"Финансовая газета. Региональный выпуск", 2008, N 41

В современных условиях нельзя недооценивать важность обеспечения информационной безопасности. Малейшая утечка конфиденциальной информации к конкурентам может привести к большим экономическим потерям для фирмы, остановке производства и даже к банкротству.

Целями информационной безопасности являются: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы организации.

К расходам на защиту информации относится в основном приобретение средств, обеспечивающих ее защиту от неправомерного доступа. Средств обеспечения защиты информации множество, условно их можно разделить на две большие группы. Первая - это средства, которые имеют материальную основу, такие, как сейфы, камеры видеонаблюдения, охранные системы и т.д. В бухгалтерском учете они учитываются как основные средства. Вторая - средства, которые не имеют материальной основы, такие, как антивирусные программы, программы ограничения доступа к информации в электронном виде и т.д. Рассмотрим особенности учета таких средств обеспечения информационной безопасности.

При покупке программы для обеспечения защиты информации исключительные права на нее не переходят к покупателю, приобретается лишь защищенная копия программы, копировать или распространять которую покупатель не может. Поэтому при учете таких программ следует руководствоваться гл. VI "Учет операций, связанных с предоставлением (получением) права использования нематериальных активов" нового ПБУ 14/2007 "Учет нематериальных активов".

В редких случаях при приобретении программ защиты информации к фирме переходят исключительные права на данный продукт. В этом случае программа будет учитываться в бухгалтерском учете как нематериальные активы (НМА).

Согласно ПБУ 14/2007 в бухгалтерском учете НМА, предоставленные в пользование на условиях лицензионного соглашения, платежи за право использования которых производятся в виде фиксированного разового платежа и исключительные права на которые не переходят к покупателю, должны учитываться у получателя в составе расходов будущих периодов и отражаться на забалансовом счете (п. 39). При этом срок, в течение которого данные расходы будут списываться на счета затрат, устанавливается лицензионным соглашением. В налоговом учете затраты на приобретение программ для защиты информации для целей налогообложения прибыли учитываются в качестве прочих расходов и списываются аналогично - равными частями в течение срока, установленного в лицензионном соглашении (пп. 26 п. 1 ст. 264 НК РФ).

Если оплата за право использования программного продукта, обеспечивающего информационную защиту, производится в виде периодических платежей, то согласно п. 39 ПБУ 14/2007 они включаются пользователем в расходы отчетного периода, в котором были произведены.

На практике в лицензионном соглашении не всегда указан срок использования программного обеспечения. Когда связь между доходами и расходами не может быть определена четко, в налоговом учете расходы на приобретение программ для защиты информации распределяются налогоплательщиком самостоятельно в целях исчисления налога на прибыль с учетом принципа равномерности признания доходов и расходов (п. 1 ст. 272 НК РФ). В бухгалтерском учете срок, в течение которого данные расходы будут списываться со счета 97, устанавливается руководством предприятия исходя из предполагаемого времени использования программы.

Пример 1 . ОАО "Альфа" приобрело лицензионную копию антивирусной программы у ООО "Бетта" за 118 000 руб., в том числе НДС (18%). Лицензионным соглашением установлен срок использования программы 9 месяцев.

В бухгалтерском учете ОАО "Альфа" программу следует учесть следующим образом:

Д-т 60, К-т 51 - 118 000 руб. - поставщику оплачена стоимость программного обеспечения;

Д-т 60, К-т 97 - 100 000 руб. - полученная программа отражена в качестве расходов будущих периодов;

Д-т 002 - 100 000 руб. - полученная программа отражена на забалансовом счете;

Д-т 19, К-т 60 - 18 000 руб. - выделен НДС;

Д-т 68, К-т 19 - 18 000 руб. - принят к вычету НДС;

Д-т 26 (44), К-т 97 - 11 111,11 руб. (100 000 руб. : 9 мес.) - ежемесячно в течение 9 месяцев стоимость антивирусной программы равными частями списывается на расходы.

Изменим условия примера 1: допустим, ОАО "Альфа" осуществляет платеж не единовременно, а равными частями на протяжении всего срока действия лицензионного договора. Суммы платежей составят 11 800 руб. за каждый месяц, в том числе НДС.

