قائمة طعام
مجاني
التسجيل
الصفحة الرئيسية  /  التثبيت والتكوين/ محاسبة تكاليف حماية المعلومات. التكاليف المباشرة وغير المباشرة لحماية المعلومات لوسائل الإعلام الخاصة بالمؤسسة

محاسبة تكاليف حماية المعلومات. التكاليف المباشرة وغير المباشرة لحماية المعلومات لوسائل الإعلام الخاصة بالمؤسسة

2018-08-21 T12: 03: 34 + 00: 00

تنفق الشركات التجارية الكبرى حوالي 1٪ من إيراداتها السنوية على ضمان الأمن المادي لأعمالها. أمن المؤسسة هو مورد بقدر ما هو التقنيات ووسائل الإنتاج. ولكن عندما يتعلق الأمر بالحماية الرقمية للبيانات والخدمات ، يصبح من الصعب حساب المخاطر المالية والتكاليف اللازمة. نخبرك بالمبلغ المعقول من ميزانية تكنولوجيا المعلومات لتخصيصه للأمن السيبراني ، هل هناك حد أدنى من مجموعة الأدوات التي يمكن الاستغناء عنها.

تكاليف الأمن آخذة في الارتفاع

المنظمات التجارية حول العالم ، بحسبأبلغ عن جارتنر ، أنفقت حوالي 87 مليار دولار على احتياجات الأمن السيبراني في عام 2017 ، بما في ذلك البرامج والخدمات المتخصصة والأجهزة. وهذا يزيد بنسبة 7٪ عن عام 2016. هذا العام ، من المتوقع أن يصل الرقم إلى 93 مليارًا ، وفي العام المقبل سيتجاوز علامة 100.

وفقًا للخبراء ، يبلغ حجم سوق خدمات أمن المعلومات في روسيا حوالي 55-60 مليار روبل (حوالي 900 ألف دولار). 2/3 منه مغلق بأوامر حكومية. في قطاع الشركات ، تعتمد حصة هذه التكاليف بشدة على شكل المؤسسة والجغرافيا ومجال النشاط.

البنوك المحلية والهياكل المالية في المتوسطاستثمار في الأمن السيبراني 300 مليون روبل سنويًا ، الصناعيين - ما يصل إلى 50 مليونًا ، شركات الشبكات (البيع بالتجزئة) - من 10 إلى 50 مليونًا.

لكن أرقام النمو لسوق الأمن السيبراني الروسي لعدة سنوات الآن أعلى بمقدار 1.5 إلى 2 مرة عن النطاق العالمي. في عام 2017 ، بلغ النمو 15٪ (من حيث أموال العملاء) مقارنة بعام 2016. في نهاية عام 2018 ، قد يكون الأمر أكثر إثارة للإعجاب.

ترجع معدلات النمو المرتفعة إلى الانتعاش العام للسوق والاهتمام المتزايد بشكل حاد من جانب المؤسسات بالأمان الحقيقي لبنية تقنية المعلومات الأساسية الخاصة بها وسلامة البيانات. تكاليف بناء النظام حماية المعلوماتتعتبر الآن استثمارات ، ويتم التخطيط لها مسبقًا ، وليس فقط على أساس المتبقي.

التقنيات الإيجابيةيفرد ثلاثة محركات للنمو:

  1. أدت الحوادث البارزة التي حدثت في السنوات 1.5 إلى 2 الماضية إلى حقيقة أن الكسلان فقط اليوم لا يفهم دور أمن المعلومات في الاستقرار المالي للمؤسسة. يهتم واحد من كل خمسة من كبار المديرين التنفيذيين بالأمن العملي في سياق أعمالهم.

كان العام الماضي مفيدًا للشركات التي تتجاهل الابتدائية ... غياب التحديثات الفعليةوأدت عادة العمل في تجاهل نقاط الضعف إلى إغلاق مصانع رينو في فرنسا وهوندا ونيسان في اليابان ؛ وتأثرت البنوك والطاقة وشركات الاتصالات. ميرسك ، على سبيل المثال ، تكلف 300 مليون دولار في كل مرة.

  1. الأوبئة WannaCry فيروسات انتزاع الفدية، NotPetya ، قام Bad Rabbit بتعليم الشركات المحلية أن تثبيت برامج مكافحة الفيروسات والجدران النارية لا يكفي للشعور بالأمان. أنت بحاجة إلى استراتيجية شاملة ، وجرد بأصول تكنولوجيا المعلومات الخاصة بك ، والموارد المخصصة ، واستراتيجية الاستجابة للتهديدات.
  2. بمعنى ما ، تم تحديد النغمة من قبل الدولة ، التي أعلنت عن مسار نحو اقتصاد رقمي يشمل جميع المجالات (من الرعاية الصحية والتعليم إلى النقل والتمويل). تؤثر هذه السياسة بشكل مباشر على نمو قطاع تكنولوجيا المعلومات بشكل عام وأمن المعلومات بشكل خاص.

تكلفة الثغرات الأمنية

كل هذا مفيد ، لكن كل عمل هو قصة فريدة. السؤال عن المبلغ الذي يجب إنفاقه على أمن المعلومات من الميزانية العامة لتكنولوجيا المعلومات للشركة ، على الرغم من عدم صحة ذلك ، ولكن من وجهة نظر العميل ، هو السؤال الأكثر إلحاحًا.

شركة الأبحاث الدولية IDC على سبيل المثال السوق الكنديالمكالمات النسبة المثلى 9.8-13.7٪ من الاستثمارات في الأمن السيبراني من إجمالي ميزانية تكنولوجيا المعلومات في المنظمة. وهذا يعني أن الأعمال الكندية الآن تنفق في المتوسط ​​حوالي 10٪ على هذه الاحتياجات (يُعتقد أن هذا مؤشر على وجود شركة صحية) ، ولكن وفقًا لاستطلاعات الرأي ، فإنها ترغب في أن تكون أقرب إلى 14٪.

ليس لدى الشركات سبب للتساؤل عن المبلغ الذي تحتاج إلى إنفاقه على أمن المعلومات الخاص بها من أجل الشعور بالهدوء. اليوم ، تقييم المخاطر الناجمة عن حوادث الأمن السيبراني ليس أكثر صعوبة من حساب الخسائر من التهديدات المادية. يوجد في جميع أنحاء العالمالإحصاء ، وفقًا لما يلي:

  • تكلف هجمات القراصنة الاقتصاد العالمي أكثر من 110 مليار دولار سنويًا.
  • بالنسبة للشركات الصغيرة ، تبلغ تكلفة كل حادث في المتوسط ​​188000 دولار.
  • تم استهداف 51٪ من الاختراقات في عام 2016 ، أي الجماعات الإجرامية المنظمة ضد شركة معينة.
  • 75٪ من العمليات نفذت بهدف إحداث أضرار مادية بدوافع مالية.

في ربيع عام 2018 ، نفذت شركة Kaspersky Lab أعمالها على نطاق واسعدراسة ... وفقًا لمسح شمل 6 آلاف متخصص في الشركات حول العالم ، ازداد الضرر الناجم عن اختراق شبكات الشركات وتسريبات البيانات بنسبة 20-30٪ خلال العامين الماضيين.

بلغ متوسط ​​تكلفة الأضرار لشهر فبراير 2018 للمنظمات التجارية ، بغض النظر عن الحجم ونطاق النشاط ، 1.23 مليون دولار. بالنسبة للشركات الصغيرة والمتوسطة ، فإن خطأ الموظفين أو الإجراءات الناجحة للمتسللين تكلف 120 ألف دولار.

دراسة جدوى لأمن المعلومات

من أجل التقييم الصحيح للموارد المالية اللازمة لتنظيم أمن المعلومات في المؤسسة ، من الضروري إعداد دراسة جدوى.

  1. نقوم بجرد البنية التحتية لتكنولوجيا المعلومات وتقييم المخاطر ، وتجميع قائمة من نقاط الضعف بترتيب تنازلي من حيث الأهمية. يتم تضمين خسائر السمعة (زيادة في معدلات التأمين ، وانخفاض في التصنيف الائتماني ، وتكلفة تعطل الخدمات) ، وتكلفة استعادة النظام (تحديث المعدات والبرامج) هنا.
  2. ندرج المهام التي يجب أن يحلها نظام أمن المعلومات.
  3. نختار المعدات والأدوات لحل المشكلات ونحدد تكلفتها.

إذا لم يكن لدى الشركة الكفاءات اللازمة لتقييم تهديدات ومخاطر الأمن السيبراني ، فيمكنك دائمًا طلب تدقيق أمن المعلومات على الجانب. اليوم هذا الإجراء قصير الأمد وغير مكلف وغير مؤلم.

الشركات الصناعية ذات المستوى العالي من خبراء أتمتة العملياتنوصي استخدام نموذج هندسة أمنية تكيفية (هندسة الأمن التكيفية) ، تم اقتراحه في عام 2014 من قبل شركة Gartner. يسمح لك بإعادة تخصيص تكاليف أمن المعلومات بشكل صحيح ، مع إيلاء المزيد من الاهتمام لأدوات الكشف عن التهديدات والاستجابة لها ، وينطوي على تنفيذ نظام مراقبة وتحليلات للبنية التحتية لتكنولوجيا المعلومات.

كم تكاليف الأمن السيبراني للشركات الصغيرة

قرر مؤلفو مدونة Capterraابدأ العد كم يكلف نظام أمن المعلومات في المتوسط ​​للشركات الصغيرة والمتوسطة الحجم في السنة الأولى من الاستخدام. لهذا تم اختيارهقائمة من بين 50 عرضًا "بوكس" رائجًا في السوق.

اتضح أن نطاق الأسعار كبير جدًا: من 50 دولارًا في السنة (حتى هناك 2-3 حلول مجانيةبالنسبة للشركات الصغيرة) بحد أقصى 6 آلاف دولار (توجد حزم فردية و 24 ألف لكل منها ، لكنها لم تدخل في الحساب). في المتوسط ​​، يمكن للأعمال الصغيرة الاعتماد على 1400 دولار للبناء النظام الابتدائيالحماية من التهديدات السيبرانية.

