Вкладывают деньги в различные технологии компьютерной безопасности - от платформ для выплаты премий за обнаружение уязвимостей в программах до диагностики и автоматизированного тестирования программ. Но больше всего их привлекают технологии аутентификации и управления идентификационной информацией - в стартапы, занимающиеся этими технологиями, было инвестировано порядка $900 млн по итогам 2019 года.

Инвестиции в стартапы, занимающиеся обучением в области информационной безопасности , в 2019 году достигли $418 млн, чему во многом способствовала компания KnowBe4, которая привлекла $300 млн. Этот стартап предлагает платформу для симуляции фишинговых атак и ряд обучающих программ.

Порядка $412 млн в 2019 году получили компании, занимающиеся безопасностью интернета вещей. В этой категории по объёму вложений лидирует SentinelOne , которая в 2019-м получила $120 млн на развитие технологий защиты конечных точек.

При этом аналитики Metacurity приводят другие данные, характеризующие ситуацию на рынке венчурного финансирования в секторе информационной безопасности. В 2019 году объём вложений здесь достигли $6,57 млрд, увеличившись с $3,88 млрд в 2018-м. Количество сделок тоже увеличилось - со 133 до 219. При этом средний объём инвестиций в расчёте на одну сделку практически не изменился и составил 29,2 млн по итогам 2019 года, подсчитали в Metacurity.

2018

Рост на 9% до $37 млрд - Canalys

В 2018 году продажи оборудования, программного обеспечения и сервисов, предназначенных для информационной безопасности (ИБ), достигли $37 млрд, увеличившись на 9% относительно показателя годичной давности ($34 млрд). Такие данные 28 марта 2019 года обнародовали аналитики Canalys .

По их словам, несмотря на то, что многие компании уделяют первостепенное внимание защите своих активов, данных, конечных точек, сетей, сотрудников и клиентов, на кибербезопасность пришлось лишь 2% от общих расходов на ИТ в 2018 году. Однако появляется все больше новых угроз, они становятся сложнее и чаще, что предоставляет производителям ИБ-решений новые возможности для роста. Ожидается, что в 2020 году суммарные расходы на кибербезопасность превысят $42 млрд.

Аналитик Canalys Мэтью Болл (Matthew Ball) считает, что переход на новые модели внедрения информационной безопасности ускорится. Клиенты меняют характер своих ИТ-бюджетов, используя публичные облачные сервисы и гибкие сервисы на основе подписки.

Около 82% проектов развертывания систем информационной безопасности в 2018 году было связано с использованием традиционного оборудования и программного обеспечения. В остальных 18% случаев применялась виртуализация , публичные облака и ИБ-услуги.

К 2020 году доля традиционных моделей развертывания ИБ-систем снизится до 70%, поскольку набирают популярность новые решения на рынке.

По словам аналитика Canalys Кетаки Борейд (Ketaki Borade), ведущие производители технологий для киберзащиты внедрили новые модели распространения продуктов, которые предполагают переход компаний на подписную схему и увеличение операций в облачной инфраструктуре.

2017

ИБ-расходы перевалили за $100 млрд

В 2017 году глобальные расходы на информационную безопасность (ИБ) - продукты и услуги - достигли $101,5 млрд, заявили в исследовательской компании Gartner в середине августа 2018 года. В конце 2017-го эксперты оценивали этот рынок в $89,13 млрд. С чем связано существенное повышение оценки, не сообщается.

Эксперты считают, что одним из ключевых факторов, способствующих повышению расходов на информационную защиту, является внедрение новых методов обнаружения угроз и реагирования на них - именно они стали высшим приоритетом безопасности организаций в 2018 году.

Согласно оценкам Gartner, в 2017 году расходы организаций на услуги киберзащиты в глобальном масштабе превысили $52,3 млрд. В 2018-м эти затраты поднимутся до $58,9 млрд.

В 2017 году компании потратили $2,4 млрд на защиту приложений, на защиту данных - $2,6 млрд, на защиту облачных сервисов - $185 млн.

Годовые продажи решений для управления идентификацией и доступом (Identity And Access Management) оказались равными 8,8 млрд. Реализация средств защиты ИТ-инфраструктуры повысилась до $12,6 млрд.

Также в исследовании говорится о затратах в размере $10,9 млрд на оборудование, используемое для обеспечения сетевой безопасности. На системах управления рисками информационной безопасности их производители заработали $3,9 млрд.

Потребительские ИБ-расходы за 2017 год оценены аналитиками в $5,9 млрд, говорится в исследовании Gartner.

Gartner оценила объем рынка в $89,13 млрд

В декабре 2017 года стало известно, что мировые расходы компаний на обеспечение информационной безопасности (ИБ) в 2017 году составят $89,13 млрд. Согласно оценке Gartner , корпоративные затраты на кибербезопасность почти на $7 млрд превысят сумму 2016 года в $82,2 млрд.

Крупнейшей статей расходов эксперты считают ИБ-услуги: в 2017 году компании направят на эти цели свыше $53 млрд против $48,8 млрд в 2016-м. Второй по величине сегмент ИБ-рынка - решения для защиты инфраструктуры, затраты на которые в 2017-м составят $16,2 млрд вместо $15,2 млрд год назад. Оборудование для сетевой безопасности - на третьем месте ($10,93 млрд).

В структуру ИБ-расходов также входит потребительское ПО для обеспечения информационной безопасности и системы идентификации и управления доступом (Identity and Access Management, IAM). Затраты по этим направлениям в 2017 году в Gartner оценивают в $4,64 млрд и $4,3 млрд, тогда как в 2016 году показатели были на уровне $4,57 млрд и $3,9 млрд соответственно.

Аналитики ожидают дальнейший подъем на ИБ-рынке: в 2018 году организации увеличат затраты на киберзащиту еще на 8% и направят на эти цели в общей сложности $96,3 млрд. Среди факторов роста специалисты перечислили меняющееся регулирование в ИБ-сфере, информированность о новых угрозах и разворот компаний к стратегии цифрового бизнеса.