В этом случае в бухгалтерском учете будут сделаны следующие записи:

Д-т 002 - 90 000 руб. (10 000 руб. x 9 мес.) - полученная программа отражена на забалансовом счете;

Д-т 60, К-т 51 - 11 800 руб. - ежемесячно в течение 9 месяцев поставщику оплачивается стоимость программного продукта;

Д-т 19, К-т 60 - 1800 руб. - выделен НДС;

Д-т 26 (44), К-т 60 - 10 000 руб. - стоимость программы списана на расходы;

Д-т 68, К-т 19 - 1800 руб. - принят к вычету НДС.

Часто до истечения лицензионного соглашения компания - разработчик программ информационной защиты выпускает их обновление. В этом случае расходы в бухгалтерском и налоговом учете будут приниматься единовременно по факту обновления.

Также распространена практика, когда компания-разработчик для ознакомления безвозмездно предоставляет свое программное обеспечение организациям на небольшой срок. Для того чтобы правильно отразить безвозмездно полученную программу информационной защиты, ее нужно учесть в составе доходов будущих периодов по рыночной стоимости.

Пример 2 . ООО "Бетта" для ознакомления безвозмездно предоставило ОАО "Альфа" программное обеспечение по информационной безопасности сроком на 3 месяца. Рыночная цена данного программного продукта - 3300 руб.

В бухгалтерском учете ОАО "Альфа" следует сделать следующие записи:

Д-т 97, К-т 98 - 3300 руб. - принято к учету безвозмездно полученное программное обеспечение;

Д-т 98, К-т 91 - 1100 руб. - ежемесячно в течение трех месяцев часть дохода будущих периодов принимается в качестве прочих доходов.

В налоговом учете доходы от безвозмездно полученной программы также будут приниматься в течение трех месяцев (п. 2 ст. 271 НК РФ).

К расходам на защиту информации относятся не только приобретение средств обеспечения информационной безопасности, но также расходы на консультационные (информационные) услуги по защите информации (не связанные с приобретением нематериальных активов, основных средств или других активов организации). Согласно п. 7 ПБУ 10/99 "Расходы организации" затраты на консультационные услуги в бухгалтерском учете включаются в состав расходов по обычным видам деятельности в том отчетном периоде, когда они были произведены. В налоговом учете они относятся к прочим расходам, связанным с производством и реализацией продукции (пп. 15 п. 1 ст. 264 НК РФ).

Пример 3 . ООО "Бетта" оказало консультационные услуги по информационной безопасности ОАО "Альфа" на общую сумму 59 000 руб., в том числе НДС - 9000 руб.

В бухгалтерском учете ОАО "Альфа" должны быть сделаны записи:

Д-т 76, К-т 51 - 59 000 руб. - оплачены консультационные услуги;

Д-т 26 (44), Кт 76 - 50 000 руб. - консультационные услуги по информационной безопасности списаны на расходы по обычным видам деятельности;

Д-т 19, К-т 76 - 9000 руб. - выделен НДС;

Д-т 68, К-т 19 - 9000 руб. - принят к вычету НДС.

Предприятия, применяющие УСН, в качестве расходов, уменьшающих налогооблагаемую базу по налогу на прибыль, согласно пп. 19 п. 1 ст. 346.16 НК РФ смогут принять только затраты на приобретение программ, обеспечивающих информационную безопасность. Расходы на консультационные услуги по информационной безопасности в ст. 346.16 НК РФ не упоминаются, поэтому для целей налогообложения прибыли организации принять их не вправе.

В.Щаников

Ассистент аудитора

департамента аудита

ООО "Бейкер Тилли Русаудит"

В зависимости от контекста термин «информационная безопасность» употребляется в разных значениях. В самом широком смысле понятие подразумевает защиту конфиденциальных сведений, производственного процесса, инфраструктуры компании от умышленных или случайных действий, которые приводят к финансовому ущербу или утрате репутации.

Принципы защиты информации

В любой отрасли базовый принцип информационной безопасности заключается в соблюдении баланса интересов гражданина, общества и государства. Трудность соблюдения баланса заключается в том, что интересы общества и гражданина нередко конфликтуют. Гражданин стремится сохранить в секрете подробности личной жизни, источники и уровень дохода, скверные поступки. Общество, напротив, заинтересовано в том, чтобы «рассекретить» информацию о нелегальных доходах, фактах коррупции, преступных деяниях. Государство создает и управляет сдерживающим механизмом, который охраняет права гражданина на неразглашение персональных данных и одновременно регулирует правоотношения, связанные с раскрытием преступлений и привлечением виновных к ответственности.

Важное значение в современных условиях принцип правового обеспечения информационной безопасности приобретает, когда нормативное сопровождение не успевает за развитием ИБ-отрасли. Пробелы в законодательстве позволяют не только уходить от ответственности за киберпреступления, но и препятствуют внедрению передовых технологий защиты данных.

