Náklady na informační bezpečnost ve státech. Kolik stojí zabezpečení informací společnosti?

Globální studie rizik informační bezpečnost for business (Kaspersky Lab Global Corporate IT Security Risks Survey) je každoroční analýza trendů v podnikové informační bezpečnosti po celém světě. Za tak důležité aspekty kybernetické bezpečnosti považujeme velikost nákladů na bezpečnost informací, aktuální typy hrozeb pro různé typy společností a finanční důsledky setkání s těmito hrozbami. Kromě toho, když se od vedoucích pracovníků dozvíme o zásadách rozpočtování bezpečnosti informací, můžeme vidět, jak společnosti v různých regionech světa reagují na změny v prostředí hrozeb.

V roce 2017 jsme se snažili pochopit, zda společnosti vnímají informační bezpečnost jako nákladový faktor (nutné zlo, na které jsou nuceny vyčleňovat peníze), nebo ji začínají považovat za strategickou investici (tedy za prostředek zajištění kontinuity podnikání, který poskytuje významné výhody v době rychle se vyvíjejících kybernetických hrozeb).

To je velmi důležitá otázka, zejména proto, že rozpočty na IT ve většině regionů světa klesaly.

V Rusku však došlo v roce 2017 k mírnému navýšení průměrného rozpočtu vyčleněného na bezpečnost – 2 %. Průměrný rozpočet na informační bezpečnost v Rusku byl asi 15,4 milionu rublů.

Tato zpráva se blíže zabývá typy hrozeb, kterým čelí společnosti všech velikostí, a také typickými vzory rozložení nákladů na IT.

Obecné informace a metodologie výzkumu

Globální průzkum bezpečnostních rizik společnosti Kaspersky Lab Corporate IT Security Survey je průzkum mezi vedoucími pracovníky spravujícími IT služby svých organizací, který se každoročně provádí od roku 2011.

Nejnovější údaje byly shromážděny v březnu a dubnu 2017. Dotazováno bylo celkem 5 274 respondentů z více než 30 zemí, kteří zahrnovali společnosti všech velikostí.

Zpráva někdy používá následující označení: malý podnik - méně než 50 zaměstnanců, SMB (střední a malý podnik - od 50 do 250 zaměstnanců) a velký podnik (společnosti s více než 250 zaměstnanci). Aktuální zpráva představuje analýzu nejvýraznějších parametrů z průzkumu.

Klíčová zjištění:

Pro společnosti všech velikostí je stále obtížnější bojovat s kybernetickými hrozbami a také rostou náklady na obranu. V Rusku v segmentu středních a malých podniků jsou průměrné náklady na odstranění následků pouze jednoho kybernetického incidentu 1,6 milionu rublů a pro segment velkých podniků jsou náklady 16,1 milionu rublů.

Podíl IT rozpočtu vyčleněného na informační bezpečnost roste. To je typické pro společnosti jakékoli velikosti. Celkový rozpočet zůstává nízký a v Rusku byl nárůst pouze 2 %, takže specialisté jsou nuceni plnit své úkoly s malým počtem zdrojů.

Škody způsobené jediným incidentem rostou a společnosti, které neupřednostňují náklady na zabezpečení informací, by se mohly brzy dostat do vážných problémů. Studie ukázala, že v segmentu SMB společnosti utrácejí asi 300 tisíc rublů za každý bezpečnostní incident na dodatečné platby zaměstnancům a velké korporace mohou utratit 2,7 milionu rublů na snížení škod na značce.

Škody způsobené bezpečnostními incidenty

Počet incidentů v oblasti kybernetické bezpečnosti roste a společnosti se musí potýkat s různými důsledky, od dalších vztahů s veřejností až po najímání nových zaměstnanců. V roce 2017 došlo k dalšímu nárůstu finančních ztrát v případě porušení integrity dat. To by mělo změnit způsob, jakým společnosti k tomuto problému přistupují: společnosti přestanou vnímat náklady na kybernetickou bezpečnost jako nutné zlo a začnou je vnímat jako investice, které jim umožní vyhnout se značným finančním ztrátám v případě útoku.

Závažné úniky dat jsou stále dražší

Největším problémem pro CTO jsou masivní útoky, které vedou k úniku milionů záznamů. Byly to útoky na National Health Service (NHS) Velké Británie, Sony nebo hacknutí televizního kanálu HBO se zveřejněním důvěrných dat souvisejících se seriálem „Game of Thrones“. Ve skutečnosti jsou však takové velké incidenty spíše výjimkou než pravidlem. Až do loňského roku se většina kybernetických útoků nedostala do novinových titulků a zůstala oblastí zvláštních zpráv pro specialisty. Epidemie ransomwaru samozřejmě situaci trochu změnily, ale stále korporátní segment podnikání nerozumí celému obrazu.

Relativně malý počet známých rozsáhlých kybernetických útoků neznamená, že škody způsobené většinou útoků jsou zanedbatelné. Kolik tedy společnosti v průměru utratí za vyřešení „typického“ úniku dat? Požádali jsme účastníky studie, aby odhadli, kolik jejich společnost utratila/ztratila v důsledku jakéhokoli bezpečnostního incidentu, ke kterému došlo v posledním roce.

Všechny společnosti s 50 a více zaměstnanci musely odhadnout vynaložené náklady v každé z následujících kategorií:

Pro každou z kategorií jsme vypočítali průměrné náklady vynaložené společnostmi, které se potýkají s incidenty v oblasti bezpečnosti informací, a součet všech kategorií nám umožnil odhadnout výši celkových škod způsobených incidentem v oblasti bezpečnosti informací.

Níže uvádíme samostatně výsledky pro segmenty SMB a velké podniky, protože statistiky se pro ně v mnoha ohledech liší. Například průměrná škoda pro ruské malé a střední podniky je téměř 1,6 milionu rublů a pro velké podniky je téměř desetkrát vyšší - 16,1 milionu rublů. To ukazuje, že kybernetické útoky jsou nákladné pro společnosti všech velikostí.

Skutečnost, že velké podniky v průměru utrpí více ztrát při porušení integrity dat, není překvapivá, ale je zajímavé analyzovat rozložení škod podle kategorií.

Nejvýznamnější nákladovou položkou pro malé a střední podniky i velké podniky byly v loňském roce dodatečné zaměstnanecké benefity. Tento rok se však obrázek změnil a společnosti různých velikostí mají různé hlavní nákladové položky. Malé a střední podnikání nadále nejvíce ztrácí na zaměstnaneckých výhodách. Velké podniky však začaly investovat do dalšího PR, aby snížily poškození pověsti značky. Navíc významnou nákladovou položkou pro velké podniky byly náklady na vylepšení technického vybavení a nákup dalšího softwaru.

U všech společností se zvýšily náklady na školení zaměstnanců. Kvůli bezpečnostním incidentům si společnosti často uvědomují důležitost zvyšování kybernetické gramotnosti a zlepšování zpravodajství o hrozbách.

Rozsáhlejší vnitřní zdroje velkých podniků a zvláštnosti regulace jejich činnosti určují rozdílnou rovnováhu mezi náklady na odstranění samotného ohrožení a náklady na náhradu škody. Vážnou nákladovou položkou bylo zvýšení pojistného, ​​zhoršení úvěrového hodnocení a narušení důvěry ve společnost: v průměru z toho velké společnosti po každém incidentu ztratí asi 2,3 milionu rublů.

Náš výzkum ukázal, že velká část nárůstu firemních nákladů byla způsobena potřebou zabránit – nebo alespoň snížit – ztrátu reputace ve formě úvěrového hodnocení, image značky a kompenzací.

S tím, jak se nové předpisy rozšiřují, průměrné náklady budou pravděpodobně nadále růst, což bude vyžadovat, aby společnosti veřejně hlásily všechny incidenty a zvýšily transparentnost zabezpečení dat.

Takové trendy jsou typické například pro Japonsko, kde se průměrné náklady na odstranění následků narušení bezpečnosti více než zdvojnásobily: z 580 tisíc dolarů v roce 2016 na 1,3 milionu dolarů v roce 2017. Japonská vláda přistoupila ke zpřísnění předpisů v reakci na nárůst kybernetických bezpečnostních hrozeb. V roce 2017 vstoupily v platnost nové zákony, které způsobily náhlý nárůst nákladů.