Слова аналитика подтверждают и данные, полученные Gartner в 2016 году в ходе опроса с участием 512 организаций из восьми стран мира: Австралии , Канады , Франции , Германии , Индии , Сингапура и США .

53% респондентов назвали ИБ-риски главной движущей силой, стоящей за ростом расходов на кибербезопасность. Из этого числа самый высокий процент опрошенных заявил, что более всего на принятие решений о затратах на информационную безопасность влияет угроза кибератак.

Прогноз Gartner на 2018 год предусматривает увеличение расходов по всем основным направлениям. Так, на сервисы киберзащиты будет потрачено около $57,7 млрд (+$4,65 млрд), на обеспечение безопасности инфраструктуры - порядка $17,5 млрд (+$1,25 млрд), на оборудование для защиты сетей - $11,67 млрд (+$735 млн), на потребительское ПО - $4,74 млрд (+$109 млн) и на IAM-системы - $4,69 млрд (+$416 млн).

Также аналитики полагают, что к 2020 году более 60% организаций в мире будут вкладывать средства одновременно в несколько инструментов защиты данных, в том числе в средства предотвращения потери информации, шифрования и аудита. По состоянию на конец 2017 года доля компаний, закупающих такие решения, была оценена в 35%.

Еще одной существенно статьей корпоративных расходов на информационную безопасность будет привлечение сторонних специалистов. Ожидается, что на фоне дефицита кадров в области кибербезопасности , растущей технической сложности ИБ-систем и увеличения киберугроз затраты компаний на ИБ-аутсорсинг в 2018 году увеличатся на 11% и составят $18,5 млрд.

По расчетам Gartner, к 2019 году корпоративные расходы на услуги сторонних ИБ-экспертов составят 75% от общей суммы затрат на ПО и оборудование для обеспечения кибербезопасности, тогда как в 2016 году это соотношение было на уровне 63%.

IDC прогнозирует объем рынка $82 млрд

Две трети расходов придутся на компании, относящиеся к крупному и очень крупному бизнесу. К 2019 году, по мнению аналитиков IDC, размеры расходов корпораций со штатом более 1000 человек, преодолеют отметку в $50 млрд.

2016: Объем рынка $73,7 млрд, рост в 2 раза больше ИТ-рынка

В октябре 2016 года аналитическая компания IDC представила краткие результаты исследования мирового рынка информационной безопасности . Ожидается, что его рост будет вдове выше, чем у ИТ-рынка.

В IDC подсчитали, что глобальные продажи оборудования, программного обеспечения и сервисов для киберзащиты достигнут около $73,7 млрд в 2016 году, а в 2020-м показатель превысит $100 млрд, составив $101,6 млрд. В период с 2016 по 2020 годы рынок ИБ-технологий будет расти в среднем на 8,3% ежегодно, что вдвое больше ожидаемых темпов роста ИТ-отрасли.

Наибольшие ИБ-расходы ($8,6 млрд) по итогам 2016 года ожидаются в банках . На втором, третьем и четвертом местах по размеру таких инвестиций расположатся предприятия дискретного производства, государственные органы и предприятия непрерывного производства соответственно, на долю которых придется около 37% расходов.

Лидерство по динамике увеличения ИБ-инвестиций аналитики отдают здравоохранению (в 2016-2020 годах ожидается среднегодовой рост на 10,3%). Примерно на 9% в год будут подниматься затраты на киберзащиту в телекоме, жилищном секторе, госорганах и на рынке инвестиций и ценных бумаг.

Крупнейшим ИБ-рынком исследователи называют американский , объем которого в 2016 году достигнет $31,5 млрд. В тройку лидеров также войдут Западная Европа и Азиатско-Тихоокеанский регион (исключая Японию). Информация по российскому рынке в краткой версии исследования IDC отсутствует.

Генеральный директор российской компании «Монитор безопасности» Дмитрий Гвоздев прогнозирует рост доли услуг в общих российских расходах на безопасность с 30-35% до 40-45%, а также предсказывает развитие клиентской структуры рынка – от тотального преобладания государственного, финансового и энергетического секторов в сторону средних предприятий из более широкого круга отраслей.

2015

MARKET SIZE

FEDERAL SPENDING

CYBER CRIME

COST-PER-BREACH

FINANCIAL SERVICES

International

SECURITY ANALYTICS

2013: Рынок EMEA вырос до $2,5 млрд.

Объем рынка средств безопасности региона EMEA (Европа , Ближний Восток и Африка) вырос на 2,4% по сравнению с 2012 годом и составил $2,5 млрд. Наиболее крупным и быстро развивающимся сегментом рассматриваемого рынка аналитики называли многофункциональные программно-аппаратные комплексы для защиты компьютерных сетей – UTM-решения (Unified threat management). При этом IDC прогнозировал, что рынок технических средств информационной безопасности к 2018 году достигнет в стоимостном выражении $4,2 млрд при среднегодовом росте в 5,4%.

По итогам 2013 года лидирующую позицию среди поставщиков по выручке от продаж технических средств информационной безопасности в регионе EMEA заняла компания Check Point . По данным IDC, выручка вендора в этом сегменте за 2013 год выросла на 3,8% и составила $374,64 млн, что соответствует доле рынка в 19,3%.

2012: Прогноз PAC: Рынок ИБ будет расти на 8% в год

Мировой рынок информационной безопасности будет ежегодно расти на 8% до 2016 года, когда может составить 36 млрд евро, сообщалось в исследовании

В зависимости от контекста термин «информационная безопасность» употребляется в разных значениях. В самом широком смысле понятие подразумевает защиту конфиденциальных сведений, производственного процесса, инфраструктуры компании от умышленных или случайных действий, которые приводят к финансовому ущербу или утрате репутации.

Принципы защиты информации

В любой отрасли базовый принцип информационной безопасности заключается в соблюдении баланса интересов гражданина, общества и государства. Трудность соблюдения баланса заключается в том, что интересы общества и гражданина нередко конфликтуют. Гражданин стремится сохранить в секрете подробности личной жизни, источники и уровень дохода, скверные поступки. Общество, напротив, заинтересовано в том, чтобы «рассекретить» информацию о нелегальных доходах, фактах коррупции, преступных деяниях. Государство создает и управляет сдерживающим механизмом, который охраняет права гражданина на неразглашение персональных данных и одновременно регулирует правоотношения, связанные с раскрытием преступлений и привлечением виновных к ответственности.

