Yazılım açıklarını keşfetmek için ikramiye ödeme platformlarından tanılama ve programların otomatik test edilmesine kadar çeşitli bilgisayar güvenlik teknolojilerine yatırım yaparlar. Ancak hepsinden önemlisi, kimlik doğrulama ve kimlik yönetimi teknolojilerinden etkileniyorlar - 2019'un sonunda bu teknolojilerle uğraşan girişimlere yaklaşık 900 milyon dolar yatırım yapıldı.

Siber güvenlik eğitimi girişimlerine yapılan yatırımlar, büyük ölçüde 300 milyon dolar toplayan KnowBe4 sayesinde 2019'da 418 milyon dolara ulaştı.Başlangıç, bir kimlik avı simülasyon platformu ve bir dizi eğitim programı sunuyor.

2019 yılında, Nesnelerin İnterneti'nin güvenliğine dahil olan şirketler tarafından yaklaşık 412 milyon dolar alındı. Bu kategoride SentinelOne, 2019 yılında uç nokta koruma teknolojilerinin geliştirilmesi için 120 milyon dolar alan yatırımlar açısından liderdir.

Aynı zamanda, Metacurity analistleri, sektördeki risk sermayesi piyasasındaki durumu karakterize eden başka veriler de sağlıyor. bilgi Güvenliği... Buradaki yatırım hacmi 2018'de 3,88 milyar dolardan artarak 2019'da 6,57 milyar dolara ulaştı. İşlem sayısı da arttı - 133'ten 219'a. Aynı zamanda, Metacurity'ye göre, işlem başına ortalama yatırım hacmi pratikte değişmeden kaldı ve 2019'un sonunda 29,2 milyona ulaştı.

2018

%9 büyüme ile 37 milyar dolar - Canalys

2018 yılında ekipman satışı, yazılım ve bilgi güvenliğine (IS) yönelik hizmetler bir yıl öncesine göre (34 milyar dolar) %9 artışla 37 milyar dolara ulaştı. Bu tür veriler, Canalys analistleri tarafından 28 Mart 2019'da yayınlandı.

Birçok şirket varlıklarını, verilerini, uç noktalarını, ağlarını, çalışanlarını ve müşterilerini korumaya öncelik verirken, siber güvenliğin 2018'de toplam BT harcamalarının yalnızca %2'sini oluşturduğunu söylediler. Bununla birlikte, giderek daha fazla yeni tehdit ortaya çıkıyor, daha karmaşık ve daha sık hale geliyorlar ve bu da bilgi güvenliği satıcılarına büyüme için yeni fırsatlar sağlıyor. Toplam siber güvenlik harcamalarının 2020'de 42 milyar doları aşması bekleniyor.

Canalys analisti Matthew Ball, yeni bilgi güvenliği uygulama modellerine geçişin hızlanacağına inanıyor. Müşteriler, genel bulut hizmetleri ve esnek abonelik tabanlı hizmetler ile BT bütçelerinin yapısını değiştiriyor.

2018'deki bilgi güvenliği sistemleri dağıtım projelerinin yaklaşık %82'si geleneksel donanım ve yazılım kullanımıyla ilişkilendirildi. Vakaların geri kalan %18'inde sanallaştırma, genel bulutlar ve bilgi güvenliği hizmetleri kullanıldı.

2020 yılına kadar, yeni çözümler piyasada popülerlik kazandıkça, bilgi güvenliği sistemlerinin dağıtımı için geleneksel modellerin payı %70'e düşecek.

Canalys analisti Ketaki Borade'ye göre, önde gelen siber savunma teknolojisi satıcıları, şirketlerin bir abonelik planına geçmesini ve bulut altyapısındaki operasyonlarını artırmasını içeren yeni dağıtım modelleri tanıttı.

2017

Siber güvenlik giderleri 100 milyar doları aştı

Araştırma şirketi Gartner, 2018 Ağustos ortasında yaptığı açıklamada, 2017 yılında bilgi güvenliği (IS) - ürün ve hizmetler - için yapılan küresel harcamanın 101,5 milyar dolara ulaştığını söyledi. 2017 sonunda uzmanlar bu pazarın 89,13 milyar dolar olduğunu tahmin ediyor, değerlendirmedeki önemli artışın nedeni açıklanmadı.

Uzmanlar, bilgi koruma maliyetlerini artıran en önemli faktörlerden birinin, tehditleri tespit etmek ve bunlara yanıt vermek için yeni yöntemlerin tanıtılması olduğuna inanıyor - 2018'de kuruluşların güvenliği için en yüksek öncelik haline geldiler.

Gartner tahminlerine göre 2017 yılında kuruluşların siber savunma hizmetlerine yaptığı harcamalar küresel olarak 52,3 milyar doları aşarken, 2018 yılında bu maliyetler 58,9 milyar dolara yükselecek.

2017 yılında şirketler uygulama korumasına 2,4 milyar dolar, veri korumasına 2,6 milyar dolar ve bulut hizmetleri- 185 milyon dolar

Kimlik ve erişim yönetimi (Kimlik ve Erişim Yönetimi) için çözümlerin yıllık satışı 8,8 milyara eşit olurken, BT altyapısını koruma araçlarının uygulanması 12,6 milyar dolara yükseldi.

Çalışma ayrıca ağ güvenliğini sağlamak için kullanılan ekipmanlara 10,9 milyar dolar harcandığını da bildirdi. Üreticileri bilgi güvenliği risk yönetim sistemlerinden 3,9 milyar dolar kazandı.

Bir Gartner araştırmasına göre, 2017 için tüketici siber güvenlik harcamaları analistler tarafından 5,9 milyar dolar olarak tahmin edildi.

Gartner pazar büyüklüğünü 89.13 milyar dolar olarak tahmin etti

Aralık 2017'de şirketlerin bilgi güvenliği (IS) konusundaki küresel harcamalarının 2017'de 89,13 milyar dolar olacağı biliniyordu.Gartner'a göre siber güvenliğe yönelik kurumsal harcamalar 2016'da 82,2 milyar doları neredeyse 7 milyar doları aşacak.

Uzmanlar, siber güvenlik hizmetlerini en büyük gider kalemi olarak görüyor: 2016'da 48,8 milyar dolara karşılık, 2017'de şirketler bu amaçlar için 53 milyar doların üzerinde kaynak ayıracak. Bilgi güvenliği pazarının ikinci en büyük segmenti, maliyetleri bir yıl önce 15,2 milyar dolar yerine 2017'de 16,2 milyar dolar olacak olan altyapıyı korumaya yönelik çözümlerdir. Ağ güvenliği ekipmanı - üçüncü sırada (10,93 milyar dolar).

Bilgi güvenliği maliyetlerinin yapısı ayrıca bilgi güvenliği için tüketici yazılımlarını ve bir kimlik ve erişim yönetim sistemini (Kimlik ve Erişim Yönetimi, IAM) içerir. Bu alanlardaki maliyetlerin 2017 yılında Gartner'da 4,64 milyar dolar ve 4,3 milyar dolar olduğu tahmin edilirken, 2016'da rakamlar sırasıyla 4,57 milyar dolar ve 3,9 milyar dolar olarak gerçekleşti.

Analistler bilgi güvenliği pazarında daha fazla artış bekliyor: 2018'de kuruluşlar siber savunma harcamalarını %8 daha artıracak ve bu amaçlar için toplam 96,3 milyar dolar tahsis edecek.Büyüme faktörleri arasında uzmanlar değişen düzenlemeyi bilgi bölümünde sıraladı. güvenlik sektörü, yeni tehditlerin farkındalığı ve şirketlerin dijital iş stratejisine dönüşmesi.

Analistin sözleri, Gartner tarafından 2016 yılında sekiz ülkeden 512 kuruluşla yapılan bir ankette elde edilen verilerle de doğrulanıyor: Avustralya, Kanada, Fransa, Almanya, Hindistan, Singapur ve Amerika Birleşik Devletleri.

