Тарифы Услуги Сим-карты
Развернуть
Главная

Информационная безопасность в отраслях. Обзор российского рынка информационной безопасности Затраты на информационную безопасность

Как обосновать затраты на информационную безопасность?

Перепечатано с любезного разрешения ОАО ИнфоТеКС Интернет Траст
Исходный текст находится здесь .

Уровни зрелости компании

Gartner Group выделяет 4 уровня зрелости компании с точки зрения обеспечения информационной безопасности (ИБ):

  • 0 уровень :
    • ИБ в компании никто не занимается, руководство компании не осознает важности проблем ИБ;
    • Финансирование отсутствует;
    • ИБ реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам).
  • 1 уровень :
    • ИБ рассматривается руководством как чисто "техническая" проблема, отсутствует единая программа (концепция, политика) развития системы обеспечения информационной безопасности (СОИБ) компании;
    • Финансирование ведется в рамках общего ИТ-бюджета;
    • ИБ реализуется средствами нулевого уровня + средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN (традиционные средства защиты).
  • 2 уровень :
    • ИБ рассматривается руководством как комплекс организационных и технических мероприятий, существует понимание важности ИБ для производственных процессов, есть утвержденная руководством программа развития СОИБ компании;
    • ИБ реализуется средствами первого уровня + средства усиленной аутентификации, средства анализа почтовых сообщений и web-контента, IDS (системы обнаружения вторжений), средства анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, положения, процедуры, регламенты и руководства).
  • 3 уровень :
    • ИБ является частью корпоративной культуры, назначен CISA (старший офицер по вопросам обеспечения ИБ);
    • Финансирование ведется в рамках отдельного бюджета;
    • ИБ реализуется средствами второго уровня + системы управления ИБ, CSIRT (группа реагирования на инциденты нарушения ИБ), SLA (соглашение об уровне сервиса).

По информации Gartner Group (данные приводятся за 2001 год) процентное соотношение компаний применительно к описанным 4 уровням выглядит следующим образом:
0 уровень - 30%,
1 уровень - 55%,
2 уровень - 10 %,
3 уровень - 5 %.

Прогноз Gartner Group на 2005 год выглядит следующим образом:
0 уровень - 20%,
1 уровень - 35%,
2 уровень - 30 %,
3 уровень - 15 %.

Статистика показывает, что большинство компаний (55%) в настоящий момент внедрили минимально необходимый набор традиционных технических средств защиты (1 уровень).

При внедрении различных технологий и средств защиты часто возникают вопросы. Что внедрять в первую очередь, систему обнаружения вторжений или PKI инфраструктуру? Что будет более эффективно? Стивен Росс, директор Deloitte&Touche, предлагает следующий подход для оценки эффективности отдельных мер и средств обеспечения ИБ.

Исходя из приведенного графика видно, что наиболее дорогими и наименее эффективными являются специализированные средства (собственные или заказные разработки).

Наиболее дорогими, но в тоже время наиболее эффективными являются средства защиты 4 категории (уровень 2 и 3 по Gartner Group). Для внедрения средств данной категории необходимо использовать процедуру анализа риска. Анализ риска в данном случае позволит гарантировать адекватность затрат на внедрение существующим угрозам нарушения ИБ.

К наиболее дешевым, однако имеющим высокий уровень эффективности, относятся организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, план бесперебойной работы, положения, процедуры, регламенты и руководства).

Внедрение дополнительных средств защиты (переход на уровни 2 и 3) требует существенных финансовых вложений и соответственно обоснования. Отсутствие единой программы развития СОИБ, одобренной и подписанной руководством, обостряет проблему обоснования вложений в безопасность.

Анализ риска

В качестве такого обоснования могут выступать результаты анализа риска и статистика, накопленная по инцидентам.Механизмы реализации анализа риска и накопления статистики должны быть прописаны в политике ИБ компании.

Процесс анализа риска состоит из 6 последовательных этапов:

1. Идентификация и классификация объектов защиты (ресурсов компании, подлежащих защите);

3. Построение модели злоумышленника;

4. Идентификация, классификация и анализ угроз и уязвимостей;

5. Оценка риска;

6. Выбор организационных мер и технических средств защиты.

На этапе идентификации и классификации объектов защиты необходимо провести инвентаризацию ресурсов компании по следующим направлениям:

  • Информационные ресурсы (конфиденциальная и критичная информация компании);
  • Программные ресурсы (ОС, СУБД, критичные приложения, например ERP);
  • Физические ресурсы (сервера, рабочие станции, сетевое и телекоммуникационное оборудование);
  • Сервисные ресурсы (электронная почта, www и т.д.).

Категорирование заключается в определении уровня конфиденциальности и критичности ресурса. Под конфиденциальностью понимается уровень секретности сведений, которые хранятся, обрабатываются и передаются ресурсом. Под критичностью понимается степень влияния ресурса на эффективность функционирования производственных процессов компании (например, в случае простоя телекоммуникационных ресурсов компания - провайдер может разориться). Присвоив параметрам конфиденциальности и критичности определенные качественные значения, можно определить уровень значимости каждого ресурса, с точки зрения его участия в производственных процессах компании.

Для определения значимости ресурсов компании с точки зрения информационной безопасности можно получить следующую таблицу:

Например, файлы с информацией об уровне зарплат сотрудников компании имеют значение "строго конфиденциально" (параметр конфиденциальности) и значение "незначительный" (параметр критичности). Подставив эти значения в таблицу, можно получить интегральный показатель значимости данного ресурса. Различные варианты методик категорирования приведены в международном стандарте ISO TR 13335.

Построение модели злоумышленника - это процесс классификации потенциальных нарушителей по следующим параметрам:

  • Тип злоумышленника (конкурент, клиент, разработчик, сотрудник компании и т.д.);
  • Положение злоумышленника по отношению к объектам защиты (внутренний, внешний);
  • Уровень знаний об объектах защиты и окружении (высокий, средний, низкий);
  • Уровень возможностей по доступу к объектам защиты (максимальные, средние, минимальные);
  • Время действия (постоянно, в определенные временные интервалы);
  • Место действия (предполагаемое месторасположение злоумышленника во время реализации атаки).

Присвоив перечисленным параметрам модели злоумышленника качественные значения можно определить потенциал злоумышленника (интегральную характеристику возможностей злоумышленника по реализации угроз).