Vypracování a implementace zákonů však nějakou dobu trvá. S rychlým rozvojem podnikového IT prostředí a vývojem kybernetických hrozeb se zpoždění v regulačních opatřeních stává vážným problémem. Například nové japonské normy byly dohodnuty již v roce 2015, ale jejich vstup v platnost musel být odložen o celé dva roky. Pro mnohé bylo toto zpoždění velmi nákladné: během těchto dvou let se řada velkých japonských společností stala obětí nákladných útoků. Jedním z příkladů je cestovní společnost JTB Corp., která v roce 2016 utrpěla obrovský únik. Byla ukradena data 8 milionů zákazníků, včetně jmen, adres a čísel pasů.

To je jeden z příznaků globálního problému: hrozby se rychle rozvíjejí a setrvačnost vlád a společností je příliš vysoká. Dalším příkladem utahování šroubů jsou Obecné evropské standardy ochrany osobních údajů (GDPR), které vstoupí v platnost v květnu 2018 a výrazně omezují přijatelné způsoby zpracování a uchovávání údajů občanů EU.

Zákony se po celém světě mění, ale nemohou držet krok s kybernetickými hrozbami – v roce 2017 nám to připomněly tři vlny ransomwaru v Rusku. Podnikatelé by si proto měli být vědomi nedokonalostí zákona a posílit ochranu v souladu se skutečnými okolnostmi – nebo se s poškozením dobrého jména a zákazníků předem smířit. Vyplatí se připravit se na nové regulační požadavky bez čekání na termíny. Změnou zásad po vydání příslušných zákonů firmy riskují nejen pokuty, ale i bezpečnost svých a klientských dat.

Neexistují žádné věci jako zranitelnost někoho jiného: mezery v ochraně partnera jsou nákladné

Pro ochranu před únikem dat je velmi důležité pochopit, jaké útočné vektory útočníci používají. Tyto informace vám zase pomohou pochopit, které typy útoků jsou nejdražší.

Průzkum ukázal, že následující incidenty měly nejzávažnější finanční důsledky pro střední a malé podniky:

• Incidenty ovlivňující infrastrukturu hostovanou na zařízení třetích stran (17,2 milionu RUB)
• Incidenty ovlivňující cloudové služby třetích stran používané společností (3,6 milionu RUB)
• Nevhodná komunikace přes mobilní zařízení(2,5 milionu RUB)
• Fyzická ztráta mobilních zařízení, vystavující organizaci rizikům (2,1 milionu RUB)
• Incidenty související s nepočítačovými zařízeními připojenými k internetu (například průmyslové řídicí systémy, internet věcí) (1,7 milionu RUB)

U velkých podniků je situace poněkud odlišná:

• Cílené útoky (75 milionů RUB)
• Incidenty ovlivňující cloudové služby dodavatelů třetích stran (19 milionů RUB)
• Viry a malware(9 milionů rublů)
• Nevhodná výměna dat prostřednictvím mobilních zařízení (7,3 milionů RUB)
• Incidenty ovlivňující dodavatele, se kterými si společnosti vyměňují data (4,4 milionu RUB)

Tato data ukazují, že velmi často jsou útoky způsobené bezpečnostními problémy s obchodními partnery téměř nejnákladnější pro společnosti jakékoli velikosti. To platí jak pro organizace, které si pronajímají cloudovou nebo jinou infrastrukturu od poskytovatelů třetích stran, tak pro společnosti, které sdílejí svá data s partnery.

Jakmile dáte jiné společnosti přístup ke svým datům nebo infrastruktuře, jejich slabé stránky se stanou vaším problémem. Již dříve jsme však pozorovali, že většina organizací tomu nepřikládá dostatečný význam. Není proto divu, že incidenty tohoto druhu způsobují největší náklady: každý boxer vám řekne, že je to obvykle nečekaná rána, která způsobí knockout.

Bezprostředně také stojí za zmínku další vektor, který se nečekaně dostal mezi 5 největších hrozeb pro středně velké podniky: útoky související s připojenými zařízeními, která nejsou počítače. Provoz na internetu věcí (IoT) dnes roste mnohem rychleji než provoz generovaný jakoukoli jinou technologií. Toto je další příklad toho, jak nový vývoj zvyšuje počet potenciálních zranitelností v podnikové infrastruktuře. Zejména rozšířené používání výchozích továrních hesel a slabé bezpečnostní funkce na zařízeních IoT z nich udělalo ideální úlovek pro botnety jako Mirai – malware, který dokáže propojit obrovské množství zranitelných zařízení do jediné sítě a zahájit rozsáhlé útoky DDoS na vybrané cíle.

Pozoruhodná je výše ztrát z cílených útoků v segmentu velkých podniků – této hrozbě je extrémně obtížné čelit. Během posledních několika let se vešlo ve známost množství vysoce sledovaných cílených útoků na banky, což také posiluje tyto neuspokojivé statistiky.

Investice do snižování rizik

Jak ukázal náš výzkum, hrozby pro informační bezpečnost jsou stále závažnější. V těchto podmínkách si nelze dělat starosti se stavem samotných rozpočtů informační bezpečnosti. Analýzou jejich změn můžeme rozhodnout, zda organizace vnímají své zabezpečení jako hnací sílu nákladů, nebo zda se rovnováha postupně posouvá k tomu, aby byla vnímána jako investiční příležitost, která poskytuje skutečnou konkurenční výhodu.

Velikost rozpočtu ukazuje postoj společnosti k bezpečnosti IT, důležitost role ochranného systému z pohledu managementu a ochotu organizace riskovat.

Rozpočet na informační bezpečnost: podíl roste, „koláč“ se zmenšuje

V letošním roce jsme viděli, že úspory a outsourcing vedly ke snížení rozpočtů na IT. Navzdory tomu (nebo možná v důsledku toho) se podíl informační bezpečnosti v těchto rozpočtech na IT zvýšil. V Rusku lze zaznamenat pozitivní trend ve společnostech všech velikostí. I mezi mikropodniky působícími v podmínkách nedostatečných zdrojů se zvýšil podíl IT rozpočtů vyčleněných na informační bezpečnost, byť o zlomek procenta.

To znamená, že společnosti konečně začínají chápat důležitost informační bezpečnosti. Možná to ukazuje, že informační bezpečnost začala být mnohými vnímána jako potenciálně užitečná investice, nikoli jako zdroj nákladů.

Vidíme, že rozpočty na IT po celém světě se výrazně snižují. Zatímco zabezpečení informací získává větší kus koláče, koláč samotný se zmenšuje. Trend je alarmující, zejména s ohledem na to, jak vysoké jsou v této oblasti sázky a jak nákladný je každý útok.

V Rusku dosáhl průměrný rozpočet na informační bezpečnost pro velké podniky v roce 2017 400 milionů rublů a pro malé a střední podniky – 4,6 milionu rublů.

Vzorek: 694 respondentů v Rusku schopných posoudit rozpočet

Není divu, že organizace poskytují vládní služby(včetně obranného sektoru) a finanční instituce po celém světě hlásí letos nejvyšší náklady na informační bezpečnost. Firmy v obou těchto sektorech vynaložily na zabezpečení v průměru více než 5 milionů dolarů. Za zmínku také stojí, že IT a telekomunikační sektor, stejně jako společnosti v energetickém průmyslu, také utrácely nadprůměrně za informační bezpečnost, ačkoli jejich rozpočty byly spíše 3 miliony dolarů než 5 dolarů.

Pokud však celkové náklady vydělíte počtem zaměstnanců, pak vládní organizace přesunout na konec seznamu. V průměru IT a telekomunikační sektor utratí za informační bezpečnost 1 258 USD na hlavu, zatímco energetický sektor utratí 1 344 USD a společnosti poskytující finanční služby 1 436 USD. Pro srovnání, vládní agentury vyčleňují na zabezpečení informací pouze 959 USD na osobu.

Jak v segmentu IT a telekomunikací, tak v odvětví dodávek energií jsou vysoké náklady na zaměstnance s největší pravděpodobností spojeny s nutností ochrany duševního vlastnictví, což je v těchto odvětvích ekonomiky obzvláště aktuální. V případě organizací dodávajících energii mohou být vysoké náklady na bezpečnost způsobeny také tím, že tyto společnosti jsou stále více zranitelné vůči cíleným útokům organizovaným skupinami útočníků.

