadku zapłaty za prawo do korzystania oprogramowanie zapewniające bezpieczeństwo informacji, dokonywane są w formie opłat okresowych, wówczas zgodnie z paragrafem 39 PBU 14/2007 użytkownik zalicza je do kosztów okresu sprawozdawczego, w którym zostały dokonane.
W praktyce umowa licencyjna nie zawsze określa okres korzystania z oprogramowania. Jeżeli nie da się jednoznacznie określić relacji pomiędzy przychodami i wydatkami, w rachunkowości podatkowej wydatki na zakup programów ochrony informacji podatnik rozdziela na potrzeby obliczenia podatku dochodowego samodzielnie, uwzględniając zasadę jednolitego uznawania dochodów i wydatki (art. 272 ust. 1 kodeksu podatkowego Federacji Rosyjskiej). W rachunkowości okres, w którym wydatki te zostaną odpisane z konta 97, ustala kierownictwo przedsiębiorstwa na podstawie przewidywanego czasu korzystania z programu.
Przykład 1. OJSC „Alfa” nabyła licencjonowaną kopię program antywirusowy od Betta LLC za 118 000 rubli z VAT (18%). Umowa licencyjna określa okres korzystania z programu na 9 miesięcy.
W księgach rachunkowych OJSC „Alfa” program należy uwzględnić w następujący sposób:
Dt 60, Kt 51 - 118 000 rub. - dostawca zapłacił koszt oprogramowania;
D-t 60, K-t 97 - 100 000 rub. - otrzymany program zalicza się do rozliczeń międzyokresowych kosztów;
D-t 002 - 100 000 rub. - otrzymany program znajduje odzwierciedlenie na rachunku pozabilansowym;
D-t 19, K-t 60 - 18 000 rub. - naliczony podatek VAT;
Dt 68, Kt 19 - 18 000 rub. - dopuszczony do odliczenia podatku VAT;
D-t 26 (44), K-t 97 - 11111,11 rub. (100 000 RUB: 9 miesięcy) - co miesiąc przez 9 miesięcy koszt programu antywirusowego jest odpisywany w równych częściach jako wydatki.
Zmieńmy warunki z przykładu 1: załóżmy, że Alfa OJSC dokonuje płatności nie jednorazowo, ale w równych ratach przez cały okres obowiązywania umowy licencyjnej. Kwota płatności wyniesie 11 800 rubli. za każdy miesiąc z uwzględnieniem podatku VAT.
W takim przypadku w księgowości zostaną dokonane następujące zapisy:
D-t 002 - 90 000 rub. (10 000 RUB x 9 miesięcy) - otrzymany program ujmowany jest na rachunku pozabilansowym;
D-t 60, K-t 51 - 11 800 rub. - koszt oprogramowania jest płacony dostawcy co miesiąc przez 9 miesięcy;
D-t 19, K-t 60 - 1800 rub. - naliczony podatek VAT;
D-t 26 (44), K-t 60 - 10 000 rub. - koszt programu jest odpisywany jako wydatki;
D-t 68, K-t 19 - 1800 rub. - dopuszczone do odliczenia podatku VAT.
Często przed wygaśnięciem umowy licencyjnej firma zajmująca się oprogramowaniem bezpieczeństwo informacji wydaje ich aktualizację. W takim przypadku wydatki na księgowość i księgowość podatkową zostaną zaakceptowane jednorazowo po odnowieniu.
Powszechną praktyką jest także udostępnianie przez firmę deweloperską oprogramowania organizacjom na krótki okres w celu oceny. Aby prawidłowo odzwierciedlić otrzymany bezpłatnie program bezpieczeństwa informacji, należy go uwzględnić w ramach przychodów przyszłych okresów według wartości rynkowej.
Przykład 2. LLC „Betta” bezpłatnie udostępniła OJSC „Alfa” oprogramowanie zabezpieczające informacje do przeglądu na okres 3 miesięcy. Cena rynkowa tego oprogramowania wynosi 3300 rubli.
W księgach rachunkowych Alfa OJSC należy dokonać następujących wpisów:
D-t 97, K-t 98 - 3300 rub. - oprogramowanie otrzymane bezpłatnie zostało przyjęte do rozliczenia;
D-t 98, K-t 91 - 1100 rub. - miesięcznie przez trzy miesiące część przychodów przyszłych okresów zaliczana jest do pozostałych przychodów.
W rachunkowości podatkowej dochód z nieodpłatnego programu zostanie również zaakceptowany w ciągu trzech miesięcy (art. 271 ust. 2 kodeksu podatkowego Federacji Rosyjskiej).
Koszty ochrony informacji obejmują nie tylko zakup narzędzi bezpieczeństwa informacji, ale także koszty usług doradczych (informacyjnych) w zakresie ochrony informacji (niezwiązanych z nabyciem wartości niematerialnych, trwałych lub innych aktywów organizacji). Zgodnie z klauzulą 7 PBU 10/99 „Wydatki organizacji” koszty usług doradczych w zakresie rachunkowości zalicza się do wydatków na zwykłe czynności w okresie sprawozdawczym, w którym zostały poniesione. W rachunkowości podatkowej klasyfikuje się je jako inne wydatki związane z produkcją i sprzedażą produktów (klauzula 15 ust. 1 art. 264 Kodeksu podatkowego Federacji Rosyjskiej).
