Účtovanie nákladov na ochranu informácií. Informačná bezpečnosť v odvetviach Stanovenie nákladov na informačnú bezpečnosť

Ako už bolo uvedené, bezpečnosť podniku je zabezpečená súborom opatrení vo všetkých fázach jeho životného cyklu, jeho informačným systémom a vo všeobecnosti pozostáva z nákladov:

• - dizajnérske práce;
• - nákupy a nastavenia softvérových a hardvérových prostriedkov ochrany;
• - náklady na fyzickú bezpečnosť;
• - školenie zamestnancov;
• - riadenie a podpora systému;
• - audit informačnej bezpečnosti;
• - periodická modernizácia systému informačnej bezpečnosti a pod.

Nákladovým ukazovateľom ekonomickej efektívnosti integrovaného systému informačnej bezpečnosti bude súčet priamych a nepriamych nákladov na organizáciu, prevádzku a údržbu systému informačnej bezpečnosti v priebehu roka.

Možno ho považovať za kľúčový kvantitatívny ukazovateľ efektívnosti organizácie informačnej bezpečnosti v podniku, keďže umožní nielen odhadnúť celkové náklady na ochranu, ale tieto náklady riadiť tak, aby sa dosiahla požadovaná úroveň bezpečnosti podniku. Priame náklady však zahŕňajú zložky kapitálových nákladov aj mzdové náklady, ktoré sa účtujú v rámci prevádzky a správy. Patria sem aj náklady na služby vzdialeného používateľa a pod., spojené s podporou činnosti organizácie.

Nepriame náklady zase odrážajú vplyv integrovaného bezpečnostného systému a subsystému ochrany informácií na zamestnancov prostredníctvom takých merateľných ukazovateľov, akými sú prestoje a „zamrznutia“ podnikového informačného bezpečnostného systému a integrovaného bezpečnostného systému ako celku, náklady na prevádzku a podpora.

Veľmi často zohrávajú významnú úlohu nepriame náklady, pretože sa zvyčajne na začiatku neodrážajú v rozpočte na integrovaný bezpečnostný systém, ale sú explicitne identifikované v analýze nákladov neskôr, čo v konečnom dôsledku vedie k zvýšeniu „skrytých“ nákladov na spoločnosť. Zvážte, ako môžete určiť priame a nepriame náklady integrovaného bezpečnostného systému. Predpokladajme, že vedenie podniku pracuje na implementácii integrovaného systému informačnej bezpečnosti v podniku. Predmety a ciele ochrany, ohrozenia informačnej bezpečnosti a opatrenia na ich potlačenie sú už určené, potrebné prostriedky na ochranu informácií sú získané a inštalované.

Náklady na informačnú bezpečnosť zvyčajne spadajú do nasledujúcich kategórií:

• - náklady na vytvorenie a údržbu riadiaceho prepojenia systému informačnej bezpečnosti;
• - náklady na kontrolu, tj stanovenie a potvrdenie dosiahnutej úrovne ochrany podnikových zdrojov;
• - interné náklady na odstránenie následkov narušenia informačnej bezpečnosti - náklady, ktoré organizácii vzniknú v dôsledku nedosiahnutia požadovanej úrovne bezpečnosti;
• -externé náklady na odstraňovanie následkov narušenia informačnej bezpečnosti - náhrada strát pri porušení bezpečnostnej politiky v prípadoch súvisiacich s únikom informácií, stratou imidžu spoločnosti, stratou dôvery partnerov a spotrebiteľov a pod.;
• - náklady na údržbu systému informačnej bezpečnosti a opatrenia na predchádzanie porušovaniu podnikovej bezpečnostnej politiky.

V tomto prípade sa zvyčajne rozlišujú jednorazové a systematické náklady.

Jednorazové náklady na vytvorenie podnikovej bezpečnosti: organizačné náklady a náklady na nákup a inštaláciu ochranných prostriedkov.

Systematické, prevádzkové a údržbové náklady. Klasifikácia nákladov je podmienená, pretože zber, klasifikácia a analýza nákladov na bezpečnosť informácií je internou činnosťou podnikov a podrobný vývoj zoznamu závisí od charakteristík konkrétnej organizácie.

Hlavnou vecou pri určovaní nákladov na bezpečnostný systém je vzájomné porozumenie a dohoda o položkách výdavkov v rámci podniku.

Okrem toho by kategórie nákladov mali byť konzistentné a nemali by sa prekrývať. Náklady na bezpečnosť sa nedajú úplne eliminovať, ale možno ich dostať na prijateľnú úroveň.

Niektoré typy nákladov na bezpečnosť sú absolútne nevyhnutné a niektoré možno výrazne znížiť alebo eliminovať. Posledne menované sú tie, ktoré môžu zmiznúť bez narušenia bezpečnosti alebo sa môžu znížiť, ak sa zníži počet a deštruktívny vplyv narušení.

Ak sa dodrží bezpečnosť a zabráni sa porušovaniu, možno eliminovať alebo výrazne znížiť nasledujúce náklady:

• - obnoviť bezpečnostný systém v súlade s bezpečnostnými požiadavkami;
• - obnoviť zdroje informačného prostredia podniku;
• - pre zmeny vo vnútri bezpečnostného systému;
• - o súdnych sporoch a vyplácaní náhrad;
• - identifikovať príčiny narušenia bezpečnosti.

Nevyhnutné náklady sú tie, ktoré sú nevyhnutné, aj keď je úroveň bezpečnostných hrozieb dostatočne nízka. Ide o náklady na udržanie dosiahnutej úrovne bezpečnosti informačného prostredia podniku.

Nevyhnutné náklady môžu zahŕňať:

• a) údržba technických prostriedkov ochrany;
• b) dôverná kancelárska práca;
• c) prevádzka a audit bezpečnostného systému;
• d) minimálna úroveň inšpekcií a kontroly so zapojením špecializovaných organizácií;
• e) školenie personálu v metódach informačnej bezpečnosti.

Existujú však aj ďalšie náklady, ktoré je ťažké určiť. Medzi nimi:

• a) náklady na dodatočný výskum a vývoj novej trhovej stratégie;
• b) straty zo zníženia priority vedeckého výskumu a nemožnosti patentovania a predaja licencií na vedecké a technologické úspechy;
• c) náklady spojené s odstraňovaním „úzkych miest“ v zásobovaní, výrobe a marketingu produktov;
• d) straty z kompromitovania výrobkov vyrábaných podnikom a znižovania ich cien;
• e) výskyt ťažkostí pri získavaní zariadení alebo technológií vrátane zvýšenia ich cien, ktoré obmedzujú objem dodávok.