V tomto odvětví se investice do informační bezpečnosti stávají zásadní pro přežití, protože zajišťují kontinuitu podnikání, což je kritický faktor pro dodávky energie. Důsledky úspěšného kybernetického útoku v tomto odvětví jsou obzvláště závažné, takže investice do informační bezpečnosti má velmi hmatatelné výhody.

V Rusku jsou IT a telekomunikace, stejně jako průmyslové podniky, primárně investovány do informační bezpečnosti - průměrné náklady na první dosahují 300 milionů rublů, na druhé - 80 milionů rublů. Průmyslové a výrobní společnosti se obvykle spoléhají na počítačem podporované řídicí systémy (ICS), aby zajistily kontinuitu výrobních procesů. Zároveň narůstá počet útoků na ICS: za posledních 12 měsíců se jejich počet zvýšil o 5 %.

Důvody, proč investovat do informační bezpečnosti

Rozptyl částek investic do informační bezpečnosti mezi sektory je velmi velký. Proto je obzvláště důležité porozumět důvodům, které motivují společnosti vynakládat omezené zdroje na informační bezpečnost. Bez znalosti motivů nelze pochopit, zda společnost považuje peníze vynaložené na zabezpečení své IT infrastruktury za vyhozené, nebo je považuje za výhodnou investici.

V roce 2017 výrazně více společností po celém světě přiznalo, že budou investovat do kybernetické bezpečnosti bez ohledu na očekávanou návratnost investic: 63 % oproti 56 % v roce 2016. To ukazuje, že stále více společností chápe důležitost informační bezpečnosti.

Hlavní důvody pro zvýšení rozpočtu na informační bezpečnost, Rusko

Ne všechny společnosti očekávají rychlou návratnost investic, ale mnoho globálních společností jako důvod pro zvýšení rozpočtů na informační bezpečnost uvedlo tlak klíčových zainteresovaných stran, včetně nejvyššího vedení společnosti (32 %). To ukazuje, že společnosti začínají vidět svou strategickou výhodu v růstu výdajů na informační bezpečnost: bezpečnostní opatření umožňují nejen chránit se v případě útoku, ale také zákazníkům ukázat, že jejich data jsou v bezpečných rukou. as zajišťují kontinuitu podnikání, na které má vedení společnosti zájem .

Nejoblíbenějším důvodem pro zvýšení výdajů na informační bezpečnost byla většina tuzemských firem nutnost ochrany stále složitější IT infrastruktury (46 %), potřebu zlepšit dovednosti odborníků na informační bezpečnost zaznamenalo 30 %. Tato čísla zdůrazňují potřebu zvýšit úroveň odbornosti, kterou má společnost k dispozici, rozvíjením dovedností jejích vlastních zaměstnanců. Malé a střední podniky i velké podniky totiž stále více investují do podpory své interní pracovní síly v boji proti kybernetickým hrozbám.

Zároveň se snížila potřeba zvýšit výdaje na informační bezpečnost kvůli novým obchodním operacím nebo expanzi společnosti mezi ruské podniky: z 36 % v loňském roce na 30 % v roce 2017. Možná to odráží makroekonomické faktory, se kterými se naše firmy v poslední době musely potýkat.

Závěr

Obrovské škody způsobily v roce 2017 masivní útoky jako WannaCry, exPetr a BadRabbit. Škody z cílených útoků, zejména na ruské banky, jsou také velké. To vše ukazuje, že prostředí kybernetických hrozeb se rychle a neúprosně mění. Společnosti jsou nuceny přizpůsobit svou obranu nebo zůstat mimo podnikání.

Stále významnějším faktorem v obchodních rozhodnutích je rozdíl mezi náklady na přípravu na řešení kybernetických útoků a náklady oběti.

Zpráva ukazuje, že i relativně malé úniky dat, které jsou pro širokou veřejnost málo zajímavé, mohou být pro společnost velmi nákladné a mohou mít vážný dopad na její provoz. Dalším důvodem rostoucích nákladů na bezpečnostní incidenty jsou změny předpisů po celém světě. Společnosti se musí buď přizpůsobit, nebo riskovat jak nedodržení, tak možné hackování.

Za těchto okolností je obzvláště důležité zvážit všechny důsledky a náklady. Možná proto stále více společností z různých zemí zvyšuje podíl informační bezpečnosti ve svých rozpočtech na IT. V roce 2017 výrazně více společností po celém světě přiznalo, že budou investovat do kybernetické bezpečnosti bez ohledu na očekávanou návratnost investic: 63 % oproti 56 % v roce 2016.

S narůstajícími škodami způsobenými kybernetickými bezpečnostními incidenty s největší pravděpodobností budou na možné potíže lépe připraveny ty organizace, které náklady na IT považují za investice do zabezpečení a jsou ochotny za ně utratit značné částky peněz. Jaká je situace ve vaší společnosti?

Jak ospravedlnit náklady na informační bezpečnost?

Přetištěno s laskavým svolením OJSC InfoTex Internet Trust
Zdrojový text je umístěn Zde.

Úrovně vyspělosti společnosti

Gartner Group identifikuje 4 úrovně vyspělosti společnosti z hlediska informační bezpečnosti (IS):

• úroveň 0:
• Nikdo se ve společnosti nezabývá informační bezpečností; vedení společnosti si neuvědomuje důležitost problémů informační bezpečnosti;
• Neexistuje žádné financování;
• Informační bezpečnost je realizována pomocí standardních prostředků operační systémy, DBMS a aplikace (ochrana heslem, řízení přístupu ke zdrojům a službám).
• Úroveň 1:
• Informační bezpečnost je managementem považována za čistě „technický“ problém, neexistuje jednotný program (koncepce, politika) rozvoje podnikového informačního bezpečnostního systému (ISMS);
• Financování je poskytováno v rámci celkového rozpočtu IT;
• Informační bezpečnost je realizována pomocí prostředků nulové úrovně + zálohování, antivirové nástroje, firewally, nástroje pro organizaci VPN (tradiční bezpečnostní nástroje).
• Úroveň 2:
• Informační bezpečnost je managementem považována za soubor organizačních a technických opatření, dochází k pochopení významu informační bezpečnosti pro výrobní procesy, existuje managementem schválený program rozvoje podnikového ISMS;
• Informační bezpečnost je implementována nástroji první úrovně + rozšířenými autentizačními nástroji, nástroji pro analýzu e-mailových zpráv a webového obsahu, IDS (systémy detekce narušení), nástroje pro analýzu zabezpečení, SSO (jednotné autentizační nástroje), PKI (infrastruktura) veřejné klíče) a organizační opatření (interní a externí audit, analýza rizik, politika bezpečnosti informací, předpisy, postupy, předpisy a směrnice).
• Úroveň 3:
• Informační bezpečnost je součástí firemní kultury, byl jmenován CISA (senior information security officer);
• Financování je poskytováno v rámci samostatného rozpočtu;
• Informační bezpečnost je realizována prostřednictvím systému řízení bezpečnosti informací druhé úrovně, CSIRT (tým pro reakci na incidenty informační bezpečnosti), SLA (smlouva o úrovni služeb).

Podle Gartner Group (data poskytnuta za rok 2001) je procento společností ve vztahu k popsaným 4 úrovním následující:
Úroveň 0–30 %,
Úroveň 1 – 55 %,
Úroveň 2 – 10 %,
Úroveň 3 – 5 %.

Prognóza Gartner Group na rok 2005 je následující:
Úroveň 0 – 20 %,
Úroveň 1 – 35 %,
Úroveň 2 – 30 %,
Úroveň 3 – 15 %.

Statistiky ukazují, že většina společností (55 %) v současné době zavedla minimální požadovanou sadu tradičních technické prostředky ochrana (1 stupeň).

Při zavádění různých technologií a bezpečnostních opatření často vyvstávají otázky. Co implementovat jako první, systém detekce narušení nebo infrastrukturu PKI? Která bude účinnější? Stephen Ross, ředitel společnosti Deloitte&Touche, navrhuje následující přístup k hodnocení účinnosti jednotlivých opatření a nástrojů informační bezpečnosti.

Na základě výše uvedeného grafu je vidět, že nejdražší a nejméně efektivní jsou specializované nástroje (vlastní nebo na zakázku).

