Аннотация: В лекции рассматриваются задачи и методы экономического анализа целесообразности реализации мероприятий по обеспечению информационной безопасности в определенных условиях.
Управление информационной безопасностью , так же как и управление во многих других сферах деятельности, предполагает периодическое принятие различных управленческих решений, заключающихся, как правило, в выборе определенных альтернатив (отборе одной из возможных организационных схем или одного из доступных технических решений) или определении некоторых параметров отдельных организационных и/или технических систем и подсистем. Одним из возможных подходов к выбору альтернатив в ситуации принятия управленческого решения является т.н. "волевой" подход, когда решение по тем или иным причинам принимается интуитивно и формально обоснованная причинно-следственная взаимосвязь между определенными исходными предпосылками и конкретным принятым решением не может быть установлена. Очевидно, что альтернативой "волевому" подходу становится принятие решений, основанное на определенных формальных процедурах и последовательном анализе .
Основой такого анализа и последующего принятия решений является экономический анализ , предполагающий изучение всех (или хотя бы основных) факторов, под влиянием которых происходит развитие анализируемых систем, закономерностей их поведения, динамики изменения, а также использование универсальной денежной оценки. Именно на основе адекватно построенных экономических моделей и осуществляемого с их помощью экономического анализа должны приниматься решения, касающиеся как общей стратегии развития, так и отдельных организационных и технических мероприятий, как на уровне государств, регионов и отраслей, так и на уровне отдельных предприятий, подразделений и информационных систем.
При этом, так же как и экономика любой отрасли деятельности имеет свои особенности, экономика информационной безопасности, рассматриваемая как относительно самостоятельная дисциплина, с одной стороны, базируется на некоторых общих экономических законах и методах анализа, а с другой – нуждается в индивидуальном понимании, развитии специфических подходов к анализу, накоплении статистических данных, специфичных для этой сферы, формировании устойчивых представлений о факторах, под влиянием которых функционируют информационные системы и средства защиты информации .
Сложность задач экономического анализа практически во всех областях деятельности, как правило, обуславливается тем, что многие ключевые параметры экономических моделей невозможно достоверно оценить, и они носят вероятностный характер (такие как, например, показатели потребительского спроса). Анализ усложняется также тем, что даже небольшие колебания (корректировка оценок) таких параметров могут серьезно повлиять на значения целевой функции и, соответственно, на решения, принимаемые по результатам анализа. Таким образом, для обеспечения как можно большей достоверности расчетов в процессе проведения экономического анализа и принятия решений необходимо организовать комплекс работ по сбору исходной информации, расчету прогнозных значений, опросу экспертов в различных областях и обработке всех данных. При этом в процессе проведения такого анализа необходимо уделять особое внимание промежуточным решениям, касающимся оценок тех или иных параметров, входящих в общую модель. Необходимо также учитывать то обстоятельство, что сам по себе такой анализ может оказаться достаточно ресурсоемкой процедурой и потребовать привлечения дополнительных специалистов и сторонних консультантов, а также усилий со стороны различных специалистов (экспертов), работающих на самом предприятии, – все эти затраты , в конечном счете, должны быть оправданы.
Особая сложность экономического анализа в такой сфере, как информационная безопасность , обуславливается такими специфическими факторами, как:
Это требует дополнительных усилий по организации процесса экономического анализа, а также зачастую приводит к тому, что многие принимаемые решения, относящиеся к обеспечению информационной безопасности, могут оказаться неадекватными. Примерами ситуаций, в которых недостаточная развитость методологии экономического анализа негативно влияет на состояние информационной безопасности, могут быть случаи, когда:
В процессе текущей деятельности предприятиям постоянно приходится сталкиваться с теми или иными изменениями: уточняются бизнес-процессы , меняется конъюнктура рынков сбыта и рынков потребляемых материальных ресурсов и услуг, появляются новые технологии, изменяют свое поведение конкуренты и контрагенты, меняется законодательство и политика государства и т.д. В этих условиях менеджерам (в том числе и руководителям, отвечающим за обеспечение информационной безопасности) приходится постоянно анализировать происходящие изменения и адаптировать свою работу к постоянно меняющейся ситуации. Конкретные формы, в которых проявляется реакция руководителей, могут быть различными. Это может быть смена маркетинговой политики, реорганизация бизнес-процессов, изменение технологий, изменение производимого продукта, слияние с конкурентами или их поглощение и т.п. Однако при всем разнообразии возможных моделей поведения в меняющейся среде почти всех их объединяет один важный общий для них методологический элемент: в большинстве случаев реакция бизнеса на новые угрозы и новые возможности предполагает осуществление новых более или менее долгосрочных и ресурсоемких вложений (инвестиций) в определенные организационные и/или технические мероприятия, которые, с одной стороны, предполагают расходование ресурсов (денежных средств), а с другой – дают возможность получить новые выгоды, выражающиеся в увеличении дохода или сокращении некоторых текущих расходов.
Таким образом, в ситуации, когда необходимо осуществить некоторые новые организационные или технические мероприятия (реализовать проект), основной задачей лиц, отвечающих за эффективную организацию информационной безопасности, является четкое соотнесение затрат, которые придется понести в связи с реализацией этого мероприятия (как единовременные, так и постоянные текущие), и дополнительных (новых) денежных потоков, которые будут получены. В данном случае под денежным потоком может пониматься экономия затрат, предотвращение убытков, а также дополнительный доход предприятия.
В качестве основного показателя, отражающего это соотношение, в экономической практике принято использовать функцию отдачи от инвестиций – Return on Investment, .
| (14.1) |
Функция дисконтирования используется при анализе инвестиционных вложений для учета влияния фактора времени и приведения разновременных затрат к одному моменту (обычно моменту начала реализации проекта). Ставка дисконтирования в этом случае позволяет учесть изменение стоимости денег с течением времени.