Uvedené náklady môžu byť spôsobené činnosťou pracovníkov rôznych oddelení, napríklad konštrukčného, ​​technologického, plánovacieho a ekonomického, právneho, ekonomického, marketingového oddelenia, tarifnej politiky a cenotvorby.

Keďže je nepravdepodobné, že všetky tieto oddelenia budú na plný úväzok zaneprázdnené riešením externých strát, kalkulácia musí byť založená na skutočne vynaloženom čase. Jeden z prvkov externých strát sa nedá presne vypočítať - ide o straty spojené s podkopávaním imidžu podniku, čím sa znižuje dôvera spotrebiteľov v produkty a služby podniku. Práve z tohto dôvodu mnohé korporácie skrývajú, že ich služba je neistá. Korporácie sa obávajú zverejnenia takýchto informácií ešte viac ako útokov v tej či onej forme.

Mnohé podniky však tieto náklady ignorujú s odôvodnením, že sa nedajú zistiť so žiadnou presnosťou – sú len špekulatívne. Náklady na prevenciu. Odhadnúť tieto náklady je asi najťažšie, keďže preventívne opatrenia sa vykonávajú na rôznych oddeleniach a ovplyvňujú mnohé služby. Tieto náklady sa môžu objaviť vo všetkých fázach životného cyklu zdrojov podnikového informačného prostredia:

• - plánovanie a organizácia;
• - získanie a uvedenie do prevádzky;
• - dodávka a podpora;
• - sledovanie procesov, ktoré tvoria informačné technológie.

Okrem toho je väčšina nákladov v tejto kategórii spojená s prácou bezpečnostného personálu. Náklady na prevenciu zahŕňajú najmä mzdy a réžiu. Presnosť ich určenia však vo väčšej miere závisí od správnosti stanovenia času stráveného každým zamestnancom individuálne. Niektoré preventívne náklady sa dajú ľahko priamo identifikovať. Môžu zahŕňať najmä platby za rôzne diela tretích strán, napríklad:

• - údržba a konfigurácia nástrojov ochrany softvéru a hardvéru, operačných systémov a používaných sieťových zariadení;
• - vykonávanie inžinierskych a technických prác na zriadenie poplašného systému, vybavenie skladov dôverných dokumentov, ochrana telefónnych liniek, počítačového vybavenia atď.;
• - poskytovanie dôverných informácií;
• - konzultácie;
• - školenia.

Zdroje informácií o uvažovaných nákladoch. Pri určovaní nákladov na zabezpečenie informačnej bezpečnosti je potrebné pamätať na to, že:

• - náklady na obstaranie a uvedenie softvéru a hardvéru do prevádzky je možné získať z analýzy faktúr, evidencie v skladovej dokumentácii a pod.;
• - personálne platby je možné preberať z výpisov;
• - objem vyplatených miezd by sa mal brať do úvahy s prihliadnutím na skutočný čas strávený prácou v oblasti informačnej bezpečnosti, ak len časť času zamestnanca venuje činnostiam informačnej bezpečnosti, potom je účelnosť posúdiť každú zo zložiek nákladov na jeho čas nemali by byť spochybňované;
• - klasifikácia nákladov na bezpečnosť a ich rozdelenie podľa prvkov by sa malo stať súčasťou každodennej práce v rámci podniku.

Ako zdôvodniť náklady na informačnú bezpečnosť?

Pretlačené s láskavým dovolením OJSC InfoTeKS Internet Trust
Pôvodný text je tu.

Úrovne zrelosti spoločnosti

Gartner Group identifikuje 4 úrovne vyspelosti spoločnosti z hľadiska informačnej bezpečnosti (IS):

• úroveň 0:
• Nikto sa vo firme nezaoberá informačnou bezpečnosťou, vedenie firmy si neuvedomuje dôležitosť problémov informačnej bezpečnosti;
• Neexistujú žiadne finančné prostriedky;
• IS je implementovaný štandardnými prostriedkami operačných systémov, DBMS a aplikácií (ochrana heslom, kontrola prístupu k zdrojom a službám).
• 1 úroveň:
• Informačná bezpečnosť je manažmentom vnímaná ako čisto „technický“ problém, neexistuje jednotný program (koncepcia, politika) rozvoja systému informačnej bezpečnosti (ISIS) spoločnosti;
• Financovanie sa uskutočňuje v rámci všeobecného rozpočtu na IT;
• Informačnú bezpečnosť implementujú nástroje nulovej úrovne + zálohovacie nástroje, antivírusové nástroje, firewally, nástroje organizácie VPN (tradičné bezpečnostné nástroje).
• 2 úroveň:
• IS je manažmentom považovaný za súbor organizačno-technických opatrení, dochádza k pochopeniu významu IS pre výrobné procesy, existuje manažmentom schválený program rozvoja Systému údržby IS podniku;
• IS je implementovaný nástrojmi prvej úrovne + silnými autentifikačnými nástrojmi, nástrojmi na analýzu e-mailu a webového obsahu, IDS (systémy na detekciu narušenia bezpečnosti), nástrojmi na bezpečnostnú analýzu, SSO (nástroje jednotného overovania), PKI (infraštruktúra verejného kľúča) a organizačné opatrenia (interné a externý audit, analýza rizík, politika informačnej bezpečnosti, predpisy, postupy, predpisy a usmernenia).
• 3 úroveň:
• IS je súčasťou firemnej kultúry, bol vymenovaný CISA (senior IS officer);
• Financovanie sa vykonáva v rámci samostatného rozpočtu;
• IS je implementovaný prostredníctvom systémov riadenia druhej úrovne + IS, CSIRT (tím pre reakciu na incidenty pri porušení IS), SLA (dohoda o úrovni služieb).

Podľa Gartner Group (údaje za rok 2001) je percento spoločností vo vzťahu k opísaným 4 úrovniam nasledovné:
0 úroveň – 30 %,
Úroveň 1 – 55 %,
Úroveň 2 – 10 %,
Úroveň 3 – 5 %.

Prognóza Gartner Group na rok 2005 je nasledovná:
Úroveň 0 – 20 %,
Úroveň 1 – 35 %,
Úroveň 2 – 30 %,
Úroveň 3 – 15 %.

Štatistiky ukazujú, že väčšina spoločností (55 %) už implementovala minimálny požadovaný súbor tradičných nástrojov technickej ochrany (úroveň 1).