Идентификация, классификация и анализ угроз и уязвимостей позволяют определить пути реализации атак на объекты защиты. Уязвимости - это свойства ресурса или его окружения, используемые злоумышленником для реализации угроз. Перечень уязвимостей программных ресурсов можно найти в сети интернет.

Угрозы классифицируются по следующим признакам:

  • наименование угрозы;
  • тип злоумышленника;
  • средства реализации;
  • используемые уязвимости;
  • совершаемые действия;
  • частота реализации.

Основной параметр - частота реализации угрозы. Она зависит от значений параметров "потенциал злоумышленника" и "защищенность ресурса". Значение параметра "защищенность ресурса" определяется путем экспертных оценок. При определении значения параметра принимается во внимание субъективные параметры злоумышленника: мотивация для реализации угрозы и статистика от попыток реализации угроз данного типа (в случае ее наличия). Результатом этапа анализа угроз и уязвимостей является оценка параметра "частота реализации" по каждой из угроз.

На этапе оценки риска определяется потенциальный ущерб от угроз нарушения информационной безопасности для каждого ресурса или группы ресурсов.

Качественный показатель ущерба зависит от двух параметров:

  • Значимость ресурса;
  • Частота реализации угрозы на этот ресурс.

Исходя из полученных оценок ущерба, обоснованно выбираются адекватные организационные меры и технические средства защиты.

Накопление статистики по инцидентам

Единственным уязвимым местом в предлагаемой методике оценке риска и соответственно обосновании необходимости внедрения новых или изменения существующих технологий защиты является определение параметра "частота реализации угрозы". Единственный путь получения объективных значений этого параметра - накопление статистики по инцидентам. Накопленная статистика, например, за год позволит определить количество реализаций угроз (определенного типа) на ресурс (определенного типа). Работу по накоплению статистики целесообразно вести в рамках процедуры обработки инцидентов.

2018-08-21T12:03:34+00:00

Крупные коммерческие компании тратят на обеспечение физической безопасности своего бизнеса порядка 1% годовой выручки. Безопасность предприятия – такой же ресурс, как технологии и средства производства. Но, когда речь заходит о цифровой защите данных и сервисов, просчитать финансовые риски и необходимые издержки становится непросто. Рассказываем, сколько денег ИТ-бюджета разумно выделить на кибербезопасность, существует ли минимальный набор инструментов, которыми можно обойтись.

Затраты на информационную безопасность растут

Коммерческие организации по всему миру, согласно отчету Gartner, потратили порядка 87 миллиардов долларов на нужды кибербезопасности в 2017 году, включая софт, специализированные сервисы и «железо». Это на 7% больше, чем в 2016 году. В текущем году цифра, как ожидается, достигнет 93 миллиардов, а уже в следующем перевалит отметку в 100.

По оценкам экспертов, в России объем рынка услуг информационной безопасности составляет порядка 55-60 миллиардов рублей (около 900 тыс. долларов). На 2/3 его закрывают государственные заказы. В корпоративном секторе доля таких затрат сильно зависит от формы предприятия, географии и сферы деятельности.

Отечественные банки и финансовые структуры в среднем вкладывают в свою кибербезопасность 300 млн. рублей в год, промышленники – до 50 млн., сетевые компании (ритейл) – от 10 до 50 млн.

Зато цифры прироста российского рынка кибербезопасности вот уже несколько лет в 1,5-2 раза выше, чем в общемировом масштабе. В 2017 году рост составил 15% (в деньгах заказчиков) по отношению к 2016 году. По итогам 2018 года он может оказаться еще солидней.

Высокие темпы роста объясняются общим оживлением рынка и резко выросшим вниманием организаций к реальной безопасности своей ИТ-инфраструктуры и сохранности данных. Издержки на построение системы информационной защиты теперь рассматриваются как инвестиции, они заранее планируются, а не просто берутся по остаточному принципу.

Positive Technologies выделяет три драйвера роста:

  1. Громкие инциденты последних 1,5–2 лет привели к тому, что сегодня только ленивый не понимает роль информационной безопасности для финансовой стабильности предприятия. Каждый пятый топ-менеджер проявляет интерес к практической безопасности в контексте своего бизнеса.

Прошедший год стал поучительным для бизнеса, игнорирующего элементарную . Отсутствие актуальных обновлений и привычка работать, не обращая внимания на уязвимости, привели к остановке заводов Renault во Франции, Honda и Nissan в Японии; пострадали банки, энергетические, телекоммуникационные компании. Компании Maersk, к примеру, это обошлось в 300 млн. долларов единовременно.

  1. Эпидемии вирусов-вымогателей WannaCry, NotPetya, Bad Rabbit научили отечественные компании тому, что установки антивирусов и файерволов недостаточно, чтобы чувствовать себя в безопасности. Нужна комплексная стратегия, инвентаризация своих активов в ИТ, выделенные ресурсы, стратегия реагирования на угрозы.
  2. В определенном смысле тон задает государство, объявившее курс на цифровую экономику, охватывающую все сферы (от здравоохранения и образования до транспорта и финансов). Эта политика напрямую сказывается на росте сектора ИТ в целом и на информационной безопасности в частности.

Цена уязвимостей в информационной защите

Все это поучительно, но каждый бизнес – уникальная история. Вопрос, сколько тратить на информационную безопасность от общего ИТ-бюджета компании, хоть и не корректный, но, с точки зрения заказчика, самый насущный.

Международная исследовательская компания IDC на примере канадского рынка называет оптимальными 9,8-13,7% вложений в кибербезопасность от общего бюджета ИТ в организации. То есть сейчас канадский бизнес тратит в среднем около 10% на эти нужды (считается, что это показатель здоровой компании), а хотел бы, судя по опросам, ближе к 14%.

Компаниям нет смысла гадать, сколько нужно затратить на свою информационную безопасность, чтобы чувствовать себя спокойно. Сегодня оценить риски от инцидентов с кибербезопасностью не сложнее, чем просчитать потери от физических угроз. Есть общемировая статистика , согласно которой:

  • Хакерские атаки стоят глобальной экономике более 110 млрд. долларов ежегодно.
  • Для малого бизнеса каждый инцидент обходится в среднем в 188 тысяч долларов.
  • 51% взломов в 2016 году были целевыми, то есть организованными криминальными группами против конкретной компании.
  • 75% атак происходят с целью нанесения материального ущерба, финансово мотивированны.

«Лаборатория Касперского» весной 2018 года провела свое масштабное исследование . Согласно опросу 6 тысяч специалистов компаний по всему миру, ущерб от взломов корпоративных сетей и утечки данных за последние пару лет вырос на 20-30%.

