Bilgi koruma maliyetlerinin muhasebeleştirilmesi. Sektörlerde Bilgi Güvenliği Bilgi Güvenliği Maliyetlerinin Belirlenmesi

Daha önce belirtildiği gibi, bir işletmenin güvenliği, yaşam döngüsünün tüm aşamalarında, bilgi sisteminde bir dizi önlemle sağlanır ve genel durumda maliyetten oluşur:

• - tasarım çalışması;
• - yazılım ve donanım koruma araçlarının satın alınması ve ayarlanması;
• - fiziksel güvenliği sağlamanın maliyeti;
• - Personel eğitimi;
• - sistemin yönetimi ve desteği;
• - bilgi güvenliği denetimi;
• - bilgi güvenliği sisteminin periyodik modernizasyonu vb.

Entegre bir bilgi güvenliği sisteminin ekonomik verimliliğinin maliyet göstergesi, yıl boyunca bilgi güvenliği sisteminin organizasyonu, işletimi ve bakımı için doğrudan ve dolaylı maliyetlerin toplamı olacaktır.

Bir şirkette bilgi korumasının düzenlenmesinin etkinliğinin önemli bir nicel göstergesi olarak kabul edilebilir, çünkü yalnızca toplam koruma maliyetlerini tahmin etmekle kalmaz, aynı zamanda gerekli kurumsal güvenlik seviyesine ulaşmak için bu maliyetleri yönetmeye de izin verir. Bununla birlikte, doğrudan maliyetler, hem maliyetlerin sermaye bileşenlerini hem de operasyonlar ve yönetim kategorilerinde muhasebeleştirilen işçilik maliyetlerini içerir. Bu aynı zamanda, kuruluşun faaliyetlerini desteklemekle ilişkili uzak kullanıcılar vb. için hizmetlerin maliyetini de içerir.

Buna karşılık, dolaylı maliyetler, kurumsal bilgi güvenliği sisteminin ve bir bütün olarak entegre güvenlik sisteminin kesinti süresi ve "donmaları", operasyon ve destek maliyeti gibi ölçülebilir göstergeler aracılığıyla entegre bir güvenlik sisteminin ve bilgi güvenliği alt sisteminin çalışanlar üzerindeki etkisini yansıtır. .

Çoğu zaman, dolaylı maliyetler önemli bir rol oynar, çünkü bunlar genellikle başlangıçta entegre bir güvenlik sistemi için bütçeye yansıtılmaz, ancak daha sonra maliyet analizinde açıkça belirlenir, bu da nihayetinde şirketin "gizli" maliyetlerinde bir artışa yol açar. Entegre bir güvenlik sisteminin doğrudan ve dolaylı maliyetlerini nasıl belirleyebileceğinizi düşünün. Şirket yönetiminin, işletmede entegre bir bilgi güvenliği sisteminin uygulanması üzerinde çalıştığını varsayalım. Korumanın amaçları ve amaçları, bilgi güvenliğine yönelik tehditler ve bunlara karşı alınacak önlemler zaten belirlenmiş, bilgiyi korumak için gerekli araçlar edinilmiş ve kurulmuştur.

Tipik olarak, bilgi güvenliği maliyetleri aşağıdaki kategorilere ayrılır:

• - bilgi güvenliği sisteminin yönetim bağlantısının oluşturulması ve bakımı için maliyetler;
• - kontrol maliyetleri, yani işletme kaynaklarının elde edilen güvenlik düzeyini belirlemek ve onaylamak;
• - bilgi güvenliği ihlalinin sonuçlarını ortadan kaldırmanın dahili maliyetleri - gerekli güvenlik düzeyine ulaşılmaması nedeniyle kuruluşun maruz kaldığı maliyetler;
• -Bilgi güvenliği ihlallerinin sonuçlarının ortadan kaldırılması için dış maliyetler - bilgi sızıntısı, şirket imajının kaybı, ortakların ve tüketicilerin güveninin kaybı vb. ile ilgili durumlarda güvenlik politikasının ihlali durumundaki kayıplar için tazminat;
• - bilgi güvenliği sisteminin bakım maliyetleri ve şirketin güvenlik politikasının ihlal edilmesini önlemeye yönelik önlemler.

Aynı zamanda, bir kerelik ve sistematik maliyetler genellikle ayırt edilir.

Bir kerelik, kurumsal güvenliğin oluşturulması için maliyetler: organizasyonel maliyetler ve güvenlik ekipmanı satın alma ve kurma maliyetleri.

Sistematik, işletme ve bakım maliyetleri. Maliyetlerin sınıflandırılması keyfidir, çünkü bilgi güvenliği için maliyetlerin toplanması, sınıflandırılması ve analizi işletmelerin iç faaliyetleridir ve listenin ayrıntılı gelişimi belirli bir kuruluşun özelliklerine bağlıdır.

Bir güvenlik sisteminin maliyetlerini belirlemedeki ana şey, işletme içindeki maliyet kalemleri üzerinde karşılıklı anlayış ve anlaşmadır.

Ayrıca maliyet kategorileri sabit olmalı ve örtüşmemelidir. Güvenlik maliyetleri tamamen ortadan kaldırılamaz ancak kabul edilebilir bir düzeye getirilebilir.

Bazı güvenlik maliyetleri kesinlikle gereklidir ve bazıları önemli ölçüde azaltılabilir veya ortadan kaldırılabilir. İkincisi, güvenlik ihlalleri olmadığında ortadan kalkabilen veya ihlallerin sayısı ve zarar verici etkisi azaldığında azalanlardır.

Güvenliği gözlemlerken ve ihlallerin önlenmesini gerçekleştirirken, aşağıdaki maliyetler hariç tutulabilir veya önemli ölçüde azaltılabilir:

• - güvenlik gereksinimlerini karşılamak için güvenlik sistemini geri yüklemek;
• - işletmenin bilgi ortamının kaynaklarını geri yüklemek;
• - güvenlik sistemi içindeki değişiklikler için;
• - yasal anlaşmazlıklar ve tazminat ödemeleri hakkında;
• - güvenlik ihlallerinin nedenlerini belirlemek.

Gerekli maliyetler, güvenlik tehditlerinin düzeyi yeterince düşük olsa bile gerekli olan maliyetlerdir. Bunlar, kurumsal bilgi ortamının elde edilen güvenlik düzeyini korumanın maliyetleridir.

Kaçınılmaz maliyetler şunları içerebilir:

• a) teknik koruma araçlarının bakımı;
• b) gizli ofis işleri;
• c) güvenlik sisteminin işleyişi ve denetimi;
• d) uzman kuruluşların katılımıyla asgari düzeyde teftiş ve kontrol;
• e) personelin bilgi güvenliği yöntemleri konusunda eğitimi.