Важное значение в современных условиях принцип правового обеспечения информационной безопасности приобретает, когда нормативное сопровождение не успевает за развитием ИБ-отрасли. Пробелы в законодательстве позволяют не только уходить от ответственности за киберпреступления, но и препятствуют внедрению передовых технологий защиты данных.

Принцип глобализации , или интеграции систем информационной защиты затрагивает все отрасли: политическую, экономическую, культурную. Развитие международных коммуникационных систем нуждается в согласованном обеспечении безопасности данных.

Согласно принципу экономической целесообразности , эффективность мер по обеспечению информационной безопасности должна соответствовать или превосходить затраченные ресурсы. Неокупаемость затрат на поддержание системы безопасности только вредит прогрессу.

Принцип гибкости систем информационной защиты означает устранение любых режимных ограничений, которые мешают генерировать и внедрять новые технологии.

Строгую регламентацию конфиденциальной, а не открытой информации предполагает принцип несекретности .

Чем больше различных аппаратных и программных инструментов безопасности применяют для защиты данных, тем больше разносторонних знаний и навыков требуется злоумышленникам, чтобы обнаружить уязвимости и обойти защиту. На усиление информационной безопасности направленпринцип разнообразия защитных механизмов информационных систем.

Принцип простоты управления системой безопасности основан на идеи, что чем сложнее система информационной безопасности, тем труднее проверить согласованность работы отдельных компонентов и реализовать центральное администрирование.

Залогом лояльного отношения персонала к ИБ является постоянное обучение правилам информационной безопасности и четкие разъяснения последствий несоблюдения правил вплоть до банкротства компании. Принцип лояльности администраторов систем безопасности данных и всего персонала компании связывает обеспечение безопасности с мотивацией сотрудников. Если сотрудники, а также контрагенты и клиенты воспринимают информационную безопасность как ненужное или даже враждебное явление, гарантировать безопасность информации в компании не под силу даже самым мощным системам.

Перечисленные принципы - основа обеспечения информационной безопасности во всех отраслях, которая дополняется элементами в зависимости от специфики отрасли. Разберемся на примерах банковской сферы, энергетик и СМИ.

Банки

Развитие технологий кибератак вынуждает банки внедрять новые и постоянно совершенствовать базовые системы безопасности. Цель развития информационной безопасности в банковской сфере - выработать такие технологические решения, которые способны обезопасить информационные ресурсы и обеспечить интеграцию новейших IT-продуктов в ключевые бизнес-процессы финансово-кредитных учреждений.

Механизмы обеспечения безопасности информации финансовых учреждений выстраиваются в соответствии с ратифицированными международными конвенциями и соглашениями, а также федеральными законами и стандартами. Ориентиром в сфере ИБ для российских банков служат:

• Стандарт Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»;
• ФЗ №161 «О национальной платежной системе»;
• ФЗ №152 «О персональных данных»;
• Стандарт безопасности данных индустрии платежных карт PCI DSS и другие документы.

Необходимость следовать различным законам и стандартам связана с тем, что банки осуществляют множество различных операций, ведут деятельность по разным направлениям, которые нуждаются в собственных инструментах обеспечения безопасности. Например, обеспечение информационной безопасности при дистанционном банковском обслуживании (ДБО) включает создание инфраструктуры безопасности, куда входят средства защиты банковских приложений, контроля потоков данных. мониторинга банковских транзакций и расследования инцидентов. Многокомпонентная защита информационных ресурсов обеспечивает минимизацию угроз, связанных с мошенничеством при использовании сервисов ДБО, а также защиту репутации банка.

Информационная безопасность банковской сферы, как и других отраслей, зависит от кадрового обеспечения. Особенность ИБ в банках заключается в повышенном внимании к специалистам по безопасности на уровне регулятора. В начале 2017 года Банк России вместе с Министерством труда и социальной защиты при участии ФСТЭК, Министерства образования и науки для специалистов по информационной безопасности.

Как провести ИБ-аудит в банке правильно?

Энергетика

Энергетический комплекс принадлежит к числу стратегических отраслей, которые нуждаются в особых мерах обеспечения информационной безопасности. Если на рабочих местах в администрациях и управлениях достаточно стандартных средств ИБ, то защита на технологических участках генерации энергии и доставки конечным пользователям нуждается в повышенном контроле. Главным объектом защиты в энергетической сфере является не информация, а технологический процесс. Система безопасности в таком случае должна обеспечить целостность технологического процесса и автоматизированных систем управления. Поэтому, прежде чем внедрять механизмы информационной безопасности на предприятиях энергетического сектора, специалисты изучают:

• объект защиты - технологический процесс;
• устройства, применяемые в энергетике (телемеханика);
• сопутствующие факторы (релейная защита, автоматика, учет энергии).

Значимость информационной безопасности в энергетической сфере определяется последствиями реализации информационных киберугроз. Это не только материальный ущерб или удар по репутации, но прежде всего - вред здоровью граждан, подрыв экологии, нарушение инфраструктуры города или региона.

Проектирование системы информационной защиты в сфере энергетики начинается с прогнозирования и оценки рисков безопасности. Основной метод оценки - моделирование возможных угроз, которое помогает рационально распределить ресурсы при организации системы безопасности и предупредить реализации киберугроз. Кроме того, оценка рисков безопасности в энергетике отличается непрерывностью: аудит в процессе эксплуатации системы ведется постоянно, чтобы своевременно изменять настройки для обеспечения максимальной степени защиты и поддержания системы в актуальном состоянии.

Средства массовой информации

Главная задача информационной безопасности в СМИ заключается в защите национальных интересов, включая интересы гражданин, общества и государства. Деятельность средств массовой информации в современных условиях сводится к созданию информационных потоков в виде новостей и журналистских материалов, которые поступают, обрабатываются и выдаются конечным потребителям: читателям, зрителям, посетителям сайтов.