Pri zavádzaní rôznych technológií a prostriedkov ochrany často vznikajú otázky. Čo implementovať ako prvé, systém detekcie narušenia alebo infraštruktúru PKI? Čo bude efektívnejšie? Steven Ross, riaditeľ Deloitte&Touche, ponúka nasledovný prístup na hodnotenie účinnosti jednotlivých opatrení a prostriedkov na zaistenie informačnej bezpečnosti.

Na základe vyššie uvedeného grafu je vidieť, že najdrahšie a najmenej efektívne sú špecializované nástroje (vlastný alebo vlastný vývoj).

Najdrahšie, no zároveň najefektívnejšie sú ochranné nástroje kategórie 4 (úroveň 2 a 3 podľa Gartner Group). Na implementáciu fondov v tejto kategórii je potrebné použiť postup analýzy rizík. Analýza rizík v tomto prípade umožní garantovať primeranosť nákladov na implementáciu existujúcim hrozbám narušenia IS.

Najlacnejšie, ale s vysokou úrovňou účinnosti, sú organizačné opatrenia (interný a externý audit, analýza rizík, politika informačnej bezpečnosti, plán kontinuity podnikania, predpisy, postupy, predpisy a smernice).

Zavedenie dodatočných prostriedkov ochrany (prechod na úroveň 2 a 3) si vyžaduje značné finančné investície, a teda aj opodstatnenie. Absencia jednotného programu rozvoja Systému údržby IS schváleného a podpísaného manažmentom prehlbuje problém opodstatnenosti investícií do bezpečnosti.

Analýza rizík

Ako odôvodnenie môžu slúžiť výsledky analýzy rizík a zhromaždené štatistiky o incidentoch Mechanizmy implementácie analýzy rizík a zhromažďovania štatistík by mali byť predpísané v politike informačnej bezpečnosti spoločnosti.

Proces analýzy rizík pozostáva zo 6 po sebe nasledujúcich krokov:

1. Identifikácia a klasifikácia predmetov ochrany (firemné zdroje, ktoré sa majú chrániť);

3. Zostavenie modelu útočníka;

4. Identifikácia, klasifikácia a analýza hrozieb a slabých miest;

5. Hodnotenie rizika;

6. Voľba organizačných opatrení a technických prostriedkov ochrany.

Na javisku identifikácia a klasifikácia predmetov ochrany Je potrebné vykonať inventarizáciu zdrojov spoločnosti v týchto oblastiach:

• informačné zdroje (dôverné a dôležité informácie o spoločnosti);
• Softvérové ​​zdroje (OS, DBMS, kritické aplikácie, ako napríklad ERP);
• Fyzické zdroje (servery, pracovné stanice, sieťové a telekomunikačné zariadenia);
• Zdroje služieb (e-mail, www atď.).

kategorizácia je určiť úroveň dôvernosti a kritickosti zdroja. Dôvernosť sa vzťahuje na úroveň utajenia informácií, ktoré sú uchovávané, spracovávané a prenášané zdrojom. Kritickosť je chápaná ako miera vplyvu zdroja na efektívnosť výrobných procesov spoločnosti (napr. v prípade výpadku telekomunikačných zdrojov môže poskytovateľská spoločnosť skrachovať). Priradením určitých kvalitatívnych hodnôt parametrom dôvernosti a kritickosti je možné určiť úroveň významnosti každého zdroja z hľadiska jeho účasti na výrobných procesoch spoločnosti.

Na určenie významu zdrojov spoločnosti z hľadiska informačnej bezpečnosti môžete získať nasledujúcu tabuľku:

Napríklad súbory s informáciami o výške platov zamestnancov spoločnosti majú hodnotu „prísne dôverné“ (parameter dôvernosti) a hodnotu „nevýznamné“ (parameter kritickosti). Nahradením týchto hodnôt v tabuľke môžete získať integrálny ukazovateľ významu tohto zdroja. Rôzne možnosti metód kategorizácie sú uvedené v medzinárodnej norme ISO TR 13335.

Vytvorenie modelu útočníka je proces klasifikácie potenciálnych páchateľov podľa nasledujúcich parametrov:

• Typ útočníka (konkurent, klient, vývojár, zamestnanec spoločnosti atď.);
• Postavenie útočníka vo vzťahu k predmetom ochrany (vnútorné, vonkajšie);
• Úroveň vedomostí o predmetoch ochrany a životnom prostredí (vysoká, stredná, nízka);
• Úroveň možností prístupu k chráneným objektom (maximum, priemer, minimum);
• Čas pôsobenia (neustále, v určitých časových intervaloch);
• Miesto akcie (zamýšľaná poloha útočníka v čase útoku).

Priradením kvalitatívnych hodnôt k uvedeným parametrom modelu útočníka je možné určiť potenciál útočníka (integrálna charakteristika schopnosti útočníka implementovať hrozby).

Identifikácia, klasifikácia a analýza hrozieb a zraniteľností umožňujú určiť spôsoby implementácie útokov na chránené objekty. Zraniteľnosti sú vlastnosti zdroja alebo jeho prostredia, ktoré útočník používa na implementáciu hrozieb. Zoznam zraniteľných miest softvérových prostriedkov možno nájsť na internete.

Hrozby sa klasifikujú podľa nasledujúcich kritérií:

• názov hrozby;
• typ útočníka;
• prostriedky implementácie;
• použité zraniteľnosti;
• prijaté opatrenia;
• frekvencia implementácie.

Hlavným parametrom je frekvencia implementácie hrozby. Závisí to od hodnôt parametrov „potenciál útočníka“ a „bezpečnosť zdrojov“. Hodnotu parametra „bezpečnosť zdrojov“ určujú odborné posudky. Pri určovaní hodnoty parametra sa berú do úvahy subjektívne parametre útočníka: motivácia implementácie hrozby a štatistiky z pokusov o implementáciu hrozieb tohto typu (ak existujú). Výsledkom fázy analýzy hrozieb a zraniteľností je vyhodnotenie parametra „frekvencia implementácie“ pre každú z hrozieb.

Na javisku posúdenie rizík pre každý zdroj alebo skupinu zdrojov sa určí potenciálne poškodenie z hrozieb informačnej bezpečnosti.

Kvalitatívny ukazovateľ poškodenia závisí od dvoch parametrov:

• Význam zdroja;
• Frekvencia ohrozenia tohto zdroja.

Na základe získaných posudkov škôd sa primerane vyberú primerané organizačné opatrenia a technické prostriedky ochrany.