Модель отдачи от инвестиций (14.1) наглядно демонстрирует, какие две основные задачи необходимо решить при анализе любого инвестиционного проекта и, в частности, проекта по реализации мероприятий в сфере информационной безопасности: расчет затрат, связанных с проектом, и расчет дополнительного денежного потока. Если методология расчета совокупных затрат () за последние 10-15 лет в целом достаточно полно сформировалась (в виде концепции " Total Cost of Ownership", TCO – Совокупная стоимость владения, ССВ) и активно используется на практике применительно к различным видам информационных систем и элементам информационной инфраструктуры , то расчет дополнительного денежного потока (), получаемого в результате инвестиций в средства защиты информации , как правило, вызывает серьезные затруднения. Одним из наиболее перспективных подходов к расчету этого показателя является методика, которая опирается на количественную (денежную) оценку рисков ущерба для информационных ресурсов и оценку уменьшения этих рисков, связанного с реализацией дополнительных мероприятий по защите информации.
Таким образом, в целом состав методологии анализа целесообразности вложений средств в проекты, направленные на обеспечение информационной безопасности, схематично представлен на рис. 14.1 .
Анализ затрат, связанных с реализацией проекта, хотя и является относительно более простой задачей, все же может вызвать определенные затруднения. Так же как и для многих других проектов в сфере информационных технологий, анализ затрат на реализацию проектов в сфере информационной безопасности целесообразно осуществлять, опираясь на известную базовую методологию " Total Cost of Ownership" - TCO (Совокупная стоимость владения - ССВ), введенную консалтинговой компанией "Gartner Group " в 1987 году применительно к персональным компьютерам. В целом, эта методика ориентирована на обеспечение полноты анализа издержек (как прямых, так и косвенных), связанных с информационными технологиями и информационными системами, в ситуациях, когда необходимо оценить экономические последствия внедрения и использования таких систем: при оценке эффективности инвестиций, сравнении альтернативных технологий, составлении капитальных и текущих бюджетов и т.п.
В общем случае суммарная величина ССВ включает в себя:
Также в расчет затрат на повышение уровня информационной безопасности необходимо включить расходы на реорганизацию бизнес-процессов и информационную работу с персоналом: оплата услуг бизнес-консультантов и консультантов по вопросам информационной безопасности, расходы на разработку организационной документации, расходы на проведение аудитов состояния информационной безопасности и т.п. Кроме того, при анализе расходов необходимо также учесть то обстоятельство, что в большинстве случаев внедрение средств защиты информации предполагает появление дополнительных обязанностей у персонала предприятия и необходимость осуществления дополнительных операций при работе с информационными системами. Это обуславливает некоторое снижение производительности труда сотрудников предприятия и, соответственно, может вызвать дополнительные расходы .
Цель исследования: проанализировать и определить основные тенденции на российском рынке информационной безопасности
Использованы данные Росстата (формы статистической отчетности №№ 3-Информ, П-3, П-4), Бухгалтерская отчетность предприятий и проч.
Проанализирован период 2012-2016 гг. Данные не претендуют на полноту (так как собираются по ограниченному кругу предприятий), но, по-нашему мнению, могут использоваться для оценки тенденций. Количество предприятий-респондентов за рассматриваемый период находилось в пределах от 200 до 210 тысяч. То есть выборка достаточно стабильна и включает наиболее вероятных потребителей (крупные и средние предприятия), на которых приходится основной объем продаж.
По данным формы статистической отчетности 3-Информ, в 2016 году в российских организациях, предоставивших сведения по данной форме, насчитывалось около 12,4 млн. единиц персональных компьютеров (ПК). Под ПК, в данном случае, подразумеваются настольные и портативные компьютеры, это понятие не включает в себя мобильные сотовые телефоны и карманные персональные компьютеры.
За последние 5 лет количество единиц ПК в организациях, в целом по России, выросло на 14,9%. Самым оснащенным федеральным округом является ЦФО, на его долю приходится 30,2% ПК в компаниях. Безусловный регион-лидер по данному показателю – город Москва, по данным за 2016 год в московских компаниях насчитывается около 1,8 млн. ПК. Наименьшее значение показателя отмечено в СКФО, в организациях округа насчитывается всего около 300 тыс. единиц ПК, наименьшее количество в республике Ингушетия – 5,45 тыс. единиц.
В период 2014-2015 гг. в связи с неблагоприятной экономической обстановкой российские компании были вынуждены минимизировать свои затраты, в том числе и расходы на информационно-коммуникационные технологии. В 2014 году снижение затрат на сферу ИКТ составило 5,7%, но уже по итогам 2015 года наблюдалась незначительная положительная динамика. В 2016 году затраты российских компаний на информационно-коммуникационные технологии составили 1,25 трлн. руб., превысив показатель докризисного 2013 года на 0,3%.
Основная часть затрат приходится на компании, расположенные в Москве – свыше 590 млрд. рублей, или 47,2% от общего объема. Наибольшие объемы затрат организаций на информационные и коммуникационные технологии в 2016 году зафиксированы в : Московская область – 76,6 млрд. рублей, г. Санкт-Петербург – 74,4 млрд. рублей, Тюменская область – 56,0 млрд. рублей, республика Татарстан – 24,7 млрд. рублей, Нижегородская область – 21,4 млрд. рублей. Самые низкие объемы затрат отмечены в республике Ингушетия – 220,3 млн. рублей.
В последнее время можно отметить значительный рост числа компаний, использующих средства защиты информационной безопасности. Ежегодные темпы прироста их числа достаточно стабильны (за исключением 2014 года), и составляют порядка 11-19% в год.
По официальным данным Росстата, наиболее востребованными средствами защиты в настоящее время являются технические средства аутентификации пользователей (токены, USB-ключи, смарт-карты). Из более чем 157 тысяч компаний, 127 тысяч компаний (81%) указали использование именно этих средств в качестве защиты информации.