Ancak, belirlenmesi zor olan başka maliyetler de vardır. Aralarında:

• a) yeni bir pazar stratejisinin ek araştırma ve geliştirme maliyeti;
• b) bilimsel araştırmalarda azaltılmış öncelikten ve bilimsel ve teknolojik başarılar için lisansların patentlenmesinin ve satılmasının imkansızlığından kaynaklanan kayıplar;
• c) ürünlerin tedariki, üretimi ve pazarlanmasındaki "darboğazların" ortadan kaldırılmasıyla ilgili maliyetler;
• d) teşebbüs tarafından imal edilen ürünlerin taviz vermesinden ve bunun için daha düşük fiyatlardan kaynaklanan kayıplar;
• e) onlar için fiyatlarda bir artış, tedarik hacminin sınırlandırılması da dahil olmak üzere ekipman veya teknolojilerin edinilmesinde zorlukların ortaya çıkması.

Listelenen maliyetler, örneğin tasarım, teknolojik, ekonomik planlama, hukuk, ekonomi, pazarlama departmanı, tarife politikası ve fiyatlandırma gibi çeşitli departmanlardan personelin eylemlerinden kaynaklanabilir.

Tüm bu departmanlardaki çalışanların dış kayıplarla tam zamanlı meşgul olma olasılığı düşük olduğundan, maliyet tutarının belirlenmesi, harcanan fiili süre dikkate alınarak yapılmalıdır. Dış kayıpların unsurlarından biri doğru bir şekilde hesaplanamaz - bunlar şirketin imajını baltalamakla, şirketin ürün ve hizmetlerine tüketici güvenini azaltmakla ilişkili kayıplardır. Bu nedenle birçok şirket hizmetlerinin güvenli olmadığını gizler. Şirketler, bu tür bilgilerin açığa çıkmasından şu ya da bu şekildeki saldırılardan daha fazla korkarlar.

Bununla birlikte, birçok işletme, herhangi bir doğruluk derecesi ile tahmin edilemeyecekleri gerekçesiyle bu maliyetleri göz ardı eder - bunlar yalnızca spekülatiftir. Önleyici tedbirlerin maliyetleri. Önleme faaliyetleri departmanlar arasında yürütüldüğünden ve birçok hizmeti etkilediğinden, bu maliyetlerin tahmin edilmesi muhtemelen en zor olanlardır. Bu maliyetler, kurumsal bilgi ortamının kaynaklarının yaşam döngüsünün tüm aşamalarında ortaya çıkabilir:

• - planlama ve organizasyon;
• - satın alma ve devreye alma;
• - teslimat ve destek;
• - bilgi teknolojisini oluşturan süreçlerin izlenmesi.

Buna ek olarak, bu kategorideki maliyetlerin çoğu güvenlik personelinin işi ile ilgilidir. Önleme maliyetleri esas olarak maaşları ve genel giderleri içerir. Bununla birlikte, belirlemelerinin doğruluğu, büyük ölçüde, her çalışanın ayrı ayrı harcadığı zamanı belirlemenin doğruluğuna bağlıdır. Önlem maliyetlerinin bazılarının doğrudan belirlenmesi kolaydır. Özellikle, üçüncü tarafların çeşitli çalışmaları için ödeme içerebilirler, örneğin:

• - yazılım ve donanım koruma araçlarının, işletim sistemlerinin ve kullanılmış ağ ekipmanlarının bakımı ve konfigürasyonu;
• - Alarmları kurmak, gizli belge depolarını donatmak, telefon iletişim hatlarını, bilgisayar ekipmanını vb. korumak için mühendislik ve teknik çalışmalar yapmak;
• - gizli bilgilerin teslimi;
• - istişareler;
• - Eğitim Kursları.

Değerlendirilen maliyetler hakkında bilgi kaynakları. Bilgi güvenliğini sağlamanın maliyetlerini belirlerken şunları unutmamalısınız:

• - yazılım ve donanım araçlarını edinme ve işletmeye alma maliyeti, faturaların, depo belgelerindeki kayıtların vb. analizinden elde edilebilir;
• - personele yapılan ödemeler beyannamelerden alınabilir;
• - maaş ödemelerinin hacmi, bilgi güvenliğini sağlamak için işlerin yürütülmesi için harcanan fiili süre dikkate alınarak, çalışanın zamanının yalnızca bir kısmı bilgi güvenliğini sağlamaya yönelik faaliyetlere harcanıyorsa, o zaman bileşenlerin her birini değerlendirmenin fizibilitesi dikkate alınmalıdır. zamanının maliyeti sorgulanmamalıdır;
• - güvenlik maliyetlerinin sınıflandırılması ve unsurlara göre tahsisi, işletme içindeki günlük işin bir parçası haline gelmelidir.

Bilgi güvenliğinin maliyeti nasıl gerekçelendirilir?

Nazik izinle yeniden basılmıştır. OJSC InfoTeKS İnternet Güven
Orijinal metin bulunur Burada.

Şirketin olgunluk seviyeleri

Gartner Group, bilgi güvenliği (IS) açısından 4 şirket olgunluğu düzeyi tanımlar:

• 0 seviye:
• Şirkette bilgi güvenliği ile ilgilenen kimse yoktur, şirket yönetimi bilgi güvenliği sorunlarının öneminin farkında değildir;
• Finansman mevcut değil;
• IS, standart işletim sistemleri, DBMS ve uygulamalar aracılığıyla uygulanır (parola koruması, kaynaklara ve hizmetlere erişimin farklılaştırılması).
• 1. seviye:
• IS yönetim tarafından tamamen "teknik" bir sorun olarak kabul edilir, şirketin bilgi güvenliği sisteminin (ISS) geliştirilmesi için tek bir program (kavram, politika) yoktur;
• Finansman, genel BT bütçesi dahilindedir;
• IS, sıfır seviye + yedekleme araçları, antivirüs araçları, güvenlik duvarları, VPN organizasyon araçları (geleneksel koruma araçları) aracılığıyla uygulanır.
• 2. seviye:
• IS yönetim tarafından bir organizasyonel ve teknik önlemler kompleksi olarak kabul edilir, IS'nin üretim süreçleri için önemine dair bir anlayış vardır, yönetim tarafından onaylanmış şirketin ISIB'sinin geliştirilmesi için bir program vardır;
• IS, birinci seviye + güçlü kimlik doğrulama araçları, posta mesajlarını ve web içeriğini analiz etme araçları, IDS (saldırı tespit sistemleri), güvenlik analiz araçları, SSO (tek kimlik doğrulama araçları), PKI (ortak anahtar altyapısı) ve kurumsal önlemler (iç ve dış denetim, risk analizi, bilgi güvenliği politikası, düzenlemeler, prosedürler, düzenlemeler ve yönergeler).
• 3. seviye:
• IS, CISA (kıdemli bilgi güvenliği görevlisi) tarafından atanan kurum kültürünün bir parçasıdır;
• Finansman ayrı bir bütçe altında sağlanır;
• IS, ikinci seviye + IS yönetim sistemleri, CSIRT (IS ihlal müdahale ekibi), SLA (hizmet seviyesi anlaşması) aracılığıyla uygulanır.

Gartner Group'a göre (veriler 2001 içindir), açıklanan 4 seviyeye göre şirketlerin yüzdesi aşağıdaki gibidir:
0 seviye - %30,
1. seviye - %55,
2. seviye - %10,
3. seviye - %5.

Gartner Group'un 2005 yılı görünümü aşağıdaki gibidir:
0 seviye - %20,
1. seviye - %35,
2. seviye - %30,
Seviye 3 - %15.