Nejdražší, ale zároveň nejúčinnější jsou ochranné přípravky kategorie 4 (úroveň 2 a 3 dle Gartner Group). Pro implementaci nástrojů v této kategorii je nutné použít postup analýzy rizik. Analýza rizik v v tomto případě zajistí, aby náklady na implementaci byly přiměřené stávajícím hrozbám narušení bezpečnosti informací.

Nejlevnější, avšak s vysokou mírou účinnosti, zahrnují organizační opatření (interní a externí audit, analýza rizik, politika bezpečnosti informací, plán kontinuity podnikání, předpisy, postupy, předpisy a manuály).

Zavedení dodatečných prostředků ochrany (přechod na úroveň 2 a 3) vyžaduje značné finanční investice, a tedy i odůvodnění. Absence jednotného programu rozvoje ISMS schváleného a podepsaného vedením prohlubuje problém oprávněnosti investic do bezpečnosti.

Analýza rizik

Takovým zdůvodněním mohou být výsledky analýzy rizik a shromážděné statistiky o incidentech. Mechanismy pro provádění analýzy rizik a shromažďování statistik by měly být specifikovány v zásadách bezpečnosti informací společnosti.

Proces analýzy rizik se skládá ze 6 po sobě jdoucích fází:

1. Identifikace a klasifikace chráněných objektů (firemní zdroje, které mají být chráněny);

3. Sestavení modelu útočníka;

4. Identifikace, klasifikace a analýza hrozeb a zranitelností;

5. Hodnocení rizik;

6. Výběr organizačních opatření a technických prostředků ochrany.

Na jevišti identifikace a klasifikace předmětů ochrany Je nutné provést inventuru zdrojů společnosti v následujících oblastech:

• Informační zdroje (důvěrné a důležité firemní informace);
• Softwarové zdroje (OS, DBMS, kritické aplikace, jako ERP);
• Fyzické zdroje (servery, pracovní stanice, síťová a telekomunikační zařízení);
• Zdroje služeb ( e-mail, www atd.).

Kategorizace je určit úroveň důvěrnosti a kritičnosti zdroje. Důvěrnost se týká úrovně utajení informací, které jsou ukládány, zpracovávány a přenášeny zdrojem. Kritičnost označuje míru vlivu zdroje na efektivitu výrobních procesů společnosti (např. v případě výpadku telekomunikačních zdrojů může poskytovatelská společnost zkrachovat). Přiřazením určitých kvalitativních hodnot parametrům důvěrnosti a kritičnosti můžete určit úroveň významnosti každého zdroje z hlediska jeho účasti ve výrobních procesech společnosti.

Chcete-li určit důležitost zdrojů společnosti z hlediska bezpečnosti informací, můžete získat následující tabulku:

Například soubory s informacemi o platové úrovni zaměstnanců společnosti mají hodnotu „přísně důvěrné“ (parametr důvěrnosti) a hodnotu „nevýznamné“ (parametr kritickosti). Dosazením těchto hodnot do tabulky můžete získat integrální ukazatel významu tohoto zdroje. Různé možnosti kategorizační metody jsou uvedeny v mezinárodní normě ISO TR 13335.

Vytvoření modelu útočníka je proces klasifikace potenciálních narušitelů podle následujících parametrů:

• Typ útočníka (konkurent, klient, vývojář, zaměstnanec společnosti atd.);
• Postavení útočníka ve vztahu k předmětům ochrany (vnitřní, vnější);
• Úroveň znalostí o chráněných objektech a prostředí (vysoká, střední, nízká);
• Úroveň schopnosti přístupu k chráněným objektům (maximum, průměr, minimum);
• Doba působení (neustále, v určitých časových intervalech);
• Místo působení (předpokládaná poloha útočníka během útoku).

Přiřazením kvalitativních hodnot k uvedeným parametrům modelu útočníka lze určit útočníkův potenciál (nedílná charakteristika útočníkových schopností implementovat hrozby).

Identifikace, klasifikace a analýza hrozeb a zranitelností umožňují určit způsoby provádění útoků na chráněné objekty. Zranitelnosti jsou vlastnosti zdroje nebo jeho prostředí, které útočník používá k implementaci hrozeb. Seznam zranitelností softwarových prostředků lze nalézt na internetu.

Hrozby jsou klasifikovány podle následujících kritérií:

• název hrozby;
• typ útočníka;
• prováděcí prostředky;
• zneužitá zranitelnost;
• přijatá opatření;
• četnost provádění.

Hlavním parametrem je frekvence implementace hrozeb. Záleží na hodnotách parametrů „potenciál útočníka“ a „zabezpečení zdrojů“. Hodnota parametru „zabezpečení zdrojů“ je určena odbornými posudky. Při stanovení hodnoty parametru se berou v úvahu subjektivní parametry útočníka: motivace k implementaci hrozby a statistiky z pokusů o implementaci hrozeb tohoto typu(pokud je k dispozici). Výsledkem fáze analýzy hrozeb a zranitelnosti je posouzení parametru „frekvence implementace“ pro každou hrozbu.

Na jevišti hodnocení rizik potenciální škody z hrozeb narušení informační bezpečnosti jsou určeny pro každý zdroj nebo skupinu zdrojů.

Kvalitativní ukazatel poškození závisí na dvou parametrech:

• Význam zdroje;
• Četnost implementace hrozby na tomto zdroji.

Na základě získaných posudků škod jsou přiměřeně zvolena adekvátní organizační opatření a technické prostředky ochrany.

Akumulace statistik o incidentech

Jediným slabým místem v navrhované metodice hodnocení rizik a tedy i zdůvodnění potřeby zavádění nových nebo změn stávajících ochranných technologií je stanovení parametru „frekvence výskytu hrozby“. Jediným způsobem, jak získat objektivní hodnoty tohoto parametru, je shromažďování statistik o incidentech. Kumulované statistiky například za rok vám umožní určit počet implementací hrozeb (určitého typu) na zdroj (určitého typu). Je vhodné provést práci na sběru statistik jako součást postupu zpracování incidentů.

Investujte do různých technologií zabezpečení počítače- od platforem pro vyplácení bonusů za odhalování zranitelností v programech až po diagnostiku a automatizované testování programů. Nejvíce je ale lákají autentizace a technologie správy informací o identitě – do startupů zabývajících se těmito technologiemi bylo na konci roku 2019 investováno asi 900 milionů dolarů.

Investice do startupů zaměřených na školení v oblasti kybernetické bezpečnosti dosáhly v roce 2019 418 milionů dolarů, v čele s KnowBe4, která získala 300 milionů dolarů, startup nabízí platformu pro simulaci phishingových útoků a řadu školicích programů.

V roce 2019 obdržely společnosti zapojené do zabezpečení internetu věcí zhruba 412 milionů dolarů. Lídrem v této kategorii z hlediska objemu investic je SentinelOne, který v roce 2019 získal 120 milionů dolarů na vývoj technologií ochrany koncových bodů.

Analytici Metacurity zároveň poskytují další údaje charakterizující situaci na trhu rizikového financování v sektoru informační bezpečnosti. V roce 2019 zde objem investic dosáhl 6,57 miliardy USD, což je nárůst z 3,88 miliardy USD v roce 2018. Zvýšil se i počet transakcí - ze 133 na 219. Průměrný objem investic na jednu transakci přitom zůstal prakticky nezměněn a na konci roku 2019 činil 29,2 milionu podle výpočtu Metacurity.

2018

Růst o 9 % na 37 miliard dolarů – Canalys

V roce 2018 prodej vybavení, software a služby určené pro informační bezpečnost (IS) dosáhly 37 miliard USD, což je o 9 % více než před rokem (34 miliard USD). Tato data byla zveřejněna 28. března 2019 analytiky Canalys.

Přestože mnoho společností upřednostňuje ochranu svých aktiv, dat, koncových bodů, sítí, zaměstnanců a zákazníků, kybernetická bezpečnost představovala v roce 2018 pouze 2 % celkových výdajů na IT. Objevuje se však stále více nových hrozeb, stávají se komplexnějšími a častějšími, což poskytuje výrobcům řešení informační bezpečnosti nové možnosti růstu. Očekává se, že celkové výdaje na kybernetickou bezpečnost v roce 2020 překročí 42 miliard dolarů.

Analytik společnosti Canalys Matthew Ball věří, že přechod na nové modely implementace informační bezpečnosti se urychlí. Zákazníci mění povahu svých IT rozpočtů používáním veřejných cloudových služeb a flexibilních služeb založených na předplatném.