По данным официальной статистики, в 2016 году 161 421 компания использовала глобальную сеть Интернет в коммерческих целях. Среди организаций, использующих Интернет в коммерческих целях и указавших применение средств защиты информации, наибольшей популярностью пользуется электронная цифровая подпись. Данный инструмент в качестве средства защиты указали свыше 146 тысяч компаний, или 91% от общего числа. По использованию средств защиты информации компании распределились следующим образом:
В период 2012-2016 гг., количество компаний, использующих Интернет в коммерческих целях, увеличилось на 34,9%. В 2016 году 155 028 компаний использовали Интернет для связи с поставщиками и 110 421 компания – для связи с потребителями. Из компаний, использующих Интернет для связи с поставщиками, целью использования указали:
Из общего числа компаний, использующих Интернет для связи с потребителями, целью использования указали:
По данным Федерального Казначейства, общий объем лимитов бюджетных обязательств на 2017 год, доведенных до федеральных органов исполнительной власти (далее ФОИВ) по коду вида расходов 242 «Закупка товаров, работ, услуг в сфере информационно-коммуникационных технологий» в части сведений, не составляющих государственную тайну, по состоянию на 1 августа 2017 года составил 115,2 млрд. рублей, что примерно на 5,1% превышает суммарный объем бюджетов на информационные технологии ФОИВ в 2016 году (109,6 млрд. рублей, по данным Минкомсвязи). Таким образом, при продолжающемся росте общего объема IT-бюджетов федеральных ведомств от года к году скорость роста уменьшилась (в 2016 году общий объем IT-бюджетов вырос на 8,3% по сравнению с 2015 годом). При этом наблюдается все более усиливающееся расслоение на «богатые» и «бедные» в смысле расходов на информационные и коммуникационные технологии ведомства. Безусловным лидером не только по размеру бюджета, но и по уровню достижений в сфере ИТ является Федеральная налоговая служба. Ее бюджет ИКТ в текущем году составляет более 17,6 млрд. рублей, что составляет более 15 % от бюджета всех ФОИВ. Суммарная доля первой пятерки (ФНС, ПФР, Казначейство, МВД, Минкомсвязи) – более 53 %.
С 1 января 2016 года все государственные и муниципальные органы, государственные корпорации «Росатом» и «Роскосмос», органы управления государственными внебюджетными фондами, а также казенные и бюджетные учреждения, осуществляющие закупки в соответствии с требованиями Федерального закона от 5 апреля 2013 г. № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд», обязаны соблюдать запрет на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд. Запрет введен Постановлением правительства РФ от 16 ноября 2015 г. № 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд». При закупке программного обеспечения вышеперечисленные заказчики должны прямо указывать на запрет приобретать импортное ПО в извещении об осуществлении закупки. Запрет распространяется на закупки программ для электронных вычислительных машин и баз данных, реализуемых независимо от вида договора на материальном носителе и (или) в электронном виде по каналам связи, а также исключительных прав на такое программное обеспечение и прав использования такого программного обеспечения.
Есть несколько исключений, когда закупка импортного ПО заказчикам разрешена.
Во всех остальных случаях от заказчика перед осуществлением закупки программного обеспечения потребуется работа с единым реестром российских программ для электронных вычислительных машин и баз данных и классификатором программ для электронных вычислительных машин и баз данных.
Формированием и ведением реестра в качестве уполномоченного федерального органа исполнительной власти занимается Минкомсвязь России.
По состоянию на конец августа 2017 года в реестре числятся 343 программных продукта, относящихся к классу «средства обеспечения информационной безопасности» 98 российских компаний-разработчиков.
Среди них представлены программные продукты таких крупных российских разработчиков, как:
Для анализа тенденций нами были выбраны 18 компаний, входящих в число лидеров рынка информационной безопасности и активно участвующих в государственных закупках. В список вошли, как непосредственно разработчики программного обеспечения и программно-аппаратных комплексов защиты, так и крупнейшие системные интеграторы. Суммарная выручка данных компаний в 2016 году составила 162,3 млрд. руб., превысив показатель 2015 года на 8,7%.
Ниже представлен список компаний, выбранных для исследования.
| № | Название | ИНН | Вид деятельности (ОКВЭД 2014) |
| 1 | «Ай-Теко», АО | 7736227885 | Деятельность, связанная с использованием вычислительной техники и информационных технологий, прочая (62.09) |
| 2 | «Крок Инкорпорейтед», ЗАО | 7701004101 | |
| 3 | «Информзащита», ЗАО НИП | 7702148410 | Научные исследования и разработки в области общественных и гуманитарных наук (72.20) |
| 4 | «Софтлайн Трейд», АО | 7736227885 | |
| 5 | «Техносерв АС», ООО | 7722286471 | Торговля оптовая прочими машинами и оборудованием (46.69) |
| 6 | «Элвис-плюс», АО | 7735003794 | |
| 7 | «Астерос», АО | 7721163646 | Торговля оптовая компьютерами, периферийными устройствами к компьютерам и программным обеспечением (46.51 |
| 8 | «Производственная компания Аквариус», ООО | 7701256405 | |
| 9 | «Ланит», ЗАО | 7727004113 | Торговля оптовая прочей офисной техникой и оборудованием (46.66) |
| 10 | Инфосистемы Джет», ЗАО | 7729058675 | Торговля оптовая компьютерами, периферийными устройствами к компьютерам и программным обеспечением (46.51) |
| 11 | «Диалогнаука», АО | 7701102564 | Разработка компьютерного программного обеспечения (62.01) |
| 12 | «Фактор-ТС», ООО | 7716032944 | Производство компьютеров и периферийного оборудования (26.20) |
| 13 | «ИнфоТеКС», ОАО | 7710013769 | Разработка компьютерного программного обеспечения (62.01) |
| 14 | «Уральский центр систем безопасности», ООО | 6672235068 | Деятельность в области архитектуры, инженерных изысканий и предоставление технических консультаций в этих областях (71.1) |
| 15 | «АйСиЭл-КПО ВС», АО | 1660014361 | Разработка компьютерного программного обеспечения (62.01) |
| 16 | «Энвижн Груп», АО | 7703282175 | Торговля оптовая неспециализированная (46.90) |
| 17 | «Конфидент-интеграция», ООО | 7811512250 | Деятельность по обработке данных, предоставление услуг по размещению информации и связанная с этим деятельность (63.11) |
| 18 | «Калуга астрал», ЗАО | 4029017981 | Деятельность консультативная и работы в области компьютерных технологий (62.02 |
По состоянию на конец октября 2017 года компаниями из представленной выборки заключено 1 034 контрактов с государственными органами на сумму 24,6 млрд. рублей. Лидирует в данном списке по объемам заключенных контрактов компания «Ай-Теко» — 74 контракта на сумму 7,5 млрд. рублей.