İstatistikler, şirketlerin çoğunluğunun (%55) artık gerekli olan minimum geleneksel teknik koruma araçlarını (seviye 1) uyguladığını gösteriyor.

Çeşitli teknolojileri ve koruma araçlarını uygularken, genellikle sorular ortaya çıkar. İlk olarak ne uygulanmalı, saldırı tespit sistemi mi yoksa PKI altyapısı mı? Ne daha etkili olacak? Deloitte & Touche direktörü Stephen Ross, bireysel güvenlik önlemlerinin ve araçlarının etkinliğini değerlendirmek için aşağıdaki yaklaşımı önermektedir.

Yukarıdaki grafiğe dayanarak, en pahalı ve en az etkili olanın özel araçlar (kendi veya özel geliştirmeler) olduğu görülebilir.

En pahalı, ancak aynı zamanda en etkili olanı 4. kategorinin korumasıdır (Gartner Group'a göre seviye 2 ve 3). Bu fon kategorisini uygulamak için risk analizi prosedürünü kullanmak gerekir. Bu durumda risk analizi, uygulama maliyetlerinin mevcut IS ihlali tehditlerine karşı yeterliliğini garanti etmeyi mümkün kılacaktır.

En ucuz, ancak verimliliği yüksek olan, organizasyonel önlemlerdir (iç ve dış denetim, risk analizi, bilgi güvenliği politikası, iş sürekliliği planı, düzenlemeler, prosedürler, düzenlemeler ve yönergeler).

Ek koruma araçlarının getirilmesi (2. ve 3. seviyelere geçiş), önemli finansal yatırımlar ve buna bağlı olarak gerekçelendirme gerektirir. Yönetim tarafından onaylanan ve imzalanan BGYS'nin geliştirilmesi için birleşik bir programın yokluğu, güvenlik yatırımlarının gerekçelendirilmesi sorununu daha da kötüleştirmektedir.

Risk analizi

Risk analizinin sonuçları ve olaylarla ilgili toplanan istatistikler, bu tür gerekçelendirme olarak hizmet edebilir.Risk analizinin uygulanmasına ve istatistiklerin toplanmasına yönelik mekanizmalar, şirketin bilgi güvenliği politikasında ayrıntılı olarak belirtilmelidir.

Risk analizi süreci 6 ardışık adımdan oluşur:

1. Koruma nesnelerinin tanımlanması ve sınıflandırılması (korunacak şirket kaynakları);

3. Saldırganın bir modelini oluşturmak;

4. Tehditlerin ve güvenlik açıklarının belirlenmesi, sınıflandırılması ve analizi;

5. Risk değerlendirmesi;

6. Organizasyonel önlemlerin ve teknik koruma araçlarının seçimi.

Sahnede korunan nesnelerin tanımlanması ve sınıflandırılması Aşağıdaki alanlarda şirket kaynaklarının envanterini çıkarmak gerekir:

• Bilgi kaynakları (şirketin gizli ve kritik bilgileri);
• Yazılım kaynakları (OS, DBMS, ERP gibi kritik uygulamalar);
• Fiziksel kaynaklar (sunucular, iş istasyonları, ağ ve telekomünikasyon ekipmanı);
• Servis kaynakları (e-posta, www, vb.).

sınıflandırma kaynağın gizlilik ve kritiklik düzeyini belirlemektir. Gizlilik, kaynak tarafından saklanan, işlenen ve iletilen bilgilerin gizlilik düzeyini ifade eder. Kritiklik, kaynağın şirketin üretim süreçlerinin işleyişinin verimliliği üzerindeki etkisinin derecesi olarak anlaşılır (örneğin, telekomünikasyon kaynaklarının kesintiye uğraması durumunda, sağlayıcı şirket iflas edebilir). Gizlilik ve kritiklik parametrelerine belirli niteliksel değerler atayarak, her bir kaynağın şirketin üretim süreçlerine katılımı açısından önem derecesini belirleyebilirsiniz.

Şirket kaynaklarının bilgi güvenliği açısından önemini belirlemek için aşağıdaki tablo elde edilebilir:

Örneğin, şirket çalışanlarının maaş düzeyi hakkında bilgi içeren dosyalar "kesinlikle gizli" (gizlilik parametresi) ve "ihmal edilebilir" (önemlilik parametresi) değerine sahiptir. Bu değerleri tabloya koyarak, bu kaynağın öneminin ayrılmaz bir göstergesini alabilirsiniz. Uluslararası standart ISO TR 13335'te sınıflandırma yöntemlerinin farklı varyantları verilmiştir.

Bir saldırgan modeli oluşturma potansiyel ihlalcileri aşağıdaki parametrelere göre sınıflandırma sürecidir:

• Saldırgan türü (rakip, müşteri, geliştirici, şirket çalışanı vb.);
• Saldırganın koruma nesnelerine göre konumu (dahili, harici);
• Koruma nesneleri ve çevre hakkında bilgi düzeyi (yüksek, orta, düşük);
• Korunan nesnelere erişim fırsatlarının düzeyi (maksimum, ortalama, minimum);
• Eylem zamanı (sürekli, belirli zaman aralıklarında);
• Konum (saldırı sırasında saldırganın varsayılan konumu).

Saldırgan modelinin listelenen parametrelerine niteliksel değerler atayarak, saldırganın potansiyelini belirlemek mümkündür (saldırganın tehditleri uygulama yeteneklerinin ayrılmaz bir özelliği).

Tehditlerin ve güvenlik açıklarının tanımlanması, sınıflandırılması ve analizi koruma nesnelerine saldırı uygulama yollarını belirlemenize izin verir. Güvenlik açıkları, bir saldırgan tarafından tehditleri uygulamak için kullanılan bir kaynağın veya ortamının özellikleridir. Yazılım kaynaklarının güvenlik açıklarının listesi İnternette bulunabilir.

Tehditler aşağıdaki kriterlere göre sınıflandırılır:

• tehdidin adı;
• saldırgan türü;
• uygulama araçları;
• istismar edilen güvenlik açıkları;
• gerçekleştirilen eylemler;
• uygulama sıklığı.

Ana parametre, tehdidin uygulanma sıklığıdır. "Saldırgan potansiyeli" ve "kaynak güvenliği" parametrelerinin değerlerine bağlıdır. "Kaynak güvenliği" parametresinin değeri, uzman değerlendirmeleri ile belirlenir. Parametrenin değerini belirlerken, saldırganın öznel parametreleri dikkate alınır: tehdidin uygulanması için motivasyon ve bu tür tehditleri uygulama girişimlerinden (varsa) istatistikler. Tehdit ve güvenlik açığı analizi aşamasının sonucu, her bir tehdit için "uygulama sıklığı" parametresinin bir değerlendirmesidir.

Sahnede risk değerlendirmesi her kaynak veya kaynak grubu için bilgi güvenliği ihlal tehditlerinden kaynaklanan potansiyel zarar belirlenir.

Niteliksel hasar göstergesi iki parametreye bağlıdır:

• Kaynağın önemi;
• Bu kaynağa yönelik tehdidin sıklığı.

Elde edilen hasar değerlendirmelerine dayanarak, yeterli organizasyonel önlemler ve teknik koruma araçları makul bir şekilde seçilir.