Средняя цена ущерба на февраль 2018 года для коммерческих организаций, вне зависимости от размера, сферы деятельности, составила 1,23 млн. долларов. Для предприятий МСБ ошибка персонала или удачные действия хакеров обходятся в 120 тысяч долларов.

Технико-экономическое обоснование для ИБ

Для того чтобы правильно оценить финансовые ресурсы, необходимые для организации информационной безопасности на предприятии, нужно составить технико-экономическое обоснование.

  1. Проводим инвентаризацию ИТ-инфраструктуры и оцениваем риски, составляем список уязвимостей в порядке убывания их значимости. Сюда же закладываются репутационные потери (рост страховых тарифов, снижение кредитного рейтинга, цена простоя сервисов), стоимость восстановления системы (обновления оборудования и ПО).
  2. Прописываем задачи, которые должна решать система информационной безопасности.
  3. Подбираем оборудование, инструменты для решения задач, определяем его стоимость.

Если в компании нет компетенций для оценки угроз и рисков кибербезопасности, всегда можно заказать аудит информационной безопасности на стороне. Сегодня эта процедура недолгая, недорогая и безболезненная.

Промышленным компаниям с высоким уровнем автоматизации процессов эксперты рекомендуют использовать модель адаптивной архитектуры безопасности (Adaptive Security Architecture ), предложенную в 2014 году Gartner. Она позволяет правильно перераспределить расходы на ИБ, уделяя больше внимания инструментам обнаружения и реагирования на угрозы, и подразумевает внедрение системы мониторинга и аналитики ИТ-инфраструктуры.

Сколько стоит кибербезопансоть для небольших компаний

Авторы блога Capterra решили подсчитать , во сколько в среднем обходится система информационной защиты для компаний малого и среднего бизнеса в первый год использования. Для этого был выбран список из 50 популярных «коробочных» предложений на рынке.

Оказалось, что разброс цен довольно большой: от 50 долларов за год (есть даже 2-3 бесплатных решения для небольших компаний) до 6 тысяч долларов (есть единичные пакеты и по 24 тысячи, но их не стали включать в расчет). В среднем малый бизнес может рассчитывать на 1 400 долларов на построение элементарной системы защиты от киберугроз.

Дешевле всего обойдутся технические решения типа бизнес-VPN или защиты электронной почты, которые помогут защититься от конкретных типов угроз (например, фишинга)

На другом конце спектра представлены полноценные системы мониторинга с «продвинутыми» инструментами реагирования на события и комплексной защиты. Они помогают уберечь корпоративную сеть от масштабных атак и иногда даже позволяют предсказывать их появление, купировать на ранних стадиях.

Компания может выбрать несколько моделей оплаты системы информационной безопасности:

  • Цена за каждую лицензию, Средняя цена – 1000-2000 долларов, или от 26 до 6000 долларов за лицензию.
  • Цена за пользователя. Средняя стоимость системы ИБ за одного пользователя в компании – 37 долларов, разброс идет от 4 до 130 долларов за человека в месяц.
  • Цена за подключаемое устройство. Средняя стоимость по этой модели составляет 2,25 долларов за один девайс. Цена варьируется от 0,96 до 4,5 долларов в месяц.

Для правильного расчета затрат на информационную безопасность даже небольшой компании придется внедрить у себя основы риск-менеджмента. Первый же инцидент (упал сайт, сервис, платежная система), который невозможно будет исправить в течение суток, может привести к закрытию бизнеса.

Как уже отмечалось, безопасность предприятия обеспечивается комплексом мер на всех этапах его жизненного цикла, его информационной системы и в общем случае складывается из стоимости:

  • - проектных работ;
  • - закупки и настройки программно-технических средств защиты;
  • - затрат на обеспечение физической безопасности;
  • - обучения персонала;
  • - управления и поддержки системы;
  • - аудита защиты информации;
  • - периодической модернизации системы защиты информации и т.д.

Стоимостным показателем экономической эффективности комплексной системы защиты информации будет сумма прямых и косвенных затрат на организацию, эксплуатацию и сопровождение системы защиты информации в течение года.

Он может рассматриваться как ключевой количественный показатель эффективности организации защиты информации в компании, так как позволит не только оценить совокупные затраты на защиту, но управлять этими затратами для достижения требуемого уровня защищенности предприятия. При этом прямые затраты включают как капитальные компоненты затрат, так и трудозатраты, которые учитываются в категориях операций и административного управления. Сюда же относят затраты на услуги удаленных пользователей и др., связанные с поддержкой деятельности организации.

В свою очередь, косвенные затраты отражают влияние комплексной системы безопасности и подсистемы защиты информации на служащих посредством таких измеримых показателей, как простои и «зависания» корпоративной системы защиты информации и комплексной системы безопасности в целом, затраты на операции и поддержку.

Очень часто косвенные затраты играют значительную роль, так как они обычно изначально не отражаются в бюджете на комплексную систему безопасности, а выявляются явно при анализе затрат в последствии, что в конечном счете приводит к росту «скрытых» затрат компании. Рассмотрим, как можно определить прямые и косвенные затраты на комплексную систему безопасности. Предположим, что руководство предприятия проводит работы по внедрению на предприятии комплексной системы защиты информации. Уже определены объекты и цели защиты, угрозы информационной безопасности и меры по противодействию им, приобретены и установлены необходимые средства защиты информации.

Как правило, затраты на информационную безопасность подразделяются на следующие категории:

  • - затраты на формирование и поддержание звена управления системой защиты информации;
  • - затраты на контроль, то есть на определение и подтверждение достигнутого уровня защищенности ресурсов предприятия;
  • - внутренние затраты на ликвидацию последствий нарушения информационной безопасности - затраты, понесенные организацией в результате того, что требуемый уровень защищенности не был достигнут;
  • -внешние затраты на ликвидацию последствий нарушения информационной безопасности - компенсация потерь при нарушениях политики безопасности в случаях, связанных с утечкой информации, потерей имиджа компании, утратой доверия партнеров и потребителей и т.п.;
  • -затраты на техническое обслуживание системы защиты информации и мероприятия по предотвращению нарушений политики безопасности предприятия.

При этом обычно выделяют единовременные и систематические затраты.

Единовременные, затраты на формирование безопасности предприятия: организационные затраты и затраты на приобретение и установку средств защиты.

Систематические, затраты на эксплуатацию и обслуживание. Классификация затрат условна, так как сбор, классификация и анализ затрат на информационную безопасность - внутренняя деятельность предприятий, и детальная разработка перечня зависят от особенностей конкретной организации.