Ankete katılanların %53'ü siber güvenlik harcamalarındaki artışın arkasındaki ana itici güç olarak siber güvenlik risklerini belirtti. Bu sayının içinde, ankete katılanların en yüksek yüzdesi, siber saldırı tehditlerinin bilgi güvenliği harcamaları hakkında karar vermede en etkili olduğunu söyledi.

Gartner'ın 2018 görünümü, tüm ana alanlarda harcamalarda artış sağlıyor. Böylece siber koruma hizmetlerine yaklaşık 57,7 milyar dolar (+ 4,65 milyar dolar), altyapı güvenliğine yaklaşık 17,5 milyar dolar (+ 1,25 milyar dolar), ağ koruma ekipmanına 11,67 milyar dolar (+ 735 milyon dolar), tüketici yazılım - 4,74 milyar dolar (+ 109 milyon dolar) ve IAM sistemleri - 4,69 milyar dolar (+ 416 milyon dolar).

Analistler ayrıca 2020 yılına kadar dünyadaki kuruluşların %60'ından fazlasının bilgi kaybını önleme, şifreleme ve denetleme dahil olmak üzere çeşitli veri koruma araçlarına aynı anda yatırım yapacağına inanıyor. 2017 yıl sonu itibarıyla bu tür çözümleri satın alan firmaların payı %35 olarak tahmin edilmiştir.

Bilgi güvenliğine yönelik kurumsal harcamaların bir diğer önemli kalemi, üçüncü taraf uzmanların katılımı olacaktır. Siber güvenlik alanındaki personel eksikliği, bilgi güvenliği sistemlerinin artan teknik karmaşıklığı ve siber tehditlerdeki artış nedeniyle, şirketlerin 2018 yılında bilgi güvenliği dış kaynak kullanımı maliyetlerinin %11 oranında artacağı ve bu maliyetlerin %11 oranında artacağı beklenmektedir. 18,5 milyar dolar.

Gartner'ın hesaplamalarına göre, 2019 yılına kadar üçüncü taraf bilgi güvenliği uzmanlarının hizmetlerine yapılan kurumsal harcamalar, siber güvenlik için toplam yazılım ve ekipman maliyetinin %75'ini oluşturacakken, 2016'da bu oran %63 seviyesindeydi.

IDC 82 milyar dolarlık pazar büyüklüğü öngörüyor

Masrafların üçte ikisi, büyük ve çok büyük işletmelerle ilgili şirketlere düşecek. 2019 yılına kadar IDC analistlerine göre 1000'den fazla çalışanı olan şirketlerin harcamalarının büyüklüğü 50 milyar doları aşacak.

2016: Pazar büyüklüğü 73,7 milyar dolar, büyüme BT pazarının 2 katı

Ekim 2016'da analitik şirket IDC, küresel bilgi güvenliği pazarının araştırma sonuçlarının bir özetini sundu. Büyümesinin BT pazarından daha fazla dul kalması bekleniyor.

IDC, siber savunmaya yönelik küresel ekipman, yazılım ve hizmet satışlarının 2016'da yaklaşık 73,7 milyar dolara ulaşacağını ve 2020'de rakamın 100 milyar doları aşarak 101,6 milyar dolar olacağını tahmin ediyor. güvenlik pazarı -teknoloji, BT sektörünün beklenen büyüme oranının iki katı olan yıllık ortalama %8.3 oranında büyüyecek.

2016 sonunda en büyük siber güvenlik harcamalarının (8,6 milyar dolar) bankalarda olması bekleniyor. Bu tür yatırımlar açısından ikinci, üçüncü ve dördüncü sırayı sırasıyla ayrı imalat işletmeleri, devlet kurumları ve sürekli üretim işletmeleri işgal edecek ve bu da masrafların yaklaşık %37'sini oluşturacaktır.

Artan siber güvenlik yatırımlarının dinamiklerinde liderlik, analistler tarafından sağlık hizmetlerine verilmektedir (2016-2020'de yıllık ortalama %10,3'lük bir büyüme beklenmektedir). Telekom, konut sektörü, devlet kurumları ile yatırım ve menkul kıymetler piyasasında siber savunma maliyetleri yılda yaklaşık %9 artacak.

Araştırmacılar, en büyük siber güvenlik pazarını, 2016 yılında hacmi 31,5 milyar dolara ulaşacak olan Amerikan pazarı olarak adlandırıyor, ilk üçe Batı Avrupa ve Asya-Pasifik bölgesi de (Japonya hariç) dahil olacak. IDC anketinin kısa versiyonunda Rusya pazarı hakkında bilgi yok.

Rus şirketi Monitor Security'nin Genel Müdürü Dmitry Gvozdev, hizmetlerin toplam Rus güvenlik harcamaları içindeki payında %30-35'ten %40-45'e bir artış öngörüyor ve ayrıca pazarın müşteri yapısının gelişimini de öngörüyor. devlet, finans ve enerji sektörlerinin daha geniş bir endüstri yelpazesinden orta ölçekli işletmelere yönelik toplam hakimiyeti.

2015

MARKET BOYU

FEDERAL HARCAMA

SİBER SUÇ

İHLAL BAŞINA MALİYET

FİNANSAL HİZMETLER

Uluslararası

GÜVENLİK ANALİZİ

2013: EMEA pazarı 2,5 milyar dolara büyüdü.

EMEA bölgesindeki (Avrupa, Orta Doğu ve Afrika) güvenlik ürünleri pazarının büyüklüğü 2012'ye göre %2,4 artarak 2,5 milyar dolara ulaştı Analistler, koruma için çok işlevli yazılım ve donanım kompleksleri olarak adlandırdı. bilgisayar ağları- UTM çözümleri (Birleşik tehdit yönetimi). Aynı zamanda, IDC, 2018 yılına kadar teknik bilgi güvenliği araçları pazarının, yıllık ortalama %5,4 büyüme ile değer bazında 4,2 milyar dolara ulaşacağını öngördü.

2013 yılı sonunda Check Point, EMEA bölgesinde bilgi güvenliği teknik araçlarının satışından elde edilen gelir açısından tedarikçiler arasında lider konuma gelmiştir. IDC'ye göre, 2013 yılı için satıcının bu segmentteki geliri %3,8 artarak 374,64 milyon $'a ulaştı ve bu da %19,3'lük bir pazar payına tekabül ediyor.

2012: PAC tahmini: Bilgi güvenliği pazarı yılda %8 büyüyecek

Çalışma, küresel bilgi güvenliği pazarının, 36 milyar avroya ulaşabileceği 2016 yılına kadar yıllık %8 büyüyeceğini belirtti.

"Bilgi güvenliği" terimi, bağlama göre farklı anlamlarda kullanılmaktadır. En geniş anlamıyla kavram, gizli bilgilerin, üretim sürecinin, şirket altyapısının mali zarara veya itibar kaybına yol açan kasıtlı veya tesadüfi eylemlerden korunmasını ifade eder.

Bilgi güvenliği ilkeleri

herhangi bir sektörde bilgi güvenliğinin temel ilkesi vatandaş, toplum ve devletin çıkarları dengesini korumaktır. Bir dengeyi korumanın zorluğu, toplumun ve vatandaşın çıkarlarının çoğu zaman çatıştığı gerçeğinde yatmaktadır. Bir vatandaş, kişisel yaşamının ayrıntılarını, kaynaklarını ve gelir düzeyini, kötü işleri gizli tutmaya çalışır. Aksine, toplum yasadışı gelir, yolsuzluk gerçekleri ve suç eylemleri hakkındaki bilgilerin “sınıfını kaldırmak” ile ilgilenmektedir. Devlet, vatandaşın kişisel verileri ifşa etmeme hakkını koruyan ve aynı zamanda suçların açıklanması ve faillerin adalete teslim edilmesi ile ilgili hukuki ilişkileri düzenleyen bir sınırlama mekanizması oluşturur ve yönetir.

Günümüz ortamında önemli hukuki destek ilkesi düzenleyici desteğin bilgi güvenliği endüstrisinin gelişimine ayak uyduramaması durumunda bilgi güvenliğini elde eder. Yasal boşluklar yalnızca siber suçlar için sorumluluktan kaçmaya izin vermekle kalmaz, aynı zamanda gelişmiş veri koruma teknolojilerinin uygulanmasını da engeller.