Принцип глобализации , или интеграции систем информационной защиты затрагивает все отрасли: политическую, экономическую, культурную. Развитие международных коммуникационных систем нуждается в согласованном обеспечении безопасности данных.

Согласно принципу экономической целесообразности , эффективность мер по обеспечению информационной безопасности должна соответствовать или превосходить затраченные ресурсы. Неокупаемость затрат на поддержание системы безопасности только вредит прогрессу.

Принцип гибкости систем информационной защиты означает устранение любых режимных ограничений, которые мешают генерировать и внедрять новые технологии.

Строгую регламентацию конфиденциальной, а не открытой информации предполагает принцип несекретности .

Чем больше различных аппаратных и программных инструментов безопасности применяют для защиты данных, тем больше разносторонних знаний и навыков требуется злоумышленникам, чтобы обнаружить уязвимости и обойти защиту. На усиление информационной безопасности направленпринцип разнообразия защитных механизмов информационных систем.

Принцип простоты управления системой безопасности основан на идеи, что чем сложнее система информационной безопасности, тем труднее проверить согласованность работы отдельных компонентов и реализовать центральное администрирование.

Залогом лояльного отношения персонала к ИБ является постоянное обучение правилам информационной безопасности и четкие разъяснения последствий несоблюдения правил вплоть до банкротства компании. Принцип лояльности администраторов систем безопасности данных и всего персонала компании связывает обеспечение безопасности с мотивацией сотрудников. Если сотрудники, а также контрагенты и клиенты воспринимают информационную безопасность как ненужное или даже враждебное явление, гарантировать безопасность информации в компании не под силу даже самым мощным системам.

Перечисленные принципы - основа обеспечения информационной безопасности во всех отраслях, которая дополняется элементами в зависимости от специфики отрасли. Разберемся на примерах банковской сферы, энергетик и СМИ.

Банки

Развитие технологий кибератак вынуждает банки внедрять новые и постоянно совершенствовать базовые системы безопасности. Цель развития информационной безопасности в банковской сфере - выработать такие технологические решения, которые способны обезопасить информационные ресурсы и обеспечить интеграцию новейших IT-продуктов в ключевые бизнес-процессы финансово-кредитных учреждений.

Механизмы обеспечения безопасности информации финансовых учреждений выстраиваются в соответствии с ратифицированными международными конвенциями и соглашениями, а также федеральными законами и стандартами. Ориентиром в сфере ИБ для российских банков служат:

• Стандарт Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации»;
• ФЗ №161 «О национальной платежной системе»;
• ФЗ №152 «О персональных данных»;
• Стандарт безопасности данных индустрии платежных карт PCI DSS и другие документы.

Необходимость следовать различным законам и стандартам связана с тем, что банки осуществляют множество различных операций, ведут деятельность по разным направлениям, которые нуждаются в собственных инструментах обеспечения безопасности. Например, обеспечение информационной безопасности при дистанционном банковском обслуживании (ДБО) включает создание инфраструктуры безопасности, куда входят средства защиты банковских приложений, контроля потоков данных. мониторинга банковских транзакций и расследования инцидентов. Многокомпонентная защита информационных ресурсов обеспечивает минимизацию угроз, связанных с мошенничеством при использовании сервисов ДБО, а также защиту репутации банка.

Информационная безопасность банковской сферы, как и других отраслей, зависит от кадрового обеспечения. Особенность ИБ в банках заключается в повышенном внимании к специалистам по безопасности на уровне регулятора. В начале 2017 года Банк России вместе с Министерством труда и социальной защиты при участии ФСТЭК, Министерства образования и науки для специалистов по информационной безопасности.

Как провести ИБ-аудит в банке правильно?

Энергетика

Энергетический комплекс принадлежит к числу стратегических отраслей, которые нуждаются в особых мерах обеспечения информационной безопасности. Если на рабочих местах в администрациях и управлениях достаточно стандартных средств ИБ, то защита на технологических участках генерации энергии и доставки конечным пользователям нуждается в повышенном контроле. Главным объектом защиты в энергетической сфере является не информация, а технологический процесс. Система безопасности в таком случае должна обеспечить целостность технологического процесса и автоматизированных систем управления. Поэтому, прежде чем внедрять механизмы информационной безопасности на предприятиях энергетического сектора, специалисты изучают:

• объект защиты - технологический процесс;
• устройства, применяемые в энергетике (телемеханика);
• сопутствующие факторы (релейная защита, автоматика, учет энергии).