Главное при определении затрат на систему безопасности -взаимопонимание и согласие по статьям расходов внутри предприятия.

Кроме того, категории затрат должны быть постоянными и не должны дублировать друг друга. Невозможно полностью исключить затраты на безопасность, однако они могут быть приведены к приемлемому уровню.

Некоторые виды затрат на безопасность являются абсолютно необходимыми, а некоторые могут быть существенно уменьшены или исключены. Последние - это те, которые могут исчезнуть при отсутствии нарушений безопасности или сократятся, если количество и разрушающее воздействие нарушений уменьшатся.

При соблюдении безопасности и проведении профилактики нарушений можно исключить или существенно уменьшить следующие затраты:

  • - на восстановление системы безопасности до соответствия требованиям безопасности;
  • - на восстановление ресурсов информационной среды предприятия;
  • - на переделки внутри системы безопасности;
  • - на юридические споры и выплаты компенсаций;
  • - на выявление причин нарушения безопасности.

Необходимые затраты - это те, которые необходимы даже если уровень угроз безопасности достаточно низкий. Это затраты на поддержание достигнутого уровня защищенности информационной среды предприятия.

Неизбежные затраты могут включать:

  • а) обслуживание технических средств защиты;
  • б) конфиденциальное делопроизводство;
  • в) функционирование и аудит системы безопасности;
  • г) минимальный уровень проверок и контроля с привлечением специализированных организаций;
  • д) обучение персонала методам информационной безопасности.

Однако существуют и другие затраты, которые определить достаточно сложно. В их числе:

  • а) затраты на проведение дополнительных исследований и разработку новой рыночной стратегии;
  • б) потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно-технические достижения;
  • в) затраты, связанные с ликвидацией «узких мест» в снабжении, производстве и сбыте продукции;
  • г) потери от компрометации производимой предприятием продукции и снижения цен на нее;
  • д) возникновение трудностей в приобретении оборудования или технологий, в том числе повышение цен на них, ограничение объема поставок.

Перечисленные затраты могут быть вызваны действиями персонала различных отделов, например, проектного, технологического, планово-экономического, юридического, хозяйственного, отдела маркетинга, тарифной политики и ценообразования.

Поскольку сотрудники всех этих отделов вряд ли будут заняты полный рабочий день вопросами внешних потерь, то установление объема затрат необходимо вести с учетом реально затраченного времени. Один из элементов внешних потерь невозможно точно вычислить - это потери, связанные с подрывом имиджа предприятия, снижением доверия потребителя к продукции и услугам предприятия. Именно по этой причине многие корпорации скрывают, что их сервис небезопасен. Корпорации боятся обнародования такой информации даже больше, чем атаки в той или иной форме.

Однако многие предприятия игнорируют эти затраты на основании того, что их нельзя установить с какой-либо степенью точности - они только предположительны. Затраты на предупредительные мероприятия. Эти затраты, вероятно, наиболее сложно оценить, поскольку предупредительные мероприятия проводятся в разных отделах и затрагивают многие службы. Эти затраты могут появляться на всех этапах жизненного цикла ресурсов информационной среды предприятия:

  • - планирования и организации;
  • - приобретения и ввода в действие;
  • - доставки и поддержки;
  • - мониторинга процессов, составляющих информационную технологию.

В дополнение к этому, большинство затрат данной категории связано с работой персонала службы безопасности. Затраты на предупредительные мероприятия в основном включают заработную плату и накладные расходы. Однако точность их определения в большей степени зависит от точности установления времени, затраченного каждым сотрудником в отдельности. Некоторые предупредительные затраты легко выявить напрямую. Они, в частности, могут включать оплату различных работ сторонних организаций, например:

  • - обслуживание и настройку программно-технических средств защиты, операционных систем и используемого сетевого оборудования;
  • - проведение инженерно-технических работ по установлению сигнализации, оборудованию хранилищ конфиденциальных документов, защите телефонных линий связи, средств вычислительной техники и т.п.;
  • - доставку конфиденциальной информации;
  • - консультации;
  • - курсы обучения.

Источники сведений о рассмотренных затратах. При определении затрат на обеспечение ИБ необходимо помнить, что:

  • - затраты на приобретение и ввод в действие программно-технических средств могут быть получены из анализа накладных, записей в складской документации и т.п.;
  • - выплаты персоналу могут быть взяты из ведомостей;
  • - объемы выплат заработной платы должны быть взяты с учетом реально затраченного времени на проведение работ по обеспечению информационной безопасности если только часть времени сотрудника затрачивается на деятельность по обеспечению информационной безопасности, то целесообразность оценки каждой из составляющих затрат его времени не должна подвергаться сомнению;
  • - классификация затрат на безопасность и распределение их по элементам должны стать частью повседневной работы внутри предприятия.

"Финансовая газета. Региональный выпуск", 2008, N 41

В современных условиях нельзя недооценивать важность обеспечения информационной безопасности. Малейшая утечка конфиденциальной информации к конкурентам может привести к большим экономическим потерям для фирмы, остановке производства и даже к банкротству.

Целями информационной безопасности являются: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы организации.

К расходам на защиту информации относится в основном приобретение средств, обеспечивающих ее защиту от неправомерного доступа. Средств обеспечения защиты информации множество, условно их можно разделить на две большие группы. Первая - это средства, которые имеют материальную основу, такие, как сейфы, камеры видеонаблюдения, охранные системы и т.д. В бухгалтерском учете они учитываются как основные средства. Вторая - средства, которые не имеют материальной основы, такие, как антивирусные программы, программы ограничения доступа к информации в электронном виде и т.д. Рассмотрим особенности учета таких средств обеспечения информационной безопасности.

При покупке программы для обеспечения защиты информации исключительные права на нее не переходят к покупателю, приобретается лишь защищенная копия программы, копировать или распространять которую покупатель не может. Поэтому при учете таких программ следует руководствоваться гл. VI "Учет операций, связанных с предоставлением (получением) права использования нематериальных активов" нового ПБУ 14/2007 "Учет нематериальных активов".

В редких случаях при приобретении программ защиты информации к фирме переходят исключительные права на данный продукт. В этом случае программа будет учитываться в бухгалтерском учете как нематериальные активы (НМА).