Olay istatistiklerinin toplanması

Riski değerlendirmek için önerilen metodolojideki ve buna bağlı olarak yeni koruma teknolojilerini tanıtma veya mevcut koruma teknolojilerini değiştirme ihtiyacını haklı kılan tek güvenlik açığı "tehdit gerçekleştirme sıklığı" parametresinin tanımıdır. Bu parametre için objektif değerler elde etmenin tek yolu, olaylar hakkında istatistik toplamaktır. Örneğin, bir yıl için birikmiş istatistikler, kaynak başına (belirli bir türden) tehdit sayısını (belirli bir türde) belirlememize izin verecektir. Olay işleme prosedürü çerçevesinde istatistiklerin toplanması üzerinde çalışılması tavsiye edilir.

Dipnot: Ders, belirli koşullarda bilgi güvenliğini sağlamak için önlemlerin uygulanmasının fizibilitesinin ekonomik analizinin görevlerini ve yöntemlerini tartışır.

Bilgi güvenliği ekonomisinin metodolojik temelleri

Bilgi Güvenliği Yönetimi, diğer birçok faaliyet alanındaki yönetimin yanı sıra, bir kural olarak, belirli alternatiflerin seçiminden oluşan çeşitli yönetim kararlarının periyodik olarak benimsenmesini gerektirir (olası organizasyon şemalarından birinin veya mevcut teknik çözümlerden birinin seçimi). ) veya bireysel organizasyonel ve/veya teknik sistem ve alt sistemlerin bazı parametrelerinin belirlenmesi. Yönetimsel bir karar verme durumunda alternatiflerin seçimine olası yaklaşımlardan biri sözdedir. "İradeli" yaklaşım, şu veya bu nedenle bir karar sezgisel olarak alındığında ve belirli başlangıç ​​öncülleri ile verilen belirli bir karar arasında resmi olarak doğrulanmış bir nedensel ilişki kurulamadığında. "İradeli" yaklaşıma bir alternatifin, belirli resmi prosedürlere dayalı karar verme ve karar verme olduğu açıktır. sıralı analiz.

Bu analizin temeli ve sonraki karar verme analiz edilen sistemlerin gelişiminin etkisi altındaki tüm (veya en azından ana) faktörlerin, davranış kalıplarının, değişim dinamiklerinin ve evrensel bir kullanımın incelenmesini içeren ekonomik bir analizdir. parasal değer. Hem genel kalkınma stratejisine hem de bireysel organizasyonel ve teknik önlemlere ilişkin kararların, hem eyaletler, bölgeler hem de endüstriler düzeyinde ve aynı zamanda, uygun şekilde oluşturulmuş ekonomik modeller ve onların yardımıyla yürütülen ekonomik analiz temelinde alınması gerekir. bireysel işletmelerin, bölümlerin ve bilgi sistemlerinin düzeyi.

Aynı zamanda, herhangi bir faaliyet dalının ekonomisinin kendine has özellikleri olduğu gibi, nispeten bağımsız bir disiplin olarak kabul edilen bilgi güvenliği ekonomisi de bir yandan bazı genel ekonomik yasalara ve analiz yöntemlerine dayanmaktadır ve Öte yandan, bireysel anlayışa, analize özel yaklaşımların geliştirilmesine, bu alana özgü istatistiksel verilerin toplanmasına, etkisi altındaki faktörler hakkında istikrarlı fikirlerin oluşturulmasına ihtiyaç duyar. Bilgi sistemi ve bilgi güvenliği araçları.

Neredeyse tüm faaliyet alanlarındaki ekonomik analiz görevlerinin karmaşıklığı, bir kural olarak, ekonomik modellerin birçok temel parametresinin güvenilir bir şekilde tahmin edilememesinden ve bunların olasılıklı bir nitelikte olmasından kaynaklanmaktadır (örneğin, tüketici talep göstergeleri). Analiz ayrıca, bu tür parametrelerin küçük dalgalanmalarının (tahminlerin düzeltilmesi) bile amaç fonksiyonunun değerlerini ve buna bağlı olarak analiz sonuçlarına dayanarak verilen kararları ciddi şekilde etkileyebileceği gerçeğiyle karmaşıktır. Bu nedenle, ekonomik analiz yapma sürecinde hesaplamaların mümkün olan en yüksek güvenilirliğini sağlamak için ve karar verme ilk bilgilerin toplanması, tahmin değerlerinin hesaplanması, çeşitli alanlardaki uzmanlarla görüşülmesi ve tüm verilerin işlenmesi konularında bir takım çalışmaların düzenlenmesi gerekmektedir. Aynı zamanda, böyle bir analiz yapma sürecinde, genel modelde yer alan belirli parametrelerin tahminlerine ilişkin ara kararlara özel dikkat gösterilmesi gerekmektedir. Ayrıca, böyle bir analizin başlı başına oldukça kaynak yoğun bir prosedür olabileceği ve çeşitli uzmanların çabalarının yanı sıra ek uzmanların ve üçüncü taraf danışmanların katılımını gerektirebileceği gerçeğini de hesaba katmak gerekir. (uzmanlar) işletmenin kendisinde çalışıyor - tüm bu maliyetler nihayetinde haklı gösterilmelidir.

Böyle bir alanda ekonomik analizin özel karmaşıklığı Bilgi Güvenliği, aşağıdaki gibi belirli faktörlerden kaynaklanır:

• bu alanda kullanılan bilgi teknolojilerinin ve tekniklerin hızlı gelişimi (hem savunma araçları ve yöntemleri hem de saldırı araçları ve yöntemleri);
• bilgi sistemlerine ve saldırı düzenlerine yönelik olası tüm saldırı senaryolarını güvenilir bir şekilde tahmin edememe;
• bilgi kaynaklarının maliyetinin güvenilir, oldukça doğru bir tahminini vermenin yanı sıra çeşitli ihlallerin sonuçlarını parasal olarak değerlendirmenin imkansızlığı.

Bu, ekonomik analiz sürecini düzenlemek için ek çabalar gerektirir ve ayrıca çoğu zaman bilgi güvenliğinin sağlanmasıyla ilgili birçok kararın yetersiz kalabileceği gerçeğine yol açar. Ekonomik analiz metodolojisinin yetersiz gelişiminin bilgi güvenliğinin durumunu olumsuz etkilediği durumların örnekleri, şu durumlarda olabilir:

• işletmenin yönetimi, bilgi koruma araçlarına yapılan yatırımlar konusunda yetersiz kararlar verebilir ve bu da kaçınılabilecek kayıplara yol açabilir;
• işletme yönetimi, işletme maliyetlerini azaltma ve personel üzerindeki iş yükünü azaltma arzusuna dayanarak, işletmedeki iş süreçlerinin ve bilgi işleme süreçlerinin organizasyonu ile ilgili belirli kararlar alabilir, ancak yetersiz korumanın ekonomik sonuçlarını dikkate almaz. bilgi kaynakları;
• poliçe sahibi ve sigortacı, işlemin ekonomik parametrelerini değerlendirmek için herhangi bir model ve yöntemin bulunmaması nedeniyle bir bilgi risk sigortası sözleşmesi akdetemez veya böyle bir sözleşmenin yetersiz parametrelerini oluşturamaz.