Обеспечение и контроль безопасности в сфере массовой информации реализуется по нескольким направлениям и включает:

• разработку рекомендаций по антикризисным процедурам на случай реализации угрозы информационного нападения;
• обучающие программы по информационной безопасности для сотрудников редакций СМИ, пресс-служб, отделов по связям с общественностью;
• временное внешнее администрирование организации, которые подверглись информационному нападению.

Еще одной проблемой безопасности информации в СМИ является необъективность. Для обеспечения объективного освещения событий требуется механизм защиты, который ограждал бы журналистов от давления со стороны представителей власти, руководства и/или владельца СМИ, и одновременно - страховал добросовестные бизнес-структуры от действий нечестных представителей СМИ.

Еще одним краеугольным камнем обеспечения безопасности информации в сфере СМИ является ограничение доступа к данным. Проблема в том, чтобы ограничение доступа к сведениям с целью предупредить информационные угрозы не стало «прикрытием» для цензуры. Решение, которое сделает работу СМИ более прозрачной и поможет избежать причинения вреда интересам национальной безопасности, содержится в проекте Конвенции о доступе к информационным ресурсам, которая ожидает голосования в Европейском союзе. Нормы документа предполагают, что государство обеспечивает равный доступ ко всем официальным документам, создавая соответствующие реестры в интернете, и устанавливает ограничения доступа, которые не могут быть изменены. Исключений, которые позволят отменить ограничения доступа к информационным ресурсам, всего два:

• общественная польза , что подразумевает возможность обнародовать даже те данные, которые не подлежат распространению в обычных условиях;
• национальный интерес , если сокрытие сведений нанесет ущерб государству.

Частный сектор

При развитии рыночной экономики, росте и ужесточении конкуренции репутация компании становится неотделимой частью нематериальных активов. Формирование и сохранность положительного имиджа напрямую зависят от уровня информационной безопасности. Существует и обратная связь, когда сложившийся образ компании на рынке служит гарантией информационной безопасности. При таком подходе выделяют три разновидности деловой репутации:

1. Имидж «бесполезной» организации , информационные ресурсы которой не представляют интереса, так как их невозможно использовать во вред или на благо третьей стороне.

2. Имидж сильного противника , угрожать безопасности которого «себе дороже». Поддерживать репутацию грозного противника помогает размытость границ возможностей для отражения информационного нападения: чем сложнее понять потенциал информационной защиты, тем более неприступной выглядит компании в глазах злоумышленников.

3. Имидж «полезной» организации . Если потенциальный агрессор заинтересован в жизнеспособности компании, вместо информационной атаки возможен диалог и формирование общей политики ИБ.

Каждая компания организует свою деятельность, соблюдая нормы законодательства и стремясь достичь поставленных целей. Подобные критерии сгодятся и при разработке политики информационной безопасности, внедрении и эксплуатации внутренних систем безопасности конфиденциальных данных и IT-ресурсов. Для обеспечения максимально возможного уровня безопасности информации в организации после внедрения систем защиты следует систематически проводить мониторинг, перенастраивать и обновлять компоненты безопасности по мере необходимости.

Информационная защита стратегических объектов

В начале 2017 года Государственная дума Российской Федерации приняла в первом чтении пакет законопроектов, которые касаются информационной безопасности и критической информационной инфраструктуры страны.

Основные источники информационных угроз в военной сфере РФ.

Председатель парламентского комитета по информационной политике, информационным технологиям и связи Леонид Левин, представляя законопроекты, предупредил об увеличении в количества кибератак на стратегически значимые объекты. На заседании комитета представитель ФСБ Николай Мурашов сообщил, что в течение года на объекты в России произведено 70 млн кибератак . Одновременно с возрастающими угрозами внешних атак увеличивается масштабность, сложность и координация информационных атак внутри страны.

Законопроекты, принятые парламентариями, создают правовую основу обеспечения информации в сфере общегосударственной критической инфраструктуры и отдельных отраслей. Кроме этого, законопроекты прописывают полномочия государственных органов в сфере информационной безопасности и предусматривают ужесточение уголовной ответственности за нарушение информационной безопасности.

Вобосновании затрат на информационную безопас­ность существует два основных подхода.

Научный подход . Для этого необходимо привлечь руководство компании (или ее собст­венника) к оценке стоимости информационных ресурсов, оп­ределению оценки потенциального ущерба от нарушений в области защиты информации.

1. Если стоимость информации невелика, существен­ных угроз для информационных активов компании нет, а по­тенциальный ущерб минимален, обеспечение информацион­ной безопасности требует меньшего финансирования.

2. Если информация обладает определенной стоимо­стью, угрозы и потенциальный ущерб значительны и опреде­лены, тогда возникает вопрос о внесении в бюджет расходов на подсистему информационной безопасности. В этом случае необходимо построение корпоративной системы защиты ин­формации.

Практический подход состоит в определении варианта реальной стоимости корпоративной системы защиты информации на основе аналогичных систем в других областях. Эксперты-практики в области защиты информации пола­гают, что стоимость системы защиты информации должна составлять примерно 10-20 % от стоимости корпоративной информационной системы, в зависимости от конкретных тре­бований к режиму информационной безопасности.

Общепри­нятые требования к обеспечению режима информационной безопасности "best practice" (на основе практического опыта), формализованные в ряде стандартов, например ISO 17799, реализуются на практике при разработке конкретных методов оценки эффективности системы информационной безопасно­сти.

Применение современных методов оценки затрат на информационную безопасность позволяет рассчитать всю расходную часть информационных активов организации, включая прямые и косвенные затраты на аппаратно-программные средства, организационные мероприятия, обу­чение и повышение квалификации сотрудников, реорганиза­цию, реструктуризацию бизнеса и т. д.

Они необходимы для доказательства экономической эффективности существующих корпоративных систем защи­ты и позволяют руководителям служб информационной безопасности обосновывать бюджет на информационную безопасность, а, также доказывать эффективность работы со­трудников соответствующей службы. Применяемые зарубеж­ными компаниями методики оценки затрат позволяют:

Получить адекватную информацию об уровне защи­щенности распределенной вычислительной среды и совокуп­ной стоимости владения корпоративной системы защиты ин­формации.