يمكن أن تساعد أرخص الحلول التقنية ، مثل VPN للأعمال أو حماية البريد الإلكتروني ، في الحماية من أنواع معينة من التهديدات (مثل التصيد الاحتيالي)

في الطرف الآخر من الطيف توجد أنظمة مراقبة كاملة مع استجابة "متقدمة" للأحداث وأدوات حماية شاملة. أنها تساعد على الحماية شبكة الشركةمن الهجمات واسعة النطاق وحتى السماح أحيانًا بالتنبؤ بمظهرها ، وإيقافها في المراحل المبكرة.

يمكن للشركة أن تختار عدة نماذج للدفع لنظام أمن المعلومات:

  • السعر لكل ترخيص ، متوسط ​​السعر - 1000-2000 دولار ، أو 26 إلى 6000 دولار لكل ترخيص.
  • السعر لكل مستخدم. يبلغ متوسط ​​تكلفة نظام أمن المعلومات لكل مستخدم في الشركة 37 دولارًا ؛ ويتراوح النطاق من 4 دولارات إلى 130 دولارًا للفرد في الشهر.
  • سعر الجهاز المتصل. يبلغ متوسط ​​تكلفة هذا الطراز 2.25 دولارًا لكل جهاز. يتراوح السعر من 0.96 دولار إلى 4.5 دولار شهريًا.

لحساب تكلفة أمن المعلومات بشكل صحيح ، حتى الشركات الصغيرة سوف تضطر إلى تنفيذ أساسيات إدارة المخاطر. يمكن أن تؤدي الحادثة الأولى (الموقع ، الخدمة ، نظام الدفع) ، والتي لا يمكن تصحيحها في غضون 24 ساعة ، إلى إغلاق العمل.

"الجريدة المالية ، الطبعة الإقليمية" ، 2008 ، العدد 41

في الظروف الحديثة ، لا يمكن التقليل من أهمية ضمان أمن المعلومات. أدنى تسرب للمعلومات السرية للمنافسين يمكن أن يؤدي إلى خسائر اقتصادية كبيرة للشركة ، وتوقف الإنتاج وحتى الإفلاس.

أهداف أمن المعلومات هي: منع التسرب والسرقة والضياع والتشويه وتزوير المعلومات ؛ منع الإجراءات غير المصرح بها لتدمير المعلومات وتعديلها وتشويهها ونسخها وحجبها ؛ منع أشكال أخرى من التدخل غير المشروع في موارد المعلومات و نظم المعلوماتالمنظمات.

تتضمن تكلفة حماية المعلومات بشكل أساسي الحصول على وسائل لضمان حمايتها من الوصول غير المصرح به. هناك العديد من الوسائل لضمان حماية المعلومات ، ويمكن تقسيمها بشكل مشروط إلى مجموعتين كبيرتين. الأول هو الأموال التي لها أساس مادي ، مثل الخزائن وكاميرات المراقبة بالفيديو وأنظمة الأمن ، إلخ. في المحاسبة ، يتم المحاسبة عنها كأصول ثابتة. والثاني هو الوسائل التي ليس لها أساس مادي ، مثل برامج مكافحة الفيروسات، برامج لتقييد الوصول إلى المعلومات في في شكل إلكترونيإلخ. ضع في اعتبارك ميزات المحاسبة لأدوات أمن المعلومات هذه.

عند شراء برنامج لضمان حماية المعلومات ، لا تنتقل الحقوق الحصرية إليه إلى المشتري ؛ يتم شراء نسخة محمية فقط من البرنامج ، والتي لا يمكن للمشتري نسخها أو توزيعها. لذلك ، عند النظر في مثل هذه البرامج ، ينبغي للمرء أن يسترشد بالفصل. سادسا "محاسبة العمليات المتعلقة بمنح (الحصول) على حق استخدام الأصول غير الملموسة" من قانون PBU الجديد 14/2007 "محاسبة الأصول غير الملموسة".

في حالات نادرة ، عند الحصول على برامج أمن المعلومات ، تحصل الشركة على حقوق حصرية في هذا المنتج... في هذه الحالة ، سيتم احتساب البرنامج في المحاسبة كأصول غير ملموسة (أصول غير ملموسة).

وفقًا لـ PBU 14/2007 في المحاسبة ، الأصول غير الملموسة المنصوص عليها للاستخدام بموجب اتفاقية الترخيص ، والمدفوعات مقابل حق الاستخدام التي تتم في شكل دفعة ثابتة لمرة واحدة والحقوق الحصرية التي لا تنتقل إلى المشتري ، يجب أن يحسبها المستلم كمصروفات مؤجلة وينعكس في حساب خارج الميزانية العمومية (البند 39). في هذه الحالة ، يتم تحديد الفترة التي سيتم خلالها شطب هذه النفقات إلى حسابات المصروفات بموجب اتفاقية الترخيص. في المحاسبة الضريبية ، يتم احتساب تكاليف الحصول على برامج حماية المعلومات للأغراض الضريبية كمصروفات أخرى ويتم شطبها بنفس الطريقة - اجزاء متساويةخلال الفترة المنصوص عليها في اتفاقية الترخيص (الفقرة الفرعية 26 من الفقرة 1 من المادة 264 من قانون الضرائب للاتحاد الروسي).

إذا تم الدفع مقابل الحق في استخدام منتج برمجي يوفر حماية المعلومات في شكل مدفوعات دورية ، فوفقًا للمادة 39 من PBU 14/2007 ، يتم تضمينها من قبل المستخدم في نفقات فترة إعداد التقارير التي صنعت.

من الناحية العملية ، لا تشير اتفاقية الترخيص دائمًا إلى شروط استخدام البرنامج. عندما يتعذر تحديد العلاقة بين الدخل والمصروفات بوضوح ، في المحاسبة الضريبية ، يتم تخصيص تكاليف الحصول على برامج حماية المعلومات من قبل دافع الضرائب بشكل مستقل لغرض حساب ضريبة الدخل ، مع مراعاة مبدأ التوحيد في الاعتراف بالدخل و النفقات (البند 1 من المادة 272 من قانون الضرائب للاتحاد الروسي). في المحاسبة ، يتم تحديد الفترة التي سيتم خلالها خصم هذه النفقات من الحساب 97 من قبل إدارة المؤسسة بناءً على الوقت المتوقع لاستخدام البرنامج.

مثال 1... حصلت شركة OJSC "Alpha" على نسخة مرخصة من برنامج مكافحة الفيروسات من شركة "Betta" ذات المسؤولية المحدودة مقابل 118000 روبل ، بما في ذلك ضريبة القيمة المضافة (18٪). تحدد اتفاقية الترخيص فترة استخدام البرنامج لمدة 9 أشهر.

في محاسبة OJSC "Alpha" يجب أن يؤخذ البرنامج بعين الاعتبار على النحو التالي:

D-t 60 ، K-t 51 - 118000 روبل. - تم دفع تكلفة البرنامج للمورد ؛

D-t 60 ، K-t 97 - 100000 روبل. - ينعكس البرنامج المستلم كمصروفات مؤجلة ؛

D-t 002 - 100000 روبل. - ينعكس البرنامج المستلم في الحساب خارج الميزانية ؛

D-t 19 ، K-t 60 - 18000 روبل. - ضريبة القيمة المضافة المخصصة ؛

D-t 68 ، K-t 19 - 18000 روبل. - قبول خصم ضريبة القيمة المضافة ؛

D-t 26 (44) ، K-t 97-11111.11 روبل. (100000 روبل: 9 أشهر) - كل شهر لمدة 9 أشهر يتم شطب تكلفة برنامج مكافحة الفيروسات إلى نفقات متساوية.

دعنا نغير شروط المثال 1: لنفترض أن OJSC "Alpha" تقوم بالدفع ليس في مبلغ مقطوع ، ولكن على أقساط متساوية طوال فترة صلاحية اتفاقية الترخيص بأكملها. وسوف تصل المدفوعات إلى 11800 روبل. لكل شهر ، بما في ذلك ضريبة القيمة المضافة.

في هذه الحالة ، سيتم إجراء الإدخالات التالية في المحاسبة:

D-t 002 - 90000 روبل. (10000 روبل × 9 أشهر) - ينعكس البرنامج المستلم في الحساب خارج الميزانية العمومية ؛

D-t 60 ، K-t 51-11800 روبل. - شهريًا في غضون 9 أشهر يدفع المورد تكلفة منتج البرنامج ؛

D-t 19 ، K-t 60 - 1800 روبل. - ضريبة القيمة المضافة المخصصة ؛

D-t 26 (44) ، K-t 60 - 10000 روبل. - تم شطب تكلفة البرنامج كمصروفات ؛

D-t 68 ، K-t 19 - 1800 روبل. - قبول خصم ضريبة القيمة المضافة.

في كثير من الأحيان ، قبل انتهاء صلاحية اتفاقية الترخيص ، تقوم الشركة - مطور برامج أمن المعلومات بإصدار تحديثها. في هذه الحالة ، سيتم قبول المصاريف في المحاسبة والمحاسبة الضريبية في وقت واحد عند التحديث.

من الممارسات الشائعة أيضًا عندما توفر شركة مطور برامجها للمؤسسات لفترة قصيرة من الوقت للمراجعة. من أجل عكس برنامج أمن المعلومات الذي يتم تلقيه مجانًا بشكل صحيح ، يجب أن يؤخذ في الاعتبار كجزء من الدخل المؤجل بالقيمة السوقية.

مثال 2... زودت شركة Betta LLC شركة OJSC Alfa ببرنامج لأمن المعلومات لمدة 3 أشهر مجانًا. سعر السوق لهذا البرنامج هو 3300 روبل.

يجب عمل الإدخالات التالية في السجلات المحاسبية لشركة OJSC "Alpha":

D-t 97 ، K-t 98-3300 روبل. - يؤخذ في الاعتبار البرنامج الذي تم استلامه مجانًا ؛

D-t 98 ، K-t 91-1100 روبل. - شهريًا لمدة ثلاثة أشهر ، يتم قبول جزء من الدخل المؤجل كإيرادات أخرى.