Küreselleşme ilkesi , veya bilgi güvenliği sistemlerinin entegrasyonu tüm sektörleri etkiler: politik, ekonomik, kültürel. Uluslararası iletişim sistemlerinin geliştirilmesi, tutarlı veri güvenliği gerektirir.

Buna göre ekonomik uygunluk ilkesi , bilgi güvenliğini sağlamaya yönelik önlemlerin etkinliği, harcanan kaynaklarla eşleşmeli veya aşmalıdır. Bir güvenlik sistemini sürdürmenin kurtarılamaz maliyeti, yalnızca ilerlemeye zarar verir.

Sistem esnekliği ilkesi bilgi koruması, yeni teknolojilerin üretilmesini ve uygulanmasını engelleyen herhangi bir rejim kısıtlamasının ortadan kaldırılması anlamına gelir.

Gizli, açık olmayan bilgilerin sıkı bir şekilde düzenlenmesi, gizlilik ilkesi .

Verileri korumak için ne kadar farklı donanım ve yazılım güvenlik araçları kullanılırsa, saldırganların güvenlik açıklarını keşfetmesi ve korumayı atlaması için o kadar çok yönlü bilgi ve beceriler gerekir. Bilgi güvenliğini güçlendirmeyi amaçlar. çeşitlilik ilkesi savunma mekanizmaları bilgi sistemi.

Kontrol kolaylığı ilkesi güvenlik sistemi, bilgi güvenliği sistemi ne kadar karmaşıksa, tek tek bileşenlerin tutarlılığını kontrol etmenin ve merkezi yönetimi uygulamanın o kadar zor olduğu fikrine dayanmaktadır.

Personelin bilgi güvenliğine sadık bir tutumunun anahtarı, bilgi güvenliği kuralları konusunda sürekli eğitim ve şirketin iflasına kadar varabilecek ve bu kurallara uyulmamasının sonuçlarının net bir şekilde açıklanmasıdır. Sadakat ilkesi veri güvenliği yöneticileri ve tüm şirket personeli için güvenlik, çalışan motivasyonu ile bağlantılıdır. Çalışanlar, karşı taraflar ve müşteriler bilgi güvenliğini gereksiz hatta düşmanca algılarsa, en güçlü sistemler bile şirketteki bilgilerin güvenliğini garanti edemez.

Listelenen ilkeler, endüstrinin özelliklerine bağlı unsurlarla desteklenen tüm endüstrilerde bilgi güvenliğinin sağlanması için temel oluşturur. Bankacılık, enerji ve medya örneklerine bakalım.

Bankalar

Siber saldırı teknolojilerinin gelişimi, bankaları yeni ve sürekli olarak temel güvenlik sistemlerini geliştirmeye zorlamaktadır. Bankacılık sektöründe bilgi güvenliğini geliştirmenin amacı, bilgi kaynaklarını güvence altına alabilen ve en son BT ürünlerinin finansal kurumların temel iş süreçlerine entegrasyonunu sağlayan teknolojik çözümler geliştirmektir.

Finansal kurumların bilgi güvenliği mekanizmaları, onaylanmış uluslararası sözleşme ve anlaşmaların yanı sıra federal yasa ve standartlara uygun olarak oluşturulmuştur. Rus bankaları için bilgi güvenliği alanındaki kriterler şunlardır:

• Rusya Merkez Bankası standardı STO BR IBBS-1.0-2010 "Rusya Federasyonu bankacılık sistemindeki kuruluşların bilgi güvenliğinin sağlanması";
• 161 sayılı "Ulusal Ödeme Sistemi Hakkında" Federal Kanun;
• 152 Sayılı "Kişisel Veriler Hakkında" Federal Kanun;
• Ödeme Sektörü Veri Güvenliği Standardı PCI kartları DSS ve diğer belgeler.

Farklı yasa ve standartlara uyma ihtiyacı, bankaların birçok işlemi gerçekleştirmesinden kaynaklanmaktadır. çeşitli operasyonlar, kendi güvenlik araçlarına ihtiyaç duyan farklı yönlerde faaliyetler yürütür. Örneğin, uzaktan bankacılık hizmetleri (RBS) için bilgi güvenliğinin sağlanması, bankacılık uygulamalarını koruma, veri akışlarını kontrol etme araçlarını içeren bir güvenlik altyapısının oluşturulmasını içerir. bankacılık işlemlerini izlemek ve olayları araştırmak. Bilgi kaynaklarının çok bileşenli koruması, RBS hizmetlerini kullanırken dolandırıcılıkla ilişkili tehditlerin en aza indirilmesini ve bankanın itibarının korunmasını sağlar.

Diğer sektörlerde olduğu gibi bankacılık sektörünün de bilgi güvenliği, personel alımına bağlıdır. Bankalarda bilgi güvenliğinin özelliği, düzenleyici düzeyinde güvenlik uzmanlarına artan ilgidir. 2017 yılının başlarında, Rusya Merkez Bankası, Çalışma ve Sosyal Koruma Bakanlığı ile birlikte, bilgi güvenliği uzmanları için Eğitim ve Bilim Bakanlığı olan FSTEC'in katılımıyla.

Bir bankada IB denetimi nasıl doğru bir şekilde yapılır?

Enerji

Enerji kompleksi, bilgi güvenliğini sağlamak için özel önlemler gerektiren stratejik endüstrilerden biridir. Yönetim ve departmanlardaki işyerlerinde standart bilgi güvenliği araçları yeterliyse, enerji üretimi ve son kullanıcılara ulaştırılması gibi teknolojik alanlarda korumanın daha fazla kontrol edilmesi gerekir. Enerji sektöründe korumanın ana amacı bilgi değil, teknolojik süreçtir. Bu durumda güvenlik sistemi, teknolojik süreç ve otomatik kontrol sistemlerinin bütünlüğünü sağlamalıdır. Bu nedenle, enerji sektörü işletmelerinde bilgi güvenliği mekanizmalarını tanıtmadan önce uzmanlar şunları inceliyor:

• korumanın amacı teknolojik bir süreçtir;
• enerji mühendisliğinde kullanılan cihazlar (telemekanik);
• eşlik eden faktörler (röle koruması, otomasyon, enerji ölçümü).

Enerji sektöründe bilgi güvenliğinin önemi, bilgi siber tehditlerinin uygulanmasının sonuçları ile belirlenir. Bu sadece maddi hasar veya itibara bir darbe değil, her şeyden önce - vatandaşların sağlığına zarar vermek, çevreye zarar vermek, bir şehrin veya bölgenin altyapısının ihlalidir.

Enerji sektöründe bir bilgi güvenliği sistemi tasarlamak, güvenlik risklerini tahmin etmek ve değerlendirmekle başlar. Ana değerlendirme yöntemi, bir güvenlik sistemi düzenlerken kaynakların rasyonel olarak tahsis edilmesine ve siber tehditlerin uygulanmasını önlemeye yardımcı olan olası tehditlerin modellenmesidir. Ayrıca, enerji sektöründeki güvenlik risklerinin değerlendirilmesi süreklidir: maksimum koruma derecesini sağlamak ve sistemi güncel tutmak için ayarları zamanında değiştirmek için sistemin çalışması sırasında sürekli denetimler yapılır.

kitle iletişim araçları

Medyada bilgi güvenliğinin temel görevi, vatandaş, toplum ve devletin çıkarları dahil olmak üzere ulusal çıkarları korumaktır. Medyanın modern koşullarda faaliyeti, son kullanıcılara alınan, işlenen ve yayınlanan haber ve gazetecilik materyalleri biçiminde bilgi akışlarının yaratılmasına indirgenmiştir: okuyucular, izleyiciler, site ziyaretçileri.