Сравнить подразделения службы информационной безопасности организации как между собой, так и с аналогичными подразделениями других организаций в данной отрасли.

Оптимизировать инвестиции на информационную безопасность организации.

Одна из наиболее известных методик оценки затрат применительно к системе информационной безопасности - методика совокупной стоимости владения (ССВ) компании Gartner Group Под показателем ССВ понимается сумма прямых и косвенных затрат на организацию (реорганизацию), эксплуатацию и сопровождение корпоративной системы за­щиты информации в течение года. Он используется практи­чески на всех основных этапах жизненного цикла корпора­тивной системы защиты информации и дает возможность объективно и независимо обосновать экономическую целесо­образность внедрения и использования конкретных организа­ционных и технических мер и средств защиты информации. Для объективности решения также необходимо дополнитель­но учитывать состояние внешней и внутренней среды пред­приятия, например, показатели технологического, кадрового и финансового развития предприятия.

Сравнение определенного показателя ССВ с аналогич­ными показателями ССВ по отрасли (с аналогичными компа­ниями) позволяет объективно и независимо обосновать затра­ты организации на информационную безопасность. Ведь час­то оказывается довольно трудно или даже практически невоз­можно оценить прямой экономический эффект от этих затрат.

Совокупная стоимость владения для системы инфор­мационной безопасности в общем случае складывается из стоимости:

Проектных работ,

Закупки и настройки программно-технических средств защиты, включающих следующие основные группы: межсетевые экраны, средства криптографии, антивирусы и ААА (средства аутентификации, авторизации и администри­рования),

Затрат на обеспечение физической безопасности,

Обучения персонала,

Управления и поддержки системы (администрирова­ние безопасности),

Аудита информационной безопасности, - периодической модернизации системы информацион­ной безопасности.

При этом прямые затраты включают как капитальные компоненты затрат (ассоциируемые с фиксированными акти­вами или "собственностью"), так и трудозатраты, которые учитываются в категориях операций и административного управления. Сюда же относят затраты на услуги удаленных пользователей и др., связанные с поддержкой деятельности организации.

В свою очередь, косвенные затраты отражают влияние корпоративной информационной системы и подсистемы за­щиты информации на сотрудников организации посредством таких измеримых показателей, как простои и "зависания" корпоративной системы защиты информации и информаци­онной системы в целом, затраты на операции и поддержку (не относящиеся к прямым затратам). Очень часто косвенные за­траты играют значительную роль, так как они обычно изна­чально не отражаются в бюджете на информационную безо­пасность, а выявляются при анализе затрат позже.

Расчет показателей ССВ организации проводится по следующим направлениям.

Компоненты корпоративной информационной системы (включая систему защиты информации) и информационные актины организации (серверы, клиентские компьютеры, пе­риферийные устройства, сетевые устройства).

Расходы на аппаратные и программные средства защиты информации : расходные материалы и амортизационные расходы ни серверы, компьютеры клиентов (настольные и мобильные компьютеры), периферийные устройства и сете­вые компоненты.

Расходы на организацию информационной безопасно­сти: обслуживание системы защиты информации, штатных средств защиты периферийных устройств, серверов, сетевых устройств, планирование и управление процессами защиты информации, разработка концепции и политики безопасности и прочие.

Расходы на операции информационной си стемы: пря­мые затраты на содержание персонала, стоимость работ и аутсорсинг, произведенные организацией в целом или службой для осуществления технической поддержки и операций по поддержанию инфраструктуры для пользователей.

Административные расходы : прямые затраты на пер­сонал, обеспечение деятельности и расходы внутрен­них/внешних поставщиков (вендоров) на поддержку опера­ций, включающих управление, финансирование, приобрете­ние и обучение информационных систем.

Расходы на операции конечных пользователей : затраты на самоподдержку конечных пользователей, официальное обучение конечных пользователей, нерегулярное (неофици­альное) обучение, самостоятельные прикладные разработки, поддержку локальной файловой системы.

Расходы на простои : ежегодные потери производи­тельности конечных пользователей от запланированных и не­запланированных отключений сетевых ресурсов, включая клиентские компьютеры, совместно используемые серверы, принтеры, прикладные программы, коммуникационные ре­сурсы и программное обеспечение для связи.

Цель исследования: проанализировать и определить основные тенденции на российском рынке информационной безопасности
Использованы данные Росстата (формы статистической отчетности №№ 3-Информ, П-3, П-4), Бухгалтерская отчетность предприятий и проч.

Использование организациями информационно-коммуникационных технологий и средств защиты информации

• Для подготовки данного раздела были использованы агрегированные , территориально обособленных подразделений и представительств (Форма 3-Информ «Сведения об использовании информационных и коммуникационных технологий и производстве вычислительной техники, программного обеспечения и оказании услуг в этих сферах» .

Проанализирован период 2012-2016 гг. Данные не претендуют на полноту (так как собираются по ограниченному кругу предприятий), но, по-нашему мнению, могут использоваться для оценки тенденций. Количество предприятий-респондентов за рассматриваемый период находилось в пределах от 200 до 210 тысяч. То есть выборка достаточно стабильна и включает наиболее вероятных потребителей (крупные и средние предприятия), на которых приходится основной объем продаж.

Наличие персональных компьютеров в организациях

По данным формы статистической отчетности 3-Информ, в 2016 году в российских организациях, предоставивших сведения по данной форме, насчитывалось около 12,4 млн. единиц персональных компьютеров (ПК). Под ПК, в данном случае, подразумеваются настольные и портативные компьютеры, это понятие не включает в себя мобильные сотовые телефоны и карманные персональные компьютеры.

За последние 5 лет количество единиц ПК в организациях, в целом по России, выросло на 14,9%. Самым оснащенным федеральным округом является ЦФО, на его долю приходится 30,2% ПК в компаниях. Безусловный регион-лидер по данному показателю – город Москва, по данным за 2016 год в московских компаниях насчитывается около 1,8 млн. ПК. Наименьшее значение показателя отмечено в СКФО, в организациях округа насчитывается всего около 300 тыс. единиц ПК, наименьшее количество в республике Ингушетия – 5,45 тыс. единиц.