في المحاسبة الضريبية ، سيتم أيضًا قبول الدخل من البرنامج الذي يتم تلقيه مجانًا في غضون ثلاثة أشهر (البند 2 من المادة 271 من قانون الضرائب للاتحاد الروسي).

لا تشمل تكاليف حماية المعلومات اقتناء أدوات أمن المعلومات فحسب ، بل تشمل أيضًا تكلفة خدمات الاستشارات (المعلومات) لحماية المعلومات (لا تتعلق باقتناء الأصول غير الملموسة أو الأصول الثابتة أو الأصول الأخرى للمؤسسة). وفقًا للمادة 7 من PBU 10/99 "نفقات المنظمة" ، يتم تضمين تكاليف الخدمات الاستشارية في المحاسبة في تكوين نفقات الأنشطة العادية في فترة إعداد التقارير عند تكبدها. في المحاسبة الضريبية ، تشير إلى المصاريف الأخرى المرتبطة بإنتاج وبيع المنتجات (الفقرة الفرعية 15 من الفقرة 1 من المادة 264 من قانون الضرائب للاتحاد الروسي).

مثال 3... قدمت شركة Betta LLC خدمات استشارات أمن المعلومات لشركة Alfa OJSC بمبلغ إجمالي قدره 59000 روبل ، بما في ذلك ضريبة القيمة المضافة - 9000 روبل.

يجب عمل الإدخالات التالية في السجلات المحاسبية لشركة OJSC "Alpha":

D-t 76 ، K-t 51 - 59000 روبل. - دفعت مقابل خدمات استشارية ؛

D-t 26 (44) ، CT 76 - 50000 روبل. - شطب الخدمات الاستشارية بشأن أمن المعلومات كمصروفات للأنشطة العادية ؛

D-t 19 ، K-t 76 - 9000 روبل. - ضريبة القيمة المضافة المخصصة ؛

D-t 68 ، K-t 19-9000 روبل. - قبول خصم ضريبة القيمة المضافة.

الشركات التي تستخدم النظام الضريبي المبسط كمصروفات تقلل من القاعدة الضريبية لضريبة الدخل ، وفقًا للفقرات. 19 ص .1 فن. سيتمكن 346.16 من قانون الضرائب للاتحاد الروسي من قبول تكاليف شراء برامج أمن المعلومات فقط. تكاليف استشارات أمن المعلومات في الفن. لم يتم ذكر 346.16 من قانون الضرائب للاتحاد الروسي ، وبالتالي ، لأغراض فرض الضرائب على أرباح المنظمة ، لا يحق لهم قبولها.

ضد شانيكوف

مساعد المراجع

قسم التدقيق

بيكر تيلي روسوديت ذ

الغرض من الدراسة: تحليل وتحديد الاتجاهات الرئيسية في سوق أمن المعلومات الروسي
استخدام بيانات Rosstat (نماذج التقارير الإحصائية رقم 3-Inform ، P-3 ، P-4) ، البيانات المالية للمؤسسات ، إلخ.

استخدام تقنيات المعلومات والاتصالات وأدوات أمن المعلومات من قبل المنظمات

  • لإعداد هذا القسم ، تم استخدام أقسام ومكاتب تمثيلية مجمعة ومنفصلة جغرافيًا (النموذج 3 - إعلام "معلومات عن استخدام تكنولوجيا المعلومات والاتصالات وإنتاج أجهزة الكمبيوتر والبرامج والخدمات في هذه المناطق".

تم تحليل الفترة 2012-2016. لا تدعي البيانات أنها كاملة (حيث تم جمعها لعدد محدود من المؤسسات) ، ولكن ، في رأينا ، يمكن استخدامها لتقييم الاتجاهات. وتراوح عدد الشركات المستجيبة للفترة قيد الاستعراض بين 200 و 210 آلاف. أي أن العينة مستقرة إلى حد ما وتشمل المستهلكين الأكثر ترجيحًا (الشركات الكبيرة والمتوسطة الحجم) ، والتي تمثل الجزء الأكبر من المبيعات.

توافر أجهزة الكمبيوتر الشخصية في المنظمات

وفقًا لنموذج الإبلاغ الإحصائي 3-Inform ، في عام 2016 في المنظمات الروسية التي قدمت معلومات حول هذا النموذج ، كان هناك حوالي 12.4 مليون وحدة حواسيب شخصية(الكمبيوتر). عن طريق الكمبيوتر الشخصي ، في هذه الحالة ، نعني سطح المكتب و أجهزة الكمبيوتر المحمول، هذا المفهوم لا يشمل الهاتف المحمول هاتف خليويوأجهزة كمبيوتر الجيب.

على مدى السنوات الخمس الماضية ، زاد عدد وحدات الكمبيوتر الشخصي في المنظمات ، في روسيا ككل ، بنسبة 14.9٪.المنطقة الفيدرالية الأكثر تجهيزًا هي المقاطعة الفيدرالية المركزية ، فهي تمثل 30.2٪ من أجهزة الكمبيوتر في الشركات. المدينة الرائدة بلا منازع في هذا المؤشر هي مدينة موسكو ؛ وفقًا لبيانات عام 2016 ، تمتلك شركات موسكو حوالي 1.8 مليون جهاز كمبيوتر شخصي. لوحظت أدنى قيمة للمؤشر في منطقة شمال القوقاز الفيدرالية ، في منظمات المقاطعة لا يوجد سوى حوالي 300 ألف وحدة كمبيوتر شخصي ، وهو أصغر رقم في جمهورية إنغوشيا - 5.45 ألف وحدة.

أرز. 1. عدد الحواسيب الشخصية في المنظمات ، روسيا ، مليون.

إنفاق المنظمات على تكنولوجيا المعلومات والاتصالات

في الفترة 2014-2015. بسبب البيئة الاقتصادية غير المواتية ، اضطرت الشركات الروسية لتقليل تكاليفها ، بما في ذلك تكلفة المعلومات و تكنولوجيا الاتصالات... في عام 2014 ، كان انخفاض تكلفة قطاع تكنولوجيا المعلومات والاتصالات 5.7٪ ، ولكن بحلول نهاية عام 2015 ، كان هناك اتجاه إيجابي طفيف. في عام 2016 ، بلغت تكاليف الشركات الروسية في مجال تكنولوجيا المعلومات والاتصالات 1.25 تريليون دولار. روبل ، متجاوزًا مؤشر ما قبل الأزمة 2013 بنسبة 0.3٪.

يقع الجزء الرئيسي من التكاليف على الشركات الموجودة في موسكو - أكثر من 590 مليار روبل ، أو 47.2 ٪ من الإجمالي. تم تسجيل أكبر حجم لنفقات المنظمات على تكنولوجيا المعلومات والاتصالات في عام 2016 في: منطقة موسكو - 76.6 مليار روبل ، سانت بطرسبرغ - 74.4 مليار روبل ، منطقة تيومين - 56.0 مليار روبل ، جمهورية تتارستان - 24.7 مليار روبل ، منطقة نيجني نوفغورود - 21.4 مليار روبل. سجلت أقل النفقات في جمهورية إنغوشيا - 220.3 مليون روبل.

أرز. 2. حجم إنفاق الشركات على تكنولوجيا المعلومات والاتصالات ، روسيا ، مليار روبل.

استخدام حماية المعلومات من قبل المنظمات

في الآونة الأخيرة ، يمكن للمرء ملاحظة زيادة كبيرة في عدد الشركات التي تستخدم أدوات حماية أمن المعلومات. معدلات النمو السنوية لعددهم مستقرة تمامًا (باستثناء عام 2014) ، وتصل إلى حوالي 11-19 ٪ سنويًا.

وفقًا للبيانات الرسمية من Rosstat ، أكثر وسائل الحماية طلبًا هي حاليًا الوسائل التقنيةمصادقة المستخدم (الرموز المميزة ، مفاتيح USB ، البطاقات الذكية).من بين أكثر من 157 ألف شركة ، أشارت 127 ألف شركة (81٪) إلى استخدام هذه الوسائل الخاصة لحماية المعلومات.

أرز. 3. توزيع المنظمات باستخدام أدوات أمن المعلومات ، في عام 2016 ، روسيا ،٪.

وفقًا للإحصاءات الرسمية ، في عام 2016 ، استخدمت 161،421 شركة الإنترنت العالمي لأغراض تجارية. من بين المنظمات التي تستخدم الإنترنت لأغراض تجارية وأشارت إلى استخدام أدوات أمن المعلومات ، يعد التوقيع الرقمي الإلكتروني هو الأكثر شيوعًا.وأشارت أكثر من 146 ألف شركة ، أي 91٪ من الإجمالي ، إلى هذه الأداة كوسيلة للحماية. وبحسب استخدام أدوات أمن المعلومات ، فقد توزعت الشركات على النحو التالي:

    • وسائل التوقيع الرقمي الإلكتروني - 146887 شركة ؛
    • برامج مكافحة الفيروسات المحدثة بانتظام - 143095 شركة ؛
    • البرامج أو الأجهزة التي تمنع الوصول غير المصرح به للبرامج الضارة من المعلومات العالمية أو شبكات المنطقة المحلية (جدار الحماية) - 101373 شركة ؛
    • عامل تصفية البريد العشوائي - 86292 شركة ؛
    • أدوات التشفير - 87074 شركة ؛
    • أنظمة كشف التسلل عبر الكمبيوتر أو الشبكة - 66745 شركة ؛
    • أدوات برمجية لأتمتة عمليات التحليل والتحكم الأمني أنظمة الكمبيوتر- 54409 شركة.

أرز. 4. توزيع الشركات التي تستخدم الإنترنت لأغراض تجارية ، عن طريق حماية المعلومات المنقولة عبر الشبكات العالمية ، في عام 2016 ، روسيا ،٪.