Kitle iletişim araçları alanında güvenliğin sağlanması ve kontrolü çeşitli yönlerde uygulanır ve şunları içerir:

• bir bilgi saldırısı tehdidinin gerçekleşmesi durumunda kriz önleme prosedürlerine ilişkin tavsiyelerin geliştirilmesi;
• medya editoryal ofisleri, basın servisleri, halkla ilişkiler departmanları çalışanları için bilgi güvenliği konusunda eğitim programları;
• bilgi saldırısına uğrayan bir organizasyonun geçici olarak dışarıdan yönetimi.

Medyada bilgi güvenliğinin bir diğer sorunu da önyargıdır. Olayların objektif bir şekilde ele alınmasını sağlamak için, gazetecileri hükümet yetkililerinin, yönetiminin ve / veya medyanın sahibinin baskısından koruyacak ve aynı zamanda - dürüst olmayan medya temsilcilerinin eylemlerinden iyi niyetli iş yapılarını sigortalayacak bir koruma mekanizması gereklidir. .

Verilere erişimi kısıtlamak, medya sektöründe bilgi güvenliğinin bir diğer köşe taşıdır. Sorun şu ki, bilgi tehditlerini önlemek için bilgiye erişimi kısıtlamak sansür için bir “örtü” haline gelmiyor. Avrupa Birliği'nde oylanmayı bekleyen Bilgi Kaynaklarına Erişim Sözleşmesi taslağında, medyanın çalışmalarını daha şeffaf hale getirecek ve ulusal güvenlik çıkarlarının zarar görmemesine yardımcı olacak bir karar yer alıyor. Belgenin normları, devletin internette uygun siciller oluşturarak tüm resmi belgelere eşit erişim sağladığını varsayar ve değiştirilemeyecek erişim kısıtlamaları koyar. Bilgi kaynaklarına erişim kısıtlamalarını iptal etmenize izin verecek yalnızca iki istisna vardır:

• kamu yararı normal koşullar altında yayılmaya tabi olmayan bu verileri bile ifşa etme yeteneği anlamına gelen;
• Ulusal çıkar bilgileri gizlemek devlete zarar verirse.

Özel sektör

Piyasa ekonomisinin gelişmesi, büyüme ve sert rekabet ile şirketin itibarı maddi olmayan duran varlıkların ayrılmaz bir parçası haline gelir. Olumlu bir imajın oluşması ve güvenliği doğrudan bilgi güvenliği düzeyine bağlıdır. Firmanın piyasadaki yerleşik imajı bilgi güvenliğinin garantisi olarak hizmet ettiğinde de bir geri bildirim vardır. Bu yaklaşımla, üç tür iş itibarı vardır:

1. "İşe yaramaz" bir organizasyonun görüntüsü, bilgi kaynakları üçüncü bir kişinin zararına veya yararına kullanılamayacağı için ilgi çekmeyen bilgiler.

2. Güçlü bir düşmanın görüntüsü, güvenliğini tehdit etmek için "benim canım". Bir bilgi saldırısını püskürtmek için fırsatların sınırlarının bulanıklaştırılması, zorlu bir düşmanın itibarının korunmasına yardımcı olur: bilgi koruma potansiyelini anlamak ne kadar zorsa, şirket saldırganların gözünde o kadar ulaşılmaz görünür.

3. "Faydalı" bir organizasyonun resmi... Potansiyel bir saldırgan, şirketin yaşayabilirliği ile ilgileniyorsa, bir bilgi saldırısı yerine diyalog ve ortak bir bilgi güvenliği politikasının oluşturulması mümkündür.

Her şirket faaliyetlerini mevzuat normlarını gözeterek ve belirlenen hedeflere ulaşmak için çabalayarak düzenler. Benzer kriterler, bilgi güvenliği politikasının geliştirilmesi, gizli veriler ve BT kaynakları için iç güvenlik sistemlerinin uygulanması ve işletilmesine de uyacaktır. Bir kuruluşta mümkün olan en yüksek düzeyde bilgi güvenliğini sağlamak için, güvenlik sistemlerinin uygulanmasından sonra güvenlik bileşenleri sistematik olarak izlenmeli, yeniden yapılandırılmalı ve gerektiğinde güncellenmelidir.

Stratejik tesislerin bilgi koruması

2017 yılının başlarında, Rusya Federasyonu Devlet Duması, ilk okumada ülkenin bilgi güvenliği ve kritik bilgi altyapısı ile ilgili bir yasa tasarısı paketini kabul etti.

Rusya Federasyonu'nun askeri alanındaki bilgi tehditlerinin ana kaynakları.

Meclis'in bilgi politikası, bilgi teknolojisi ve iletişim komisyonu başkanı Leonid Levin, yasa tasarılarını sunarak, stratejik açıdan önemli nesnelere yönelik siber saldırıların sayısında bir artış olduğu konusunda uyardı. Komite toplantısında FSB temsilcisi Nikolai Murashov, yıl boyunca Rusya'daki nesnelere 70 milyon siber saldırı gerçekleştirildiğini söyledi. Artan dış saldırı tehditleriyle eş zamanlı olarak, ülke içindeki bilgi saldırılarının ölçeği, karmaşıklığı ve koordinasyonu artıyor.

Parlamenterler tarafından kabul edilen yasa tasarıları, ulusal kritik altyapı ve bireysel endüstriler alanında bilgi sağlamak için yasal bir temel oluşturur. Ayrıca kanun tasarıları, devlet organlarının bilgi güvenliği alanındaki yetkilerini düzenlemekte ve bilgi güvenliğinin ihlali durumunda daha ağır cezai sorumluluk öngörmektedir.

Bilgi güvenliğinin maliyetini haklı çıkarmak için iki ana yaklaşım vardır.

Bilimsel yaklaşım... Bunu yapmak için, şirketin (veya sahibinin) yönetimini bilgi kaynaklarının maliyetini değerlendirmeye, bilgi koruma alanındaki ihlallerden kaynaklanan potansiyel zararların değerlendirilmesini belirlemeye dahil etmek gerekir.

1. Bilginin maliyeti düşükse, şirketin bilgi varlıklarına yönelik önemli bir tehdit yoktur ve potansiyel hasar minimumdur, bilgi güvenliğini sağlamak daha az finansman gerektirir.

2. Bilginin belirli bir değeri varsa, tehditler ve potansiyel zararlar önemli ve tanımlanmışsa, bilgi güvenliği alt sisteminin maliyetlerinin bütçelenmesi sorunu ortaya çıkar. Bu durumda kurumsal bir bilgi güvenliği sistemi kurmak gerekir.

Uygulamalı bir yaklaşım diğer alanlardaki benzer sistemlere dayalı bir kurumsal bilgi güvenliği sisteminin gerçek maliyeti seçeneğinin belirlenmesinden oluşur. Bilgi güvenliği alanındaki uzmanlar-uygulayıcılar, bilgi güvenliği rejiminin özel gereksinimlerine bağlı olarak, bir bilgi güvenliği sisteminin maliyetinin bir kurumsal bilgi sisteminin maliyetinin yaklaşık %10-20'si olması gerektiğine inanmaktadır.

Bilgi güvenliği rejimini sağlamak için genel kabul görmüş gereklilikler (pratik deneyime dayalı), örneğin ISO 17799 gibi bir dizi standartta resmileştirilmiş, bir bilgi güvenliği sisteminin etkinliğini değerlendirmek için özel yöntemler geliştirilirken pratikte uygulanmaktadır. .

Bilgi güvenliği maliyetlerini değerlendirmek için modern yöntemlerin kullanılması, donanım ve yazılımın doğrudan ve dolaylı maliyetleri, organizasyonel önlemler, çalışanların eğitimi ve ileri eğitimi, yeniden organizasyon, işin yeniden yapılandırılması dahil olmak üzere bir kuruluşun bilgi varlıklarının tüm harcama kısmını hesaplamanıza olanak tanır. , vb.

Mevcut kurumsal güvenlik sistemlerinin maliyet etkinliğini kanıtlamak ve bilgi güvenliği yöneticilerinin bilgi güvenliği bütçesini haklı çıkarmalarının yanı sıra ilgili hizmetin çalışanlarının etkinliğini kanıtlamak için gereklidirler. Yabancı şirketler tarafından kullanılan maliyet tahmin yöntemleri şunları sağlar:

Dağıtılmış bir bilgi işlem ortamının güvenlik düzeyi ve bir kurumsal bilgi güvenliği sisteminin toplam sahip olma maliyeti hakkında yeterli bilgi edinin.