Přibližně 82 % projektů nasazení informační bezpečnosti v roce 2018 zahrnovalo použití tradičního hardwaru a softwaru. Ve zbývajících 18 % případů byla využita virtualizace, veřejné cloudy a služby informační bezpečnosti.

Do roku 2020 klesne podíl tradičních modelů pro nasazení systémů informační bezpečnosti na 70 %, protože nová řešení na trhu získávají na popularitě.

Podle analytika Canalys Ketaki Borade zavedli přední dodavatelé technologií pro kybernetickou bezpečnost nové modely distribuce produktů, které zahrnují společnosti přechod na model předplatného a zvýšení provozu v cloudové infrastruktuře.

2017

Náklady na kybernetickou bezpečnost přesáhly 100 miliard dolarů

V roce 2017 dosáhly globální výdaje na informační bezpečnost (IS) – produkty a služby – 101,5 miliardy dolarů, uvedla v polovině srpna 2018 výzkumná společnost Gartner. Na konci roku 2017 odborníci ocenili tento trh na 89,13 miliardy dolarů. Není uvedeno, co způsobilo výrazné zvýšení ocenění.

Odborníci se domnívají, že jedním z klíčových faktorů přispívajících ke zvýšení nákladů na informační bezpečnost je zavádění nových metod detekce a reakce na hrozby, které se v roce 2018 staly nejvyšší bezpečnostní prioritou organizací.

Podle odhadů společnosti Gartner v roce 2017 organizace vynaložené na služby kybernetické ochrany celosvětově přesáhly 52,3 miliardy USD. V roce 2018 tyto náklady vzrostou na 58,9 miliardy USD.

V roce 2017 utratily společnosti 2,4 miliardy dolarů na ochranu aplikací, 2,6 miliardy dolarů na ochranu dat, cloudové služby- 185 milionů dolarů

Roční tržby za řešení pro správu identit a přístupu (Identity And Access Management) se rovnaly 8,8 miliardám Tržby za nástroje ochrany IT infrastruktury vzrostly na 12,6 miliardy USD.

Studie také uvádí náklady ve výši 10,9 miliardy dolarů na vybavení použité k poskytování zabezpečení sítě. Jejich výrobci vydělali 3,9 miliardy dolarů na systémech řízení rizik informační bezpečnosti.

Výdaje na spotřebitelskou kybernetickou bezpečnost za rok 2017 odhadují analytici podle studie Gartner na 5,9 miliardy dolarů.

Gartner odhadl velikost trhu na 89,13 miliardy dolarů

V prosinci 2017 bylo známo, že globální firemní výdaje na informační bezpečnost (IS) v roce 2017 budou činit 89,13 miliardy USD Podle společnosti Gartner překročí firemní výdaje na kybernetickou bezpečnost částku z roku 2016 o téměř 7 miliard USD.

Odborníci považují služby informační bezpečnosti za největší výdajovou položku: v roce 2017 společnosti na tyto účely vyčlení přes 53 miliard USD oproti 48,8 miliardám USD v roce 2016. Druhým největším segmentem trhu informační bezpečnosti jsou řešení ochrany infrastruktury, jejichž náklady v roce 2017 dosáhnou 16,2 miliardy dolarů namísto 15,2 miliardy dolarů před rokem. Zařízení pro zabezpečení sítě je na třetím místě (10,93 miliardy dolarů).

Struktura nákladů na informační bezpečnost zahrnuje také spotřební software pro informační bezpečnost a systémy identifikace a řízení přístupu (Identity and Access Management, IAM). Gartner odhaduje náklady v těchto oblastech v roce 2017 na 4,64 miliardy USD a 4,3 miliardy USD, zatímco v roce 2016 byly tyto údaje na 4,57 miliardy USD a 3,9 miliardy USD.

Analytici očekávají další růst na trhu informační bezpečnosti: v roce 2018 organizace zvýší výdaje na kybernetickou ochranu o dalších 8 % a vyčlení na tyto účely celkem 96,3 miliardy USD Mezi růstové faktory odborníci uvedli měnící se předpisy v sektoru informační bezpečnosti a povědomí o nových hrozbách a zaměření společností na digitální obchodní strategii.

Slova analytika potvrzují i ​​data získaná společností Gartner v roce 2016 během průzkumu zahrnujícího 512 organizací z osmi zemí: Austrálie, Kanady, Francie, Německa, Indie, Singapuru a USA.

53 % respondentů označilo rizika kybernetické bezpečnosti za hlavní hnací sílu zvýšených výdajů na kybernetickou bezpečnost. Z tohoto počtu nejvíce vysoké procento dotázaných uvedlo, že hrozba kybernetických útoků nejvíce ovlivňuje rozhodování o nákladech na bezpečnost informací.

Prognóza Gartneru na rok 2018 volá po zvýšení výdajů ve všech hlavních oblastech. Na služby kybernetické ochrany bude tedy vynaloženo přibližně 57,7 miliardy USD (+ 4,65 miliardy USD), na zajištění bezpečnosti infrastruktury bude vynaloženo přibližně 17,5 miliardy USD (+ 1,25 miliardy USD) a 11,67 miliardy USD (+ 735 milionů USD) na spotřební software – 4,74 miliardy USD ( +109 milionů $) a pro systémy IAM - 4,69 miliardy $ (+416 milionů $).

Analytici se také domnívají, že do roku 2020 bude více než 60 % organizací na světě současně investovat do několika nástrojů na ochranu dat, včetně nástrojů prevence ztráty informací, šifrování a auditu. Ke konci roku 2017 byl podíl společností nakupujících taková řešení odhadován na 35 %.

Další významnou položkou firemních výdajů na informační bezpečnost bude zapojení specialistů třetích stran. Očekává se, že na pozadí nedostatku personálu v oblasti kybernetické bezpečnosti, rostoucí technické složitosti systémů informační bezpečnosti a zvyšujících se kybernetických hrozeb se náklady společnosti na outsourcing informační bezpečnosti v roce 2018 zvýší o 11 % a budou činit 18,5 miliardy USD. .

Gartner odhaduje, že do roku 2019 budou firemní výdaje na externí odborníky na kybernetickou bezpečnost činit 75 % celkových výdajů na software a hardware v oblasti kybernetické bezpečnosti, oproti 63 % v roce 2016.

IDC předpovídá velikost trhu na 82 miliard dolarů

Dvě třetiny nákladů budou pocházet od společností klasifikovaných jako velké a velmi velké podniky. Do roku 2019 podle analytiků IDC překročí náklady korporací s více než 1000 zaměstnanci hranici 50 miliard dolarů.

2016: Objem trhu 73,7 miliard USD, růst 2krát větší než trh IT

V říjnu 2016 představila analytická společnost IDC stručné výsledky studie globálního trhu informační bezpečnosti. Očekává se, že její růst bude dvojnásobný oproti trhu IT.

IDC vypočítalo, že celosvětové prodeje zařízení, softwaru a služeb pro kybernetickou ochranu dosáhnou v roce 2016 přibližně 73,7 miliardy USD a v roce 2020 toto číslo přesáhne 100 miliard USD, což bude činit 101,6 miliardy USD. technologie poroste průměrným tempem 8,3 % ročně, což je dvojnásobek očekávaného tempa růstu IT průmyslu.

Největší výdaje na informační bezpečnost (8,6 miliardy USD) na konci roku 2016 se očekávají v bankách. Na druhém, třetím a čtvrtém místě z hlediska velikosti těchto investic budou diskrétní výrobní podniky, vládní agentury a podniky kontinuální výroby, které budou tvořit asi 37 % nákladů.

Analytici vedou v dynamice rostoucích investic do informační bezpečnosti do zdravotnictví (v letech 2016–2020 se očekává průměrný roční růst 10,3 %). Náklady na kybernetickou ochranu v sektoru telekomunikací, bydlení, vládních agentur a na trhu investic a cenných papírů porostou přibližně o 9 % ročně.

Za největší trh informační bezpečnosti vědci označují americký trh, jehož objem dosáhne v roce 2016 31,5 miliardy dolarů. Mezi první tři bude patřit také západní Evropa a asijsko-pacifický region (bez Japonska). V krátké verzi studie IDC nejsou žádné informace o ruském trhu.