في الفترة 2012-2016 ، ارتفع عدد الشركات التي تستخدم الإنترنت للأغراض التجارية بنسبة 34.9٪.في عام 2016 ، استخدمت 155،028 شركة الإنترنت للتواصل مع الموردين و 110،421 شركة للتواصل مع المستهلكين. من بين الشركات التي تستخدم الإنترنت للتواصل مع الموردين ، تم توضيح الغرض من الاستخدام:

  • الحصول على معلومات حول السلع الضرورية (الأشغال والخدمات) ومورديها - 138.224 شركة ؛
  • توفير معلومات حول احتياجات المنظمة من السلع (الأشغال والخدمات) - 103977 شركة ؛
  • تقديم طلبات شراء سلع (أعمال ، خدمات) ضرورية للمنظمات (باستثناء الطلبات المرسلة بالبريد الإلكتروني) - 95207 شركة ؛
  • دفع ثمن البضائع الموردة (الأشغال والخدمات) - 89.279 ؛
  • استلام منتجات الكترونية - 62.940 شركة.

من إجمالي عدد الشركات التي تستخدم الإنترنت للتواصل مع المستهلكين ، أوضح الغرض من الاستخدام:

  • توفير معلومات عن المنظمة وسلعها (الأشغال والخدمات) - 101059 شركة ؛
  • (الأعمال والخدمات) (باستثناء الطلبات المرسلة بالبريد الإلكتروني) - 44193 شركة ؛
  • التسويات الإلكترونية مع المستهلكين - 51210 شركة ؛
  • توزيع المنتجات الإلكترونية - 12566 شركة ؛
  • خدمة ما بعد البيع (الخدمة) - 13580 شركة.

حجم وديناميكية موازنات الجهات التنفيذية الاتحادية لتقنية المعلومات لعام 2016-2017

وفقًا للخزانة الفيدرالية ، فإن المبلغ الإجمالي لحدود التزامات الميزانية لعام 2017 ، الذي تم لفت انتباه السلطات التنفيذية الفيدرالية (المشار إليها فيما يلي بالهيئة التنفيذية الاتحادية) وفقًا لكود نوع الإنفاق 242 "شراء السلع ، والأعمال ، والخدمات في مجال تكنولوجيا المعلومات والاتصالات "من حيث المعلومات التي لا تشكل سرًا للدولة ، اعتبارًا من 1 أغسطس 2017 بلغت 115.2 مليار روبل ، وهو ما يزيد بنحو 5.1٪ عن الحجم الإجمالي لميزانيات السلطات التنفيذية الفيدرالية لتكنولوجيا المعلومات في عام 2016. (109.6 مليار روبل بحسب وزارة الاتصالات والإعلام). وبالتالي ، مع استمرار النمو في الحجم الإجمالي لميزانيات تكنولوجيا المعلومات للإدارات الفيدرالية من سنة إلى أخرى ، انخفض معدل النمو (في عام 2016 ، زاد الحجم الإجمالي لميزانيات تقنية المعلومات بنسبة 8.3٪ مقارنة بعام 2015). حيث هناك تزايد مستمر في التقسيم الطبقي "للأغنياء" و "الفقراء" من حيث الإنفاق على أقسام تكنولوجيا المعلومات والاتصالات.القائد بلا منازع ليس فقط من حيث حجم الميزانية ، ولكن أيضًا من حيث مستوى الإنجازات في مجال تكنولوجيا المعلومات هو خدمة الضرائب الفيدرالية. تبلغ ميزانيتها الخاصة بتكنولوجيا المعلومات والاتصالات هذا العام أكثر من 17.6 مليار روبل ، وهو ما يمثل أكثر من 15٪ من ميزانية جميع السلطات التنفيذية الفيدرالية. إجمالي حصة المراكز الخمسة الأولى (FTS ، صندوق التقاعد ، الخزانة ، وزارة الداخلية ، وزارة الاتصالات والإعلام الجماهيري) - أكثر من 53٪.

أرز. 5. هيكل نفقات الميزانية لشراء السلع والأشغال والخدمات في مجال تكنولوجيا المعلومات والاتصالات في سياق الهيئات التنفيذية الاتحادية في عام 2017 ،٪

اللائحة التشريعية في مجال شراء البرمجيات لاحتياجات الدولة والبلديات

منذ 1 كانون الثاني (يناير) 2016 ، تقوم جميع الهيئات الحكومية والبلدية والشركات الحكومية Rosatom و Roskosmos والهيئات الحاكمة لصناديق الدولة خارج الميزانية ، فضلاً عن مؤسسات الدولة والميزانية التي تنفذ عمليات الشراء وفقًا لمتطلبات القانون الاتحادي رقم 44 الصادر في أبريل 5 ، 2013 - المنطقة الحرة في منطقة حرة "بشأن النظام التعاقدي في مجال شراء السلع والأشغال والخدمات لتلبية احتياجات الدولة والبلديات" ملتزمة بالامتثال للحظر المفروض على قبول البرامج التي منشؤها دول أجنبية لغرض الشراء لتلبية احتياجات الدولة والبلديات. تم فرض الحظر بموجب المرسوم الصادر عن حكومة الاتحاد الروسي بتاريخ 16 نوفمبر 2015 رقم 1236 "بشأن فرض حظر على قبول البرامج القادمة من دول أجنبية بغرض الشراء لتلبية احتياجات الدولة والبلديات . " عند شراء برنامج ، يجب على العملاء المذكورين أعلاه الإشارة صراحةً إلى حظر شراء البرامج المستوردة في إشعار الشراء. ينطبق الحظر على شراء البرامج لأجهزة الكمبيوتر وقواعد البيانات الإلكترونية ، والتي يتم تنفيذها بغض النظر عن نوع العقد على وسيط ملموس و (أو) في شكل إلكتروني عبر قنوات الاتصال ، فضلاً عن الحقوق الحصرية لهذه البرامج وحقوق استخدام مثل هذه البرامج. البرمجيات.

هناك بعض الاستثناءات عندما يُسمح للعملاء بشراء البرامج المستوردة.

  • شراء البرامج و (أو) الحقوق عليها من قبل البعثات الدبلوماسية والمكاتب القنصلية للاتحاد الروسي ، والبعثات التجارية للاتحاد الروسي مع المنظمات الدولية لضمان أنشطتها على أراضي دولة أجنبية ؛
  • شراء البرامج و (أو) الحقوق الخاصة بها ، والمعلومات المتعلقة بها و (أو) التي تشكل الحصول عليها من أسرار الدولة.

في جميع الحالات الأخرى ، سيحتاج العميل ، قبل شراء البرامج ، إلى العمل بسجل موحد للبرامج الروسية لأجهزة الكمبيوتر وقواعد البيانات الإلكترونية ومصنف للبرامج لأجهزة الكمبيوتر وقواعد البيانات الإلكترونية.
تعمل وزارة الاتصالات والإعلام في روسيا على تشكيل وصيانة السجل كهيئة تنفيذية اتحادية مرخصة.
اعتبارًا من نهاية أغسطس 2017 ، يحتوي السجل على 343 منتجًا برمجيًا تنتمي إلى فئة "أدوات أمن المعلومات" لـ 98 شركة تطوير روسية.من بينها منتجات برمجية للمطورين الروس الكبار مثل:

  • OJSC Information Technologies and Communication Systems (Infotecs) - 37 منتجًا برمجيًا ؛
  • AO Kaspersky Lab - 25 منتجًا برمجيًا ؛
  • Security Code LLC - 19 منتجًا برمجيًا ؛
  • Crypto-Pro LLC - 18 منتجًا برمجيًا ؛
  • Doctor WEB LLC - 12 منتجًا برمجيًا ؛
  • LLC "S-Terra CSP" - 12 منتجًا برمجيًا ؛
  • CJSC "Aladdin R.D." - 8 منتجات برمجية ؛
  • Infovatch JSC - 6 منتجات برمجيات.

تحليل أنشطة أكبر الفاعلين في مجال أمن المعلومات

  • كمعلومات رئيسية لتحليل أنشطة أكبر اللاعبين في سوق أمن المعلومات ، لإعداد هذه الدراسة ، استخدمنا معلومات عن المشتريات العامة في مجال أنشطة المعلومات والاتصالات ، وعلى وجه الخصوص ، أمن المعلومات.

لتحليل الاتجاهات ، اخترنا 18 شركة من بين الشركات الرائدة في سوق أمن المعلومات والتي تشارك بنشاط في المشتريات الحكومية. تشمل القائمة مطوري البرامج والأجهزة وأنظمة حماية البرامج ، وأكبر شركات تكامل الأنظمة. وبلغ إجمالي إيرادات هذه الشركات في عام 2016 ، 162.3 مليار روبل ، متجاوزًا مؤشر عام 2015 بنسبة 8.7٪.
فيما يلي قائمة بالشركات المختارة للدراسة.

فاتورة غير مدفوعة. 1. الشركات المختارة للبحث

اسم خمارة نوع النشاط (OKVED 2014)
1 I-Teco، JSC 7736227885 الأنشطة المتعلقة باستخدام الحاسبات وتقنية المعلومات ، أخرى (62.09)
2 Croc Incorporated، JSC 7701004101
3 "Informzashita" ، CJSC NIP 7702148410 البحث والتطوير في العلوم الاجتماعية والإنسانية (72.20)
4 سوفت لاين تريد ش.م.ع. 7736227885
5 Technoserv AS، LLC 7722286471 بيع الآلات والمعدات الأخرى بالجملة (46.69)
6 Elvis-plus، JSC 7735003794
7 أستيروس ، هيئة الأوراق المالية 7721163646 تجارة الجملة في أجهزة الكمبيوتر ، ملحقاتلأجهزة الكمبيوتر والبرمجيات (46.51.2007)
8 "شركة الإنتاج Aquarius" ، ذ 7701256405
9 Lanit، JSC 7727004113 بيع الآلات والمعدات المكتبية الأخرى بالجملة (46.66)
10 Jet Infosystems "، JSC 7729058675 بيع أجهزة الكمبيوتر وملحقاتها وبرامجها بالجملة (46.51)
11 "علوم الحوار" هيئة الأوراق المالية 7701102564 تطوير برامج الحاسوب (62.01)
12 "Factor-TS"، LLC 7716032944 صنع أجهزة الكمبيوتر والأجهزة الطرفية (26.20)
13 "InfoTeKS" ، OJSC 7710013769 تطوير برامج الحاسوب (62.01)
14 "مركز الأورال للأنظمة الأمنية" ، ذ 6672235068 الأنشطة في مجال العمارة والبحوث الهندسية وتقديم المشورة الفنية في هذه المجالات (71.1)
15 "ICEl-KPO VS" ، JSC 1660014361 تطوير برامج الحاسوب (62.01)
16 مجموعة NVision ، JSC 7703282175 تجارة الجملة غير المتخصصة (46.90)
17 "الثقة التكامل" ، LLC 7811512250 معالجة البيانات والاستضافة والأنشطة ذات الصلة (63.11)
18 "كالوغا نجمي" ، هيئة الأوراق المالية 4029017981 الأنشطة الاستشارية والعمل في مجال تكنولوجيا الحاسبات (62.02.2020)