На протяжении последних лет, за исключением кризисного 2014 года, можно отметить постоянный рост суммарных объемов контрактов по выбранным компаниям. Наиболее значительная динамика приходится на период 2015-2016 гг. Так, в 2015 году был отмечен рост объемов контрактов более чем в 3,5 раза, в 2016 году - в 1,5 раза. По имеющимся данным о контрактной деятельности компаний за период январь-октябрь 2017 года, можно предположить, что в 2017 году суммарный объем контрактов с госструктурами составит порядка 37-38 млрд. рублей, то есть ожидается снижение в районе 40%.
Вкладывают деньги в различные технологии компьютерной безопасности - от платформ для выплаты премий за обнаружение уязвимостей в программах до диагностики и автоматизированного тестирования программ. Но больше всего их привлекают технологии аутентификации и управления идентификационной информацией - в стартапы, занимающиеся этими технологиями, было инвестировано порядка $900 млн по итогам 2019 года.
Инвестиции в стартапы, занимающиеся обучением в области информационной безопасности , в 2019 году достигли $418 млн, чему во многом способствовала компания KnowBe4, которая привлекла $300 млн. Этот стартап предлагает платформу для симуляции фишинговых атак и ряд обучающих программ.
Порядка $412 млн в 2019 году получили компании, занимающиеся безопасностью интернета вещей. В этой категории по объёму вложений лидирует SentinelOne , которая в 2019-м получила $120 млн на развитие технологий защиты конечных точек.
При этом аналитики Metacurity приводят другие данные, характеризующие ситуацию на рынке венчурного финансирования в секторе информационной безопасности. В 2019 году объём вложений здесь достигли $6,57 млрд, увеличившись с $3,88 млрд в 2018-м. Количество сделок тоже увеличилось - со 133 до 219. При этом средний объём инвестиций в расчёте на одну сделку практически не изменился и составил 29,2 млн по итогам 2019 года, подсчитали в Metacurity.
В 2018 году продажи оборудования, программного обеспечения и сервисов, предназначенных для информационной безопасности (ИБ), достигли $37 млрд, увеличившись на 9% относительно показателя годичной давности ($34 млрд). Такие данные 28 марта 2019 года обнародовали аналитики Canalys .
По их словам, несмотря на то, что многие компании уделяют первостепенное внимание защите своих активов, данных, конечных точек, сетей, сотрудников и клиентов, на кибербезопасность пришлось лишь 2% от общих расходов на ИТ в 2018 году. Однако появляется все больше новых угроз, они становятся сложнее и чаще, что предоставляет производителям ИБ-решений новые возможности для роста. Ожидается, что в 2020 году суммарные расходы на кибербезопасность превысят $42 млрд.
Аналитик Canalys Мэтью Болл (Matthew Ball) считает, что переход на новые модели внедрения информационной безопасности ускорится. Клиенты меняют характер своих ИТ-бюджетов, используя публичные облачные сервисы и гибкие сервисы на основе подписки.
Около 82% проектов развертывания систем информационной безопасности в 2018 году было связано с использованием традиционного оборудования и программного обеспечения. В остальных 18% случаев применялась виртуализация , публичные облака и ИБ-услуги.
К 2020 году доля традиционных моделей развертывания ИБ-систем снизится до 70%, поскольку набирают популярность новые решения на рынке.
| Поставщики должны будут создать широкий спектр бизнес-моделей для поддержки этого перехода, поскольку различные продукты подходят для разных типов развертываний. Основная задача на сегодняшний день для многих заключается в том, чтобы сделать новые модели более ориентированными на партнерские каналы и интегрировать их с существующими партнерскими программами, особенно с операциями клиентов через облачные площадки. На это уже отреагировали некоторые облачные маркетплейсы, позволив партнерам предлагать индивидуальные предложения и цены непосредственно клиентам, отслеживая регистрацию сделок и скидки, - сообщил Мэтью Болл в публикации от 29 марта 2019 года. |
По словам аналитика Canalys Кетаки Борейд (Ketaki Borade), ведущие производители технологий для киберзащиты внедрили новые модели распространения продуктов, которые предполагают переход компаний на подписную схему и увеличение операций в облачной инфраструктуре.
| Рынок кибербезопасности оставался весьма динамичным и показал рекордную активность сделок и их объема в ответ на растущие нормативные и технические требования, а также сохраняющийся распространенный риск утечки данных, - говорит соучредитель и управляющий партнер Momentum Cyber Эрик Макалпайн (Eric McAlpine). - Мы считаем, что этот импульс будет и дальше подталкивать сектор на новую территорию, так как он стремится к противодействию возникающим угрозам и консолидируется перед лицом усталости поставщиков и растущей нехватки навыков. |
В 2017 году глобальные расходы на информационную безопасность (ИБ) - продукты и услуги - достигли $101,5 млрд, заявили в исследовательской компании Gartner в середине августа 2018 года. В конце 2017-го эксперты оценивали этот рынок в $89,13 млрд. С чем связано существенное повышение оценки, не сообщается.