Bilgi güvenliği araçlarına yapılan yatırımların analizi

Mevcut faaliyetler sürecinde, işletmeler sürekli olarak belirli değişikliklerle uğraşmak zorundadır: iş süreçleri açıklığa kavuşturuluyor, satış pazarlarındaki ve tüketilen malzeme kaynakları ve hizmetleri pazarlarındaki durum değişiyor, yeni teknolojiler ortaya çıkıyor, rakipler ve karşı taraflar davranışlarını değiştiriyor. , mevzuat ve hükümet politikası değişiyor vb. Bu koşullar altında, yöneticiler (bilgi güvenliğini sağlamaktan sorumlu olanlar dahil) sürekli olarak devam eden değişiklikleri analiz etmek ve çalışmalarını sürekli değişen bir duruma uyarlamak zorundadır. Liderlerin tepkilerinin tezahür ettiği belirli biçimler farklılık gösterir. Bu, pazarlama politikasında bir değişiklik, iş süreçlerinin yeniden düzenlenmesi, teknolojide bir değişiklik, üretilen bir üründe bir değişiklik, rakiplerle birleşme veya devralma vb. olabilir. Bununla birlikte, değişen bir ortamda tüm olası davranış modellerinin çeşitliliği ile, neredeyse hepsi önemli bir ortak metodolojik unsur tarafından birleştirilir: çoğu durumda, yeni tehditlere ve yeni fırsatlara işletmenin tepkisi, yeni, daha fazla veya daha fazla veya Bir yandan kaynakların (para) harcanmasını ima eden ve diğer yandan yeni faydalar elde etme fırsatı sağlayan belirli organizasyonel ve / veya teknik önlemlere daha az uzun vadeli ve kaynak yoğun yatırımlar (yatırımlar) gelirde bir artış veya bazı cari maliyetlerde bir azalma olarak ifade edilir.

Bu nedenle, (bir projeyi uygulamak için) bazı yeni organizasyonel veya teknik önlemlerin alınmasının gerekli olduğu bir durumda, bilgi güvenliğinin etkin organizasyonundan sorumlu kişilerin ana görevi, yapılması gereken maliyetlerin açık bir korelasyonudur. bu önlemin uygulanmasıyla bağlantılı olarak ortaya çıkacak (hem bir kerelik hem de sabit akım) ve alınacak ek (yeni) nakit akışları. Bu durumda nakit akışı, maliyet tasarrufu, kayıpların önlenmesi ve işletmenin ek geliri anlamına gelebilir.

Bu oranı yansıtan ana gösterge olarak, ekonomik uygulamada yatırım getirisi - Yatırım Getirisi işlevini kullanmak gelenekseldir.

(14.1)

İndirgeme fonksiyonu, yatırım yatırımlarının analizinde zaman faktörünün etkisini dikkate almak ve farklı zamanlardaki maliyetleri bir ana (genellikle projenin başladığı ana) getirmek için kullanılır. Bu durumda iskonto oranı, zaman içinde paranın değerindeki değişimi dikkate almanızı sağlar.

Yatırım getirisi modeli (14.1), herhangi bir yatırım projesini ve özellikle bilgi güvenliği alanındaki önlemlerin uygulanmasına yönelik bir projeyi analiz ederken hangi iki ana görevin çözülmesi gerektiğini açıkça göstermektedir: projeyle ilişkili maliyetlerin hesaplanması ve ek nakit akışının hesaplanması. Son 10-15 yılda toplam maliyetleri () hesaplama metodolojisi genellikle oldukça tam olarak oluşturulmuşsa ("Toplam Sahip Olma Maliyeti" kavramı biçiminde, TCO - Toplam Sahip Olma Maliyeti, TCO) ve aktif olarak kullanılıyorsa uygulamada çeşitli bilgi sistemleri ve elemanları bilgi altyapısı ile ilgili olarak, daha sonra yatırımlar sonucunda alınan ek nakit akışının () hesaplanması bilgi güvenliği araçları, kural olarak, ciddi zorluklara neden olur. Bu göstergeyi hesaplamak için en umut verici yaklaşımlardan biri, bilgi kaynaklarına verilen zarar risklerinin nicel (parasal) değerlendirmesine ve bilgiyi korumak için ek önlemlerin uygulanmasıyla ilişkili bu risklerin azaltılmasına ilişkin bir değerlendirmeye dayanan bir metodolojidir.

Bu nedenle, genel olarak, bilgi güvenliğini sağlamayı amaçlayan projelere yatırım yapmanın fizibilitesini analiz etmek için metodolojinin bileşimi, Şek. 14.1.

Bir projenin uygulanmasının maliyetlerini analiz etmek, nispeten daha basit olmasına rağmen, yine de zor olabilir. Bilgi teknolojisi alanındaki diğer birçok projenin yanı sıra, iyi bilinen "Toplam Sahip Olma Maliyeti" - TCO (Toplam Maliyet) temel metodolojisine dayanarak bilgi güvenliği alanındaki projelerin uygulama maliyetlerinin analiz edilmesi tavsiye edilir. of Ownership - TCO), danışmanlık şirketi " Gartner Group " tarafından 1987 yılında kişisel bilgisayarlara uygulandı. Genel olarak, bu teknik, bu tür sistemlerin tanıtılması ve kullanılmasının ekonomik sonuçlarını değerlendirmenin gerekli olduğu durumlarda, bilgi teknolojileri ve bilgi sistemleri ile ilişkili maliyetlerin (hem doğrudan hem de dolaylı) analizinin eksiksizliğini sağlamaya odaklanır: yatırımların etkinliğini değerlendirirken, alternatif teknolojileri karşılaştırırken, sermaye ve cari bütçeler oluştururken vb.

Genel olarak, toplam sahip olma maliyeti şunları içerir:

• bilgi sistemi tasarım maliyetleri;
• donanım ve yazılım satın alma maliyeti: bilgisayarlar, ağ ekipmanı, yazılım (kullanılan lisanslama yöntemleri dikkate alınarak) ve ayrıca kira ödemeleri;
• yazılım geliştirme ve dokümantasyon maliyetleri, ayrıca yazılımdaki hataların düzeltilmesi ve çalışma süresi boyunca revizyon;
• bilgi sistemlerinin mevcut yönetiminin maliyetleri (bu işlevlerin dışarıdan temin edildiği üçüncü taraf kuruluşların hizmetleri için ödeme dahil);
• teknik destek ve servis maliyetleri;
• sarf malzemelerinin maliyetleri;
• telekomünikasyon hizmetlerinin maliyetleri (İnternet erişimi, özel ve çevirmeli iletişim kanalları vb.);
• BT departmanlarının ve bilgi güvenliği departmanının çalışanlarının yanı sıra eğitim kullanıcılarının maliyetleri;
• dolaylı maliyetler - bilgi sistemlerinin işleyişinde arıza olması durumunda kullanıcılar tarafından zaman kaybıyla ilişkili bir işletmenin maliyetleri.