Рис. 1. Количество персональных компьютеров в организациях, Россия, млн. ед.

Затраты организаций на информационно-коммуникационные технологии

В период 2014-2015 гг. в связи с неблагоприятной экономической обстановкой российские компании были вынуждены минимизировать свои затраты, в том числе и расходы на информационно-коммуникационные технологии. В 2014 году снижение затрат на сферу ИКТ составило 5,7%, но уже по итогам 2015 года наблюдалась незначительная положительная динамика. В 2016 году затраты российских компаний на информационно-коммуникационные технологии составили 1,25 трлн. руб., превысив показатель докризисного 2013 года на 0,3%.

Основная часть затрат приходится на компании, расположенные в Москве – свыше 590 млрд. рублей, или 47,2% от общего объема. Наибольшие объемы затрат организаций на информационные и коммуникационные технологии в 2016 году зафиксированы в : Московская область – 76,6 млрд. рублей, г. Санкт-Петербург – 74,4 млрд. рублей, Тюменская область – 56,0 млрд. рублей, республика Татарстан – 24,7 млрд. рублей, Нижегородская область – 21,4 млрд. рублей. Самые низкие объемы затрат отмечены в республике Ингушетия – 220,3 млн. рублей.

Рис. 2. Объем затрат компаний на информационно-коммуникационные технологии, Россия, млрд. рублей.

Использование организациями средств защиты информации

В последнее время можно отметить значительный рост числа компаний, использующих средства защиты информационной безопасности. Ежегодные темпы прироста их числа достаточно стабильны (за исключением 2014 года), и составляют порядка 11-19% в год.

По официальным данным Росстата, наиболее востребованными средствами защиты в настоящее время являются технические средства аутентификации пользователей (токены, USB-ключи, смарт-карты). Из более чем 157 тысяч компаний, 127 тысяч компаний (81%) указали использование именно этих средств в качестве защиты информации.

Рис. 3. Распределение организаций по использованию средств, обеспечивающих информационную безопасность, в 2016 г., Россия, %.

По данным официальной статистики, в 2016 году 161 421 компания использовала глобальную сеть Интернет в коммерческих целях. Среди организаций, использующих Интернет в коммерческих целях и указавших применение средств защиты информации, наибольшей популярностью пользуется электронная цифровая подпись. Данный инструмент в качестве средства защиты указали свыше 146 тысяч компаний, или 91% от общего числа. По использованию средств защиты информации компании распределились следующим образом:

• • Средства электронной цифровой подписи – 146 887 компаний;
  • Регулярно обновляемые антивирусные программы – 143 095 компаний;
  • Программные или аппаратные средства, препятствующие несанкционированному доступу вредоносных программ из глобальных информационных или локальных вычислительных сетей (Брандмауэр) – 101 373 компании;
  • Спам-фильтр – 86 292 компании;
  • Средства шифрования – 86 074 компании;
  • Системы обнаружения вторжения в компьютер или сеть – 66 745 компаний;
  • Программные средства автоматизации процессов анализа и контроля защищенности компьютерных систем – 54 409 компаний.

Рис. 4. Распределение компаний, использующих сеть Интернет в коммерческих целях, по средствам защиты информации, передаваемой по глобальным сетям, в 2016 г., Россия, %.

В период 2012-2016 гг., количество компаний, использующих Интернет в коммерческих целях, увеличилось на 34,9%. В 2016 году 155 028 компаний использовали Интернет для связи с поставщиками и 110 421 компания – для связи с потребителями. Из компаний, использующих Интернет для связи с поставщиками, целью использования указали:

• получение сведений о необходимых товарах (работах, услугах) и их поставщиках – 138 224 компании;
• предоставление сведений о потребностях организации в товарах (работах, услугах) – 103 977 компаний;
• размещение заказов на необходимые организации товары (работы, услуги) (без учета заказов, отправленных по электронной почте) – 95 207 компаний;
• оплата поставляемых товаров (работ, услуг) – 89 279;
• получение электронной продукции – 62 940 компаний.

Из общего числа компаний, использующих Интернет для связи с потребителями, целью использования указали:

• предоставление сведений об организации, ее товарах (работах, услугах) – 101 059 компаний;
• (работы, услуги) (без учета заказов, отправленных по электронной почте) – 44 193 компании;
• осуществление электронных расчетов с потребителями – 51 210 компаний;
• распространение электронной продукции – 12 566 компаний;
• послепродажное обслуживание (сервис) – 13 580 компаний.

Объем и динамика бюджетов федеральных органов исполнительной власти на информационные технологии в 2016-2017 гг.

По данным Федерального Казначейства, общий объем лимитов бюджетных обязательств на 2017 год, доведенных до федеральных органов исполнительной власти (далее ФОИВ) по коду вида расходов 242 «Закупка товаров, работ, услуг в сфере информационно-коммуникационных технологий» в части сведений, не составляющих государственную тайну, по состоянию на 1 августа 2017 года составил 115,2 млрд. рублей, что примерно на 5,1% превышает суммарный объем бюджетов на информационные технологии ФОИВ в 2016 году (109,6 млрд. рублей, по данным Минкомсвязи). Таким образом, при продолжающемся росте общего объема IT-бюджетов федеральных ведомств от года к году скорость роста уменьшилась (в 2016 году общий объем IT-бюджетов вырос на 8,3% по сравнению с 2015 годом). При этом наблюдается все более усиливающееся расслоение на «богатые» и «бедные» в смысле расходов на информационные и коммуникационные технологии ведомства. Безусловным лидером не только по размеру бюджета, но и по уровню достижений в сфере ИТ является Федеральная налоговая служба. Ее бюджет ИКТ в текущем году составляет более 17,6 млрд. рублей, что составляет более 15 % от бюджета всех ФОИВ. Суммарная доля первой пятерки (ФНС, ПФР, Казначейство, МВД, Минкомсвязи) – более 53 %.