اعتبارًا من نهاية أكتوبر 2017 ، أبرمت الشركات من العينة المعروضة 1034 عقدًا مع الوكالات الحكومية بقيمة 24.6 مليار روبل. I-Teco هي الشركة الرائدة في هذه القائمة من حيث حجم العقود المبرمة - 74 عقدًا بقيمة 7.5 مليار روبل.
على مدى السنوات الماضية ، باستثناء أزمة عام 2014 ، يمكن للمرء أن يلاحظ زيادة مستمرة في الحجم الإجمالي للعقود للشركات المختارة. تقع أهم الديناميكيات في الفترة 2015-2016. لذلك ، في عام 2015 ، زاد حجم العقود بأكثر من 3.5 مرة ، في عام 2016 - بمقدار 1.5 مرة. وفقًا للبيانات المتاحة حول أنشطة العقود للشركات للفترة من يناير إلى أكتوبر 2017 ، يمكن افتراض أنه في عام 2017 سيكون الحجم الإجمالي للعقود مع الوكالات الحكومية حوالي 37-38 مليار روبل ، أي انخفاض بنحو حوالي يتوقع 40٪.

استبيان Kaspersky Lab العالمي لمخاطر أمن تكنولوجيا المعلومات للشركات عبارة عن تحليل سنوي لاتجاهات أمن معلومات الشركات حول العالم. نحن نأخذ في الاعتبار جوانب مهمة من الأمن السيبراني مثل تكلفة أمن المعلومات والأنواع الحالية من التهديدات لأنواع مختلفة من الشركات والعواقب المالية لمواجهة هذه التهديدات. بالإضافة إلى ذلك ، من خلال اكتساب نظرة ثاقبة لميزنة أمن المعلومات من المديرين التنفيذيين ، يمكننا أن نرى كيف تستجيب الشركات في جميع أنحاء العالم للتغييرات في مشهد التهديدات.

في عام 2017 ، حاولنا أن نفهم ما إذا كانت الشركات ترى الأمن السيبراني كمصدر للتكلفة (شر ضروري يتعين عليها إنفاق الأموال من أجله) ، أو بدأنا في اعتباره استثمارًا استراتيجيًا (أي وسيلة لضمان استمرارية الأعمال يوفر فوائد كبيرة في عصر التهديدات السيبرانية سريعة التطور).

هذه قضية مهمة للغاية ، خاصة وأن ميزانية تكنولوجيا المعلومات آخذة في الانخفاض في معظم مناطق العالم.

لكن في روسيا ، شهد عام 2017 زيادة طفيفة في متوسط ​​ميزانية الأمن - 2٪. بلغ متوسط ​​ميزانية أمن المعلومات في روسيا حوالي 15.4 مليون روبل.

يفصل هذا التقرير أنواع التهديدات التي تواجهها الشركات من جميع الأحجام ، بالإضافة إلى أنماط كيفية تخصيص تكاليف تكنولوجيا المعلومات.

معلومات عامة ومنهجية البحث

مسح مخاطر أمن تكنولوجيا المعلومات العالمي من Kaspersky Lab هو مسح لمديري تكنولوجيا المعلومات في مؤسساتهم يتم إجراؤه سنويًا منذ عام 2011.

تم جمع أحدث البيانات في مارس وأبريل 2017. تم إجراء مقابلات مع ما مجموعه 5274 مشاركًا من أكثر من 30 دولة ، وشاركت شركات من مختلف الأحجام في الدراسة.

تُستخدم التسميات التالية أحيانًا في التقرير: الشركات الصغيرة - أقل من 50 موظفًا ، الشركات الصغيرة والمتوسطة (الشركات المتوسطة والصغيرة - من 50 إلى 250 موظفًا) والشركات الكبيرة (الشركات التي يعمل بها 250 شخصًا). يقدم التقرير الحالي تحليلاً لأكثر المعايير إرشادية من المسح.

الاستنتاجات الرئيسية:

تجد الشركات من جميع الأحجام صعوبة في التعامل مع التهديدات الإلكترونية ، كما أن تكاليف الحماية آخذة في الارتفاع أيضًا. في روسيا ، في قطاع الأعمال المتوسطة والصغيرة ، يبلغ متوسط ​​تكلفة القضاء على عواقب حادثة إلكترونية واحدة فقط 1.6 مليون روبل ، بينما تبلغ التكاليف بالنسبة لقطاع الأعمال الكبيرة 16.1 مليون روبل.

تتزايد حصة ميزانية تكنولوجيا المعلومات المخصصة لأمن المعلومات. هذا صحيح بالنسبة للشركات من جميع الأحجام. في الوقت نفسه ، لا يزال المبلغ الإجمالي للميزانية منخفضًا ، وفي روسيا كان النمو 2 ٪ فقط ، لذلك يضطر المتخصصون إلى تنفيذ مهامهم بموارد قليلة.

يتزايد الضرر الناجم عن حادثة ما وحدها ، وقد تواجه الشركات التي لا تعطي الأولوية لتكاليف أمن المعلومات تحديات كبيرة قريبًا. وأظهرت الدراسة أنه في قطاع الشركات الصغيرة والمتوسطة الحجم ، تنفق الشركات حوالي 300 ألف روبل روسي لكل حادث أمني على مزايا الموظفين الإضافية ، بينما يمكن للشركات الكبيرة إنفاق 2.7 مليون روبل روسي لتقليل الضرر الذي يلحق بالعلامة التجارية.

الأضرار الناجمة عن الحوادث الأمنية

يستمر الضرر الناجم عن حوادث الأمن السيبراني في الازدياد ، حيث يتعين على الشركات التعامل مع عدد لا يحصى من العواقب ، من التواصل مع الجمهور الإضافي إلى تعيين موظفين جدد. في عام 2017 ، كانت هناك زيادة أخرى في الخسائر المالية في حالة انتهاكات سلامة البيانات. يجب أن يؤثر ذلك على نهج هذه المشكلة: ستتوقف الشركات عن اعتبار تكاليف الأمن السيبراني شرًا ضروريًا وستبدأ في النظر إليها على أنها استثمارات من شأنها تجنب الخسائر المالية الكبيرة في حالة وقوع هجوم.

تزداد تكلفة انتهاكات سلامة البيانات الجسيمة

أكبر مصدر قلق لـ CTOs هو الهجمات الهائلة التي تسرّب ملايين السجلات. كانت هذه الهجمات على الخدمة الصحية الوطنية بالمملكة المتحدة (NHS) أو Sony أو HBO hack مع إصدار بيانات سرية تتعلق بمسلسل "Game of Thrones". ومع ذلك ، فإن مثل هذه الحوادث الكبرى في الواقع هي الاستثناء وليس القاعدة. لم تتصدر معظم الهجمات الإلكترونية عناوين الأخبار حتى العام الماضي وظلت مجال التقارير الخاصة للمتخصصين. بالطبع ، لقد غيرت أوبئة برامج الفدية الوضع قليلاً ، لكن لا يزال قطاع الشركات في العمل لا يفهم الصورة كاملة.

لا يعني العدد الصغير نسبيًا للهجمات الإلكترونية واسعة النطاق المعروفة أن الضرر الناجم عن معظم الهجمات ضئيل. إذن ، كم تنفق الشركات في المتوسط ​​على إصلاح انتهاك "نموذجي" لسلامة البيانات؟ لقد طلبنا من المشاركين في الاستطلاع تقدير مقدار ما أنفقته / خسرته شركتهم نتيجة لأي حادث أمني وقع في العام الماضي.

طُلب من جميع الشركات التي تضم 50 موظفًا أو أكثر تقدير التكاليف المتكبدة في كل فئة من الفئات التالية:

لكل فئة من الفئات ، قمنا بحساب متوسط ​​التكاليف التي تتكبدها الشركات التي تواجه حوادث أمن المعلومات ، ومجموع جميع الفئات سمح لنا بتقدير مقدار الضرر الإجمالي الناجم عن حادث أمن المعلومات.

يتم عرض النتائج الخاصة بقطاع الشركات الصغيرة والمتوسطة والشركات الكبيرة بشكل منفصل أدناه ، حيث تختلف الإحصائيات الخاصة بها من نواحٍ عديدة. على سبيل المثال ، يبلغ متوسط ​​الضرر الذي لحق بالشركات الروسية الصغيرة والمتوسطة 1.6 مليون روبل تقريبًا ، بينما يبلغ متوسط ​​الضرر للشركات الكبيرة عشرة أضعاف تقريبًا - 16.1 مليون روبل. هذا يدل على أن الهجمات الإلكترونية مكلفة للشركات من جميع الأحجام.

ليس من المستغرب أن تتعرض الشركات الكبيرة ، في المتوسط ​​، لمزيد من الخسائر عند انتهاك سلامة البيانات ، ولكن من المثير للاهتمام تحليل توزيع الضرر حسب الفئة.

في العام الماضي ، كانت استحقاقات الموظفين هي أكبر نفقات الشركات الصغيرة والمتوسطة والشركات الكبيرة. ومع ذلك ، تغيرت الصورة هذا العام ، حيث أصبحت أنواع مختلفة من النفقات هي النفقات الرئيسية للشركات ذات الأحجام المختلفة. لا تزال الشركات الصغيرة والمتوسطة الحجم تخسر أكثر من غيرها في مزايا الموظفين. لكن الشركات الكبرى بدأت في الاستثمار في علاقات عامة إضافية لتقليل الضرر الذي يلحق بسمعة العلامة التجارية. بالإضافة إلى ذلك ، كانت تكلفة تحسين المعدات التقنية وشراء برامج إضافية أحد بنود التكلفة المهمة للشركات الكبيرة.