Согласно ПБУ 14/2007 в бухгалтерском учете НМА, предоставленные в пользование на условиях лицензионного соглашения, платежи за право использования которых производятся в виде фиксированного разового платежа и исключительные права на которые не переходят к покупателю, должны учитываться у получателя в составе расходов будущих периодов и отражаться на забалансовом счете (п. 39). При этом срок, в течение которого данные расходы будут списываться на счета затрат, устанавливается лицензионным соглашением. В налоговом учете затраты на приобретение программ для защиты информации для целей налогообложения прибыли учитываются в качестве прочих расходов и списываются аналогично - равными частями в течение срока, установленного в лицензионном соглашении (пп. 26 п. 1 ст. 264 НК РФ).

Если оплата за право использования программного продукта, обеспечивающего информационную защиту, производится в виде периодических платежей, то согласно п. 39 ПБУ 14/2007 они включаются пользователем в расходы отчетного периода, в котором были произведены.

На практике в лицензионном соглашении не всегда указан срок использования программного обеспечения. Когда связь между доходами и расходами не может быть определена четко, в налоговом учете расходы на приобретение программ для защиты информации распределяются налогоплательщиком самостоятельно в целях исчисления налога на прибыль с учетом принципа равномерности признания доходов и расходов (п. 1 ст. 272 НК РФ). В бухгалтерском учете срок, в течение которого данные расходы будут списываться со счета 97, устанавливается руководством предприятия исходя из предполагаемого времени использования программы.

Пример 1 . ОАО "Альфа" приобрело лицензионную копию антивирусной программы у ООО "Бетта" за 118 000 руб., в том числе НДС (18%). Лицензионным соглашением установлен срок использования программы 9 месяцев.

В бухгалтерском учете ОАО "Альфа" программу следует учесть следующим образом:

Д-т 60, К-т 51 - 118 000 руб. - поставщику оплачена стоимость программного обеспечения;

Д-т 60, К-т 97 - 100 000 руб. - полученная программа отражена в качестве расходов будущих периодов;

Д-т 002 - 100 000 руб. - полученная программа отражена на забалансовом счете;

Д-т 19, К-т 60 - 18 000 руб. - выделен НДС;

Д-т 68, К-т 19 - 18 000 руб. - принят к вычету НДС;

Д-т 26 (44), К-т 97 - 11 111,11 руб. (100 000 руб. : 9 мес.) - ежемесячно в течение 9 месяцев стоимость антивирусной программы равными частями списывается на расходы.

Изменим условия примера 1: допустим, ОАО "Альфа" осуществляет платеж не единовременно, а равными частями на протяжении всего срока действия лицензионного договора. Суммы платежей составят 11 800 руб. за каждый месяц, в том числе НДС.

В этом случае в бухгалтерском учете будут сделаны следующие записи:

Д-т 002 - 90 000 руб. (10 000 руб. x 9 мес.) - полученная программа отражена на забалансовом счете;

Д-т 60, К-т 51 - 11 800 руб. - ежемесячно в течение 9 месяцев поставщику оплачивается стоимость программного продукта;

Д-т 19, К-т 60 - 1800 руб. - выделен НДС;

Д-т 26 (44), К-т 60 - 10 000 руб. - стоимость программы списана на расходы;

Д-т 68, К-т 19 - 1800 руб. - принят к вычету НДС.

Часто до истечения лицензионного соглашения компания - разработчик программ информационной защиты выпускает их обновление. В этом случае расходы в бухгалтерском и налоговом учете будут приниматься единовременно по факту обновления.

Также распространена практика, когда компания-разработчик для ознакомления безвозмездно предоставляет свое программное обеспечение организациям на небольшой срок. Для того чтобы правильно отразить безвозмездно полученную программу информационной защиты, ее нужно учесть в составе доходов будущих периодов по рыночной стоимости.

Пример 2 . ООО "Бетта" для ознакомления безвозмездно предоставило ОАО "Альфа" программное обеспечение по информационной безопасности сроком на 3 месяца. Рыночная цена данного программного продукта - 3300 руб.

В бухгалтерском учете ОАО "Альфа" следует сделать следующие записи:

Д-т 97, К-т 98 - 3300 руб. - принято к учету безвозмездно полученное программное обеспечение;

Д-т 98, К-т 91 - 1100 руб. - ежемесячно в течение трех месяцев часть дохода будущих периодов принимается в качестве прочих доходов.

В налоговом учете доходы от безвозмездно полученной программы также будут приниматься в течение трех месяцев (п. 2 ст. 271 НК РФ).

К расходам на защиту информации относятся не только приобретение средств обеспечения информационной безопасности, но также расходы на консультационные (информационные) услуги по защите информации (не связанные с приобретением нематериальных активов, основных средств или других активов организации). Согласно п. 7 ПБУ 10/99 "Расходы организации" затраты на консультационные услуги в бухгалтерском учете включаются в состав расходов по обычным видам деятельности в том отчетном периоде, когда они были произведены. В налоговом учете они относятся к прочим расходам, связанным с производством и реализацией продукции (пп. 15 п. 1 ст. 264 НК РФ).

Пример 3 . ООО "Бетта" оказало консультационные услуги по информационной безопасности ОАО "Альфа" на общую сумму 59 000 руб., в том числе НДС - 9000 руб.

В бухгалтерском учете ОАО "Альфа" должны быть сделаны записи:

Д-т 76, К-т 51 - 59 000 руб. - оплачены консультационные услуги;

Д-т 26 (44), Кт 76 - 50 000 руб. - консультационные услуги по информационной безопасности списаны на расходы по обычным видам деятельности;

Д-т 19, К-т 76 - 9000 руб. - выделен НДС;

Д-т 68, К-т 19 - 9000 руб. - принят к вычету НДС.

Предприятия, применяющие УСН, в качестве расходов, уменьшающих налогооблагаемую базу по налогу на прибыль, согласно пп. 19 п. 1 ст. 346.16 НК РФ смогут принять только затраты на приобретение программ, обеспечивающих информационную безопасность. Расходы на консультационные услуги по информационной безопасности в ст. 346.16 НК РФ не упоминаются, поэтому для целей налогообложения прибыли организации принять их не вправе.

В.Щаников

Ассистент аудитора

департамента аудита

ООО "Бейкер Тилли Русаудит"

Глобальное исследование рисков информационной безопасности для бизнеса (Kaspersky Lab Global Corporate IT Security Risks Survey) – это ежегодный анализ тенденций в области корпоративной информационной безопасности по всему миру. Мы рассматриваем такие важные аспекты кибербезопасности, как размер затрат на ИБ, актуальные типы угроз для различных видов компаний и финансовые последствия столкновений с этими угрозами. Кроме того, получив от руководителей сведения о принципах формирования бюджетов информационной безопасности, мы можем проследить, как компании в разных регионах мира реагируют на изменения в ландшафте угроз.