Hromadenie štatistík incidentov

Jediným slabým miestom v navrhovanej metodike hodnotenia rizík, a teda aj odôvodnením potreby zavedenia nových alebo zmeny existujúcich technológií ochrany, je definícia parametra „frekvencia realizácie hrozby“. Jediným spôsobom, ako získať objektívne hodnoty tohto parametra, je zhromažďovanie štatistík o incidentoch. Akumulované štatistiky napríklad za rok umožnia určiť počet implementácií hrozieb (určitého typu) na zdroj (určitého typu). Je účelné vykonávať prácu na zhromažďovaní štatistík ako súčasť postupu riešenia incidentov.

Anotácia: Prednáška rozoberá úlohy a metódy ekonomickej analýzy realizovateľnosti implementácie opatrení na zabezpečenie informačnej bezpečnosti v určitých podmienkach.

Metodologické základy ekonomiky informačnej bezpečnosti

Manažment informačnej bezpečnosti, ako aj manažment v mnohých iných oblastiach činnosti, zahŕňa periodické prijímanie rôznych manažérskych rozhodnutí, ktoré spravidla spočívajú vo výbere určitých alternatív (výber jednej z možných organizačných schém alebo niektorého z dostupných technických riešení) alebo určovaní určité parametre jednotlivých organizačných a/alebo technických systémov a subsystémov. Jedným z možných prístupov k voľbe alternatív v situácii prijímania manažérskeho rozhodnutia je tzv. „vôľový“ prístup, kedy sa z toho či onoho dôvodu rozhoduje intuitívne a medzi určitými východiskovými premisami a konkrétnym rozhodnutím nie je možné stanoviť formálne podložený kauzálny vzťah. Je zrejmé, že alternatívou k „vôľovému“ prístupu je rozhodovanie na základe určitých formálnych postupov a sekvenčná analýza.

Základom tejto analýzy a následnej rozhodovanie je ekonomická analýza, ktorá zahŕňa štúdium všetkých (alebo aspoň hlavných) faktorov, pod vplyvom ktorých dochádza k vývoju analyzovaných systémov, vzorcov ich správania, dynamiky zmien, ako aj použitie univerzálneho peňažnú hodnotu. Práve na základe adekvátne vybudovaných ekonomických modelov a s ich pomocou vykonanej ekonomickej analýzy by sa malo rozhodovať tak o všeobecnej rozvojovej stratégii, ako aj o jednotlivých organizačno-technických opatreniach, a to tak na úrovni štátov, regiónov, ako aj odvetví. úroveň jednotlivých podnikov, divízií a informačných systémov.

Zároveň, tak ako má ekonomika každého odvetvia svoje vlastné charakteristiky, aj ekonomika informačnej bezpečnosti, ktorá je považovaná za relatívne nezávislú disciplínu, je založená na niektorých všeobecných ekonomických zákonitostiach a metódach analýzy a na na druhej strane si vyžaduje individuálne pochopenie, rozvoj špecifických prístupov k analýze, hromadenie štatistických údajov špecifických pre túto oblasť, vytváranie stabilných predstáv o faktoroch, pod vplyvom ktorých Informačné systémy a nástroje informačnej bezpečnosti.

Zložitosť úloh ekonomickej analýzy v takmer všetkých oblastiach činnosti je spravidla spôsobená tým, že mnohé kľúčové parametre ekonomických modelov nemožno spoľahlivo odhadnúť a majú pravdepodobnostný charakter (ako napr. ukazovatele spotrebiteľského dopytu). Analýza je tiež komplikovaná skutočnosťou, že aj malé výkyvy (korekcia odhadov) takýchto parametrov môžu vážne ovplyvniť hodnoty objektívnej funkcie, a teda aj rozhodnutia prijaté na základe výsledkov analýzy. Aby sa teda zabezpečila čo najväčšia spoľahlivosť výpočtov v procese vykonávania ekonomickej analýzy a rozhodovanie je potrebné zorganizovať súbor prác na zber počiatočných informácií, výpočet prediktívnych hodnôt, rozhovory s odborníkmi v rôznych oblastiach a spracovanie všetkých údajov. Zároveň je potrebné v procese vykonávania takejto analýzy venovať osobitnú pozornosť prechodným riešeniam týkajúcim sa odhadov určitých parametrov zahrnutých vo všeobecnom modeli. Je tiež potrebné vziať do úvahy skutočnosť, že takáto analýza sa sama o sebe môže ukázať ako postup, ktorý je dosť náročný na zdroje a vyžaduje zapojenie ďalších špecialistov a konzultantov tretích strán, ako aj úsilie rôznych špecialistov (odborníkov) práca v samotnom podniku - všetky tieto náklady musia byť v konečnom dôsledku opodstatnené.

Osobitná zložitosť ekonomickej analýzy v takej oblasti, ako je napr Informačná bezpečnosť, je určená takými špecifickými faktormi, ako sú:

• rýchly rozvoj informačných technológií a metód používaných v tejto oblasti (prostriedky a spôsoby ochrany, ako aj prostriedky a spôsoby útoku);
• neschopnosť spoľahlivo predpovedať všetky možné scenáre útoku na informačné systémy a vzorce správania útočníkov;
• neschopnosť poskytnúť spoľahlivé a dostatočne presné posúdenie nákladov na informačné zdroje, ako aj posúdiť dôsledky rôznych porušení v peňažnom vyjadrení.

Vyžaduje si to dodatočné úsilie na organizáciu procesu ekonomickej analýzy a často to vedie k tomu, že mnohé rozhodnutia týkajúce sa zabezpečenia informačnej bezpečnosti sa môžu ukázať ako nedostatočné. Príkladmi situácií, v ktorých nedostatočný rozvoj metodiky ekonomickej analýzy negatívne ovplyvňuje stav informačnej bezpečnosti, môžu byť prípady, keď:

• vedenie podniku môže prijímať neprimerané rozhodnutia týkajúce sa investícií do nástrojov informačnej bezpečnosti, čo môže viesť k stratám, ktorým sa dalo predísť;
• vedenie podniku môže prijímať určité rozhodnutia týkajúce sa organizácie obchodných procesov a procesov spracovania informácií v podniku na základe želania znížiť súčasné náklady a znížiť zaťaženie zamestnancov, pričom nezohľadňuje ekonomické dôsledky nedostatočnej bezpečnosti informačné zdroje;
• poistený a poisťovateľ nemôžu uzavrieť zmluvu o poistení informačného rizika alebo nastaviť pre takúto zmluvu neprimerané parametre z dôvodu, že neexistujú modely a metódy hodnotenia ekonomických parametrov transakcie.