Przykład 3. LLC „Betta” świadczyła usługi doradcze w zakresie bezpieczeństwa informacji na rzecz OJSC „Alfa” za łączną kwotę 59 000 rubli, w tym podatek VAT - 9 000 rubli.
W księgach rachunkowych Alfa OJSC należy dokonać następujących wpisów:
D-t 76, K-t 51 - 59 000 rub. - opłacone usługi doradcze;
Pwt 26 (44), Kt 76 – 50 000 rub. - usługi doradcze w zakresie bezpieczeństwa informacji odpisywane są w koszty zwykłej działalności;
Dt 19, Kt 76 - 9000 rub. - naliczony podatek VAT;
Dt 68, Kt 19 - 9000 rub. - dopuszczone do odliczenia podatku VAT.
Przedsiębiorstwa korzystające z uproszczonego systemu podatkowego jako wydatki zmniejszające podstawę opodatkowania podatkiem dochodowym, zgodnie z ust. 19 ust. 1 art. 346.16 Ordynacji podatkowej Federacji Rosyjskiej będą mogli zaakceptować jedynie koszty zakupu programów zapewniających bezpieczeństwo informacji. Koszty usług doradczych w zakresie bezpieczeństwa informacji, o których mowa w art. 346.16 Kodeksu podatkowego Federacji Rosyjskiej nie są wymienione, dlatego do celów podatku dochodowego organizacje nie mają prawa ich akceptować.
W. Szczenikow
Asystent audytora
dział audytu
Baker Tilly Rusaudit LLC
Istnieją dwa główne podejścia do uzasadniania kosztów bezpieczeństwa informacji.
Podejście naukowe. Aby to zrobić, konieczne jest zaangażowanie kierownictwa firmy (lub jej właściciela) w ocenę kosztów zasobów informacyjnych i określenie potencjalnej szkody wynikającej z naruszeń w zakresie bezpieczeństwa informacji.
1. Jeśli koszt informacji jest niski, nie ma znaczących zagrożeń dla aktywów informacyjnych firmy, a potencjalne szkody są minimalne, zapewnienie bezpieczeństwa informacji wymaga mniejszych nakładów finansowych.
2. Jeżeli informacja ma określoną wartość, zagrożenia i potencjalne szkody są znaczne i określone, pojawia się pytanie o uwzględnienie w budżecie kosztów na podsystem bezpieczeństwa informacji. W takim przypadku konieczne jest zbudowanie systemu korporacyjnego ochrona informacji.
Praktyczne podejście polega na określeniu realnej opcji kosztowej korporacyjnego systemu bezpieczeństwa informacji opartego na podobnych systemach w innych obszarach. Praktycy zajmujący się bezpieczeństwem informacji uważają, że koszt systemu bezpieczeństwa informacji powinien wynosić około 10-20% kosztu korporacyjnego systemu informacyjnego, w zależności od konkretnych wymagań dotyczących reżimu bezpieczeństwa informacji.
Ogólnie przyjęte wymagania dotyczące zapewnienia reżimu bezpieczeństwa informacji „najlepszych praktyk” (oparte na praktycznych doświadczeniach), sformalizowane w szeregu norm, np. ISO 17799, są wdrażane w praktyce przy opracowywaniu konkretnych metod oceny efektywności systemu bezpieczeństwa informacji.
Zastosowanie nowoczesnych metod szacowania kosztów bezpieczeństwa informacji umożliwia obliczenie całej zużywalnej części majątku informacyjnego organizacji, w tym bezpośrednich i pośrednich kosztów sprzętu i oprogramowanie, wydarzenia organizacyjne, szkolenia i rozwój zawodowy pracowników, reorganizacje, restrukturyzacje przedsiębiorstw itp.
Są niezbędne do wykazania opłacalności istniejących systemów ochrony korporacyjnej i pozwalają szefom służb bezpieczeństwa informacji uzasadnić budżet na bezpieczeństwo informacji, a także wykazać efektywność pracy pracowników odpowiednich służb. Metody szacowania kosztów stosowane przez firmy zagraniczne pozwalają na:
Uzyskaj odpowiednie informacje na temat poziomu bezpieczeństwa rozproszonego środowiska obliczeniowego i całkowitego kosztu posiadania korporacyjnego systemu bezpieczeństwa informacji.
Porównaj działy bezpieczeństwa informacji organizacji zarówno między sobą, jak i z podobnymi działami innych organizacji w branży.
Optymalizuj inwestycje w bezpieczeństwo informacji organizacji.