В 2017 году мы постарались понять, видят ли компании в информационной безопасности источник затрат (необходимое зло, на которое они вынуждены выделять деньги), или начинают считать ее стратегическими инвестициями (то есть средством обеспечения непрерывности бизнес-процессов, которое дает значительные преимущества в эпоху стремительно развивающихся киберугроз).

Это очень важный вопрос, особенно в связи с тем, что в большинство регионов мира IT-бюджет снижался.

В России, однако, в 2017 году был зафиксирован небольшой рост среднего бюджета, выделяемого на безопасность – 2%. Средний ИБ-бюджет в России составил около 15,4 млн рублей.

В этом отчете подробно рассматриваются типы угроз, с которыми сталкиваются компании любого размера, а также характерные закономерности распределения IT-затрат.

Общие сведения и методология исследования

Глобальное исследование «Лаборатории Касперского» в области рисков информационной безопасности для бизнеса (Kaspersky Lab Corporate IT Security Risks Survey) – это опрос руководителей, управляющих IT-службами своих организаций, который проводится ежегодно, начиная с 2011 года.

Самые свежие данные были собраны в марте и апреле 2017 года. Всего было опрошено 5274 респондента более чем из 30 стран, в исследовании участвовали компании самых разных размеров.

В отчете иногда используются следующие обозначения: малый бизнес – менее 50 сотрудников, СМБ (средний и небольшой бизнес – от 50 до 250 сотрудников) и крупный бизнес (компании со штатом от 250 человек). В текущем отчете представлен анализ наиболее показательных параметров из проведенного опроса.

Основные выводы:

Компаниям любого размера становится сложнее бороться с киберугрозами, расходы на защиту также возрастают. В России в сегменте среднего и малого бизнеса средние затраты на ликвидацию последствий лишь одного киберинцидента составляет 1,6 млн рублей, а для сегмента крупного бизнеса затраты составляют 16,1 млн рублей.

Растет доля IT-бюджета, выделяемая на информационную безопасность. Это характерно для компаний любого размера. Общая сумма бюджета при этом остается невысокой, а в России рост составил всего 2%, поэтому специалисты вынуждены выполнять свои задачи с небольшими ресурсами.

Ущерб от одного лишь инцидента растет, и компании, которые не приоритизируют затраты на информационную безопасность, могут вскоре столкнуться с серьезными проблемами. Исследование показало, что в сегменте SMB компании тратят около 300 тыс. рублей при каждом инциденте безопасности на дополнительные выплаты персоналу, а крупные корпорации могут потратить 2,7 млн рублей на снижение ущерба, нанесенного бренду.

Ущерб от инцидентов безопасности

Ущерб от инцидентов кибербезопасности постоянно растет: компаниям приходится иметь дело со множеством их последствий, от дополнительной работы с общественностью до найма новых сотрудников. В 2017 году был отмечен дальнейший рост финансовых потерь в случае нарушений целостности данных. Это должно повлиять на подход к данному вопросу: компании перестанут видеть в затратах на кибербезопасность необходимое зло и начнут рассматривать их как инвестиции, которые позволят избежать значительных денежных потерь в случае атаки.

Серьезные нарушения целостности данных обходятся все дороже

Больше всего технических директоров волнуют массовые атаки, которые приводят к утечке миллионов записей. Таковы были нападения на Национальную службу здравоохранения (NHS) Великобритании, компанию Sony или взлом телеканала HBO с обнародованием конфиденциальных данных, относящихся к сериалу «Игра престолов». Однако на деле такие крупные инциденты скорее исключение, чем правило. Большинство кибератак до прошлого года не попадали в новостные заголовки и оставались уделом специальных сводок для специалистов. Конечно, эпидемии шифровальщиков немного изменили ситуацию, но все же корпоративный сегмент бизнеса не осознает всей картины.

Относительно малое число известных масштабных кибератак вовсе не значит, что и ущерб от большинства атак незначителен. Итак, сколько же в среднем тратят компании на ликвидацию «типичного» нарушения целостности данных? Мы попросили участников исследования оценить, какие суммы потратила/потеряла их компания в результате любого инцидента безопасности, произошедшего в последний год.

Все компании, насчитывающие от 50 сотрудников, должны были оценить затраты, понесенные в каждой из следующих категорий:

Для каждой из категорий мы рассчитали средние затраты, которые понесли компании, столкнувшиеся с ИБ-инцидентами, а сумма всех категорий позволила нам оценить размер общего ущерба, нанесенного ИБ-инцидентом.

Ниже отдельно приведены результаты для сегмента СМБ и крупного бизнеса, поскольку статистика для них во многом различается. Например, средний ущерб для российских СМБ-компаний составляет почти 1,6 млн рублей, а для крупного бизнеса он почти в десять раз выше – 16,1 млн рублей. Это показывает, что кибератаки обходятся дорого компаниям любого размера.

То, что крупный бизнес в среднем несет больше потерь при нарушении целостности данных, неудивительно, однако интересно проанализировать распределение ущерба по категориям.

В прошлом году дополнительные выплаты сотрудникам были самой значительной статьей расхода и для SMB, и для крупного бизнеса. Однако в этом году картина изменилась, и у компаний разного размера главными стали разные статьи расходов. Небольшой и средний бизнес теряет больше всего по-прежнему на выплатах сотрудникам. А вот крупный бизнес стал вкладываться в дополнительный PR, чтобы снизить ущерб репутации бренда. Кроме того, значительной статьей расходов для крупного бизнеса стали затраты на улучшение технического оснащения и приобретение дополнительного ПО.

Для всех компаний выросли затраты на обучение сотрудников. Инциденты безопасности часто заставляют компании осознать важность повышения киберграмотности и улучшения системы анализа угроз.

Более обширные внутренние ресурсы крупных компаний и особенности регулирования их деятельности определяют иной баланс между затратами на ликвидацию самой угрозы и затратами на возмещение ущерба. Серьезной статьей расхода стало увеличение страховых премий, ухудшение кредитных рейтингов и подрыв доверия к компании: в среднем после каждого инцидента крупные компании теряют на этом около 2,3 млн рублей.

Наше исследование показало, что во многом росту расходов компании были обязаны необходимостью предотвратить – или хотя бы снизить – репутационные потери в виде кредитного рейтинга, имиджа бренда и компенсаций.