Generální manažer ruská společnost„Security Monitor“ Dmitrij Gvozdev předpovídá zvýšení podílu služeb na celkových ruských bezpečnostních výdajích z 30-35% na 40-45% a také předpovídá vývoj klientské struktury trhu - z celkové převahy vlády , finanční a energetický sektor směrem ke středním podnikům ze široké škály průmyslových odvětví.

2015

TRŽNÍ VELIKOST

FEDERÁLNÍ VÝDAJE

kybernetický zločin

CENA ZA PORUŠENÍ

FINANČNÍ SLUŽBY

Mezinárodní

BEZPEČNOSTNÍ ANALYTIKY

2013: Trh EMEA vzrostl na 2,5 miliardy USD.

Objem trhu s bezpečnostním vybavením v regionu EMEA (Evropa, Střední východ a Afrika) vzrostl ve srovnání s rokem 2012 o 2,4 % a dosáhl 2,5 miliardy USD uvažovaný trh počítačové sítě– UTM řešení (Sjednocená správa hrozeb). IDC zároveň předpovědělo, že trh s hardwarem pro informační bezpečnost do roku 2018 dosáhne hodnoty 4,2 miliardy USD s průměrným ročním růstem 5,4 %.

Vedoucí pozici mezi dodavateli z hlediska tržeb z prodeje zařízení pro informační bezpečnost v regionu EMEA zaujal na konci roku 2013 Check Point. Podle IDC tržby prodejce v tomto segmentu za rok 2013 vzrostly o 3,8 % a dosáhly 374,64 milionů USD, což odpovídá podílu na trhu 19,3 %.

2012: Předpověď PAC: Trh informační bezpečnosti poroste o 8 % ročně

Globální trh informační bezpečnosti poroste o 8 % ročně až do roku 2016, kdy by mohl dosáhnout 36 miliard eur, uvedla studie.

V závislosti na kontextu se termín „bezpečnost informací“ používá v různých významech. V nejširším slova smyslu tento koncept zahrnuje ochranu důvěrných informací, výrobního procesu a infrastruktury společnosti před úmyslnými nebo náhodnými akcemi, které vedou k finančním škodám nebo ztrátě reputace.

Principy informační bezpečnosti

V jakémkoli odvětví základní princip informační bezpečnosti je udržovat rovnováhu zájmů občana, společnosti a státu. Obtížnost udržení rovnováhy spočívá v tom, že zájmy společnosti a občana se často střetávají. Občan se snaží utajit podrobnosti o svém osobním životě, zdrojích a výši příjmů a špatných skutcích. Společnost má naopak zájem na „odtajnění“ informací o nelegálních příjmech, korupčních skutečnostech a kriminálních činech. Stát vytváří a spravuje odstrašující mechanismus, který chrání práva občanů na nezveřejňování osobních údajů a zároveň upravuje právní vztahy související s řešením trestných činů a postavením pachatelů před soud.

Význam v moderních podmínkách princip právní podpory informační bezpečnost zisky, když regulační podpora nedrží krok s rozvojem průmyslu informační bezpečnosti. Mezery v legislativě lidem nejen umožňují vyhýbat se odpovědnosti za kybernetické zločiny, ale také brání zavádění pokročilých technologií ochrany dat.

Princip globalizace , nebo integrace systémů informační bezpečnosti ovlivňuje všechna odvětví: politický, ekonomický, kulturní. Rozvoj mezinárodní komunikační systémy potřebuje konzistentní zabezpečení dat.

Podle princip ekonomické proveditelnosti , účinnost opatření pro bezpečnost informací musí odpovídat nebo překračovat vynaložené zdroje. Nenáhrada nákladů na údržbu bezpečnostního systému pouze poškozuje pokrok.

Princip flexibility systému ochrana informací znamená odstranění jakýchkoli omezení režimu, která brání vytváření a implementaci nových technologií.

Přísná úprava důvěrných, ne otevřené informace předpokládá zásada mlčenlivosti .

Čím více různých hardwarových a softwarových bezpečnostních nástrojů se používá k ochraně dat, tím rozmanitější znalosti a dovednosti potřebují útočníci, aby odhalili zranitelnosti a obešli ochranu. Zaměřeno na posílení bezpečnosti informací princip rozmanitosti ochranné mechanismy informačních systémů.

Princip snadného ovládání bezpečnostní systém je založen na myšlence, že co složitější systém informační bezpečnosti, tím obtížnější je ověřit konzistenci jednotlivých složek a zavést centrální správu.

Klíčem k loajálnímu přístupu zaměstnanců k informační bezpečnosti je neustálé školení o pravidlech informační bezpečnosti a jasné vysvětlování důsledků nedodržování pravidel až po bankrot společnosti. Princip loajality Správci systému zabezpečení dat a všichni zaměstnanci společnosti spojují bezpečnost s motivací zaměstnanců. Pokud zaměstnanci, ale i protistrany a klienti vnímají informační bezpečnost jako zbytečný až nepřátelský jev, nemohou ani ty nejvýkonnější systémy zaručit bezpečnost informací ve firmě.

Uvedené principy jsou základem pro zajištění informační bezpečnosti ve všech odvětvích, která je doplněna o prvky v závislosti na specifikách odvětví. Podívejme se na příklady bankovního sektoru, energetiky a médií.

Banky

Rozvoj technologií kybernetických útoků nutí banky zavádět nové a neustále zlepšovat základní bezpečnostní systémy. Cílem rozvoje informační bezpečnosti v bankovním sektoru je vývoj technologických řešení, která dokážou zabezpečit informační zdroje a zajistit integraci nejnovějších IT produktů do klíčových obchodních procesů finančních institucí.

Mechanismy pro zajištění bezpečnosti informací finančních institucí jsou budovány v souladu s ratifikovanými mezinárodními úmluvami a dohodami, jakož i federálními zákony a standardy. Referenčními body v oblasti informační bezpečnosti pro ruské banky jsou:

• Standard Bank of Russia STO BR IBBS-1.0-2010 „Zajištění informační bezpečnosti organizací bankovního systému Ruská federace»;
• Federální zákon č. 161 „O národním platební systém»;
• federální zákon č. 152 „O osobních údajích“;
• Platební karta Industry Data Security Standard PCI DSS a další dokumenty.

Nutnost dodržovat různé zákony a normy je dána tím, že banky provádějí mnoho různých operací, působí v různých oblastech, které vyžadují vlastní bezpečnostní nástroje. Například zajištění bezpečnosti informací během vzdálených bankovních služeb (RBS) zahrnuje vytvoření bezpečnostní infrastruktury, která zahrnuje prostředky pro ochranu bankovních aplikací a řízení datových toků. sledování bankovních transakcí a vyšetřování incidentů. Vícesložková ochrana informačních zdrojů zajišťuje minimalizaci hrozeb spojených s podvody při používání služeb RBS a také ochranu dobrého jména banky.

Informační bezpečnost v bankovním sektoru, stejně jako v jiných odvětvích, závisí na personálním obsazení. Zvláštností informační bezpečnosti v bankách je zvýšená pozornost věnovaná bezpečnostním specialistům na úrovni regulátorů. Začátkem roku 2017 Bank of Russia spolu s Ministerstvem práce a sociální ochrany za účasti FSTEC, Ministerstva školství a vědy pro specialisty na informační bezpečnost.

Jak správně provést audit informační bezpečnosti v bance?

Energie

Energetický komplex patří mezi strategická odvětví, která vyžadují speciální opatření k zajištění informační bezpečnosti. Pokud je na pracovištích v administrativách a odděleních dostatek standardní prostředky Informační bezpečnost, potažmo ochrana v technologických oblastech výroby a dodávky energie koncovým uživatelům vyžaduje zvýšenou kontrolu. Hlavním předmětem ochrany v energetice nejsou informace, ale technologický proces. Bezpečnostní systém v tomto případě musí zajistit celistvost technologického procesu a automatizované systémyřízení. Před implementací mechanismů informační bezpečnosti v podnicích v energetickém sektoru proto odborníci studují:

• předmět ochrany - technologický postup;
• zařízení používaná v energetice (telemechanika);
• související faktory (ochrana relé, automatizace, měření energie).

Význam informační bezpečnosti v energetice je dán důsledky implementace informačních kybernetických hrozeb. Nejde jen o materiální škody či zásah do dobrého jména, ale především o újmu na zdraví občanů, narušení životního prostředí, narušení infrastruktury města či regionu.