Analýza investícií do nástrojov informačnej bezpečnosti

Podniky sa pri svojej súčasnej činnosti musia neustále vyrovnávať s určitými zmenami: zdokonaľujú sa obchodné procesy, menia sa trhové podmienky a trhy so spotrebovanými materiálnymi zdrojmi a službami, vznikajú nové technológie, konkurenti a protistrany menia svoje správanie, mení sa legislatíva a štátna politika atď. d. Za týchto podmienok musia manažéri (vrátane tých, ktorí sú zodpovední za zabezpečenie informačnej bezpečnosti) neustále analyzovať prebiehajúce zmeny a prispôsobovať svoju prácu neustále sa meniacej situácii. Konkrétne formy, v ktorých sa prejavuje reakcia lídrov, môžu byť rôzne. Môže to byť zmena marketingovej politiky, reorganizácia obchodných procesov, zmena technológie, zmena produktu, fúzia s konkurentmi alebo ich pohltenie atď. So všetkou rozmanitosťou možných modelov správania v meniacom sa prostredí však takmer všetky spája jeden dôležitý metodologický prvok, ktorý je im spoločný: vo väčšine prípadov reakcia podniku na nové hrozby a nové príležitosti zahŕňa implementáciu nových , viac-menej dlhodobé a na zdroje náročné investície (investície) do určitých organizačných a/alebo technických opatrení, ktoré na jednej strane zahŕňajú vynaloženie zdrojov (peňazí), a na druhej strane poskytujú možnosť získať nové benefity, vyjadrené zvýšením príjmov alebo znížením niektorých bežných výdavkov.

V situácii, keď je potrebné vykonať nejaké nové organizačné alebo technické opatrenia (realizovať projekt), je teda hlavnou úlohou zodpovedných za efektívnu organizáciu informačnej bezpečnosti jednoznačne korelovať náklady, ktoré bude treba vynaložiť na v súvislosti s realizáciou tejto udalosti (jednorazové aj konštantné) a dodatočné (nové) peňažné toky, ktoré budú prijaté. V tomto prípade možno peňažný tok chápať ako úsporu nákladov, prevenciu strát, ako aj dodatočný príjem pre podnik.

Ako hlavný ukazovateľ odzrkadľujúci tento pomer je v hospodárskej praxi zvykom používať funkciu návratnosti investície - Return on Investment, .

(14.1)

Funkcia diskontovania sa používa pri analýze investičných investícií, aby sa zohľadnil vplyv faktora času a aby sa viacčasové náklady dostali do jedného okamihu (zvyčajne do okamihu spustenia projektu). Diskontná sadzba v tomto prípade umožňuje zohľadniť zmenu hodnoty peňazí v čase.

Model návratnosti investícií (14.1) jasne demonštruje dve hlavné úlohy, ktoré je potrebné vyriešiť pri analýze akéhokoľvek investičného projektu a najmä projektu informačnej bezpečnosti: výpočet nákladov spojených s projektom a výpočet dodatočného cash flow. Ak bola metodika výpočtu celkových nákladov () za posledných 10-15 rokov ako celok celkom vytvorená (vo forme konceptu „Total Cost of Ownership“, TCO – Total Cost of Ownership, TCO) a sa v praxi aktívne využíva vo vzťahu k rôznym typom informačných systémov a prvkov informačnej infraštruktúry, následne sa vypočíta dodatočný cash flow () vyplývajúci z investícií do nástroje informačnej bezpečnosti zvyčajne spôsobuje vážne problémy. Jedným z najsľubnejších prístupov k výpočtu tohto ukazovateľa je technika založená na kvantitatívnom (peňažnom) hodnotení rizík poškodenia informačných zdrojov a hodnotení zníženia týchto rizík spojených s implementáciou dodatočných opatrení na ochranu informácií.

Vo všeobecnosti je teda zloženie metodiky analýzy realizovateľnosti investovania do projektov zameraných na zabezpečenie informačnej bezpečnosti schematicky znázornené na obr. 14.1.

Analýza nákladov spojených s realizáciou projektu, hoci ide o relatívne jednoduchšiu úlohu, môže predsa len spôsobiť určité ťažkosti. Rovnako ako pri mnohých iných projektoch v oblasti informačných technológií, aj pri realizácii projektov v oblasti informačnej bezpečnosti je vhodné vykonať analýzu nákladov na základe známej základnej metodiky „Total Cost of Ownership“ – TCO (Total Cost of Ownership - TCO), ktorý zaviedla poradenská spoločnosť „Gartner Group“ v roku 1987 v súvislosti s osobnými počítačmi. Vo všeobecnosti je táto technika zameraná na zabezpečenie úplnosti analýzy nákladov (priamych aj nepriamych) spojených s informačnými technológiami a informačnými systémami v situáciách, keď je potrebné posúdiť ekonomické dôsledky zavedenia a používania takýchto systémov: keď hodnotenie efektívnosti investícií, porovnávanie alternatívnych technológií, zostavovanie kapitálových a bežných rozpočtov atď.

Vo všeobecnosti celková hodnota CER zahŕňa:

• náklady na návrh informačného systému;
• náklady na obstaranie hardvéru a softvéru: počítačové vybavenie, sieťové vybavenie, softvér (s prihliadnutím na použité spôsoby licencovania), ako aj splátky lízingu;
• náklady na vývoj softvéru a jeho dokumentáciu, ako aj na opravu chýb v ňom a zdokonaľovanie počas obdobia prevádzky;
• náklady na bežnú správu informačných systémov (vrátane platieb za služby organizácií tretích strán, ktorým sú tieto funkcie zverené);
• náklady na technickú podporu a služby;
• náklady na spotrebný materiál;
• výdavky na telekomunikačné služby (prístup k internetu, vyhradené a dial-up komunikačné kanály atď.);
• náklady na školenie používateľov, ako aj zamestnancov IT oddelení a oddelenia informačnej bezpečnosti;
• nepriame náklady - náklady podniku spojené so stratou času používateľov v prípade porúch v prevádzke informačných systémov.

Taktiež do kalkulácie nákladov na zvýšenie úrovne informačnej bezpečnosti je potrebné zahrnúť náklady na reorganizáciu podnikových procesov a informačnú prácu s personálom: úhradu za služby podnikových poradcov a poradcov informačnej bezpečnosti, náklady na rozvoj organizačných dokumentáciu, náklady na vykonávanie auditov informačnej bezpečnosti a pod. .P. Okrem toho je pri analýze nákladov potrebné vziať do úvahy skutočnosť, že vo väčšine prípadov zavedenie nástrojov informačnej bezpečnosti znamená vznik dodatočných zodpovedností pre zamestnancov podniku a potrebu vykonávať ďalšie operácie pri práci s informačné systémy. To spôsobuje určité zníženie produktivity zamestnancov podniku, a preto môže spôsobiť dodatočné náklady.