Рис. 5. Структура расходов бюджета на закупку товаров, работ и услуг в сфере информационно-коммуникационных технологий в разрезе федеральных органов исполнительной власти в 2017 году, %

Законодательное регулирование в сфере закупок программного обеспечения для государственных и муниципальных нужд

С 1 января 2016 года все государственные и муниципальные органы, государственные корпорации «Росатом» и «Роскосмос», органы управления государственными внебюджетными фондами, а также казенные и бюджетные учреждения, осуществляющие закупки в соответствии с требованиями Федерального закона от 5 апреля 2013 г. № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд», обязаны соблюдать запрет на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд. Запрет введен Постановлением правительства РФ от 16 ноября 2015 г. № 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд». При закупке программного обеспечения вышеперечисленные заказчики должны прямо указывать на запрет приобретать импортное ПО в извещении об осуществлении закупки. Запрет распространяется на закупки программ для электронных вычислительных машин и баз данных, реализуемых независимо от вида договора на материальном носителе и (или) в электронном виде по каналам связи, а также исключительных прав на такое программное обеспечение и прав использования такого программного обеспечения.

Есть несколько исключений, когда закупка импортного ПО заказчикам разрешена.

• закупки программного обеспечения и (или) прав на него дипломатическими представительствами и консульскими учреждениями Российской Федерации, торговыми представительствами Российской Федерации при международных организациях для обеспечения своей деятельности на территории иностранного государства;
• закупки программного обеспечения и (или) прав на него, сведения о котором и (или) о закупке которого составляют государственную тайну.

Во всех остальных случаях от заказчика перед осуществлением закупки программного обеспечения потребуется работа с единым реестром российских программ для электронных вычислительных машин и баз данных и классификатором программ для электронных вычислительных машин и баз данных.
Формированием и ведением реестра в качестве уполномоченного федерального органа исполнительной власти занимается Минкомсвязь России.
По состоянию на конец августа 2017 года в реестре числятся 343 программных продукта, относящихся к классу «средства обеспечения информационной безопасности» 98 российских компаний-разработчиков. Среди них представлены программные продукты таких крупных российских разработчиков, как:

• ОАО «Информационные технологии и коммуникационные системы» («ИнфоТеКС») – 37 программных продуктов;
• АО «Лаборатория Касперского» — 25 программных продуктов;
• ООО «Код безопасности» — 19 программных продуктов;
• ООО «Крипто-Про» — 18 программных продуктов;
• ООО «Доктор WEB» — 12 программных продуктов;
• ООО «С-Терра СиЭсПи» — 12 программных продуктов;
• ЗАО «Аладдин Р.Д.» — 8 программных продуктов;
• АО «Инфовотч» — 6 программных продуктов.

Анализ деятельности крупнейших игроков в сфере информационной безопасности

• В качестве основной информации для анализа деятельности крупнейших игроков на рынке информационной безопасности для подготовки данного исследования были использованы сведения о государственных закупках в сфере информационно-коммуникационной деятельности и, в частности, информационной безопасности.

Для анализа тенденций нами были выбраны 18 компаний, входящих в число лидеров рынка информационной безопасности и активно участвующих в государственных закупках. В список вошли, как непосредственно разработчики программного обеспечения и программно-аппаратных комплексов защиты, так и крупнейшие системные интеграторы. Суммарная выручка данных компаний в 2016 году составила 162,3 млрд. руб., превысив показатель 2015 года на 8,7%.
Ниже представлен список компаний, выбранных для исследования.

Табл. 1. Компании, выбранные для исследования

По состоянию на конец октября 2017 года компаниями из представленной выборки заключено 1 034 контрактов с государственными органами на сумму 24,6 млрд. рублей. Лидирует в данном списке по объемам заключенных контрактов компания «Ай-Теко» — 74 контракта на сумму 7,5 млрд. рублей.
На протяжении последних лет, за исключением кризисного 2014 года, можно отметить постоянный рост суммарных объемов контрактов по выбранным компаниям. Наиболее значительная динамика приходится на период 2015-2016 гг. Так, в 2015 году был отмечен рост объемов контрактов более чем в 3,5 раза, в 2016 году - в 1,5 раза. По имеющимся данным о контрактной деятельности компаний за период январь-октябрь 2017 года, можно предположить, что в 2017 году суммарный объем контрактов с госструктурами составит порядка 37-38 млрд. рублей, то есть ожидается снижение в районе 40%.

Как обосновать затраты на информационную безопасность?

Перепечатано с любезного разрешения ОАО ИнфоТеКС Интернет Траст
Исходный текст находится здесь .

Уровни зрелости компании

Gartner Group выделяет 4 уровня зрелости компании с точки зрения обеспечения информационной безопасности (ИБ):

• 0 уровень :
• ИБ в компании никто не занимается, руководство компании не осознает важности проблем ИБ;
• Финансирование отсутствует;
• ИБ реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам).
• 1 уровень :
• ИБ рассматривается руководством как чисто "техническая" проблема, отсутствует единая программа (концепция, политика) развития системы обеспечения информационной безопасности (СОИБ) компании;
• Финансирование ведется в рамках общего ИТ-бюджета;
• ИБ реализуется средствами нулевого уровня + средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN (традиционные средства защиты).
• 2 уровень :
• ИБ рассматривается руководством как комплекс организационных и технических мероприятий, существует понимание важности ИБ для производственных процессов, есть утвержденная руководством программа развития СОИБ компании;
• ИБ реализуется средствами первого уровня + средства усиленной аутентификации, средства анализа почтовых сообщений и web-контента, IDS (системы обнаружения вторжений), средства анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, положения, процедуры, регламенты и руководства).
• 3 уровень :
• ИБ является частью корпоративной культуры, назначен CISA (старший офицер по вопросам обеспечения ИБ);
• Финансирование ведется в рамках отдельного бюджета;
• ИБ реализуется средствами второго уровня + системы управления ИБ, CSIRT (группа реагирования на инциденты нарушения ИБ), SLA (соглашение об уровне сервиса).

По информации Gartner Group (данные приводятся за 2001 год) процентное соотношение компаний применительно к описанным 4 уровням выглядит следующим образом:
0 уровень - 30%,
1 уровень - 55%,
2 уровень - 10 %,
3 уровень - 5 %.