Návrh systému informační bezpečnosti v energetickém sektoru začíná predikcí a hodnocením bezpečnostních rizik. Hlavní metodou hodnocení je modelování možných hrozeb, které pomáhá racionálně rozdělovat zdroje při organizaci bezpečnostního systému a předcházet implementaci kybernetických hrozeb. Vyhodnocování bezpečnostních rizik v energetice se navíc vyznačuje kontinuitou: průběžně jsou prováděny audity za provozu systému s cílem rychle měnit nastavení tak, aby byla zajištěna maximální míra ochrany a udržována aktuálnost systému.

Média

Hlavním úkolem informační bezpečnosti v médiích je ochrana národních zájmů, včetně zájmů občanů, společnosti a státu. Činnost médií v moderních podmínkách spočívá v tvorbě informační toky ve formě zpravodajských a publicistických materiálů, které jsou přijímány, zpracovávány a distribuovány koncovým spotřebitelům: čtenářům, divákům, návštěvníkům webových stránek.

Zajištění a kontrola bezpečnosti v oblasti hromadných sdělovacích prostředků je realizována v několika oblastech a zahrnuje:

• vypracování doporučení k protikrizovým postupům v případě hrozby informačního útoku;
• školicí programy o informační bezpečnosti pro zaměstnance redakcí médií, tiskových služeb a oddělení pro styk s veřejností;
• dočasná externí správa organizací, které prošly informačním útokem.

Dalším problémem informační bezpečnosti v médiích je zaujatost. Pro zajištění objektivního zpravodajství o událostech je nutný ochranný mechanismus, který by ochránil novináře před tlakem ze strany státních úředníků, managementu a/nebo vlastníka médií a zároveň zajistil bona fide obchodní struktury před jednáním nepoctivých zástupců médií.

Dalším základním kamenem informační bezpečnosti v mediálním průmyslu je omezení přístupu k datům. Problém je v tom, že omezení přístupu k informacím za účelem prevence informačních hrozeb se nestává „zástěrkou“ pro cenzuru. Řešení, které by zprůhlednilo média a pomohlo zabránit poškození národních bezpečnostních zájmů, obsahuje návrh Úmluvy o přístupu k informačním zdrojům, který čeká na hlasování v Evropské unii. Normy dokumentu předpokládají, že stát zajistí rovný přístup ke všem úředním dokumentům vytvořením příslušných rejstříků na internetu a stanoví omezení přístupu, která nelze změnit. Existují pouze dvě výjimky, které vám umožní zrušit omezení přístupu k informačním zdrojům:

• veřejný prospěch, což znamená možnost zveřejnit i ty údaje, které za běžných podmínek nepodléhají šíření;
• národní zájem pokud by zatajování informací způsobilo státu škodu.

Soukromý sektor

S rozvojem tržní ekonomiky, růstem a přiostřováním konkurence se pověst společnosti stává nedílnou součástí nehmotného majetku. Utváření a uchovávání pozitivního obrazu přímo závisí na úrovni informační bezpečnosti. Existuje také zpětná vazba, kdy zavedená image společnosti na trhu slouží jako záruka informační bezpečnosti. S tímto přístupem se rozlišují tři typy obchodní pověsti:

1. Obrázek „zbytečné“ organizace, o jejichž informační zdroje není zájem, neboť je nelze použít ke škodě nebo prospěchu třetí osoby.

2. Obrázek silného soupeře, jehož bezpečnost je „dražší“ ohrožovat. Rozmazané hranice příležitostí odrazit informační útok pomáhají udržet pověst impozantního protivníka: čím obtížnější je porozumět potenciálu ochrany informací, tím nedobytnější se společnost jeví v očích útočníků.

3. Obrázek „užitečné“ organizace. Pokud potenciálního agresora zajímá životaschopnost firmy, místo informačního útoku dialog a formace obecná politika IB.

Každá společnost organizuje svou činnost v souladu se zákonem a usiluje o dosažení svých cílů. Podobná kritéria budou platit také při vytváření politiky bezpečnosti informací, zavádění a provozování vnitřních bezpečnostních systémů pro důvěrná data a zdroje IT. Pro zajištění nejvyšší možné úrovně informační bezpečnosti v organizaci by po implementaci bezpečnostních systémů měly být bezpečnostní komponenty systematicky monitorovány, rekonfigurovány a aktualizovány podle potřeby.

Informační ochrana strategických objektů

Na začátku roku 2017 přijala Státní duma Ruské federace v prvním čtení balíček zákonů, které se týkají informační bezpečnosti a kritické informační infrastruktury země.

Hlavní zdroje informačních hrozeb ve vojenské sféře Ruské federace.

Předseda parlamentního výboru pro informační politiku, informační technologie a komunikace Leonid Levin při předkládání návrhů zákonů varoval před nárůstem počtu kybernetických útoků na strategicky důležité objekty. Na schůzi výboru zástupce FSB Nikolaj Murašov řekl, že během roku bylo v Rusku provedeno 70 milionů kybernetických útoků na objekty. Současně s rostoucími hrozbami vnějších útoků se zvyšuje rozsah, složitost a koordinace informačních útoků v rámci země.

Návrhy zákonů přijaté poslanci tvoří právní základ pro poskytování informací v oblasti národní kritické infrastruktury a jednotlivých odvětví. Návrhy zákonů navíc předepisují pravomoci orgánů státní správy v oblasti informační bezpečnosti a zpřísňují trestní odpovědnost za porušení informační bezpečnosti.

Anotace: Přednáška pojednává o úkolech a metodách ekonomické analýzy proveditelnosti realizace opatření k zajištění informační bezpečnosti v určitých podmínkách.

Metodologické základy ekonomiky informační bezpečnosti

Řízení informační bezpečnosti, stejně jako řízení v mnoha dalších oblastech činnosti, zahrnuje periodické přijímání různých manažerských rozhodnutí, která zpravidla spočívají ve výběru určitých alternativ (volba jednoho z možných organizačních schémat nebo některého z dostupných technických řešení ) nebo stanovení určitých parametrů jednotlivých organizačních a/nebo popř technické systémy a subsystémy. Jeden z možných přístupů k výběru alternativ v situaci adopce manažerské rozhodnutí je tzv „volní“ přístup, kdy je rozhodnutí z toho či onoho důvodu učiněno intuitivně a nelze stanovit formálně odůvodněný vztah příčiny a následku mezi určitými výchozími premisami a konkrétním učiněným rozhodnutím. Je zřejmé, že alternativou k přístupu „silné vůle“ je rozhodování na základě určitých formálních postupů a sekvenční analýza.

Základem takové analýzy a následné rozhodování je ekonomická analýza, která zahrnuje studium všech (nebo alespoň hlavních) faktorů, pod jejichž vlivem dochází k vývoji analyzovaných systémů, vzorců jejich chování, dynamiky změn a také využití univerzálních peněžní ocenění. Právě na základě adekvátně konstruovaných ekonomických modelů a s jejich pomocí provedené ekonomické analýzy je třeba rozhodovat jak o celkové strategii rozvoje, tak o jednotlivých organizačních a technických opatřeních, a to jak na úrovni států, regionů a odvětví, tak i úroveň jednotlivých podniků, divizí a informačních systémů.

Přitom stejně jako ekonomika jakéhokoli oboru činnosti má své charakteristické rysy, tak i ekonomika informační bezpečnosti, považovaná za relativně samostatnou disciplínu, je na jedné straně založena na některých obecných ekonomických zákonitostech a metodách analýzy. na druhé straně vyžaduje individuální porozumění a rozvoj specifických přístupů k analýze, shromažďování statistických dat specifických pro tuto oblast, vytváření stabilních představ o faktorech, pod jejichž vlivem funguje informační systémy A nástroje pro bezpečnost informací.

Složitost problémů ekonomické analýzy téměř ve všech oblastech činnosti je zpravidla dána tím, že řadu klíčových parametrů ekonomických modelů nelze spolehlivě posoudit a mají pravděpodobnostní povahu (jako např. spotřebitelská poptávka). Analýza je také komplikována skutečností, že i malé výkyvy (úprava odhadů) takových parametrů mohou vážně ovlivnit hodnoty objektivní funkce, a tedy i rozhodnutí učiněná na základě výsledků analýzy. Tedy pro zajištění co největší spolehlivosti výpočtů v procesu provádění ekonomických analýz a rozhodování je nutné zorganizovat komplex prací pro sběr prvotních informací, výpočet předpovědních hodnot, rozhovory s odborníky v různých oblastech a zpracování všech dat. Zároveň je v procesu provádění takové analýzy nutné věnovat zvláštní pozornost průběžným rozhodnutím týkajícím se hodnocení určitých parametrů zahrnutých do obecného modelu. Je také nutné vzít v úvahu skutečnost, že taková analýza se sama o sobě může ukázat jako poměrně náročný postup a vyžadovat zapojení dalších specialistů a konzultantů třetích stran, jakož i úsilí různých specialistů (odborníků) práce v samotném podniku - všechny tyto náklady musí být v konečném důsledku odůvodněné.