Bir kuruluşun bilgi güvenliği bölümlerini hem kendi aralarında hem de sektördeki diğer kuruluşların benzer bölümleriyle karşılaştırın.

Kuruluşunuzun bilgi güvenliği yatırımlarını optimize edin.

Bir bilgi güvenliği sistemi ile ilgili en iyi bilinen maliyet tahmin tekniklerinden biri, toplam sahip olma maliyeti (TCO) Gartner Group'un CER göstergesi, yıl boyunca kurumsal bilgi güvenliği sisteminin düzenlenmesi (yeniden düzenlenmesi), işletilmesi ve bakımının doğrudan ve dolaylı maliyetlerinin toplamıdır. Bir kurumsal bilgi güvenliği sisteminin yaşam döngüsünün tüm önemli aşamalarında pratik olarak kullanılır ve belirli organizasyonel ve teknik önlemler ile bilgi güvenliği araçlarının tanıtılması ve kullanılmasının ekonomik fizibilitesini nesnel ve bağımsız olarak doğrulamayı mümkün kılar. Kararın nesnelliği için, örneğin işletmenin teknolojik, personel ve finansal gelişiminin göstergeleri gibi işletmenin dış ve iç ortamının durumunu da dikkate almak gerekir.

Belirli bir TCO göstergesinin sektördeki benzer TCO göstergeleriyle (benzer şirketlerle) karşılaştırılması, kuruluşun bilgi güvenliği maliyetlerini nesnel ve bağımsız olarak doğrulamayı mümkün kılar. Gerçekten de, bu maliyetlerin doğrudan ekonomik etkisini değerlendirmek çoğu zaman oldukça zor ve hatta neredeyse imkansız olduğu ortaya çıkıyor.

Bir bilgi güvenliği sistemi için toplam sahip olma maliyeti genellikle aşağıdaki maliyetlerden oluşur:

Tasarım çalışması,

Güvenlik duvarları, kriptografi araçları, antivirüsler ve AAA (kimlik doğrulama, yetkilendirme ve yönetim araçları) dahil olmak üzere yazılım ve donanım koruma araçlarının satın alınması ve ayarlanması,

Fiziksel güvenliği sağlamanın maliyeti,

Personel eğitimi,

Sistem yönetimi ve desteği (güvenlik yönetimi),

Bilgi güvenliği denetimi, - bilgi güvenliği sisteminin periyodik olarak modernizasyonu.

Bununla birlikte, doğrudan maliyetler, hem maliyetlerin (sabit varlıklar veya "mülk" ile ilişkili) sermaye bileşenlerini hem de operasyonlar ve yönetim kategorilerinde muhasebeleştirilen emeği içerir. Bu aynı zamanda, kuruluşun faaliyetlerini desteklemekle ilişkili uzak kullanıcılar vb. için hizmetlerin maliyetini de içerir.

Buna karşılık, dolaylı maliyetler, kurumsal bilgi sistemi ve bilgi güvenliği alt sisteminin, kesinti süresi ve kurumsal bilgi güvenliği sisteminin ve bir bütün olarak bilgi sisteminin "donmaları" gibi ölçülebilir göstergeler aracılığıyla kuruluşun çalışanları üzerindeki etkisini, operasyonların maliyetleri ve destek (doğrudan maliyetlerle ilgili değil). Çoğu zaman, dolaylı maliyetler önemli bir rol oynar, çünkü bunlar genellikle başlangıçta bilgi güvenliği bütçesine yansıtılmazlar, ancak daha sonra bir maliyet analizinde tanımlanırlar.

Kuruluşun TCO göstergelerinin hesaplanması aşağıdaki alanlarda gerçekleştirilir.

Kurumsal bilgi sisteminin bileşenleri(bilgi güvenlik sistemi dahil) ve kuruluşun bilgi faaliyetleri (sunucular, istemci bilgisayarlar, çevre birimleri, ağ cihazları).

Donanım ve yazılım bilgi güvenliği giderleri Sunucular, istemci bilgisayarlar (masaüstü ve mobil bilgisayarlar), çevre birimleri ve ağ bileşenleri için sarf malzemeleri ve amortisman maliyetleri.

Bilgi güvenliği organizasyon maliyetleri: bilgi güvenliği sisteminin bakımı, çevresel aygıtları, sunucuları, ağ aygıtlarını korumanın standart araçları, bilgi güvenliği süreçlerini planlama ve yönetme, bir güvenlik konsepti ve politikası geliştirme ve diğerleri.

Bilgi yönetimi maliyetleri Kaynaklar: Kullanıcılara teknik destek ve altyapı bakım işlemleri sağlamak için bir bütün olarak kuruluş tarafından veya hizmet tarafından yapılan doğrudan personel maliyetleri, işçilik maliyetleri ve dış kaynak kullanımı.

Yönetim giderleri: bilgi sistemlerinin yönetimi, finansmanı, edinimi ve eğitimi dahil olmak üzere operasyonları desteklemek için personelin doğrudan maliyetleri, faaliyetlerin sürdürülmesi ve dahili / harici tedarikçilerin (satıcıların) maliyetleri.

İşletme maliyetleri son kullanıcılar : son kullanıcılar için kendi kendine destek maliyetleri, resmi son kullanıcı eğitimi, düzensiz (gayri resmi) eğitim, bağımsız uygulama geliştirme, yerel dosya sistemi desteği.

Arıza süresi maliyetleri: İstemci bilgisayarlar, paylaşılan sunucular, yazıcılar, uygulama programları, iletişim kaynakları ve iletişim yazılımları dahil olmak üzere ağ kaynaklarının planlı ve plansız kesintilerinden kaynaklanan yıllık son kullanıcı üretkenliği kaybı.

Çalışmanın amacı: Rus bilgi güvenliği pazarındaki ana eğilimleri analiz etmek ve belirlemek
Rosstat verilerini kullandı (istatistiksel raporlama formları No. 3-Inform, P-3, P-4), İşletmelerin mali tabloları vb.

Kuruluşlar tarafından bilgi ve iletişim teknolojilerinin ve bilgi güvenliği araçlarının kullanımı

• Bu bölümü hazırlamak için toplu, coğrafi olarak ayrı bölümler ve temsilcilikler kullanıldı (Form 3-Bilgi "Bilgi ve iletişim teknolojilerinin kullanımı ve bu alanlarda bilgisayar, yazılım ve hizmetlerin üretimi hakkında bilgi".

2012-2016 dönemi analiz edilmiştir. Veriler (sınırlı sayıda işletme için toplandığı için) eksiksiz olduğunu iddia etmemektedir, ancak kanaatimizce eğilimleri değerlendirmek için kullanılabilir. İncelenen dönem için yanıt veren işletme sayısı 200 ile 210 bin arasında değişmektedir. Diğer bir deyişle, örneklem oldukça istikrarlıdır ve satışların büyük kısmını oluşturan en olası tüketicileri (büyük ve orta ölçekli işletmeler) içerir.

Kuruluşlarda kişisel bilgisayarların kullanılabilirliği

İstatistiksel raporlama formu 3-Inform'a göre, 2016 yılında bu form hakkında bilgi veren Rus kuruluşlarında yaklaşık 12,4 milyon adet vardı. kişisel bilgisayarlar(PC). PC, bu durumda, masaüstü ve dizüstü bilgisayarlar anlamına gelir, bu kavram mobil içermez Cep telefonları ve cep bilgisayarları.

Son 5 yılda, bir bütün olarak Rusya'da kuruluşlardaki PC birimlerinin sayısı% 14,9 arttı. En donanımlı federal bölge Merkez Federal Bölge'dir, şirketlerdeki bilgisayarların %30,2'sini oluşturur. Bu göstergede tartışmasız lider Moskova şehridir; 2016 verilerine göre, Moskova şirketlerinin yaklaşık 1.8 milyon PC'si var. Göstergenin en düşük değeri Kuzey Kafkasya Federal Bölgesi'nde kaydedildi, bölge kuruluşlarında sadece yaklaşık 300 bin PC birimi var, İnguşetya Cumhuriyeti'ndeki en küçük sayı - 5,45 bin birim.