| ИБ-директора стремятся помочь своим организациям безопасно использовать технологические платформы, чтобы стать более конкурентоспособными и стимулировать рост бизнеса, - говорит директор по исследованиям Gartner Сиддхарт Дешпанде (Siddharth Deshpande). - Сохраняющаяся нехватка квалифицированных кадров и регуляторные изменения, такие как Общий регламент по защите данных (GDPR) в Европе, способствуют дальнейшему росту рынка сервисов кибербезопасности. |
Эксперты считают, что одним из ключевых факторов, способствующих повышению расходов на информационную защиту, является внедрение новых методов обнаружения угроз и реагирования на них - именно они стали высшим приоритетом безопасности организаций в 2018 году.
Согласно оценкам Gartner, в 2017 году расходы организаций на услуги киберзащиты в глобальном масштабе превысили $52,3 млрд. В 2018-м эти затраты поднимутся до $58,9 млрд.
В 2017 году компании потратили $2,4 млрд на защиту приложений, на защиту данных - $2,6 млрд, на защиту облачных сервисов - $185 млн.
Годовые продажи решений для управления идентификацией и доступом (Identity And Access Management) оказались равными 8,8 млрд. Реализация средств защиты ИТ-инфраструктуры повысилась до $12,6 млрд.
Также в исследовании говорится о затратах в размере $10,9 млрд на оборудование, используемое для обеспечения сетевой безопасности. На системах управления рисками информационной безопасности их производители заработали $3,9 млрд.
Потребительские ИБ-расходы за 2017 год оценены аналитиками в $5,9 млрд, говорится в исследовании Gartner.
В декабре 2017 года стало известно, что мировые расходы компаний на обеспечение информационной безопасности (ИБ) в 2017 году составят $89,13 млрд. Согласно оценке Gartner , корпоративные затраты на кибербезопасность почти на $7 млрд превысят сумму 2016 года в $82,2 млрд.
Крупнейшей статей расходов эксперты считают ИБ-услуги: в 2017 году компании направят на эти цели свыше $53 млрд против $48,8 млрд в 2016-м. Второй по величине сегмент ИБ-рынка - решения для защиты инфраструктуры, затраты на которые в 2017-м составят $16,2 млрд вместо $15,2 млрд год назад. Оборудование для сетевой безопасности - на третьем месте ($10,93 млрд).
В структуру ИБ-расходов также входит потребительское ПО для обеспечения информационной безопасности и системы идентификации и управления доступом (Identity and Access Management, IAM). Затраты по этим направлениям в 2017 году в Gartner оценивают в $4,64 млрд и $4,3 млрд, тогда как в 2016 году показатели были на уровне $4,57 млрд и $3,9 млрд соответственно.
Аналитики ожидают дальнейший подъем на ИБ-рынке: в 2018 году организации увеличат затраты на киберзащиту еще на 8% и направят на эти цели в общей сложности $96,3 млрд. Среди факторов роста специалисты перечислили меняющееся регулирование в ИБ-сфере, информированность о новых угрозах и разворот компаний к стратегии цифрового бизнеса.
| В целом расходы на кибербезопасность в значительной степени обусловлены реакцией компаний на ИБ-инциденты, ведь по всему миру растет число резонансных кибератак и утечек информации , от которых страдают организации, - комментирует прогноз директор по исследованиям Gartner Руггеро Конту (Ruggero Contu). |
Слова аналитика подтверждают и данные, полученные Gartner в 2016 году в ходе опроса с участием 512 организаций из восьми стран мира: Австралии , Канады , Франции , Германии , Индии , Сингапура и США .
53% респондентов назвали ИБ-риски главной движущей силой, стоящей за ростом расходов на кибербезопасность. Из этого числа самый высокий процент опрошенных заявил, что более всего на принятие решений о затратах на информационную безопасность влияет угроза кибератак.
Прогноз Gartner на 2018 год предусматривает увеличение расходов по всем основным направлениям. Так, на сервисы киберзащиты будет потрачено около $57,7 млрд (+$4,65 млрд), на обеспечение безопасности инфраструктуры - порядка $17,5 млрд (+$1,25 млрд), на оборудование для защиты сетей - $11,67 млрд (+$735 млн), на потребительское ПО - $4,74 млрд (+$109 млн) и на IAM-системы - $4,69 млрд (+$416 млн).
Также аналитики полагают, что к 2020 году более 60% организаций в мире будут вкладывать средства одновременно в несколько инструментов защиты данных, в том числе в средства предотвращения потери информации, шифрования и аудита. По состоянию на конец 2017 года доля компаний, закупающих такие решения, была оценена в 35%.
Еще одной существенно статьей корпоративных расходов на информационную безопасность будет привлечение сторонних специалистов. Ожидается, что на фоне дефицита кадров в области кибербезопасности , растущей технической сложности ИБ-систем и увеличения киберугроз затраты компаний на ИБ-аутсорсинг в 2018 году увеличатся на 11% и составят $18,5 млрд.
По расчетам Gartner, к 2019 году корпоративные расходы на услуги сторонних ИБ-экспертов составят 75% от общей суммы затрат на ПО и оборудование для обеспечения кибербезопасности, тогда как в 2016 году это соотношение было на уровне 63%.
Две трети расходов придутся на компании, относящиеся к крупному и очень крупному бизнесу. К 2019 году, по мнению аналитиков IDC, размеры расходов корпораций со штатом более 1000 человек, преодолеют отметку в $50 млрд.