Jedną z najbardziej znanych metod szacowania kosztów w odniesieniu do systemu bezpieczeństwa informacji jest metoda całkowity koszt posiadania (TCO) firma Gartner Group Wskaźnik TCO rozumiany jest jako suma kosztów bezpośrednich i pośrednich organizacji (reorganizacji), eksploatacji i utrzymania korporacyjnego systemu bezpieczeństwa informacji w ciągu roku. Jest stosowany na prawie wszystkich głównych etapach cyklu życia korporacyjnego systemu bezpieczeństwa informacji i umożliwia obiektywne i niezależne uzasadnienie ekonomicznej wykonalności wprowadzenia i stosowania określonych środków organizacyjnych i technicznych oraz środków bezpieczeństwa informacji. Dla obiektywności decyzji konieczne jest również dodatkowe uwzględnienie stanu otoczenia zewnętrznego i wewnętrznego przedsiębiorstwa, na przykład wskaźników rozwoju technologicznego, kadrowego i finansowego przedsiębiorstwa.
Porównanie określonego wskaźnika TCO z podobnymi wskaźnikami TCO w branży (z podobnymi firmami) pozwala obiektywnie i niezależnie uzasadnić koszty organizacji związane z bezpieczeństwem informacji. Przecież często okazuje się, że dość trudne lub wręcz praktycznie niemożliwe jest oszacowanie bezpośredniego efektu ekonomicznego tych kosztów.
Całkowity koszt posiadania systemu bezpieczeństwa informacji zazwyczaj składa się z kosztów:
prace projektowe,
Zakupy i konfiguracja narzędzi do ochrony oprogramowania i sprzętu, w tym następujących głównych grup: zapory ogniowe, narzędzia kryptograficzne, antywirusy i AAA (narzędzia do uwierzytelniania, autoryzacji i administracji),
Koszty zapewnienia bezpieczeństwa fizycznego,
Szkolenie personelu,
Zarządzanie i wsparcie systemowe (administracja bezpieczeństwa),
Audyt bezpieczeństwa informacji, - okresowa modernizacja systemu bezpieczeństwa informacji.
Koszty bezpośrednie obejmują zarówno składniki kosztów kapitałowych (związane ze środkami trwałymi lub „nieruchomością”), jak i koszty pracy, które zaliczane są do kategorii operacji i zarządzania administracyjnego. Do tego zaliczają się koszty usług użytkowników zdalnych itp., związane ze wsparciem działalności organizacji.
Z kolei koszty pośrednie odzwierciedlają wpływ korporacyjnego systemu informacyjnego i podsystemu bezpieczeństwa informacji na pracowników organizacji poprzez takie mierzalne wskaźniki, jak przestoje i zamrożenia systemu bezpieczeństwa informacji korporacyjnej i systemu informacyjnego jako całości, koszty operacyjne i wsparcia (niezwiązane do kosztów bezpośrednich). Bardzo często koszty pośrednie odgrywają znaczącą rolę, gdyż zwykle nie są początkowo uwzględniane w budżecie bezpieczeństwa informacji, ale ujawniane są w dalszej części analizy kosztów.
Obliczanie wskaźników TCO organizacji odbywa się w następujących obszarach.
Elementy korporacyjnego systemu informatycznego(w tym system bezpieczeństwa informacji) i działalność informacyjną organizacji (serwery, komputery klienckie, urządzenia peryferyjne, urządzenia sieciowe).
Wydatki na sprzęt i oprogramowanie służące bezpieczeństwu informacji: materiały eksploatacyjne i koszty amortyzacji nie obejmują serwerów, komputerów klienckich (komputerów stacjonarnych i komputery mobilne), urządzenia peryferyjne i komponenty sieciowe.
Koszty organizacji bezpieczeństwa informacji: utrzymanie systemu bezpieczeństwa informacji, standardowe wyposażenie bezpieczeństwa urządzenia peryferyjne, serwerów, urządzeń sieciowych, planowanie i zarządzanie procesami bezpieczeństwa informacji, opracowywanie koncepcji i polityk bezpieczeństwa i inne.
Wydatki na funkcjonowanie systemów informatycznych tematyka: koszty bezpośrednie personelu, koszty pracy i outsourcingu realizowane przez organizację jako całość lub usługa do wdrożenia wsparcie techniczne oraz operacje mające na celu utrzymanie infrastruktury dla użytkowników.
Wydatki administracyjne: bezpośrednie koszty personelu, wsparcie operacyjne i koszty dostawców wewnętrznych/zewnętrznych (sprzedawców) wspierających operacje, w tym zarządzanie, finansowanie, nabywanie i szkolenie systemów informatycznych.
Koszty operacyjne użytkownicy końcowi : Koszty samoobsługi użytkownika końcowego, formalne szkolenie użytkownika końcowego, dorywcze (nieformalne) szkolenie, samodzielne tworzenie aplikacji, obsługa lokalnego systemu plików.
Koszty przestoju: Roczne straty produktywności użytkownika końcowego spowodowane planowanymi i nieplanowanymi przestojami zasoby sieciowe, w tym komputery klienckie, udostępnione serwery, drukarki, programy użytkowe, zasoby komunikacyjne i oprogramowanie komunikacyjne.