Pirinç. 1. Kuruluşlardaki kişisel bilgisayar sayısı, Rusya, milyon.

Kuruluşların bilgi ve iletişim teknolojisi maliyetleri

2014-2015 döneminde. Olumsuz ekonomik ortam nedeniyle Rus şirketleri, bilgi ve iletişim teknolojileri maliyetleri de dahil olmak üzere maliyetlerini en aza indirmek zorunda kaldı. 2014'te BİT sektörü için maliyet düşüşü %5,7 idi, ancak 2015'in sonunda zaten hafif bir olumlu eğilim vardı. 2016 yılında Rus şirketlerinin bilgi ve iletişim teknolojileri üzerindeki maliyetleri 1,25 trilyonu buldu. ruble, kriz öncesi 2013 göstergesini% 0,3 aşıyor.

Maliyetlerin ana kısmı Moskova'da bulunan şirketler tarafından karşılanmaktadır - 590 milyar ruble veya toplamın %47,2'si. 2016 yılında bilgi ve iletişim teknolojileri alanındaki kuruluşların en büyük harcamaları şu ülkelerde kaydedildi: Moskova bölgesi - 76,6 milyar ruble, St. Petersburg - 74,4 milyar ruble, Tyumen bölgesi - 56,0 milyar ruble, Tataristan Cumhuriyeti - 24,7 milyar ruble, Nizhny Novgorod bölgesi - 21.4 milyar ruble. En düşük harcamalar İnguşetya Cumhuriyeti'nde kaydedildi - 220,3 milyon ruble.

Pirinç. 2. Şirketlerin bilgi ve iletişim teknolojilerine yaptığı harcamaların miktarı, Rusya, milyar ruble.

Kuruluşlar tarafından bilgi güvenliği araçlarının kullanımı

Son zamanlarda bilgi güvenliği koruma araçlarını kullanan şirket sayısında önemli bir artış olmuştur. Sayılarının yıllık büyüme oranları oldukça istikrarlıdır (2014 hariç) ve yılda yaklaşık %11-19 civarındadır.

Rosstat'ın resmi verilerine göre, Şu anda en çok talep edilen koruma araçları, teknik kullanıcı kimlik doğrulama araçlarıdır (belirteçler, USB anahtarları, akıllı kartlar). 157 binden fazla şirketten 127 bin şirket (%81) bu özel araçların bilgi koruması olarak kullanıldığını belirtti.

Pirinç. 3. Bilgi güvenliği araçlarını kullanan kuruluşların dağılımı, 2016 yılında Rusya,%.

Resmi istatistiklere göre 2016 yılında 161.421 şirket küresel interneti ticari amaçlarla kullandı. İnterneti ticari amaçlarla kullanan ve bilgi güvenliği araçlarının kullanımına işaret eden kuruluşlar arasında elektronik dijital imza en popüler olanıdır. 146 binden fazla şirket veya toplamın %91'i bu aracı bir koruma aracı olarak belirtti. Bilgi güvenliği araçlarının kullanımına göre şirketler şu şekilde dağıtıldı:

• • elektronik araçlar elektronik imza- 146.887 şirket;
  • Düzenli olarak güncellenen anti-virüs programları - 143.095 şirket;
  • Kötü amaçlı programların küresel bilgilerden veya yerel kaynaklardan yetkisiz erişimini engelleyen yazılım veya donanım bilgisayar ağları(Güvenlik Duvarı) - 101.373 şirket;
  • Spam filtresi - 86.292 şirket;
  • Şifreleme araçları - 86 074 şirket;
  • Bilgisayar veya ağ saldırı tespit sistemleri - 66.745 şirket;
  • Bilgisayar sistemlerinin güvenlik analizi ve kontrolü süreçlerinin otomasyonu için yazılım araçları - 54 409 şirket.

Pirinç. 4. Küresel ağlar üzerinden iletilen bilgilerin korunarak interneti ticari amaçla kullanan şirketlerin dağılımı, 2016 yılında Rusya,%.

2012-2016 döneminde interneti ticari amaçla kullanan şirket sayısı %34,9 arttı. 2016 yılında 155.028 şirket tedarikçilerle bağlantı kurmak için interneti ve 110.421 şirket tüketicilerle iletişim kurmak için interneti kullandı. Tedarikçilerle iletişim kurmak için interneti kullanan şirketlerden kullanım amacı belirtildi:

• gerekli mallar (işler, hizmetler) ve tedarikçileri hakkında bilgi edinme - 138.224 şirket;
• kuruluşun mal (iş, hizmet) ihtiyaçları hakkında bilgi sağlamak - 103 977 şirket;
• kuruluşlar için gerekli mal (iş, hizmet) siparişlerinin verilmesi (e-posta ile gönderilen siparişler hariç) - 95 207 şirket;
• tedarik edilen mallar (işler, hizmetler) için ödeme - 89,279;
• elektronik ürünlerin alınması - 62.940 şirket.

İnterneti tüketicilerle iletişim kurmak için kullanan toplam şirket sayısından kullanım amacı belirtildi:

• kuruluş, malları (işleri, hizmetleri) hakkında bilgi sağlamak - 101.059 şirket;
• (işler, hizmetler) (e-posta ile gönderilen siparişler hariç) - 44 193 şirket;
• tüketicilerle elektronik yerleşimler - 51.210 şirket;
• elektronik ürünlerin dağıtımı - 12.566 şirket;
• satış sonrası servis (servis) - 13 580 şirket.

2016-2017'de bilgi teknolojisi için federal yürütme makamlarının bütçelerinin hacmi ve dinamikleri

Federal Hazine'ye göre, 2017 yılı için bütçe yükümlülüklerinin toplam limiti, federal yürütme makamlarına (bundan sonra federal yürütme makamı olarak anılacaktır) 242 harcama türü kodu altında "Bilgi alanında mal, iş, hizmet alımı ve 1 Ağustos 2017 itibariyle, devlet sırrı oluşturmayan bilgiler açısından" iletişim teknolojileri", 2016 yılında federal yürütme makamlarının bilgi teknolojisi bütçelerinin toplam hacminden (109,6 milyar) yaklaşık% 5,1 daha yüksek olan 115,2 milyar rubleye ulaştı. Telekom ve Kitle İletişim Bakanlığı'na göre ruble). Böylece, federal departmanların toplam BT bütçesi hacminin yıldan yıla büyümesinin devam etmesiyle, büyüme oranı azaldı (2016'da toplam BT bütçesi hacmi 2015'e göre %8,3 arttı). nerede bilgi ve iletişim teknolojisi departmanlarına yapılan harcamalar açısından "zengin" ve "fakir" arasında giderek artan bir katmanlaşma var. Sadece bütçe büyüklüğü açısından değil, aynı zamanda BT sektöründeki başarılar açısından da tartışmasız lider Federal Vergi Servisi'dir. Bu yılki BİT bütçesi, tüm federal yürütme makamlarının bütçesinin %15'inden fazlası olan 17,6 milyar rubleden fazladır. İlk beşin (FTS, Emekli Sandığı, Hazine, İçişleri Bakanlığı, Telekom ve Kitle İletişim Bakanlığı) toplam payı %53'ün üzerindedir.