"Finančné noviny. Regionálne vydanie", 2008, N 41

V moderných podmienkach nemožno podceňovať dôležitosť informačnej bezpečnosti. Najmenší únik dôverných informácií ku konkurencii môže viesť k veľkým ekonomickým stratám spoločnosti, zastaveniu výroby a dokonca k bankrotu.

Ciele informačnej bezpečnosti sú: predchádzanie úniku, krádeži, strate, skresleniu, falšovaniu informácií; predchádzanie neoprávneným činnostiam na zničenie, úpravu, skreslenie, kopírovanie, blokovanie informácií; predchádzanie iným formám protiprávneho zasahovania do informačných zdrojov a informačných systémov organizácie.

Náklady na ochranu informácií zahŕňajú najmä obstaranie nástrojov, ktoré zabezpečia ich ochranu pred neoprávneným prístupom. Existuje veľa prostriedkov na zabezpečenie informačnej bezpečnosti, možno ich podmienečne rozdeliť do dvoch veľkých skupín. Prvým sú prostriedky, ktoré majú materiálny základ, ako sú trezory, CCTV kamery, bezpečnostné systémy atď. V účtovníctve sa s nimi zaobchádza ako s dlhodobým majetkom. Druhým sú prostriedky, ktoré nemajú vecný základ, ako sú antivírusové programy, programy na obmedzenie prístupu k informáciám v elektronickej podobe a pod. Zvážte vlastnosti účtovania takýchto prostriedkov na zaistenie informačnej bezpečnosti.

Pri kúpe programu na zabezpečenie ochrany informácií neprechádzajú na kupujúceho výhradné práva naň, kupuje sa len chránená kópia programu, ktorú kupujúci nemôže kopírovať ani šíriť. Preto pri zohľadnení takýchto programov by sme sa mali riadiť Ch. VI „Účtovanie transakcií súvisiacich s udelením (prijatím) práva na užívanie nehmotného majetku“ nového PBU 14/2007 „Účtovanie o nehmotnom majetku“.

V zriedkavých prípadoch pri nákupe softvéru na zabezpečenie informácií spoločnosť získava výhradné práva na tento produkt. V tomto prípade bude program účtovne účtovaný ako nehmotný majetok (IA).

Podľa PBU 14/2007 sa v účtovníctve nehmotného majetku poskytnutého do užívania podľa podmienok licenčnej zmluvy uhrádzajú platby za užívacie právo, ktoré sa uskutočňujú formou fixnej ​​jednorazovej platby a výhradné práva, na ktoré neprechádzajú. kupujúci, by mal byť príjemcom zaúčtovaný ako súčasť nákladov budúcich období a premietnutý na podsúvahový účet (odsek 39). Zároveň je licenčnou zmluvou ustanovená doba, počas ktorej sa budú tieto náklady odpisovať na nákladové účty. V daňovom účtovníctve sa náklady na obstaranie programov na ochranu informácií pre účely dane zo zisku účtujú ako ostatné náklady a odpisujú sa rovnakým spôsobom - v rovnakých splátkach v lehote stanovenej v licenčnej zmluve (ustanovenie 26 ods. 1 § 264 ZD. Kódex Ruskej federácie).

Ak sa platba za právo používať softvérový produkt, ktorý poskytuje ochranu informácií, uskutočňuje vo forme pravidelných platieb, potom ich v súlade s paragrafom 39 PBU 14/2007 používateľ zahrnie do nákladov vykazovaného obdobia, v ktorom boli vyrobené.

V praxi licenčná zmluva nie vždy špecifikuje dobu používania softvéru. Keď nie je možné jednoznačne definovať vzťah medzi príjmami a výdavkami, v daňovom účtovníctve náklady na obstaranie programov na ochranu informácií rozdeľuje daňovník samostatne za účelom výpočtu dane z príjmov, pričom sa zohľadňuje zásada jednotného vykazovania príjmov a výdavkov (doložka 1, článok 272 daňového poriadku Ruskej federácie). V účtovníctve obdobie, počas ktorého budú tieto náklady účtované na ťarchu účtu 97, stanovuje vedenie podniku na základe predpokladanej doby používania programu.

Príklad 1. Alfa OJSC zakúpila licencovanú kópiu antivírusového programu od Betta LLC za 118 000 rubľov vrátane DPH (18 %). Licenčná zmluva stanovuje dobu používania programu na 9 mesiacov.

V účtovníctve spoločnosti Alfa OJSC by sa mal program brať do úvahy takto:

Dt 60, Kt 51 - 118 000 rubľov. - dodávateľovi boli zaplatené náklady na softvér;

Dt 60, Kt 97 - 100 000 rubľov. - prijatý program sa premietne do nákladov budúcich období;

Dr 002 - 100 000 rubľov. - prijatý program sa premietne na podsúvahový účet;

Dt 19, Kt 60 - 18 000 rubľov. - pridelená DPH;

Dt 68, Kt 19 - 18 000 rubľov. - akceptované na odpočet DPH;

Dt 26 (44), Kt 97 - 11 111,11 rubľov. (100 000 rubľov: 9 mesiacov) - každý mesiac počas 9 mesiacov sa náklady na antivírusový program odpisujú rovnakým dielom ako výdavky.

Zmeňme podmienky príkladu 1: povedzme, že Alfa OJSC platí nie naraz, ale v rovnakých splátkach počas celej doby platnosti licenčnej zmluvy. Výška platby bude 11 800 rubľov. mesačne vrátane DPH.

V tomto prípade sa v účtovníctve vykonajú tieto zápisy:

Dr 002 - 90 000 rubľov. (10 000 rubľov x 9 mesiacov) - prijatý program sa premietne do podsúvahového účtu;

Dt 60, Kt 51 - 11 800 rubľov. - mesačne počas 9 mesiacov sa náklady na softvérový produkt platia dodávateľovi;

Dt 19, Kt 60 - 1800 rubľov. - pridelená DPH;

Dt 26 (44), Kt 60 - 10 000 rubľov. - náklady na program sa odpisujú ako výdavky;

Dt 68, Kt 19 - 1800 rubľov. - akceptované na odpočet DPH.

Často pred uplynutím licenčnej zmluvy spoločnosť - vývojár programov na ochranu informácií vydáva ich aktualizáciu. V tomto prípade budú výdavky v účtovníctve a daňovom účtovníctve akceptované naraz po aktualizácii.