Ayrıca, bilgi güvenliği seviyesini artırma maliyetlerinin hesaplanmasında, iş süreçlerinin yeniden düzenlenmesi ve personel ile bilgi çalışmasının maliyetlerinin dahil edilmesi gerekir: iş danışmanları ve bilgi güvenliği danışmanlarının hizmetleri için ödeme, organizasyonel dokümantasyon geliştirme maliyetleri , bilgi güvenliği durumunun denetimlerini yürütme maliyetleri vb. .NS. Ek olarak, maliyetleri analiz ederken, çoğu durumda bilgi güvenliğinin getirilmesinin, işletme personeli için ek sorumlulukların ortaya çıkması ve bilgi sistemleri ile çalışırken ek operasyonlara ihtiyaç duyulması anlamına geldiği gerçeğini de dikkate almak gerekir. Bu, işletme çalışanlarının verimliliğinde bir miktar azalmaya yol açar ve buna bağlı olarak ek maliyetlere neden olabilir.

"Finansal gazete. Bölgesel baskı", 2008, N 41

Modern koşullarda bilgi güvenliğinin sağlanmasının önemi yadsınamaz. Rakiplere en ufak bir gizli bilgi sızıntısı, şirket için büyük ekonomik kayıplara, üretimin durmasına ve hatta iflasa yol açabilir.

Bilgi güvenliğinin amaçları şunlardır: Bilgilerin sızdırılması, çalınması, kaybolması, bozulması, sahteciliğinin önlenmesi; bilgileri yok etmek, değiştirmek, çarpıtmak, kopyalamak, engellemek için yetkisiz eylemlerin önlenmesi; kuruluşun bilgi kaynakları ve bilgi sistemlerine diğer yasadışı müdahale biçimlerinin önlenmesi.

Bilgiyi korumanın maliyeti, esas olarak, yetkisiz erişime karşı korunmasını sağlayacak araçların edinilmesini içerir. Bilgi korumasını sağlamanın birçok yolu vardır, şartlı olarak iki büyük gruba ayrılabilirler. Birincisi kasalar, video gözetim kameraları, güvenlik sistemleri vb. gibi maddi temeli olan fonlardır. Muhasebede sabit kıymetler olarak muhasebeleştirilirler. İkincisi, antivirüs programları, elektronik ortamda bilgiye erişimi kısıtlayan programlar vb. gibi maddi temeli olmayan araçlardır. Bu tür bilgi güvenliği araçları için muhasebe özelliklerini göz önünde bulundurun.

Bilgilerin korunmasını sağlamak için bir program satın alırken, münhasır haklar alıcıya geçmez; programın yalnızca korunan bir kopyası satın alınır, alıcı kopyalayamaz veya dağıtamaz. Bu nedenle, bu tür programlar göz önüne alındığında, Ch tarafından yönlendirilmelidir. VI Yeni PBU 14/2007 "Maddi olmayan duran varlıkların muhasebesi"nin "Maddi olmayan duran varlıkları kullanma hakkının verilmesi (elde edilmesi) ile ilgili işlemlerin muhasebesi".

Nadir durumlarda, bilgi güvenliği yazılımı satın alırken şirket bu ürün için münhasır haklar elde eder. Bu durumda, program maddi olmayan duran varlıklar (maddi olmayan duran varlıklar) olarak muhasebeleştirilecektir.

Muhasebede PBU 14/2007'ye göre, bir lisans sözleşmesi kapsamında kullanım için sağlanan maddi olmayan duran varlıklar, sabit bir kerelik ödeme şeklinde yapılan kullanım hakkı ödemeleri ve alıcıya geçmeyen münhasır haklar , alıcı tarafından ertelenmiş giderler olarak muhasebeleştirilmeli ve bilanço dışı bir hesaba yansıtılmalıdır (madde 39). Bu durumda bu giderlerin gider hesaplarına yazılacağı süre lisans sözleşmesi ile belirlenir. Vergi muhasebesinde, vergi amaçlı bilgi koruma programları edinme maliyetleri, diğer giderler olarak muhasebeleştirilir ve aynı şekilde - lisans sözleşmesinde belirtilen süre boyunca eşit kısımlarda (Madde 26, Madde 264'ün 1. fıkrası) düşülür. Rusya Federasyonu Vergi Kanunu).

Bilgi koruması sağlayan bir yazılım ürününü kullanma hakkı için ödeme periyodik ödemeler şeklinde yapılırsa, PBU 14/2007'nin 39. maddesine göre, kullanıcı tarafından içinde bulundukları raporlama döneminin giderlerine dahil edilirler. yapılmıştır.

Uygulamada, lisans sözleşmesi her zaman yazılımın kullanım süresini belirtmez. Vergi muhasebesinde, gelir ve giderler arasındaki ilişkinin net olarak belirlenemediği durumlarda, bilgi koruma programları edinme maliyetleri, gelir vergisinin hesaplanması amacıyla mükellef tarafından bağımsız olarak, gelirin tanınması ve tekdüzelik ilkesi dikkate alınarak tahsis edilir. giderler (Rusya Federasyonu Vergi Kanunu'nun 272. maddesinin 1. fıkrası). Muhasebede, bu giderlerin hesap 97'den borçlandırılacağı süre, programın beklenen kullanım süresine göre işletme yönetimi tarafından belirlenir.

örnek 1... OJSC "Alpha", LLC "Betta" dan anti-virüs programının lisanslı bir kopyasını KDV dahil 118.000 ruble (% 18) aldı. Lisans sözleşmesi, programın 9 aylık kullanım süresini belirler.

OJSC "Alpha" muhasebesinde program aşağıdaki gibi dikkate alınmalıdır:

D-t 60, K-t 51 - 118.000 ruble. - yazılım maliyetinin tedarikçiye ödenmiş olması;

D-t 60, K-t 97 - 100.000 ruble. - alınan program ertelenmiş giderler olarak yansıtılır;

D-t 002 - 100.000 ruble. - alınan program bilanço dışı hesaba yansıtılır;

D-t 19, K-t 60 - 18.000 ruble. - Tahsis edilen KDV;

D-t 68, K-t 19 - 18.000 ruble. - KDV indirimi için kabul edildi;

D-t 26 (44), K-t 97 - 11.111.11 ruble. (100.000 ruble: 9 ay) - 9 ay boyunca her ay anti-virüs programının maliyeti eşit kısımlarda giderlere yazılır.

Örnek 1'deki koşulları değiştirelim: Diyelim ki OJSC "Alpha" ödemeyi toplu olarak değil, lisans sözleşmesinin tüm geçerlilik süresi boyunca eşit taksitler halinde yapıyor. Ödemeler 11.800 ruble olacak. KDV dahil her ay için.

Bu durumda, muhasebede aşağıdaki girişler yapılacaktır:

D-t 002 - 90.000 ruble. (10.000 ruble x 9 ay) - alınan program bilanço dışı hesaba yansıtılır;

D-t 60, K-t 51 - 11 800 ruble. - 9 ay içinde aylık olarak tedarikçiye yazılım ürününün bedeli ödenir;

D-t 19, K-t 60 - 1800 ruble. - Tahsis edilen KDV;

D-t 26 (44), K-t 60 - 10.000 ruble. - programın maliyeti gider olarak düşülmüştür;

D-t 68, K-t 19 - 1800 ruble. - KDV indirimi için kabul edildi.