Pirinç. 5. 2017 yılında federal yürütme makamları bağlamında bilgi ve iletişim teknolojileri alanında mal, iş ve hizmet alımı için bütçe harcamalarının yapısı,%

Devlet ve belediye ihtiyaçları için yazılım tedariki alanında yasal düzenleme

1 Ocak 2016'dan bu yana, tüm eyalet ve belediye organları, devlet kurumları Rosatom ve Roscosmos, devlet bütçe dışı fonlarının yönetim organları ve ayrıca 44 Nisan Federal Kanununun gereklerine uygun olarak alım yapan devlet ve bütçe kurumları 5, 2013 -FZ "Devlet ve belediye ihtiyaçlarını karşılamak için mal, iş, hizmet alımı alanındaki sözleşme sistemi hakkında", yabancı ülkelerden gelen yazılımların satın alma amacıyla kabulü yasağına uymakla yükümlüdür. Devlet ve belediye ihtiyaçları. Yasak, 16 Kasım 2015 tarih ve 1236 sayılı Rusya Federasyonu Hükümeti Kararnamesi ile getirildi "Devlet ve belediye ihtiyaçlarını karşılamak için satın alma yapmak amacıyla yabancı ülkelerden kaynaklanan yazılımların kabulüne ilişkin bir yasağın kurulması hakkında " Yazılım satın alırken, yukarıdaki müşteriler satın alma bildiriminde ithal yazılım satın alma yasağını açıkça belirtmelidir. Yasak, somut bir ortamda ve (veya) elektronik ortamda iletişim kanalları aracılığıyla sözleşmenin türüne bakılmaksızın uygulanan elektronik bilgisayarlar ve veri tabanları için yazılımların satın alınması ile bu yazılımlara ilişkin münhasır haklar ve bu tür kullanım hakları için geçerlidir. yazılım.

Müşterilerin içe aktarılan yazılımları satın almalarına izin verildiğinde birkaç istisna vardır.

• Rusya Federasyonu'nun diplomatik misyonları ve konsolosluk ofisleri, Rusya Federasyonu'nun uluslararası kuruluşlarla ticaret misyonları tarafından yabancı bir devlette faaliyetlerini sağlamak için yazılım ve (veya) hakların satın alınması;
• yazılımın satın alınması ve (veya) buna ilişkin haklar, hangisinin ve (veya) satın alınmasının bir devlet sırrı oluşturduğu hakkında bilgi.

Diğer tüm durumlarda, müşterinin yazılımı satın almadan önce, elektronik bilgisayarlar ve veritabanları için birleşik bir Rus program kaydı ve elektronik bilgisayarlar ve veritabanları için bir program sınıflandırıcısı ile çalışması gerekecektir.
Rusya Telekom ve Kitle İletişim Bakanlığı, yetkili bir federal yürütme organı olarak sicilin oluşturulması ve bakımı ile ilgilenmektedir.
Ağustos 2017 sonu itibariyle kayıt, 98 Rus geliştirme şirketinin "bilgi güvenliği araçları" sınıfına ait 343 yazılım ürününü içermektedir. Aralarında yazılım ürünleri gibi büyük Rus geliştiriciler:

• OJSC "Bilgi Teknolojileri ve İletişim Sistemleri" ("InfoTeKS") - 37 yazılım ürünü;
• AO Kaspersky Lab - 25 yazılım ürünü;
• Güvenlik Kodu LLC - 19 yazılım ürünü;
• Crypto-Pro LLC - 18 yazılım ürünü;
• Doctor WEB LLC - 12 yazılım ürünü;
• LLC "S-Terra CSP" - 12 yazılım ürünü;
• CJSC "Aladdin R.D." - 8 yazılım ürünü;
• Infovatch JSC - 6 yazılım ürünü.

Bilgi güvenliği alanındaki en büyük oyuncuların faaliyetlerinin analizi

• Bilgi güvenliği pazarındaki en büyük oyuncuların faaliyetlerinin analizi için ana bilgi olarak, bu çalışmanın hazırlanmasında, bilgi ve iletişim faaliyetleri ve özellikle bilgi güvenliği alanında kamu alımlarına ilişkin bilgileri kullandık.

Trendleri analiz etmek için bilgi güvenliği pazarının liderleri arasında yer alan ve devlet alımlarında aktif olarak yer alan 18 şirketi seçtik. Liste, hem yazılım hem de donanım ve yazılım koruma sistemlerinin geliştiricilerini ve en büyük sistem entegratörlerini içerir. Bu şirketlerin 2016 yılındaki toplam geliri, 2015 göstergesini %8,7 oranında aşan 162,3 milyar ruble olarak gerçekleşti.
Aşağıda araştırma için seçilen şirketlerin bir listesi bulunmaktadır.

Sekme. 1. Araştırma için seçilen şirketler

Ekim 2017 sonu itibariyle, sunulan örnekteki şirketler, devlet kurumlarıyla 24,6 milyar ruble tutarında 1.034 sözleşme imzaladı. Bu listede, imzalanan sözleşmelerin hacmi açısından lider, I-Teco şirketidir - 7,5 milyar ruble değerinde 74 sözleşme.
Geçtiğimiz yıllarda, 2014 kriz yılı hariç, seçilen şirketler için toplam sözleşme hacminde sürekli bir artış gözlemlenebilir. En önemli dinamikler 2015-2016 dönemine düşmektedir. Böylece, 2015 yılında sözleşmelerin hacmi 2016'da 3,5 kattan fazla arttı - 1,5 kat. Ocak-Ekim 2017 dönemi için şirketlerin sözleşme faaliyetlerine ilişkin mevcut verilere göre, 2017 yılında devlet kurumlarıyla yapılan toplam sözleşme hacminin yaklaşık 37-38 milyar ruble olacağı, yani yaklaşık bir düşüş olacağı varsayılabilir. %40 bekleniyor.

Bilgi güvenliğinin maliyeti nasıl gerekçelendirilir?

Nazik izinle yeniden basıldı OJSC InfoTeKS İnternet Güven
Orijinal metin bulunur Burada.

Şirketin olgunluk seviyeleri

Gartner Group, bilgi güvenliği (IS) açısından 4 şirket olgunluk düzeyi tanımlar:

• 0 seviye:
• Şirkette hiç kimse bilgi güvenliği ile ilgilenmez, şirket yönetimi bilgi güvenliği sorunlarının öneminin farkında değildir;
• Finansman mevcut değil;
• IS standart yollarla uygulanır işletim sistemleri, VTYS ve uygulamalar (parola koruması, kaynaklara ve hizmetlere erişimin farklılaşması).
• 1. seviye:
• IS, yönetim tarafından tamamen "teknik" bir sorun olarak kabul edilir, şirketin bilgi güvenliği sisteminin (ISS) geliştirilmesi için birleşik bir program (kavram, politika) yoktur;
• Finansman, genel BT bütçesi dahilindedir;
• IS, sıfır seviye + yedekleme araçları, antivirüs araçları, güvenlik duvarları, VPN organizasyon araçları (geleneksel koruma araçları) aracılığıyla uygulanır.
• 2. seviye:
• IS, yönetim tarafından bir organizasyonel ve teknik önlemler kompleksi olarak kabul edilir, IS'nin üretim süreçleri için önemine dair bir anlayış vardır, yönetim tarafından onaylanan şirketin ISIB'sinin geliştirilmesi için bir program vardır;
• IS, birinci seviye + güçlü kimlik doğrulama araçları, posta mesajlarını ve web içeriğini analiz etme araçları, IDS (saldırı tespit sistemleri), güvenlik analiz araçları, SSO (tek kimlik doğrulama araçları), PKI (ortak anahtar altyapısı) ve kurumsal önlemler (iç ve dış denetim, risk analizi, bilgi güvenliği politikası, düzenlemeler, prosedürler, düzenlemeler ve yönergeler).
• 3. seviye:
• IS, CISA (kıdemli bilgi güvenliği görevlisi) tarafından atanan kurum kültürünün bir parçasıdır;
• Finansman ayrı bir bütçe altında sağlanır;
• IS, ikinci seviye + IS yönetim sistemleri, CSIRT (IS ihlal müdahale ekibi), SLA (hizmet seviyesi anlaşması) aracılığıyla uygulanır.

Gartner Group'a göre (veriler 2001 içindir), açıklanan 4 seviyeye göre şirketlerin yüzdesi aşağıdaki gibidir:
0 seviye - %30,
1. seviye - %55,
2. seviye - %10,
3. seviye - %5.

Gartner Group'un 2005 yılı görünümü aşağıdaki gibidir:
0 seviye - %20,
1. seviye - %35,
2. seviye - %30,
Seviye 3 - %15.