В связи с повсеместным внедрением все новых нормативных требований средний ущерб, скорее всего, продолжит расти: компаниям придется публично сообщать обо всех инцидентах и повышать прозрачность защиты данных.

Такие тенденции характерны, например, для Японии, где средние затраты на ликвидацию последствий бреши в системе безопасности увеличились больше чем вдвое: с 580 тыс. долл. США в 2016 году до 1,3 млн долл. США в 2017 году. Правительство Японии приняло меры к ужесточению нормативных требований в связи с увеличением числа угроз кибербезопасности. В 2017 году вступили в силу новые законы, которые и вызвали внезапный рост затрат.

Однако разработка и внедрение законов требует времени. В условиях стремительного развития корпоративного IT-ландшафта и эволюции киберугроз отставание нормативных мер становится серьезной проблемой. Например, новые японские стандарты были согласованы еще в 2015 году, однако их вступление в силу пришлось отложить на целых два года. Многим эта задержка обошлась очень дорого: за эти два года ряд крупных японских компаний стали жертвами дорогостоящих атак. Один из примеров – туристическая компания JTB Corp., которая в 2016 году столкнулась с огромной утечкой. Были украдены данные 8 миллионов клиентов, включая имена, адреса и номера паспортов.

Это один из симптомов общемировой проблемы: угрозы развиваются стремительно, а инерция правительств и компаний слишком высока. Еще один пример затягивания гаек – общеевропейские стандарты защиты данных (GDPR), которые вступают в силу в мае 2018 года и значительно ограничивают допустимые способы обработки и хранения данных граждан Евросоюза.

Законы меняются по всему миру, но за киберугрозами им не угнаться – об этом в России напомнили три волны шифровальщиков в 2017 году. Поэтому бизнесу следует помнить о несовершенстве законодательства и укреплять защиту в соответствии с фактическими обстоятельствами – или заранее смириться с ущербом для репутации и клиентов. К новым нормативным требованиям стоит готовиться, не дожидаясь крайних сроков. Меняя политики уже после выхода соответствующих законов, компании рискуют не только штрафами, но и безопасностью своих и клиентских данных.

Чужих уязвимостей не бывает: бреши в защите партнеров обходятся дорого

Для защиты от утечек данных очень важно представлять, какие векторы атаки используют злоумышленники. В свою очередь, эти сведения помогут понять, какие типы атак обходятся дороже всего.

Опрос показал, что для среднего и малого бизнеса наиболее тяжелые финансовые последствия имели следующие инциденты:

  • Инциденты, затрагивающие инфраструктуру, размещенную на оборудовании третьей стороны (17,2 млн руб.)
  • Инциденты, затрагивающие сторонние облачные сервисы, которые использует компания (3,6 млн руб.)
  • Ненадлежащий обмен данными посредством мобильных устройств (2,5 млн руб.)
  • Физическая потеря мобильных устройств, подвергающая организацию рискам (2,1 млн руб.)
  • Инциденты, связанные с невычислительными устройствами, подключенными к интернету (например, промышленные системы управления, Интернет вещей) (1,7 млн руб.)

Ситуация с крупным бизнесом несколько иная:

  • Целевые атаки (75 млн руб.)
  • Инциденты, затрагивающие облачные сервисы сторонних вендоров (19 млн руб.)
  • Вирусы и вредоносные программы (9 млн руб.)
  • Ненадлежащий обмен данными посредством мобильных устройств (7,3 млн руб.)
  • Инциденты, затрагивающие поставщиков, с которыми компании обмениваются данными (4,4 млн руб.)

По этим данным видно, что очень часто атаки, вызванные проблемами с безопасностью у бизнес-партнеров, обходятся компаниям любого размера едва ли не дороже всего. Это касается как организаций, арендующих у сторонних поставщиков облачную или иную инфраструктуру, так и компаний, которые обмениваются своими данными с партнерами.

Как только вы даете другой компании доступ к своим данным или инфраструктуре, их слабости становятся вашей проблемой. Однако ранее мы уже наблюдали, что большинство организаций не придают этому достаточного значения. Потому неудивительно, что инциденты такого рода вызывают самые большие расходы: любой боксер скажет вам, что в нокаут обычно отправляет именно неожиданный удар.

Также немедленно обращает на себя внимание еще один вектор, неожиданно вошедший в топ-5 угроз для среднего бизнеса: атаки, связанные с подключенными устройствами, не являющимися компьютерами. Сегодня трафик в интернете вещей (IoT) растет куда быстрее, чем трафик, генерируемый любыми другими технологиями. Это еще один пример того, как новые разработки увеличивают число потенциально уязвимых точек в бизнес-инфраструктуре. В частности, широкое использование заводских паролей по умолчанию и слабых средств безопасности на устройствах интернета вещей сделало их идеальным уловом для ботнетов типа Mirai – зловредов, способных объединять огромное количество уязвимых устройств в единую сеть для проведения масштабных DDoS-атак на выбранные цели.

Обращает на себя внимание сумма потери от целевых атак в сегменте крупного бизнеса – этой угрозе крайне сложно противодействовать. За последние пару лет стало известно о ряде громких целевых атак на банки, что также подкрепляет эту неутешительную статистику.

Инвестиции в сокращение рисков

Как показало наше исследование, угрозы информационной безопасности становятся все серьезнее. В этих условиях не может не беспокоить состояние самих бюджетов информационной безопасности. Проанализировав их изменения, мы сможем решить вопрос, рассматривают ли организации свою безопасность как источник затрат, или баланс понемногу меняется, и в ней начинают видеть поле для инвестиций, дающих реальное конкурентное преимущество.

Размер бюджета показывает отношение компании к IT-безопасности, важность роли защитной системы с точки зрения руководства и готовность организации к риску.

Бюджет информационной безопасности: доля растет, «пирог» уменьшается

В этом году мы наблюдаем, что экономия и аутсорсинг привели к сокращению IT-бюджетов. Несмотря на это (а может, и вследствие этого), доля информационной безопасности в этих IT-бюджетах возросла. В России положительная тенденция прослеживается в компаниях всех размеров. Даже среди микробизнеса, работающего в условиях недостатка ресурсов, доля в IT-бюджетах, отведенная на информационную безопасность, выросла, пусть и на долю процента.

Это означает, что компании наконец-то начинают понимать важность информационной безопасности. Возможно, это показывает, что ИБ стала восприниматься многими как потенциально полезные инвестиции, а не как источник затрат.