بالنسبة لجميع الشركات ، زادت تكلفة تدريب الموظفين. غالبًا ما تجعل الحوادث الأمنية الشركات تدرك أهمية زيادة محو الأمية الإلكترونية وتحسين استخبارات التهديدات.

تحدد الموارد الداخلية الأوسع للشركات الكبيرة وتفاصيل تنظيم أنشطتها توازنًا مختلفًا بين تكاليف القضاء على التهديد نفسه وتكاليف التعويض عن الضرر. كانت زيادة أقساط التأمين ، وتدهور التصنيف الائتماني ، وتقويض الثقة في الشركة من بنود النفقات الخطيرة: في المتوسط ​​، بعد كل حادث الشركات الكبيرةتفقد حوالي 2.3 مليون روبل في هذا الشأن.

أظهر بحثنا أن الكثير من الزيادات في التكلفة كانت بسبب الحاجة إلى منع - أو على الأقل تقليل - خسائر السمعة في شكل تصنيف ائتماني وصورة العلامة التجارية والتعويض.

نظرًا للتطبيق الواسع النطاق للوائح الجديدة ، من المرجح أن يستمر متوسط ​​الضرر في النمو ، حيث يتعين على الشركات الإبلاغ علنًا عن جميع الحوادث وزيادة شفافية حماية البيانات.

هذه الاتجاهات نموذجية ، على سبيل المثال ، في اليابان ، حيث تضاعف متوسط ​​تكلفة القضاء على عواقب الاختراق الأمني ​​بأكثر من الضعف: من 580 ألف دولار في عام 2016 إلى 1.3 مليون دولار في عام 2017. اتخذت الحكومة اليابانية خطوات لتشديد المتطلبات التنظيمية استجابة لتزايد تهديدات الأمن السيبراني. في عام 2017 ، دخلت قوانين جديدة حيز التنفيذ ، مما تسبب في ارتفاع مفاجئ في التكاليف.

ومع ذلك ، فإن تطوير وتنفيذ القوانين يستغرق وقتا. مع مشهد تكنولوجيا المعلومات للشركات سريع التطور والتهديد السيبراني المتطور ، أصبح التأخر التنظيمي يمثل تحديًا كبيرًا. على سبيل المثال ، تم الاتفاق على المعايير اليابانية الجديدة في عام 2015 ، ولكن تم تأجيل دخولها حيز التنفيذ لمدة عامين كاملين. بالنسبة للكثيرين ، كان لهذا التأخير تكلفة: خلال العامين الماضيين ، وقع عدد من الشركات اليابانية الكبيرة ضحية لهجمات مكلفة. ومن الأمثلة على ذلك شركة السفر JTB Corp. ، التي واجهت تسريبًا كبيرًا في عام 2016. تمت سرقة 8 ملايين من بيانات العملاء ، بما في ذلك الأسماء والعناوين وأرقام جوازات السفر.

هذا أحد أعراض مشكلة عالمية: التهديدات تتطور بسرعة ، والخمول الذاتي للحكومات والشركات مرتفع للغاية. مثال آخر على تشديد الخناق هو لائحة حماية البيانات الأوروبية (GDPR) ، التي تدخل حيز التنفيذ في مايو 2018 وتحد بشكل كبير من الطرق المقبولة لمعالجة وتخزين بيانات مواطني الاتحاد الأوروبي.

تتغير القوانين في جميع أنحاء العالم ، لكنها لا تستطيع مواكبة التهديدات الإلكترونية - تم تذكير ثلاث موجات من برامج الفدية في عام 2017 بهذا الأمر في روسيا. لذلك ، يجب على الشركات الانتباه إلى العيوب القانونية وتعزيز الحماية وفقًا للظروف الفعلية - أو تحمل الضرر الذي يلحق بالسمعة والعملاء في وقت مبكر. يجدر التحضير للمتطلبات التنظيمية الجديدة دون انتظار المواعيد النهائية. من خلال تغيير السياسات بعد إقرار القوانين ذات الصلة ، لا تخاطر الشركات بالغرامات فحسب ، بل تخاطر أيضًا بأمان بياناتها وبيانات العملاء.

لا توجد نقاط ضعف غريبة: ثغرات حماية الشركاء باهظة الثمن

للحماية من تسرب البيانات ، من المهم جدًا فهم متجهات الهجوم التي يستخدمها المهاجمون. في المقابل ، ستساعدك هذه المعلومات على فهم أنواع الهجمات الأكثر تكلفة.

أظهر المسح أن الحوادث التالية كان لها أكبر عواقب مالية على الشركات المتوسطة والصغيرة:

  • الحوادث التي تؤثر على البنية التحتية المستضافة على معدات طرف ثالث (17.2 مليون روبل روسي)
  • الحوادث التي تؤثر على أطراف ثالثة خدمات سحابيةالتي تستخدمها الشركة (3.6 مليون روبل).
  • تبادل البيانات بشكل غير لائق عبر الأجهزة المحمولة (2.5 مليون روبل روسي)
  • خسارة مادية للأجهزة المحمولة ، وتعريض المؤسسة للمخاطر (2.1 مليون روبل).
  • الحوادث المتعلقة بالأجهزة غير الحاسوبية المتصلة بالإنترنت (على سبيل المثال ، أنظمة التحكم الصناعية ، إنترنت الأشياء) (1.7 مليون روبل)

يختلف الوضع مع الشركات الكبيرة إلى حد ما:

  • الهجمات المستهدفة (75 مليون روبل روسي)
  • الحوادث التي تؤثر على الخدمات السحابية للجهات الخارجية (19 مليون روبل روسي)
  • الفيروسات والبرامج الضارة (9 مليون روبل روسي)
  • تبادل البيانات بشكل غير لائق عبر الأجهزة المحمولة (7.3 مليون روبل روسي)
  • الحوادث التي تؤثر على الموردين الذين تتبادل الشركات معهم البيانات (4.4 مليون روبل).

من هذه البيانات ، يمكن ملاحظة أن الهجمات التي تسببها مشاكل الأمان مع شركاء الأعمال ، في كثير من الأحيان ، تكلف الشركات من جميع الأحجام أغلى تكلفة. ينطبق هذا على كل من المؤسسات التي تستأجر السحابة أو البنية التحتية الأخرى من مزودي الطرف الثالث ، والشركات التي تتبادل بياناتها مع الشركاء.

بمجرد منح شركة أخرى حق الوصول إلى بياناتك أو بنيتك التحتية ، تصبح نقاط ضعفها مشكلتك. ومع ذلك ، فقد لاحظنا بالفعل أن معظم المنظمات لا تولي أهمية كافية لذلك. لذلك ، ليس من المستغرب أن تكون حوادث من هذا النوع هي الأكثر تكلفة: سيخبرك أي ملاكم أن الضربة غير المتوقعة هي التي تقرع في العادة.

ومن الملاحظ أيضًا على الفور وجود متجه آخر دخل بشكل غير متوقع في أهم 5 تهديدات للأعمال التجارية متوسطة الحجم: الهجمات المتعلقة بالأجهزة المتصلة بخلاف أجهزة الكمبيوتر. اليوم ، تنمو حركة مرور إنترنت الأشياء (IoT) بشكل أسرع بكثير من حركة المرور الناتجة عن أي تقنية أخرى. هذا مثال آخر على كيفية قيام التطورات الجديدة بزيادة عدد نقاط الضعف المحتملة في البنية التحتية للأعمال. على وجه الخصوص ، أدى الاستخدام الواسع النطاق لكلمات المرور الافتراضية للمصنع وميزات الأمان الضعيفة على أجهزة إنترنت الأشياء إلى جعلها نقطة جذب مثالية لشبكات الروبوت مثل Mirai ، وهي برامج ضارة يمكنها توحيد عدد كبير من الأجهزة المعرضة للخطر في شبكة واحدة لإطلاق هجمات DDoS واسعة النطاق ضد أهداف مختارة.

يتم لفت الانتباه إلى مقدار الخسارة من الهجمات المستهدفة في قطاع الأعمال الكبير - من الصعب للغاية مواجهة هذا التهديد. على مدار العامين الماضيين ، أصبح معروفًا عددًا من الهجمات المستهدفة البارزة على البنوك ، مما يعزز أيضًا هذه الإحصاءات المخيبة للآمال.

الاستثمار في الحد من المخاطر

كما أظهر بحثنا ، أصبحت التهديدات لأمن المعلومات أكثر خطورة. في ظل هذه الظروف ، لا يسع المرء إلا أن يقلق بشأن حالة ميزانيات أمن المعلومات نفسها. من خلال تحليل التغييرات ، يمكننا أن نقرر ما إذا كانت المؤسسات ترى أمانها كمصدر للتكاليف ، أو أن التوازن يتغير ببطء ، وقد بدأوا في رؤية مجال للاستثمارات التي تمنح ميزة تنافسية حقيقية.

يوضح حجم الميزانية موقف الشركة تجاه أمن تكنولوجيا المعلومات ، وأهمية دور نظام الأمان من وجهة نظر الإدارة ، واستعداد المنظمة لتحمل المخاطر.

ميزانية أمن المعلومات: الحصة تتزايد ، "الكعكة" آخذة في التناقص

هذا العام ، نشهد وفورات وأدت الاستعانة بمصادر خارجية إلى تقلص ميزانيات تكنولوجيا المعلومات. على الرغم من هذا (وربما بسبب ذلك) ، فقد زادت حصة أمن المعلومات في ميزانيات تكنولوجيا المعلومات هذه. في روسيا ، يمكن رؤية اتجاه إيجابي في الشركات من جميع الأحجام. حتى بين الشركات الصغيرة التي تعمل في ظروف نقص الموارد ، نمت حصة ميزانيات تكنولوجيا المعلومات المخصصة لأمن المعلومات ، وإن كان ذلك بنسبة ضئيلة.