İstatistikler, şirketlerin çoğunluğunun (%55) artık gerekli olan minimum geleneksel teknik koruma araçlarını (seviye 1) uyguladığını göstermektedir.

Çeşitli teknolojileri ve koruma araçlarını uygularken, genellikle sorular ortaya çıkar. İlk olarak ne uygulanmalı, saldırı tespit sistemi mi yoksa PKI altyapısı mı? Daha etkili ne olacak? Deloitte & Touche direktörü Stephen Ross, bireysel güvenlik önlemlerinin ve araçlarının etkinliğini değerlendirmek için aşağıdaki yaklaşımı önermektedir.

Yukarıdaki grafiğe dayanarak, en pahalı ve en az etkili olanın özel araçlar (kendi veya özel geliştirmeler) olduğu görülebilir.

En pahalı, ancak aynı zamanda en etkili olanı 4. kategorinin korumasıdır (Gartner Group'a göre seviye 2 ve 3). Bu fon kategorisini uygulamak için risk analizi prosedürünü kullanmak gerekir. Bu durumda risk analizi, uygulama maliyetlerinin mevcut IS ihlali tehditlerine karşı yeterliliğini garanti etmeyi mümkün kılacaktır.

En ucuz, ancak verimliliği yüksek olan, organizasyonel önlemlerdir (iç ve dış denetim, risk analizi, bilgi güvenliği politikası, iş sürekliliği planı, düzenlemeler, prosedürler, düzenlemeler ve yönergeler).

Ek koruma araçlarının getirilmesi (2. ve 3. seviyelere geçiş), önemli finansal yatırımlar ve buna bağlı olarak gerekçelendirme gerektirir. Yönetim tarafından onaylanan ve imzalanan BGYS'nin geliştirilmesi için birleşik bir programın yokluğu, güvenlik yatırımlarının gerekçelendirilmesi sorununu daha da kötüleştirmektedir.

Risk analizi

Risk analizinin sonuçları ve olaylarla ilgili toplanan istatistikler böyle bir gerekçe olarak hizmet edebilir.Risk analizinin uygulanmasına ve istatistiklerin toplanmasına yönelik mekanizmalar, şirketin bilgi güvenliği politikasında açıklanmalıdır.

Risk analizi süreci 6 ardışık adımdan oluşur:

1. Koruma nesnelerinin tanımlanması ve sınıflandırılması (korunacak şirket kaynakları);

3. Saldırganın bir modelini oluşturmak;

4. Tehditlerin ve güvenlik açıklarının belirlenmesi, sınıflandırılması ve analizi;

5. Risk değerlendirmesi;

6. Organizasyonel önlemlerin ve teknik koruma araçlarının seçimi.

Sahnede korunan nesnelerin tanımlanması ve sınıflandırılması Aşağıdaki alanlarda şirket kaynaklarının bir envanterini yapmak gerekir:

• Bilgi kaynakları (şirketin gizli ve kritik bilgileri);
• Yazılım kaynakları (OS, DBMS, ERP gibi kritik uygulamalar);
• Fiziksel kaynaklar (sunucular, iş istasyonları, ağ ve telekomünikasyon ekipmanı);
• Servis kaynakları ( E-posta, www, vb.).

sınıflandırma kaynağın gizlilik ve kritiklik düzeyini belirlemektir. Gizlilik, kaynak tarafından saklanan, işlenen ve iletilen bilgilerin gizlilik seviyesini ifade eder. Kritiklik, kaynağın şirketin üretim süreçlerinin işleyişinin verimliliği üzerindeki etkisinin derecesi olarak anlaşılır (örneğin, telekomünikasyon kaynaklarının kesintiye uğraması durumunda sağlayıcı şirket iflas edebilir). Gizlilik ve kritiklik parametrelerine belirli niteliksel değerler atayarak, her bir kaynağın şirketin üretim süreçlerine katılımı açısından önem derecesini belirleyebilirsiniz.

Şirket kaynaklarının bilgi güvenliği açısından önemini belirlemek için aşağıdaki tabloyu alabilirsiniz:

Örneğin, şirket çalışanlarının maaş düzeyi hakkında bilgi içeren dosyalar "kesinlikle gizli" (gizlilik parametresi) ve "ihmal edilebilir" (önemlilik parametresi) değerine sahiptir. Bu değerleri tabloda değiştirerek, bu kaynağın öneminin ayrılmaz bir göstergesini alabilirsiniz. Uluslararası standart ISO TR 13335'te sınıflandırma yöntemlerinin farklı varyantları verilmiştir.

Bir saldırgan modeli oluşturma potansiyel ihlalcileri aşağıdaki parametrelere göre sınıflandırma sürecidir:

• Saldırgan türü (rakip, müşteri, geliştirici, şirket çalışanı vb.);
• Saldırganın koruma nesnelerine göre konumu (dahili, harici);
• Koruma nesneleri ve çevre hakkında bilgi düzeyi (yüksek, orta, düşük);
• Korunan nesnelere erişim fırsatlarının düzeyi (maksimum, ortalama, minimum);
• Eylem zamanı (sürekli, belirli zaman aralıklarında);
• Konum (saldırı sırasında saldırganın varsayılan konumu).

Saldırgan modelinin listelenen parametrelerine niteliksel değerler atayarak, saldırganın potansiyeli (saldırganın tehditleri uygulama yeteneklerinin ayrılmaz bir özelliği) belirlenebilir.

Tehditlerin ve güvenlik açıklarının tanımlanması, sınıflandırılması ve analizi korunan nesnelere saldırı uygulama yollarını belirlemenize olanak tanır. Güvenlik açıkları, bir saldırgan tarafından tehditleri uygulamak için kullanılan bir kaynağın veya ortamının özellikleridir. Yazılım kaynaklarının güvenlik açıklarının listesi İnternette bulunabilir.

Tehditler aşağıdaki kriterlere göre sınıflandırılır:

• tehdidin adı;
• saldırgan türü;
• uygulama araçları;
• istismar edilen güvenlik açıkları;
• gerçekleştirilen eylemler;
• uygulama sıklığı.

Ana parametre, tehdidin uygulanma sıklığıdır. "Saldırgan potansiyeli" ve "kaynak güvenliği" parametrelerinin değerlerine bağlıdır. "Kaynak güvenliği" parametresinin değeri, uzman değerlendirmeleri ile belirlenir. Parametrenin değerini belirlerken, saldırganın öznel parametreleri dikkate alınır: tehdidin uygulanması için motivasyon ve tehditleri uygulama girişimlerinden istatistikler bu türden(mümkün ise). Tehdit ve güvenlik açığı analizi aşamasının sonucu, her bir tehdit için "uygulama sıklığı" parametresinin bir değerlendirmesidir.

Sahnede risk değerlendirmesi her bir kaynak veya kaynak grubu için bilgi güvenliği ihlallerine yönelik tehditlerden kaynaklanan potansiyel hasar belirlenir.

Niteliksel hasar göstergesi iki parametreye bağlıdır:

• Kaynağın önemi;
• Bu kaynağa yönelik tehdidin sıklığı.

Elde edilen hasar değerlendirmelerine dayanarak, uygun organizasyonel önlemler ve teknik koruma araçları makul bir şekilde seçilir.

Olay istatistiklerinin toplanması

Riski değerlendirmek için önerilen metodolojideki ve buna bağlı olarak yeni koruma teknolojilerini tanıtma veya mevcut koruma teknolojilerini değiştirme ihtiyacını haklı gösteren tek güvenlik açığı "tehdit gerçekleşme sıklığı" parametresinin tanımıdır. Bu parametre için objektif değerler elde etmenin tek yolu, olaylar hakkında istatistik toplamaktır. Örneğin, bir yıl için birikmiş istatistikler, kaynak başına (belirli bir türde) tehdit sayısını (belirli bir türde) belirlememize izin verecektir. Olay işleme prosedürü çerçevesinde istatistiklerin toplanması üzerinde çalışılması tavsiye edilir.