В октябре 2016 года аналитическая компания IDC представила краткие результаты исследования мирового рынка информационной безопасности . Ожидается, что его рост будет вдове выше, чем у ИТ-рынка.
В IDC подсчитали, что глобальные продажи оборудования, программного обеспечения и сервисов для киберзащиты достигнут около $73,7 млрд в 2016 году, а в 2020-м показатель превысит $100 млрд, составив $101,6 млрд. В период с 2016 по 2020 годы рынок ИБ-технологий будет расти в среднем на 8,3% ежегодно, что вдвое больше ожидаемых темпов роста ИТ-отрасли.
Наибольшие ИБ-расходы ($8,6 млрд) по итогам 2016 года ожидаются в банках . На втором, третьем и четвертом местах по размеру таких инвестиций расположатся предприятия дискретного производства, государственные органы и предприятия непрерывного производства соответственно, на долю которых придется около 37% расходов.
Лидерство по динамике увеличения ИБ-инвестиций аналитики отдают здравоохранению (в 2016-2020 годах ожидается среднегодовой рост на 10,3%). Примерно на 9% в год будут подниматься затраты на киберзащиту в телекоме, жилищном секторе, госорганах и на рынке инвестиций и ценных бумаг.
Крупнейшим ИБ-рынком исследователи называют американский , объем которого в 2016 году достигнет $31,5 млрд. В тройку лидеров также войдут Западная Европа и Азиатско-Тихоокеанский регион (исключая Японию). Информация по российскому рынке в краткой версии исследования IDC отсутствует.
Генеральный директор российской компании «Монитор безопасности» Дмитрий Гвоздев прогнозирует рост доли услуг в общих российских расходах на безопасность с 30-35% до 40-45%, а также предсказывает развитие клиентской структуры рынка – от тотального преобладания государственного, финансового и энергетического секторов в сторону средних предприятий из более широкого круга отраслей.
| Одной из тенденций должно стать развитие доли отечественных программных продуктов в связи с вопросами импортозамещения и внешнеполитической ситуацией. Однако насколько это найдет отражение в финансовых показателях - во многом будет зависеть от курса рубля и ценовой политики иностранных вендоров, до сих пор занимающих как минимум половину отечественного рынка программных решений и до двух третей в сегменте оборудования. К внешним экономическим факторам может быть привязан и итоговый годовой финансовый результат всего российского рынка ИБ-решений, - сообщил Гвоздев в разговоре с TAdviser . |
MARKET SIZE
FEDERAL SPENDING
CYBER CRIME
COST-PER-BREACH
FINANCIAL SERVICES
International
SECURITY ANALYTICS
Объем рынка средств безопасности региона EMEA (Европа , Ближний Восток и Африка) вырос на 2,4% по сравнению с 2012 годом и составил $2,5 млрд. Наиболее крупным и быстро развивающимся сегментом рассматриваемого рынка аналитики называли многофункциональные программно-аппаратные комплексы для защиты компьютерных сетей – UTM-решения (Unified threat management). При этом IDC прогнозировал, что рынок технических средств информационной безопасности к 2018 году достигнет в стоимостном выражении $4,2 млрд при среднегодовом росте в 5,4%.
По итогам 2013 года лидирующую позицию среди поставщиков по выручке от продаж технических средств информационной безопасности в регионе EMEA заняла компания Check Point . По данным IDC, выручка вендора в этом сегменте за 2013 год выросла на 3,8% и составила $374,64 млн, что соответствует доле рынка в 19,3%.
Мировой рынок информационной безопасности будет ежегодно расти на 8% до 2016 года, когда может составить 36 млрд евро, сообщалось в исследовании
"Финансовая газета. Региональный выпуск", 2008, N 41
В современных условиях нельзя недооценивать важность обеспечения информационной безопасности. Малейшая утечка конфиденциальной информации к конкурентам может привести к большим экономическим потерям для фирмы, остановке производства и даже к банкротству.
Целями информационной безопасности являются: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы организации.
К расходам на защиту информации относится в основном приобретение средств, обеспечивающих ее защиту от неправомерного доступа. Средств обеспечения защиты информации множество, условно их можно разделить на две большие группы. Первая - это средства, которые имеют материальную основу, такие, как сейфы, камеры видеонаблюдения, охранные системы и т.д. В бухгалтерском учете они учитываются как основные средства. Вторая - средства, которые не имеют материальной основы, такие, как антивирусные программы, программы ограничения доступа к информации в электронном виде и т.д. Рассмотрим особенности учета таких средств обеспечения информационной безопасности.
При покупке программы для обеспечения защиты информации исключительные права на нее не переходят к покупателю, приобретается лишь защищенная копия программы, копировать или распространять которую покупатель не может. Поэтому при учете таких программ следует руководствоваться гл. VI "Учет операций, связанных с предоставлением (получением) права использования нематериальных активов" нового ПБУ 14/2007 "Учет нематериальных активов".
В редких случаях при приобретении программ защиты информации к фирме переходят исключительные права на данный продукт. В этом случае программа будет учитываться в бухгалтерском учете как нематериальные активы (НМА).
Согласно ПБУ 14/2007 в бухгалтерском учете НМА, предоставленные в пользование на условиях лицензионного соглашения, платежи за право использования которых производятся в виде фиксированного разового платежа и исключительные права на которые не переходят к покупателю, должны учитываться у получателя в составе расходов будущих периодов и отражаться на забалансовом счете (п. 39). При этом срок, в течение которого данные расходы будут списываться на счета затрат, устанавливается лицензионным соглашением. В налоговом учете затраты на приобретение программ для защиты информации для целей налогообложения прибыли учитываются в качестве прочих расходов и списываются аналогично - равными частями в течение срока, установленного в лицензионном соглашении (пп. 26 п. 1 ст. 264 НК РФ).