هذا يعني أن الشركات بدأت أخيرًا في فهم أهمية أمن المعلومات. ربما يدل هذا على أن أمن المعلومات بدأ ينظر إليه من قبل الكثيرين على أنه استثمار محتمل مفيد ، وليس كمصدر للتكاليف.

نحن نرى أنه في العالم ، يتم تخفيض ميزانيات تكنولوجيا المعلومات بشكل كبير. بينما يكتسب الأمن السيبراني جزءًا أكبر من الكعكة ، تتقلص الكعكة نفسها. الاتجاه مثير للقلق ، لا سيما بالنظر إلى مدى ارتفاع المخاطر في هذه المنطقة ومدى تكلفة كل هجوم.

في روسيا ، بلغ متوسط ​​ميزانية أمن المعلومات للشركات الكبيرة في عام 2017 400 مليون روبل ، وللشركات الصغيرة والمتوسطة - 4.6 مليون روبل.

عينة: 694 مستجيبًا في روسيا قادرين على تقييم الميزانية

مما لا يثير الدهشة ، أن مقدمي الخدمات الحكومية (بما في ذلك قطاع الدفاع) والمؤسسات المالية في جميع أنحاء العالم أبلغوا عن أعلى إنفاق على أمن المعلومات هذا العام. أنفقت الشركات في كلا القطاعين ما متوسطه أكثر من 5 ملايين دولار أمريكي على الأمن. ومن الجدير بالذكر أن قطاع تكنولوجيا المعلومات والاتصالات ، وكذلك الشركات العاملة في صناعة الطاقة ، أنفقت أيضًا أكثر من المتوسط ​​على أمن المعلومات ، على الرغم من أن ميزانياتها كانت أقرب إلى 3 ملايين دولار ، وليس 5 دولارات.

ومع ذلك ، إذا قمت بتقسيم التكلفة الإجمالية على عدد الموظفين ، فإن المنظمات الحكومية تتحرك نحو نهاية القائمة. في المتوسط ​​، تنفق تكنولوجيا المعلومات والاتصالات 1258 دولارًا للفرد على الأمن السيبراني ، بينما ينفق قطاع الطاقة 1344 دولارًا والشركات المالية 1436 دولارًا. وبالمقارنة ، تخصص الوكالات الحكومية 959 دولارًا أمريكيًا فقط لكل شخص للأمن السيبراني.

في كل من قطاع تكنولوجيا المعلومات والاتصالات السلكية واللاسلكية وصناعة إمدادات الطاقة ، من المرجح أن ترتبط التكاليف المرتفعة لكل موظف بالحاجة إلى حماية الملكية الفكرية ، وهو أمر ملح بشكل خاص في هذين القطاعين من الاقتصاد. في حالة المرافق ، قد تنبع التكاليف المرتفعة للحماية أيضًا من حقيقة أن هذه الشركات معرضة بشكل متزايد للهجمات المستهدفة من قبل المجموعات الخبيثة.

في هذه الصناعة ، يعد الاستثمار في أمن المعلومات أمرًا ضروريًا للبقاء لأن استمرارية الأعمال أمر بالغ الأهمية لإمداد الطاقة. تعتبر عواقب هجوم إلكتروني ناجح في هذه الصناعة صعبة بشكل خاص ، لذا فإن الاستثمار في أمن المعلومات يكتسب فوائد ملموسة للغاية.

في روسيا ، يتم استثمار تكنولوجيا المعلومات والاتصالات السلكية واللاسلكية بشكل أساسي في أمن المعلومات ، فضلاً عن المؤسسات الصناعية - يبلغ متوسط ​​تكلفة الأول 300 مليون روبل ، وللأخير - 80 مليون روبل. تميل الشركات الصناعية والتصنيعية إلى الاعتماد عليها أنظمة مؤتمتةنظام إدارة (ICS) لضمان استمرارية عمليات الإنتاج. في الوقت نفسه ، يتزايد عدد الهجمات على ICS: على مدار الاثني عشر شهرًا الماضية ، زاد عددها بنسبة 5٪.

أسباب الاستثمار في أمن المعلومات

انتشار مبالغ الاستثمارات في أمن المعلومات بين القطاعات كبير جدا. لذلك ، من المهم بشكل خاص معرفة الأسباب التي تحث الشركات على إنفاق موارد محدودة على أمن المعلومات. بدون معرفة الدوافع ، من المستحيل فهم ما إذا كانت الشركة تعتبر الأموال التي يتم إنفاقها على أمن البنية التحتية لتكنولوجيا المعلومات ضائعة أو تعتبرها استثمارًا مربحًا.

في عام 2017 ، أقر عدد أكبر من الشركات حول العالم بأنها ستستثمر في الأمن السيبراني بغض النظر عن العائد المتوقع على الاستثمار: 63٪ ، ارتفاعًا من 56٪ في عام 2016. هذا يدل على أن المزيد والمزيد من الشركات تدرك أهمية أمن المعلومات.

الأسباب الرئيسية للزيادة في ميزانية أمن المعلومات بروسيا

لا تتوقع جميع الشركات عائدًا سريعًا على الاستثمار ، لكن العديد من الشركات العالمية استشهدت بضغط من أصحاب المصلحة الرئيسيين ، بما في ذلك الإدارة العليا للشركة (32٪) ، كسبب لزيادة ميزانيات أمن المعلومات. هذا يدل على أن الشركات بدأت ترى ميزتها الإستراتيجية في زيادة تكاليف أمن المعلومات: لا تسمح الإجراءات الأمنية فقط بحماية نفسها في حالة وقوع هجوم ، ولكن أيضًا لإثبات للعملاء أن بياناتهم في أيد أمينة ، وذلك لضمان استمرارية الأعمال التي تهتم بها إدارة الشركة ....

السبب الأكثر شيوعًا لزيادة تكلفة أمن المعلومات ، حددت معظم الشركات المحلية الحاجة إلى حماية البنية التحتية لتكنولوجيا المعلومات المعقدة بشكل متزايد (46٪) ، ولاحظت الحاجة إلى تحسين مؤهلات خبراء أمن المعلومات 30٪. تشير هذه الأرقام إلى الحاجة إلى تحسين مستوى الخبرة المتاحة للشركة من خلال تطوير مهارات موظفيها. في الواقع ، تستثمر كل من الشركات الصغيرة والمتوسطة والكبيرة بشكل متزايد في دعم القوى العاملة الداخلية في مكافحة التهديدات الإلكترونية.

في الوقت نفسه ، انخفضت الحاجة إلى زيادة تكاليف أمن المعلومات بسبب العمليات التجارية الجديدة أو توسع الشركة بين الشركات الروسية: من 36٪ العام الماضي إلى 30٪ في 2017. ربما يعكس ذلك عوامل الاقتصاد الكلي التي كان على شركاتنا مواجهتها مؤخرًا.

استنتاج

تسببت الهجمات الجماعية مثل WannaCry و exPetr و BadRabbit في أضرار جسيمة في عام 2017. الضرر كبير أيضًا من الهجمات المستهدفة ، لا سيما على البنوك الروسية. كل هذا يوضح أن مشهد التهديدات الإلكترونية يتغير بسرعة وحتمية. يتعين على الشركات تكييف دفاعاتها أو تركها خارج العمل.

من العوامل المهمة بشكل متزايد في اتخاذ القرارات التجارية الفرق بين تكلفة الاستعداد لدرء الهجمات الإلكترونية والتكاليف التي تتكبدها الضحية.

يوضح التقرير أنه حتى الخروقات الصغيرة نسبيًا للبيانات التي لا تهم عامة الناس يمكن أن تكون مكلفة للغاية للشركة وتؤثر بشكل خطير على عملياتها. سبب آخر لارتفاع التكاليف في حالة وقوع حوادث أمنية هو التغييرات في التشريعات في جميع أنحاء العالم. يتعين على الشركات إما التكيف أو المخاطرة بكل من عدم الامتثال والقرصنة المحتملة.

في هذه الظروف ، يصبح من المهم بشكل خاص النظر في جميع العواقب والتكاليف. ربما هذا هو السبب وراء المزيد والمزيد من الشركات من دول مختلفةزيادة حصة أمن المعلومات في ميزانيات تكنولوجيا المعلومات الخاصة بهم. في عام 2017 ، أقر عدد أكبر من الشركات حول العالم بأنها ستستثمر في الأمن السيبراني بغض النظر عن العائد المتوقع على الاستثمار: 63٪ ، ارتفاعًا من 56٪ في عام 2016.

على الأرجح ، نظرًا للضرر المتزايد من حوادث الأمن السيبراني ، فإن تلك المنظمات التي تعتبر تكاليف تكنولوجيا المعلومات كاستثمارات في الأمن ومستعدة لإنفاق أموال كبيرة عليها ستكون مستعدة بشكل أفضل للمشكلات المحتملة. ما هو الوضع في شركتك؟

كيف تبرر تكلفة أمن المعلومات؟

أعيد طبعها بإذن طيب. OJSC InfoTeKS Internet Trust
يقع النص الأصلي هنا.