Прогноз Gartner Group на 2005 год выглядит следующим образом:
0 уровень - 20%,
1 уровень - 35%,
2 уровень - 30 %,
3 уровень - 15 %.

Статистика показывает, что большинство компаний (55%) в настоящий момент внедрили минимально необходимый набор традиционных технических средств защиты (1 уровень).

При внедрении различных технологий и средств защиты часто возникают вопросы. Что внедрять в первую очередь, систему обнаружения вторжений или PKI инфраструктуру? Что будет более эффективно? Стивен Росс, директор Deloitte&Touche, предлагает следующий подход для оценки эффективности отдельных мер и средств обеспечения ИБ.

Исходя из приведенного графика видно, что наиболее дорогими и наименее эффективными являются специализированные средства (собственные или заказные разработки).

Наиболее дорогими, но в тоже время наиболее эффективными являются средства защиты 4 категории (уровень 2 и 3 по Gartner Group). Для внедрения средств данной категории необходимо использовать процедуру анализа риска. Анализ риска в данном случае позволит гарантировать адекватность затрат на внедрение существующим угрозам нарушения ИБ.

К наиболее дешевым, однако имеющим высокий уровень эффективности, относятся организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, план бесперебойной работы, положения, процедуры, регламенты и руководства).

Внедрение дополнительных средств защиты (переход на уровни 2 и 3) требует существенных финансовых вложений и соответственно обоснования. Отсутствие единой программы развития СОИБ, одобренной и подписанной руководством, обостряет проблему обоснования вложений в безопасность.

Анализ риска

В качестве такого обоснования могут выступать результаты анализа риска и статистика, накопленная по инцидентам.Механизмы реализации анализа риска и накопления статистики должны быть прописаны в политике ИБ компании.

Процесс анализа риска состоит из 6 последовательных этапов:

1. Идентификация и классификация объектов защиты (ресурсов компании, подлежащих защите);

3. Построение модели злоумышленника;

4. Идентификация, классификация и анализ угроз и уязвимостей;

5. Оценка риска;

6. Выбор организационных мер и технических средств защиты.

На этапе идентификации и классификации объектов защиты необходимо провести инвентаризацию ресурсов компании по следующим направлениям:

• Информационные ресурсы (конфиденциальная и критичная информация компании);
• Программные ресурсы (ОС, СУБД, критичные приложения, например ERP);
• Физические ресурсы (сервера, рабочие станции, сетевое и телекоммуникационное оборудование);
• Сервисные ресурсы (электронная почта, www и т.д.).

Категорирование заключается в определении уровня конфиденциальности и критичности ресурса. Под конфиденциальностью понимается уровень секретности сведений, которые хранятся, обрабатываются и передаются ресурсом. Под критичностью понимается степень влияния ресурса на эффективность функционирования производственных процессов компании (например, в случае простоя телекоммуникационных ресурсов компания - провайдер может разориться). Присвоив параметрам конфиденциальности и критичности определенные качественные значения, можно определить уровень значимости каждого ресурса, с точки зрения его участия в производственных процессах компании.

Для определения значимости ресурсов компании с точки зрения информационной безопасности можно получить следующую таблицу:

Например, файлы с информацией об уровне зарплат сотрудников компании имеют значение "строго конфиденциально" (параметр конфиденциальности) и значение "незначительный" (параметр критичности). Подставив эти значения в таблицу, можно получить интегральный показатель значимости данного ресурса. Различные варианты методик категорирования приведены в международном стандарте ISO TR 13335.

Построение модели злоумышленника - это процесс классификации потенциальных нарушителей по следующим параметрам:

• Тип злоумышленника (конкурент, клиент, разработчик, сотрудник компании и т.д.);
• Положение злоумышленника по отношению к объектам защиты (внутренний, внешний);
• Уровень знаний об объектах защиты и окружении (высокий, средний, низкий);
• Уровень возможностей по доступу к объектам защиты (максимальные, средние, минимальные);
• Время действия (постоянно, в определенные временные интервалы);
• Место действия (предполагаемое месторасположение злоумышленника во время реализации атаки).

Присвоив перечисленным параметрам модели злоумышленника качественные значения можно определить потенциал злоумышленника (интегральную характеристику возможностей злоумышленника по реализации угроз).

Идентификация, классификация и анализ угроз и уязвимостей позволяют определить пути реализации атак на объекты защиты. Уязвимости - это свойства ресурса или его окружения, используемые злоумышленником для реализации угроз. Перечень уязвимостей программных ресурсов можно найти в сети интернет.

Угрозы классифицируются по следующим признакам:

• наименование угрозы;
• тип злоумышленника;
• средства реализации;
• используемые уязвимости;
• совершаемые действия;
• частота реализации.

Основной параметр - частота реализации угрозы. Она зависит от значений параметров "потенциал злоумышленника" и "защищенность ресурса". Значение параметра "защищенность ресурса" определяется путем экспертных оценок. При определении значения параметра принимается во внимание субъективные параметры злоумышленника: мотивация для реализации угрозы и статистика от попыток реализации угроз данного типа (в случае ее наличия). Результатом этапа анализа угроз и уязвимостей является оценка параметра "частота реализации" по каждой из угроз.

На этапе оценки риска определяется потенциальный ущерб от угроз нарушения информационной безопасности для каждого ресурса или группы ресурсов.

Качественный показатель ущерба зависит от двух параметров:

• Значимость ресурса;
• Частота реализации угрозы на этот ресурс.

Исходя из полученных оценок ущерба, обоснованно выбираются адекватные организационные меры и технические средства защиты.

Накопление статистики по инцидентам

Единственным уязвимым местом в предлагаемой методике оценке риска и соответственно обосновании необходимости внедрения новых или изменения существующих технологий защиты является определение параметра "частота реализации угрозы". Единственный путь получения объективных значений этого параметра - накопление статистики по инцидентам. Накопленная статистика, например, за год позволит определить количество реализаций угроз (определенного типа) на ресурс (определенного типа). Работу по накоплению статистики целесообразно вести в рамках процедуры обработки инцидентов.