Zvláštní složitost ekonomické analýzy v takové oblasti jako je informační bezpečnost, je určen takovými specifickými faktory, jako jsou:

• rychlý rozvoj informačních technologií a technik používaných v této oblasti (jak prostředků a způsobů obrany, tak prostředků a způsobů útoku);
• neschopnost spolehlivě předvídat všechny možné scénáře útoku na informační systémy a vzorce chování útočníků;
• nemožnost poskytnout spolehlivé, dostatečně přesné posouzení nákladů na informační zdroje, jakož i posouzení důsledků různých porušení v peněžním vyjádření.

To vyžaduje další úsilí o organizaci procesu ekonomické analýzy a také to často vede k tomu, že mnohá rozhodnutí učiněná v souvislosti s bezpečností informací se mohou ukázat jako nedostatečná. Příklady situací, kdy nedostatečný rozvoj metodiky ekonomické analýzy negativně ovlivňuje stav informační bezpečnosti, jsou případy, kdy:

• vedení podniku může činit neadekvátní rozhodnutí týkající se investic do nástrojů zabezpečení informací, což může vést ke ztrátám, kterým bylo možné předejít;
• vedení podniku může činit určitá rozhodnutí týkající se organizace podnikových procesů a procesů zpracování informací v podniku na základě přání snížit současné náklady a snížit zátěž personálu, aniž by zohledňovalo ekonomické důsledky nedostatečného zabezpečení informačních zdrojů;
• pojistník a pojistitel nemohou uzavřít smlouvu o pojištění informačních rizik nebo stanovit pro takovou smlouvu nevyhovující parametry z důvodu, že neexistují modely a metody pro hodnocení ekonomických parametrů transakce.

Analýza investic do nástrojů informační bezpečnosti

Podniky se při své současné činnosti musí neustále vyrovnávat s určitými změnami: zpřesňují se obchodní procesy, mění se podmínky odbytových trhů a trhů se spotřebovávanými materiálovými zdroji a službami, objevují se nové technologie, konkurenti a protistrany mění své mění se chování, legislativa a vládní politika atd. d. Za těchto podmínek musí manažeři (včetně těch, kteří odpovídají za zajištění bezpečnosti informací) neustále analyzovat probíhající změny a přizpůsobovat svou práci neustále se měnící situaci. Konkrétní formy, kterými se reakce manažerů projevují, se mohou lišit. Může to být změna marketingové politiky, reorganizace obchodních procesů, změna technologie, změna vyráběného produktu, fúze s konkurenty nebo jejich akvizice atd. Se vší rozmanitostí možných modelů chování v měnícím se prostředí však téměř všechny spojuje jeden důležitý společný metodologický prvek: ve většině případů obchodní reakce na nové hrozby a nové příležitosti zahrnuje vytváření nových, více či méně dlouhých -dlouhodobé a na zdroje náročné investice (investice) do určitých organizačních a/nebo technických opatření, která na jedné straně zahrnují vynaložení prostředků (peněz), na druhé straně poskytují možnost získat nové výhody, vyjádřené v zvýšení příjmů nebo snížení některých běžných výdajů.

V situaci, kdy je nutné provést nějaké nové organizační nebo technické činnosti (realizovat projekt), je tedy hlavním úkolem odpovědných za efektivní organizaci informační bezpečnosti jednoznačně identifikovat náklady, které bude nutné vynaložit na v souvislosti s realizací této činnosti (jednorázové i konstantní) a další (nové) peněžní toky, které budou přijaty. V tomto případě lze cash flow chápat jako úsporu nákladů, prevenci ztrát a také dodatečný příjem pro podnik.

V hospodářské praxi je zvykem používat funkci návratnosti investic jako hlavního ukazatele odrážejícího tento poměr.

Diskontní funkce se používá při analýze investic, aby se zohlednil vliv faktoru času a přivedly náklady v různých časech do jednoho bodu (obvykle v okamžiku zahájení realizace projektu). Diskontní sazba v tomto případě zohledňuje změny hodnoty peněz v čase.

Model návratnosti investice (14.1) jasně demonstruje dva hlavní úkoly, které je třeba vyřešit při analýze jakéhokoli investičního projektu a zejména projektu realizace opatření v oblasti informační bezpečnosti: kalkulace nákladů spojených s projektem a kalkulace dodatečných nákladů. cash flow. Pokud byla metodika pro výpočet celkových nákladů () za posledních 10–15 let obecně zcela zformována (ve formě konceptu „Total Cost of Ownership“, TCO – Total Cost of Ownership, TCO) a aktivně se používá v praxi ve vztahu k různým typům informačních systémů a prvků informační infrastruktury pak výpočet dodatečného cash flow () získaného v důsledku investic do nástroje pro bezpečnost informací zpravidla způsobuje vážné potíže. Jedním z nejslibnějších přístupů k výpočtu tohoto ukazatele je metodika, která je založena na kvantitativním (peněžním) posouzení rizik poškození informačních zdrojů a posouzení snížení těchto rizik spojených s realizací dodatečných opatření na ochranu informací .

Obecně je tedy složení metodiky analýzy proveditelnosti investování do projektů zaměřených na zajištění informační bezpečnosti schematicky uvedeno na Obr.

14.1. Analýza nákladů spojených s realizací projektu, i když je to relativně jednodušší úkol, může stále způsobovat určité potíže. Stejně jako u mnoha jiných projektů v oblasti informačních technologií je vhodné analyzovat náklady na realizaci projektů v oblasti informační bezpečnosti na základě známé základní metodiky "Total Cost of Ownership" - TCO (Total Cost of Ownership - TCO), představený poradenskou společností „Gartner Group“ v roce 1987 ve vztahu k osobní počítače . Obecně je tato metodika zaměřena na zajištění úplnosti analýzy nákladů (přímých i nepřímých) s tím spojených A informační technologie, v situacích, kdy je nutné posuzovat ekonomické důsledky zavádění a využívání takových systémů: při posuzování efektivnosti investic, porovnávání alternativních technologií, sestavování kapitálových a provozních rozpočtů apod.

V obecný případ celková hodnota TCO zahrnuje:

• náklady na návrh informačního systému;
• náklady na nákup hardwaru a software: výpočetní technika, síťová zařízení, software (s přihlédnutím k použitým licenčním metodám), jakož i leasingové splátky;
• náklady na vývoj softwaru a jeho dokumentaci, jakož i na opravy chyb v něm a jeho zlepšování během provozu;
• náklady na průběžnou správu informačních systémů (včetně plateb za služby organizací třetích stran, kterým jsou tyto funkce outsourcovány);
• náklady na technickou podporu a servis;
• náklady na spotřební materiál;
• náklady na telekomunikační služby (přístup k internetu, vyhrazené a komutované komunikační kanály atd.);
• náklady na školení uživatelů, ale i zaměstnanců IT oddělení a oddělení informační bezpečnosti;
• nepřímé náklady jsou náklady podniku spojené se ztrátou času uživatelů v případě výpadků v provozu informačních systémů.

Také při kalkulaci nákladů na zvýšení úrovně informační bezpečnosti je nutné započítat náklady na reorganizaci podnikových procesů a informační práce s personálem: platba za služby obchodních poradců a konzultantů v otázkách bezpečnosti informací, náklady na vypracování organizační dokumentace, náklady na provádění auditů stavu informační bezpečnosti atd. Kromě toho je při analýze nákladů také nutné vzít v úvahu skutečnost, že ve většině případů zavedení nástrojů informační bezpečnosti znamená vznik dalších povinností pro zaměstnance podniku a potřebu provádět další operace při práci s informačními systémy. . To způsobuje mírný pokles produktivity zaměstnanců společnosti, a proto může způsobit dodatečné náklady.