Genellikle, lisans sözleşmesinin sona ermesinden önce, bilgi güvenliği yazılımının geliştiricisi olan şirket, güncellemelerini yayınlar. Bu durumda muhasebe ve vergi muhasebesindeki giderler güncellenerek bir defada kabul edilecektir.

Bir geliştirici şirketin yazılımlarını inceleme için kısa bir süre için kuruluşlara sağlaması da yaygın bir uygulamadır. Ücretsiz alınan bilgi güvenliği programının doğru bir şekilde yansıtılabilmesi için piyasa değeri üzerinden ertelenmiş gelirin bir parçası olarak dikkate alınması gerekmektedir.

Örnek 2... Betta LLC, OJSC Alfa'ya 3 ay süreyle ücretsiz bilgi güvenliği yazılımı sağladı. Bu yazılım ürününün piyasa fiyatı 3300 ruble.

OJSC "Alpha" muhasebe kayıtlarında aşağıdaki girişler yapılmalıdır:

D-t 97, K-t 98 - 3300 ruble. - ücretsiz olarak alınan yazılımın dikkate alınması;

D-t 98, K-t 91 - 1100 ruble. - Üç ay boyunca aylık olarak ertelenen gelirin bir kısmı diğer gelir olarak kabul edilir.

Vergi muhasebesinde, ücretsiz olarak alınan bir programdan elde edilen gelir de üç ay içinde kabul edilecektir (Rusya Federasyonu Vergi Kanunu'nun 271. maddesinin 2. fıkrası).

Bilgi koruma maliyetleri, yalnızca bilgi güvenliği araçlarının satın alınmasını değil, aynı zamanda bilgi koruması için danışmanlık (bilgi) hizmetlerinin maliyetini de içerir (maddi olmayan varlıkların, sabit varlıkların veya kuruluşun diğer varlıklarının satın alınmasıyla ilgili değildir). PBU 10/99 "Organizasyon giderleri" madde 7'ye göre, muhasebe danışmanlık hizmetlerinin maliyetleri, oluştukları raporlama döneminde olağan faaliyetler için giderlerin bileşimine dahil edilir. Vergi muhasebesinde, ürünlerin üretimi ve satışı ile ilgili diğer giderlere atıfta bulunurlar (Rusya Federasyonu Vergi Kanunu'nun 264. maddesinin 1. fıkrasının 15. fıkrası).

Örnek 3... Betta LLC, Alfa OJSC'ye KDV - 9.000 ruble dahil olmak üzere toplam 59.000 ruble için bilgi güvenliği danışmanlık hizmetleri sağladı.

OJSC "Alpha" muhasebe kayıtlarında aşağıdaki girişler yapılmalıdır:

D-t 76, K-t 51 - 59.000 ruble. - danışmanlık hizmetleri için ödenen;

D-t 26 (44), CT 76 - 50.000 ruble. - Bilgi güvenliğine ilişkin danışmanlık hizmetleri, olağan faaliyetler için gider olarak düşülür;

D-t 19, K-t 76 - 9.000 ruble. - Tahsis edilen KDV;

D-t 68, K-t 19 - 9000 ruble. - KDV indirimi için kabul edildi.

fıkraları uyarınca gelir vergisi matrahını azaltan gider olarak basitleştirilmiş vergi sistemini kullanan işletmeler. 19 sayfa 1 sanat. Rusya Federasyonu Vergi Kanunu'nun 346.16'sı yalnızca bilgi güvenliği yazılımı satın alma maliyetlerini kabul edebilecektir. Sanatta bilgi güvenliği danışmanlık maliyetleri. Rusya Federasyonu Vergi Kanunu'nun 346.16'sından bahsedilmemektedir, bu nedenle kuruluşun karlarının vergilendirilmesi amacıyla bunları kabul etme hakkına sahip değildirler.

V.Schanikov

denetçi yardımcısı

denetim Bölümü

Baker Tilly Rusaudit LLC

2018-08-21T12: 03: 34 + 00:00

Büyük ticari şirketler, yıllık gelirlerinin yaklaşık %1'ini işletmelerinin fiziksel güvenliğini sağlamaya harcarlar. Kurumsal güvenlik, teknolojiler ve üretim araçları kadar bir kaynaktır. Ancak veri ve hizmetlerin dijital olarak korunması söz konusu olduğunda, finansal riskleri ve gerekli maliyetleri hesaplamak zorlaşıyor. Siber güvenlik için BT bütçesinden ne kadar para ayırmanın makul olduğunu, vazgeçilebilecek minimum bir araç seti olup olmadığını size söylüyoruz.

Güvenlik maliyetleri artıyor

Dünya çapındaki ticari kuruluşlara göre, rapor Gartner, 2017 yılında yazılım, özel hizmetler ve donanım dahil olmak üzere siber güvenlik ihtiyaçlarına yaklaşık 87 milyar dolar harcadı. Bu, 2016'dan %7 daha fazla. Bu yıl rakamın 93 milyara ulaşması bekleniyor ve gelecek yıl 100 sınırını geçecek.

Uzmanlara göre, Rusya'daki bilgi güvenliği hizmetleri pazarı yaklaşık 55-60 milyar ruble (yaklaşık 900 bin dolar). 2/3'ü devlet emriyle kapatılmıştır. Kurumsal sektörde, bu tür maliyetlerin payı büyük ölçüde işletmenin biçimine, coğrafyasına ve faaliyet alanına bağlıdır.

Ortalama olarak yerli bankalar ve finansal yapılar yatırım siber güvenliklerinde yılda 300 milyon ruble, sanayiciler - 50 milyona kadar, ağ şirketleri (perakende) - 10 ila 50 milyon arasında.

Ancak Rusya siber güvenlik pazarının birkaç yıldır büyüme rakamları, küresel ölçekten 1,5-2 kat daha yüksek. 2017'de büyüme, 2016'ya göre (müşteri parası bazında) %15 oldu. 2018'in sonunda, daha da etkileyici olabilir.

Yüksek büyüme oranları, pazarın genel olarak canlanmasından ve kuruluşların BT altyapılarının gerçek güvenliğine ve veri güvenliğine keskin bir şekilde artan ilgisinden kaynaklanmaktadır. Bir bilgi koruma sistemi kurmanın maliyetleri artık bir yatırım olarak görülüyor, bunlar önceden planlanıyor ve sadece arta kalan olarak alınmıyor.

Pozitif Teknolojilertekler büyümenin üç itici gücü:

1. Son 1.5-2 yıldaki yüksek profilli olaylar, bugün sadece tembellerin bir işletmenin finansal istikrarı için bilgi güvenliğinin rolünü anlamamasına neden oldu. Beş üst düzey yöneticiden biri, işleri bağlamında pratik güvenlikle ilgileniyor.

Geçtiğimiz yıl, temel bilgileri göz ardı eden işletmeler için öğretici oldu. ... Güncel güncellemelerin olmaması ve zafiyetlere aldırmadan çalışma alışkanlığı, Fransa'da Renault, Japonya'da Honda ve Nissan fabrikalarının kapanmasına; bankalar, enerji, telekomünikasyon şirketleri etkilendi. Örneğin Maersk, bir seferde 300 milyon dolara mal oldu.