Bežnou praxou je aj to, že vývojárska spoločnosť poskytuje svoj softvér organizáciám na krátku dobu na preskúmanie bezplatne. Aby program informačnej bezpečnosti prijatý bezplatne, správne odrážal, musí byť zahrnutý do výnosov budúcich období v trhovej hodnote.

Príklad 2. Spoločnosť OOO "Betta" poskytla softvér JSC "Alfa" pre bezpečnosť informácií na obdobie 3 mesiacov bezplatne. Trhová cena tohto softvérového produktu je 3300 rubľov.

V účtovných záznamoch spoločnosti Alfa OJSC by sa mali vykonať tieto záznamy:

Dt 97, Kt 98 - 3300 rubľov. - bezplatný softvér prijatý na účtovníctvo;

Dt 98, Kt 91 - 1100 rubľov. - mesačne po dobu troch mesiacov sa časť príjmu budúcich období akceptuje ako ostatný príjem.

V daňovom účtovníctve bude príjem z programu prijatý bezplatne do troch mesiacov (odsek 2, článok 271 daňového poriadku Ruskej federácie).

Náklady na ochranu informácií zahŕňajú nielen obstaranie nástrojov informačnej bezpečnosti, ale aj náklady na poradenské (informačné) služby na ochranu informácií (nesúvisiace s obstaraním nehmotného majetku, investičného majetku alebo iného majetku organizácie). Podľa paragrafu 7 PBU 10/99 „Výdavky organizácie“ sú náklady na poradenské služby v účtovníctve zahrnuté do nákladov na bežnú činnosť v účtovnom období, kedy vznikli. V daňovom účtovníctve sa týkajú iných výdavkov spojených s výrobou a predajom výrobkov (odsek 15, odsek 1, článok 264 daňového poriadku Ruskej federácie).

Príklad 3. LLC "Betta" poskytla konzultačné služby v oblasti informačnej bezpečnosti spoločnosti JSC "Alfa" v celkovej výške 59 000 rubľov vrátane DPH - 9 000 rubľov.

V účtovných záznamoch spoločnosti Alfa OJSC sa musia vykonať tieto záznamy:

Dt 76, Kt 51 - 59 000 rubľov. - platené poradenské služby;

Dt 26 (44), Ct 76 - 50 000 rubľov. - poradenské služby v oblasti informačnej bezpečnosti sa odpisujú ako náklady na bežné činnosti;

Dt 19, Kt 76 - 9000 rubľov. - pridelená DPH;

Dt 68, Kt 19 - 9000 rubľov. - akceptované na odpočet DPH.

Podniky uplatňujúce zjednodušený systém zdaňovania ako výdavky znižujúce základ dane z príjmov v súlade s ods. 19 s. 1 čl. 346.16 daňového poriadku Ruskej federácie bude môcť akceptovať iba náklady na získanie programov, ktoré zabezpečujú bezpečnosť informácií. Výdavky na poradenské služby v oblasti informačnej bezpečnosti v umení. 346.16 daňového poriadku Ruskej federácie nie sú uvedené, a preto na účely zdaňovania ziskov nie sú organizácie oprávnené ich akceptovať.

V.Schanikov

Asistent audítora

oddelenie auditu

LLC "Baker Tilly Rusaudit"

2018-08-21T12:03:34+00:00

Veľké komerčné spoločnosti vynakladajú približne 1 % svojich ročných príjmov na zabezpečenie fyzickej bezpečnosti svojho podnikania. Podniková bezpečnosť je rovnaký zdroj ako technológia a výrobné prostriedky. Ale pokiaľ ide o digitálnu ochranu údajov a služieb, je ťažké vypočítať finančné riziká a nevyhnutné náklady. Povieme vám, koľko peňazí z rozpočtu IT je rozumné vyčleniť na kybernetickú bezpečnosť, či existuje minimálna sada nástrojov, od ktorých sa možno vyhnúť.

Náklady na informačnú bezpečnosť rastú

Obchodné organizácie po celom svete, podľa správa Gartner minul v roku 2017 približne 87 miliárd dolárov na kybernetickú bezpečnosť vrátane softvéru, špecializovaných služieb a hardvéru. To je o 7 % viac ako v roku 2016. V tomto roku sa očakáva, že toto číslo dosiahne 93 miliárd a budúci rok prekročí hranicu 100.

Podľa odborníkov je objem trhu služieb informačnej bezpečnosti v Rusku asi 55-60 miliárd rubľov (asi 900 000 dolárov). 2/3 z toho sú uzavreté štátnymi príkazmi. V podnikovom sektore podiel týchto nákladov silne závisí od formy podniku, geografie a oblasti činnosti.

Domáce banky a finančné inštitúcie v priemere investovať v ich kybernetickej bezpečnosti 300 miliónov rubľov ročne, priemyselníci - až 50 miliónov, sieťové spoločnosti (maloobchod) - od 10 do 50 miliónov.

Na druhej strane, čísla rastu ruského trhu s kybernetickou bezpečnosťou sú už niekoľko rokov 1,5 až 2-krát vyššie ako v celosvetovom meradle. V roku 2017 bol nárast v porovnaní s rokom 2016 15 % (z hľadiska peňazí zákazníkov). Koncom roka 2018 to môže byť ešte solídnejšie.

Vysoké miery rastu sa vysvetľujú všeobecným oživením trhu a prudko zvýšenou pozornosťou organizácií na skutočnú bezpečnosť ich IT infraštruktúry a integritu údajov. Náklady na vybudovanie systému informačnej bezpečnosti sa dnes považujú za investície, plánujú sa vopred a nie sú len reziduálne.

Pozitívne technológiezdôrazňuje tri hnacie sily rastu:

1. Významné incidenty za posledných 1,5 až 2 roky viedli k tomu, že dnes len leniví nerozumejú úlohe informačnej bezpečnosti pre finančnú stabilitu podniku. Každý piaty top manažér sa zaujíma o praktickú bezpečnosť v kontexte svojho podnikania.

Minulý rok bol poučný pre podniky ignorujúce základné veci . Nedostatok aktuálnych aktualizácií a zvyk pracovať bez toho, aby sa venovala pozornosť slabým miestam, viedli k zatvoreniu tovární Renault vo Francúzsku, Honda a Nissan v Japonsku; utrpeli banky, energetické a telekomunikačné spoločnosti. Napríklad pre Maersk to stálo 300 miliónov dolárov naraz.