Если оплата за право использования программного продукта, обеспечивающего информационную защиту, производится в виде периодических платежей, то согласно п. 39 ПБУ 14/2007 они включаются пользователем в расходы отчетного периода, в котором были произведены.
На практике в лицензионном соглашении не всегда указан срок использования программного обеспечения. Когда связь между доходами и расходами не может быть определена четко, в налоговом учете расходы на приобретение программ для защиты информации распределяются налогоплательщиком самостоятельно в целях исчисления налога на прибыль с учетом принципа равномерности признания доходов и расходов (п. 1 ст. 272 НК РФ). В бухгалтерском учете срок, в течение которого данные расходы будут списываться со счета 97, устанавливается руководством предприятия исходя из предполагаемого времени использования программы.
Пример 1 . ОАО "Альфа" приобрело лицензионную копию антивирусной программы у ООО "Бетта" за 118 000 руб., в том числе НДС (18%). Лицензионным соглашением установлен срок использования программы 9 месяцев.
В бухгалтерском учете ОАО "Альфа" программу следует учесть следующим образом:
Д-т 60, К-т 51 - 118 000 руб. - поставщику оплачена стоимость программного обеспечения;
Д-т 60, К-т 97 - 100 000 руб. - полученная программа отражена в качестве расходов будущих периодов;
Д-т 002 - 100 000 руб. - полученная программа отражена на забалансовом счете;
Д-т 19, К-т 60 - 18 000 руб. - выделен НДС;
Д-т 68, К-т 19 - 18 000 руб. - принят к вычету НДС;
Д-т 26 (44), К-т 97 - 11 111,11 руб. (100 000 руб. : 9 мес.) - ежемесячно в течение 9 месяцев стоимость антивирусной программы равными частями списывается на расходы.
Изменим условия примера 1: допустим, ОАО "Альфа" осуществляет платеж не единовременно, а равными частями на протяжении всего срока действия лицензионного договора. Суммы платежей составят 11 800 руб. за каждый месяц, в том числе НДС.
В этом случае в бухгалтерском учете будут сделаны следующие записи:
Д-т 002 - 90 000 руб. (10 000 руб. x 9 мес.) - полученная программа отражена на забалансовом счете;
Д-т 60, К-т 51 - 11 800 руб. - ежемесячно в течение 9 месяцев поставщику оплачивается стоимость программного продукта;
Д-т 19, К-т 60 - 1800 руб. - выделен НДС;
Д-т 26 (44), К-т 60 - 10 000 руб. - стоимость программы списана на расходы;
Д-т 68, К-т 19 - 1800 руб. - принят к вычету НДС.
Часто до истечения лицензионного соглашения компания - разработчик программ информационной защиты выпускает их обновление. В этом случае расходы в бухгалтерском и налоговом учете будут приниматься единовременно по факту обновления.
Также распространена практика, когда компания-разработчик для ознакомления безвозмездно предоставляет свое программное обеспечение организациям на небольшой срок. Для того чтобы правильно отразить безвозмездно полученную программу информационной защиты, ее нужно учесть в составе доходов будущих периодов по рыночной стоимости.
Пример 2 . ООО "Бетта" для ознакомления безвозмездно предоставило ОАО "Альфа" программное обеспечение по информационной безопасности сроком на 3 месяца. Рыночная цена данного программного продукта - 3300 руб.
В бухгалтерском учете ОАО "Альфа" следует сделать следующие записи:
Д-т 97, К-т 98 - 3300 руб. - принято к учету безвозмездно полученное программное обеспечение;
Д-т 98, К-т 91 - 1100 руб. - ежемесячно в течение трех месяцев часть дохода будущих периодов принимается в качестве прочих доходов.
В налоговом учете доходы от безвозмездно полученной программы также будут приниматься в течение трех месяцев (п. 2 ст. 271 НК РФ).
К расходам на защиту информации относятся не только приобретение средств обеспечения информационной безопасности, но также расходы на консультационные (информационные) услуги по защите информации (не связанные с приобретением нематериальных активов, основных средств или других активов организации). Согласно п. 7 ПБУ 10/99 "Расходы организации" затраты на консультационные услуги в бухгалтерском учете включаются в состав расходов по обычным видам деятельности в том отчетном периоде, когда они были произведены. В налоговом учете они относятся к прочим расходам, связанным с производством и реализацией продукции (пп. 15 п. 1 ст. 264 НК РФ).
Пример 3 . ООО "Бетта" оказало консультационные услуги по информационной безопасности ОАО "Альфа" на общую сумму 59 000 руб., в том числе НДС - 9000 руб.
В бухгалтерском учете ОАО "Альфа" должны быть сделаны записи:
Д-т 76, К-т 51 - 59 000 руб. - оплачены консультационные услуги;
Д-т 26 (44), Кт 76 - 50 000 руб. - консультационные услуги по информационной безопасности списаны на расходы по обычным видам деятельности;
Д-т 19, К-т 76 - 9000 руб. - выделен НДС;
Д-т 68, К-т 19 - 9000 руб. - принят к вычету НДС.
Предприятия, применяющие УСН, в качестве расходов, уменьшающих налогооблагаемую базу по налогу на прибыль, согласно пп. 19 п. 1 ст. 346.16 НК РФ смогут принять только затраты на приобретение программ, обеспечивающих информационную безопасность. Расходы на консультационные услуги по информационной безопасности в ст. 346.16 НК РФ не упоминаются, поэтому для целей налогообложения прибыли организации принять их не вправе.
В.Щаников
Ассистент аудитора
департамента аудита
ООО "Бейкер Тилли Русаудит"
Вобосновании затрат на информационную безопасность существует два основных подхода.
Научный подход . Для этого необходимо привлечь руководство компании (или ее собственника) к оценке стоимости информационных ресурсов, определению оценки потенциального ущерба от нарушений в области защиты информации.