1. WannaCry, NotPetya, Bad Rabbit fidye yazılımı salgınları, yerli şirketlere antivirüs ve güvenlik duvarları kurmanın kendilerini güvende hissetmek için yeterli olmadığını öğretti. Kapsamlı bir stratejiye, BT varlıklarınızın envanterine, özel kaynaklara ve bir tehdit yanıt stratejisine ihtiyacınız var.
2. Bir anlamda, tüm alanları (sağlık ve eğitimden ulaşım ve finansa) kapsayan bir dijital ekonomiye doğru bir rota açıklayan devlet tarafından belirlenir. Bu politika, genel olarak BT sektörünün ve özel olarak bilgi güvenliğinin büyümesini doğrudan etkiler.

Güvenlik açıklarının maliyeti

Bütün bunlar öğreticidir, ancak her iş benzersiz bir hikayedir. Şirketin genel BT bütçesinden bilgi güvenliğine ne kadar harcanacağı sorusu doğru olmasa da, müşteri açısından en acil sorudur.

Kanada pazarı örneğinde uluslararası araştırma şirketi IDC aramalar kurumdaki toplam BT bütçesinin siber güvenliğe yapılan yatırımların optimum %9,8-13,7'si. Yani, şu anda Kanada işletmesi bu ihtiyaçlar için ortalama %10 civarında harcama yapıyor (bunun sağlıklı bir şirketin göstergesi olduğuna inanılıyor), ancak anketlere göre %14'e yakın olmak istiyor.

Şirketlerin, kendilerini sakin hissetmek için bilgi güvenliğine ne kadar harcamaları gerektiğini merak etmeleri için hiçbir sebep yok. Günümüzde siber güvenlik olaylarından kaynaklanan riskleri değerlendirmek, fiziksel tehditlerden kaynaklanan kayıpları hesaplamaktan daha zor değil. dünya çapında varİstatistik , buna göre:

• Hacker saldırıları küresel ekonomiye yılda 110 milyar dolardan fazlaya mal oluyor.
• Küçük işletmeler için her olayın maliyeti ortalama 188.000 ABD dolarıdır.
• 2016'daki hack'lerin %51'i, belirli bir şirkete karşı organize suç gruplarını hedef aldı.
• Saldırıların %75'i maddi zarar verme amacıyla, maddi motivasyonla gerçekleştirilmektedir.

2018 baharında Kaspersky Lab, büyük ölçekli ders çalışma ... Dünya çapında 6 bin şirket uzmanının katıldığı bir ankete göre, kurumsal ağların ve veri sızıntılarının hacklenmesinden kaynaklanan hasar son birkaç yılda %20-30 arttı.

Büyüklüğü, faaliyet kapsamı ne olursa olsun ticari kuruluşlar için Şubat 2018 için ortalama hasar maliyeti 1,23 milyon dolardı. KOBİ'ler için bir personel hatası veya bilgisayar korsanlarının başarılı eylemleri 120 bin dolara mal oluyor.

Bilgi güvenliği için fizibilite çalışması

İşletmede bilgi güvenliğinin organize edilmesi için gerekli finansal kaynakların doğru bir şekilde değerlendirilmesi için bir fizibilite çalışması yapılması gerekmektedir.

1. BT altyapısının bir envanterini çıkarır ve riskleri değerlendirir, azalan önem sırasına göre bir güvenlik açıkları listesi derleriz. İtibar kayıpları (sigorta oranlarında artış, kredi notunda düşüş, hizmetlerin aksama süresinin maliyeti), sistemi geri yükleme maliyeti (ekipman ve yazılımın güncellenmesi) de burada yer almaktadır.
2. Bilgi güvenliği sisteminin çözmesi gereken görevleri sıralıyoruz.
3. Sorunları çözmek için ekipman, araçlar seçiyoruz ve maliyetini belirliyoruz.

Şirketin siber güvenlik tehditlerini ve risklerini değerlendirme yetkinliği yoksa, her zaman bir bilgi güvenliği denetimi sipariş edebilirsiniz. Bugün bu prosedür kısa ömürlü, ucuz ve ağrısızdır.

Yüksek düzeyde proses otomasyon uzmanlarına sahip endüstriyel şirketlerönermek uyarlanabilir bir güvenlik mimarisi modeli kullanın (Uyarlanabilir Güvenlik Mimarisi), Gartner tarafından 2014 yılında önerildi. Tehditleri tespit etmeye ve bunlara yanıt vermeye yönelik araçlara daha fazla dikkat ederek bilgi güvenliği maliyetlerini uygun şekilde yeniden tahsis etmenize olanak tanır ve BT altyapısı için bir izleme ve analitik sisteminin uygulanmasını ima eder.

Küçük şirketler için siber güvenlik maliyeti ne kadar?

Capterra blogunun yazarları karar verdi saymak küçük ve orta ölçekli işletmeler için bilgi güvenliği sisteminin ilk kullanım yılında ortalama maliyeti ne kadardır. Bunun için seçildi liste piyasadaki 50 popüler "kutu" teklifinden.

Fiyat aralığının oldukça geniş olduğu ortaya çıktı: yılda 50 dolardan (küçük şirketler için 2-3 ücretsiz çözüm bile var) 6 bin dolara (tek paketler ve her biri 24 bin var, ancak bunlar dahil edilmedi) hesaplama). Ortalama olarak, küçük bir işletme, ilkel bir siber savunma sistemi kurmak için 1.400 dolara güvenebilir.

İş VPN'si veya e-posta koruması gibi en ucuz teknik çözümler, belirli tehdit türlerine (kimlik avı gibi) karşı korunmaya yardımcı olabilir.

Yelpazenin diğer ucunda, "gelişmiş" olay yanıtı ve kapsamlı koruma araçlarına sahip eksiksiz izleme sistemleri bulunur. Kurumsal ağı büyük ölçekli saldırılara karşı korumaya yardımcı olurlar ve hatta bazen görünümlerini tahmin etmeye ve onları erken bir aşamada durdurmaya izin verirler.

Şirket, bilgi güvenliği sistemi için birkaç ödeme modeli seçebilir:

• Lisans başına fiyat, Ortalama fiyat - 1000-2000 ABD Doları veya lisans başına 26 ila 6000 ABD Doları.
• Kullanıcı başına fiyat. Bir şirkette bir bilgi güvenliği sisteminin kullanıcı başına ortalama maliyeti 37 ABD dolarıdır; aralık, kişi başına aylık 4 ila 130 ABD dolarıdır.
• Bağlı cihazın fiyatı. Bu modelin ortalama maliyeti cihaz başına 2,25 dolardır. Fiyatı aylık 0,96 ila 4,5 dolar arasında değişiyor.

Bilgi güvenliğinin maliyetini doğru bir şekilde hesaplamak için küçük bir şirketin bile risk yönetiminin temellerini uygulaması gerekecektir. 24 saat içinde düzeltilemeyen ilk olay (site, hizmet, ödeme sistemi düştü) işletmenin kapanmasına neden olabilir.