1. Prepuknutie ransomvéru WannaCry, NotPetya a Bad Rabbit naučilo domáce spoločnosti, že inštalácia antivírusov a firewallov nestačí na to, aby ste sa cítili bezpečne. Potrebujeme komplexnú stratégiu, inventár našich IT aktív, vyhradené zdroje, stratégiu reakcie na hrozby.
2. Tón v istom zmysle udáva štát, ktorý ohlásil kurz smerom k digitálnej ekonomike, pokrývajúcej všetky oblasti (od zdravotníctva a školstva až po dopravu a financie). Táto politika priamo ovplyvňuje rast IT sektora vo všeobecnosti a informačnej bezpečnosti zvlášť.

Cena zraniteľností v ochrane informácií

To všetko je poučné, ale každé podnikanie je jedinečný príbeh. Otázka, koľko minúť na informačnú bezpečnosť z celkového IT rozpočtu firmy, aj keď nie je správna, je z pohľadu zákazníka najnaliehavejšia.

Medzinárodná výskumná spoločnosť IDC na príklade kanadského trhu hovory optimálne 9,8-13,7 % investícií do kybernetickej bezpečnosti z celkového IT rozpočtu v organizácii. To znamená, že teraz kanadský podnik vynakladá na tieto potreby v priemere asi 10% (predpokladá sa, že je to ukazovateľ zdravej spoločnosti), ale podľa prieskumov by sa chcel priblížiť k 14%.

Pre spoločnosti nemá zmysel hádať, koľko musia minúť na svoju informačnú bezpečnosť, aby sa cítili pokojne. Dnes nie je hodnotenie rizík z kybernetických bezpečnostných incidentov o nič zložitejšie ako vypočítať straty z fyzických hrozieb. Existuje globálnyštatistiky , podľa ktorého:

• Hackerské útoky stoja svetovú ekonomiku viac ako 110 miliárd dolárov ročne.
• Pre malé podniky stojí každý incident v priemere 188 000 USD.
• 51 % hackerov v roku 2016 bolo cielených, t. j. organizovaných zločineckými skupinami proti konkrétnej spoločnosti.
• 75 % útokov sa deje s cieľom spôsobiť materiálne škody, finančne motivované.

Na jar roku 2018 spoločnosť Kaspersky Lab uskutočnila svoju veľkú akciuštúdium . Podľa prieskumu medzi 6 000 špecialistami spoločností na celom svete sa škody spôsobené hackovaním podnikovej siete a únikmi údajov za posledných pár rokov zvýšili o 20 až 30 %.

Priemerné náklady na škody vo februári 2018 pre komerčné organizácie, bez ohľadu na veľkosť, oblasť činnosti, dosiahli 1,23 milióna dolárov. Pre MSP stojí ľudská chyba alebo úspešná hackerská akcia 120 000 USD.

Štúdia uskutočniteľnosti pre informačnú bezpečnosť

Aby bolo možné správne posúdiť finančné zdroje potrebné na organizáciu informačnej bezpečnosti v podniku, je potrebné vypracovať štúdiu uskutočniteľnosti.

1. Vykonáme inventarizáciu IT infraštruktúry a posúdime riziká, zostavíme zoznam zraniteľností v zostupnom poradí podľa dôležitosti. Patria sem aj straty na reputácii (rast poistných sadzieb, nižšia bonita, náklady na prestoje služby), náklady na obnovu systému (aktualizácie hardvéru a softvéru).
2. Predpisujeme úlohy, ktoré by mal informačný bezpečnostný systém riešiť.
3. Vyberáme vybavenie, nástroje na riešenie problémov, určujeme ich náklady.

Ak spoločnosť nedisponuje kompetenciami na hodnotenie kybernetických bezpečnostných hrozieb a rizík, vždy si môžete objednať audit informačnej bezpečnosti. Dnes je tento postup krátky, lacný a bezbolestný.

Priemyselné podniky s vysokou úrovňou odborníkov na automatizáciu procesov odporučiť použiť model adaptívnej bezpečnostnej architektúry (Adaptívna bezpečnostná architektúra) navrhnutý v roku 2014 spoločnosťou Gartner. Umožňuje správne prerozdeliť náklady na informačnú bezpečnosť, venovať väčšiu pozornosť nástrojom na detekciu a reakciu na hrozby a predpokladá zavedenie systému na monitorovanie a analýzu IT infraštruktúry.

Koľko stojí kybernetická bezpečnosť pre malé spoločnosti

Rozhodli autori blogu Capterra vypočítať , koľko v priemere stojí systém informačnej bezpečnosti pre malých a stredných podnikateľov v prvom roku používania. Na tento účel bol vybraný zoznam z 50 obľúbených „krabicových“ ponúk na trhu.

Ukázalo sa, že cenové rozpätie je pomerne veľké: od 50 dolárov ročne (existujú dokonca 2-3 bezplatné riešenia pre malé spoločnosti) až po 6 000 dolárov (existujú jednotlivé balíky a po 24 000, ale neboli zahrnuté do výpočtu). V priemere môže malý podnik očakávať 1 400 dolárov na vybudovanie základného systému kybernetickej obrany.

Najlacnejšie technické riešenia, ako napríklad firemná sieť VPN alebo zabezpečenie e-mailov, pomáhajú chrániť pred špecifickými typmi hrozieb (napríklad phishing)

Na druhom konci spektra sú prezentované plnohodnotné monitorovacie systémy s „pokročilou“ reakciou na udalosti a komplexnými ochrannými nástrojmi. Pomáhajú chrániť podnikovú sieť pred rozsiahlymi útokmi a niekedy im dokonca umožňujú predvídať ich vzhľad a zastaviť ich v počiatočnom štádiu.

Spoločnosť si môže zvoliť niekoľko platobných modelov pre systém informačnej bezpečnosti:

• Cena za licenciu. Priemerná cena je 1 000 – 2 000 USD alebo 26 až 6 000 USD za licenciu.
• Cena za používateľa. Priemerné náklady na systém informačnej bezpečnosti na používateľa v spoločnosti sú 37 USD, rozsah je od 4 do 130 USD na osobu a mesiac.
• Cena za pripojené zariadenie. Priemerná cena tohto modelu je 2,25 USD na zariadenie. Cena sa pohybuje od 0,96 do 4,5 dolára mesačne.

Na správny výpočet nákladov na informačnú bezpečnosť bude musieť aj malá spoločnosť implementovať základy riadenia rizík. Hneď prvý incident (zlyhanie stránky, služby, platobného systému), ktorý sa nedá opraviť do jedného dňa, môže viesť k zatvoreniu podniku.