مستويات نضج الشركة

تحدد مجموعة Gartner 4 مستويات لنضج الشركة فيما يتعلق بأمن المعلومات (IS):

  • 0 مستوى:
    • لا أحد يشارك في أمن المعلومات في الشركة ، وإدارة الشركة لا تدرك أهمية مشاكل أمن المعلومات ؛
    • لا يوجد تمويل متاح ؛
    • تم تنفيذ البكالوريا الدولية الوسائل العادية أنظمة التشغيل، DBMS والتطبيقات (حماية كلمة المرور ، التمايز في الوصول إلى الموارد والخدمات).
  • المستوى الأول:
    • تعتبر الإدارة IS مشكلة "تقنية" بحتة ، ولا يوجد برنامج واحد (مفهوم ، سياسة) لتطوير نظام أمن المعلومات (ISS) للشركة ؛
    • التمويل ضمن الميزانية الإجمالية لتكنولوجيا المعلومات ؛
    • يتم تنفيذ IS عن طريق مستوى الصفر + الوسائل نسخة احتياطية، أدوات مكافحة الفيروسات ، جدران الحماية، وسائل تنظيم VPN (وسائل الحماية التقليدية).
  • المستوى الثاني:
    • تعتبر الإدارة ISIB مجموعة معقدة من التدابير التنظيمية والتقنية ، وهناك فهم لأهمية ISIB لعمليات الإنتاج ، وهناك برنامج لتطوير ISIB للشركة تمت الموافقة عليه من قبل الإدارة ؛
    • يتم تنفيذ IS عن طريق المستوى الأول + وسائل المصادقة القوية ، وسائل تحليل رسائل البريد ومحتوى الويب ، IDS (أنظمة كشف التطفل) ، أدوات تحليل الأمان ، SSO (وسائل المصادقة الفردية) ، PKI (البنية التحتية مفاتيح عمومية) والتدابير التنظيمية (التدقيق الداخلي والخارجي ، تحليل المخاطر ، سياسة أمن المعلومات ، اللوائح ، الإجراءات ، اللوائح والمبادئ التوجيهية).
  • مستوى 3:
    • IS جزء من ثقافة الشركة ، يتم تعيينه من قبل CISA (ضابط أمن المعلومات الأقدم) ؛
    • يتم توفير التمويل في إطار ميزانية منفصلة ؛
    • يتم تنفيذ IS عن طريق أنظمة إدارة المستوى الثاني + IS ، CSIRT (فريق الاستجابة لانتهاك IS) ، SLA (اتفاقية مستوى الخدمة).

وفقًا لمجموعة Gartner (البيانات لعام 2001) ، فإن النسبة المئوية للشركات فيما يتعلق بالمستويات الأربعة الموضحة هي كما يلي:
مستوى 0 - 30٪ ،
المستوى الأول - 55٪ ،
المستوى الثاني - 10٪ ،
المستوى الثالث - 5٪.

توقعات عام 2005 لمجموعة Gartner هي كما يلي:
مستوى 0 - 20٪ ،
المستوى الأول - 35٪ ،
المستوى الثاني - 30٪ ،
المستوى 3 - 15٪.

تشير الإحصاءات إلى أن غالبية الشركات (55٪) في حالياأدخلت المجموعة الدنيا المطلوبة من الوسائل التقنية التقليدية للحماية (المستوى 1).

عند تنفيذ تقنيات ووسائل الحماية المختلفة ، غالبًا ما تثار أسئلة. ما الذي يجب تنفيذه أولاً ، نظام كشف التسلل أو البنية التحتية للمفاتيح العمومية؟ ما الذي سيكون أكثر فعالية؟ يقترح ستيفن روس ، مدير Deloitte & Touche ، النهج التالي لتقييم فعالية التدابير والوسائل الأمنية الفردية.

بناءً على الرسم البياني أعلاه ، يمكن ملاحظة أن الأدوات المتخصصة هي الأكثر تكلفة والأقل فاعلية (التطويرات الخاصة أو المخصصة).

أغلى ، ولكن في نفس الوقت ، الأكثر فعالية هي حماية الفئة الرابعة (المستوى 2 و 3 وفقًا لمجموعة Gartner Group). لتنفيذ هذه الفئة من الأموال ، من الضروري استخدام إجراء تحليل المخاطر. سيسمح تحليل المخاطر في هذه الحالة بضمان ملاءمة تكاليف التنفيذ للتهديدات الحالية لخرق نظم المعلومات.

أرخصها ، ولكن بمستوى عالٍ من الكفاءة ، هي التدابير التنظيمية (التدقيق الداخلي والخارجي ، تحليل المخاطر ، سياسة أمن المعلومات ، خطة استمرارية الأعمال ، اللوائح ، الإجراءات ، اللوائح والمبادئ التوجيهية).

يتطلب إدخال وسائل حماية إضافية (الانتقال إلى المستويين 2 و 3) استثمارات مالية كبيرة ، وبالتالي تبريرًا. يؤدي عدم وجود برنامج موحد لتطوير ISMS ، معتمد وموقع من قبل الإدارة ، إلى تفاقم مشكلة تبرير الاستثمار في مجال السلامة.

تحليل المخاطر

يمكن أن تكون نتائج تحليل المخاطر والإحصاءات المتراكمة حول الحوادث بمثابة مبرر لذلك يجب توضيح آليات تنفيذ تحليل المخاطر وتجميع الإحصائيات في سياسة أمن المعلومات الخاصة بالشركة.

تتكون عملية تحليل المخاطر من 6 خطوات متتالية:

1. تحديد وتصنيف الأشياء الخاضعة للحماية (موارد الشركة المطلوب حمايتها) ؛

3. بناء نموذج للمهاجم.

4. تحديد وتصنيف وتحليل التهديدات ونقاط الضعف ؛

5. تقييم المخاطر.

6. اختيار التدابير التنظيمية ووسائل الحماية الفنية.

في هذه المرحلة تحديد وتصنيف الأعيان المحميةمن الضروري إجراء جرد لموارد الشركة في المجالات التالية:

  • مصادر المعلومات(معلومات سرية وحرجة عن الشركة) ؛
  • موارد البرمجيات (نظام التشغيل ، نظم إدارة قواعد البيانات ، التطبيقات الهامة ، مثل تخطيط موارد المؤسسات) ؛
  • الموارد المادية (الخوادم ومحطات العمل والشبكات ومعدات الاتصالات) ؛
  • موارد الخدمة ( بريد الالكتروني، www ، إلخ).

التصنيفهو تحديد مستوى السرية وأهمية المورد. تشير السرية إلى مستوى سرية المعلومات التي يتم تخزينها ومعالجتها ونقلها بواسطة المورد. تُفهم الأهمية الحرجة على أنها درجة تأثير المورد على كفاءة أداء عمليات إنتاج الشركة (على سبيل المثال ، في حالة تعطل موارد الاتصالات ، قد تفلس الشركة الموردة). من خلال تعيين قيم نوعية معينة لمعلمات السرية والأهمية ، يمكنك تحديد مستوى أهمية كل مورد من حيث مشاركته في عمليات إنتاج الشركة.

لتحديد أهمية موارد الشركة من وجهة نظر أمن المعلومات يمكن الحصول على الجدول التالي:

على سبيل المثال ، الملفات التي تحتوي على معلومات حول مستوى رواتب موظفي الشركة لها قيمة "سرية للغاية" (معلمة السرية) والقيمة "مهملة" (معلمة الأهمية الحرجة). باستبدال هذه القيم في الجدول ، يمكنك الحصول على مؤشر متكامل لأهمية هذا المورد. توجد متغيرات مختلفة لطرق التصنيف في المعيار الدولي ISO TR 13335.

بناء نموذج مهاجمهي عملية تصنيف المخالفين المحتملين بواسطة المعلمات التالية:

  • نوع المهاجم (منافس ، عميل ، مطور ، موظف شركة ، إلخ) ؛
  • موقف المهاجم فيما يتعلق بأشياء الحماية (داخليًا ، خارجيًا) ؛
  • مستوى المعرفة بأشياء الحماية والبيئة (مرتفع ، متوسط ​​، منخفض) ؛
  • مستوى فرص الوصول إلى الأشياء المحمية (الحد الأقصى ، المتوسط ​​، الحد الأدنى) ؛
  • وقت العمل (باستمرار ، في فترات زمنية معينة) ؛
  • الموقع (المكان المفترض للمهاجم أثناء الهجوم).

من خلال تعيين قيم نوعية للمعلمات المدرجة لنموذج المهاجم ، من الممكن تحديد إمكانات المهاجم (سمة متكاملة لقدرات المهاجم على تنفيذ التهديدات).

تحديد وتصنيف وتحليل التهديدات ونقاط الضعفتسمح لك بتحديد طرق تنفيذ الهجمات على عناصر الحماية. الثغرات الأمنية هي خصائص مورد أو بيئته التي يستخدمها المهاجم لتنفيذ التهديدات. يمكن العثور على قائمة نقاط الضعف في موارد البرامج على الإنترنت.

يتم تصنيف التهديدات وفقًا للمعايير التالية:

  • اسم التهديد
  • نوع المهاجم
  • وسائل التنفيذ
  • نقاط الضعف المستغلة
  • الإجراءات المنجزة
  • تواتر التنفيذ.

المعلمة الرئيسية هي تكرار تنفيذ التهديد. يعتمد ذلك على قيم المعلمات "إمكانات المهاجم" و "أمان الموارد". يتم تحديد قيمة معلمة "أمان الموارد" من خلال تقييمات الخبراء. عند تحديد قيمة المعلمة ، يتم أخذ المعلمات الذاتية للمهاجم في الاعتبار: الدافع لتنفيذ التهديد والإحصاءات من محاولات تنفيذ التهديدات من هذا النوع (إن وجدت). نتيجة مرحلة تحليل التهديد والضعف هي تقييم معيار "تكرار التنفيذ" لكل تهديد.

في هذه المرحلة تقييم المخاطريتم تحديد الضرر المحتمل من تهديدات انتهاكات أمن المعلومات لكل مورد أو مجموعة من الموارد.

يعتمد المؤشر النوعي للضرر على معلمتين:

  • أهمية المورد ؛
  • وتيرة التهديد لهذا المورد.

بناءً على تقييمات الضرر التي تم الحصول عليها ، يتم اختيار التدابير التنظيمية المناسبة والوسائل التقنية للحماية بشكل معقول.

تراكم إحصائيات الحوادث

إن نقطة الضعف الوحيدة في المنهجية المقترحة لتقييم المخاطر ، وبالتالي ، تبرير الحاجة إلى إدخال تقنيات حماية جديدة أو تغيير موجودة هي تعريف معلمة "تكرار إدراك التهديد". الطريقة الوحيدة للحصول على قيم موضوعية لهذه المعلمة هي تجميع الإحصائيات الخاصة بالحوادث. ستسمح لنا الإحصاءات المتراكمة ، على سبيل المثال ، لمدة عام بتحديد عدد التهديدات (من نوع معين) لكل مورد (من نوع معين). يُنصح بالعمل على تجميع الإحصائيات في إطار إجراء معالجة الحوادث.