1. Если стоимость информации невелика, существенных угроз для информационных активов компании нет, а потенциальный ущерб минимален, обеспечение информационной безопасности требует меньшего финансирования.
2. Если информация обладает определенной стоимостью, угрозы и потенциальный ущерб значительны и определены, тогда возникает вопрос о внесении в бюджет расходов на подсистему информационной безопасности. В этом случае необходимо построение корпоративной системы защиты информации.
Практический подход состоит в определении варианта реальной стоимости корпоративной системы защиты информации на основе аналогичных систем в других областях. Эксперты-практики в области защиты информации полагают, что стоимость системы защиты информации должна составлять примерно 10-20 % от стоимости корпоративной информационной системы, в зависимости от конкретных требований к режиму информационной безопасности.
Общепринятые требования к обеспечению режима информационной безопасности "best practice" (на основе практического опыта), формализованные в ряде стандартов, например ISO 17799, реализуются на практике при разработке конкретных методов оценки эффективности системы информационной безопасности.
Применение современных методов оценки затрат на информационную безопасность позволяет рассчитать всю расходную часть информационных активов организации, включая прямые и косвенные затраты на аппаратно-программные средства, организационные мероприятия, обучение и повышение квалификации сотрудников, реорганизацию, реструктуризацию бизнеса и т. д.
Они необходимы для доказательства экономической эффективности существующих корпоративных систем защиты и позволяют руководителям служб информационной безопасности обосновывать бюджет на информационную безопасность, а, также доказывать эффективность работы сотрудников соответствующей службы. Применяемые зарубежными компаниями методики оценки затрат позволяют:
Получить адекватную информацию об уровне защищенности распределенной вычислительной среды и совокупной стоимости владения корпоративной системы защиты информации.
Сравнить подразделения службы информационной безопасности организации как между собой, так и с аналогичными подразделениями других организаций в данной отрасли.
Оптимизировать инвестиции на информационную безопасность организации.
Одна из наиболее известных методик оценки затрат применительно к системе информационной безопасности - методика совокупной стоимости владения (ССВ) компании Gartner Group Под показателем ССВ понимается сумма прямых и косвенных затрат на организацию (реорганизацию), эксплуатацию и сопровождение корпоративной системы защиты информации в течение года. Он используется практически на всех основных этапах жизненного цикла корпоративной системы защиты информации и дает возможность объективно и независимо обосновать экономическую целесообразность внедрения и использования конкретных организационных и технических мер и средств защиты информации. Для объективности решения также необходимо дополнительно учитывать состояние внешней и внутренней среды предприятия, например, показатели технологического, кадрового и финансового развития предприятия.
Сравнение определенного показателя ССВ с аналогичными показателями ССВ по отрасли (с аналогичными компаниями) позволяет объективно и независимо обосновать затраты организации на информационную безопасность. Ведь часто оказывается довольно трудно или даже практически невозможно оценить прямой экономический эффект от этих затрат.
Совокупная стоимость владения для системы информационной безопасности в общем случае складывается из стоимости:
Проектных работ,
Закупки и настройки программно-технических средств защиты, включающих следующие основные группы: межсетевые экраны, средства криптографии, антивирусы и ААА (средства аутентификации, авторизации и администрирования),
Затрат на обеспечение физической безопасности,
Обучения персонала,
Управления и поддержки системы (администрирование безопасности),
Аудита информационной безопасности, - периодической модернизации системы информационной безопасности.
При этом прямые затраты включают как капитальные компоненты затрат (ассоциируемые с фиксированными активами или "собственностью"), так и трудозатраты, которые учитываются в категориях операций и административного управления. Сюда же относят затраты на услуги удаленных пользователей и др., связанные с поддержкой деятельности организации.
В свою очередь, косвенные затраты отражают влияние корпоративной информационной системы и подсистемы защиты информации на сотрудников организации посредством таких измеримых показателей, как простои и "зависания" корпоративной системы защиты информации и информационной системы в целом, затраты на операции и поддержку (не относящиеся к прямым затратам). Очень часто косвенные затраты играют значительную роль, так как они обычно изначально не отражаются в бюджете на информационную безопасность, а выявляются при анализе затрат позже.
Расчет показателей ССВ организации проводится по следующим направлениям.
Компоненты корпоративной информационной системы (включая систему защиты информации) и информационные актины организации (серверы, клиентские компьютеры, периферийные устройства, сетевые устройства).
Расходы на аппаратные и программные средства защиты информации : расходные материалы и амортизационные расходы ни серверы, компьютеры клиентов (настольные и мобильные компьютеры), периферийные устройства и сетевые компоненты.
Расходы на организацию информационной безопасности: обслуживание системы защиты информации, штатных средств защиты периферийных устройств, серверов, сетевых устройств, планирование и управление процессами защиты информации, разработка концепции и политики безопасности и прочие.
Расходы на операции информационной си стемы: прямые затраты на содержание персонала, стоимость работ и аутсорсинг, произведенные организацией в целом или службой для осуществления технической поддержки и операций по поддержанию инфраструктуры для пользователей.
Административные расходы : прямые затраты на персонал, обеспечение деятельности и расходы внутренних/внешних поставщиков (вендоров) на поддержку операций, включающих управление, финансирование, приобретение и обучение информационных систем.
Расходы на операции конечных пользователей : затраты на самоподдержку конечных пользователей, официальное обучение конечных пользователей, нерегулярное (неофициальное) обучение, самостоятельные прикладные разработки, поддержку локальной файловой системы.
Расходы на простои : ежегодные потери производительности конечных пользователей от запланированных и незапланированных отключений сетевых ресурсов, включая клиентские компьютеры, совместно используемые серверы, принтеры, прикладные программы, коммуникационные ресурсы и программное обеспечение для связи.