Мы наблюдаем, что в мире IT-бюджеты значительно сокращаются. Хотя информационная безопасность получает больший «кусок пирога», сам «пирог» уменьшается. Тенденция тревожная, особенно учитывая, как высоки ставки в этой области и как дорого обходится каждая атака.

В России средний бюджет на ИБ для крупного бизнеса в 2017 году достигал 400 млн руб, а для СМБ –4,6 млн руб.

Выборка: 694 респондента в России, способных дать оценку бюджета

Неудивительно, что организации, оказывающие государственные услуги (в том числе оборонный сектор), и финансовые учреждения по всему миру в этом году сообщают о самых высоких затратах на информационную безопасность. Предприятия в обоих этих секторах тратили на безопасность в среднем более 5 млн долл. США. Стоит отметить и то, что сектор IT и телекоммуникаций, а также компании энергетической отрасли тоже потратили на ИБ больше среднего, хотя их бюджеты оказались ближе к 3 млн долл. США, а не к 5.

Однако если разделить общие затраты на количество сотрудников, то государственные организации сдвигаются к концу списка. В среднем «подушные» затраты сектора IT и телекоммуникаций на ИБ составляют 1258 долл. США, тогда как энергетический сектор тратит 1344 долл. США, а финансовые компании – 1436 долл. США. Для сравнения, государственные учреждения выделяют на ИБ всего 959 долл. США на человека.

Как в сегменте IT и телекоммуникаций, так и в отрасли энергоснабжения высокие затраты на одного сотрудника, скорее всего, связаны с особенно актуальной в этих секторах экономики необходимостью защищать интеллектуальную собственность. В случае с организациями энергоснабжения высокие затраты на защиту могут быть обусловлены и тем, что эти компании все более уязвимы для целевых атак, организованных группами злоумышленников.

В этой отрасли инвестиции в информационную безопасность становятся залогом выживания, поскольку обеспечивают непрерывность работы – чрезвычайно важный фактор для энергоснабжения. Последствия успешной кибератаки в этой отрасли особенно тяжелы, поэтому инвестиции в ИБ приобретают весьма осязаемые преимущества.

В России в ИБ вкладываются в первую очередь IT и телекоммуникации, а также промышленные предприятия – средние расходы для первых достигают 300 млн рублей, для вторых – 80 млн рублей. Промышленные и производственные компании, как правило, полагаются на автоматизированные системы управления (ICS) для обеспечения непрерывности производственных процессов. При этом атаки на ICS увеличиваются в числе: за последние 12 месяцев их количество выросло на 5%.

Причины инвестиций в информационную безопасность

Разброс сумм инвестиций в ИБ между секторами очень велик. Поэтому особенно важно выяснить причины, побуждающие компании тратить ограниченные ресурсы на информационную безопасность. Не зная мотивов, невозможно понять, считает ли компания деньги, потраченные на безопасность IT-инфраструктуры, выброшенными на ветер или рассматривает их как выгодные вложения.

В 2017 году значительно больше компаний во всем мире признало, что собирается вкладывать средства в кибербезопасность независимо от ожидаемого возврата инвестиций: 63% по сравнению с 56% в 2016 году. Это показывает, что все больше компаний понимают важность ИБ.

Основные причины увеличения бюджета информационной безопасности, Россия

Не все компании ожидают скорого возврата инвестиций, однако многие глобальные компании назвали в качестве причины увеличения бюджетов ИБ давление со стороны ключевых заинтересованных лиц, включая топ-менеджмент компании (32%). Это показывает, что компании начинают видеть в росте расходов на ИБ свое стратегическое преимущество: меры безопасности позволяют не только защищаться в случае атаки, но и демонстрировать клиентам, что их данные находятся в надежных руках, а также обеспечивать непрерывность бизнеса, в которой заинтересовано руководство компании.

Самой популярной причиной для увеличения расходов на информационную безопасность большинство отечественных компаний назвали необходимость защитить все более сложную IT-инфраструктуру (46%), а необходимость повышения квалификации экспертов ИБ отметили 30%. Эти цифры указывают на потребность повышать уровень доступных компании экспертных знаний путем развития навыков собственных сотрудников. И в самом деле, как малые и средние, так и крупные предприятия все чаще инвестируют средства в поддержку внутренних трудовых ресурсов в борьбе против киберугроз.

При этом потребность увеличивать расходы на ИБ из-за новых бизнес-операций или расширения компании среди российского бизнеса снизилась: с 36% в прошлом году до 30% в 2017 году. Возможно, оно отражает макроэкономические факторы, с которыми нашим компаниям пришлось столкнуться в последнее время.

Заключение

Огромный урон в 2017 году нанесли массовые атаки, такие как WannaCry, exPetr и BadRabbit. Велик ущерб и от целенаправленных атак, в частности на российские банки. Все это демонстрирует, что ландшафт киберугроз меняется стремительно и неотвратимо. Компаниям приходится адаптировать свои средства защиты или оставаться не у дел.

Все более значительным фактором при принятии бизнес-решений становится разница между стоимостью подготовки к отражению кибератак и расходов, которые понесет жертва.

Отчет показывает, что даже сравнительно небольшие утечки данных, которые не интересуют широкую публику, могут весьма дорого обойтись компании и серьезно повлиять на ее работу. Еще одна причина роста затрат в случае инцидентов безопасности – изменения в законодательствах по всему миру. Компаниям приходится либо адаптироваться, либо рисковать как несоблюдением требований, так и возможным взломом.

В этих обстоятельствах становится особенно важно учитывать все последствия и затраты. Возможно, именно поэтому все больше компаний из разных стран увеличивают долю информационной безопасности в своих IT-бюджетах. В 2017 году значительно больше компаний по всему миру признало, что собирается вкладывать средства в кибербезопасность независимо от ожидаемого возврата инвестиций: 63% по сравнению с 56% в 2016 году.

Скорее всего, в связи с ростом ущерба от инцидентов кибербезопасности именно те организации, которые считают IT-затраты инвестициями в безопасность и готовы тратить на них значительные средства, будут лучше подготовлены к возможным неприятностям. А какова ситуация в вашей компании?



Не нашли ответ на свой вопрос? Посмотрите здесь
Как открыть документ Word онлайн Программа для редактирования doc файловКак открыть документ Word онлайн Программа для редактирования doc файлов
Назначение и удаление форматов в ExcelНазначение и удаление форматов в Excel
Что такое SMM-маркетинг и как это работает?Что такое SMM-маркетинг и как это работает?