Значимость информационной безопасности в энергетической сфере определяется последствиями реализации информационных киберугроз. Это не только материальный ущерб или удар по репутации, но прежде всего - вред здоровью граждан, подрыв экологии, нарушение инфраструктуры города или региона.

Проектирование системы информационной защиты в сфере энергетики начинается с прогнозирования и оценки рисков безопасности. Основной метод оценки - моделирование возможных угроз, которое помогает рационально распределить ресурсы при организации системы безопасности и предупредить реализации киберугроз. Кроме того, оценка рисков безопасности в энергетике отличается непрерывностью: аудит в процессе эксплуатации системы ведется постоянно, чтобы своевременно изменять настройки для обеспечения максимальной степени защиты и поддержания системы в актуальном состоянии.

Средства массовой информации

Главная задача информационной безопасности в СМИ заключается в защите национальных интересов, включая интересы гражданин, общества и государства. Деятельность средств массовой информации в современных условиях сводится к созданию информационных потоков в виде новостей и журналистских материалов, которые поступают, обрабатываются и выдаются конечным потребителям: читателям, зрителям, посетителям сайтов.

Обеспечение и контроль безопасности в сфере массовой информации реализуется по нескольким направлениям и включает:

• разработку рекомендаций по антикризисным процедурам на случай реализации угрозы информационного нападения;
• обучающие программы по информационной безопасности для сотрудников редакций СМИ, пресс-служб, отделов по связям с общественностью;
• временное внешнее администрирование организации, которые подверглись информационному нападению.

Еще одной проблемой безопасности информации в СМИ является необъективность. Для обеспечения объективного освещения событий требуется механизм защиты, который ограждал бы журналистов от давления со стороны представителей власти, руководства и/или владельца СМИ, и одновременно - страховал добросовестные бизнес-структуры от действий нечестных представителей СМИ.

Еще одним краеугольным камнем обеспечения безопасности информации в сфере СМИ является ограничение доступа к данным. Проблема в том, чтобы ограничение доступа к сведениям с целью предупредить информационные угрозы не стало «прикрытием» для цензуры. Решение, которое сделает работу СМИ более прозрачной и поможет избежать причинения вреда интересам национальной безопасности, содержится в проекте Конвенции о доступе к информационным ресурсам, которая ожидает голосования в Европейском союзе. Нормы документа предполагают, что государство обеспечивает равный доступ ко всем официальным документам, создавая соответствующие реестры в интернете, и устанавливает ограничения доступа, которые не могут быть изменены. Исключений, которые позволят отменить ограничения доступа к информационным ресурсам, всего два:

• общественная польза , что подразумевает возможность обнародовать даже те данные, которые не подлежат распространению в обычных условиях;
• национальный интерес , если сокрытие сведений нанесет ущерб государству.

Частный сектор

При развитии рыночной экономики, росте и ужесточении конкуренции репутация компании становится неотделимой частью нематериальных активов. Формирование и сохранность положительного имиджа напрямую зависят от уровня информационной безопасности. Существует и обратная связь, когда сложившийся образ компании на рынке служит гарантией информационной безопасности. При таком подходе выделяют три разновидности деловой репутации:

1. Имидж «бесполезной» организации , информационные ресурсы которой не представляют интереса, так как их невозможно использовать во вред или на благо третьей стороне.

2. Имидж сильного противника , угрожать безопасности которого «себе дороже». Поддерживать репутацию грозного противника помогает размытость границ возможностей для отражения информационного нападения: чем сложнее понять потенциал информационной защиты, тем более неприступной выглядит компании в глазах злоумышленников.

3. Имидж «полезной» организации . Если потенциальный агрессор заинтересован в жизнеспособности компании, вместо информационной атаки возможен диалог и формирование общей политики ИБ.

Каждая компания организует свою деятельность, соблюдая нормы законодательства и стремясь достичь поставленных целей. Подобные критерии сгодятся и при разработке политики информационной безопасности, внедрении и эксплуатации внутренних систем безопасности конфиденциальных данных и IT-ресурсов. Для обеспечения максимально возможного уровня безопасности информации в организации после внедрения систем защиты следует систематически проводить мониторинг, перенастраивать и обновлять компоненты безопасности по мере необходимости.

Информационная защита стратегических объектов

В начале 2017 года Государственная дума Российской Федерации приняла в первом чтении пакет законопроектов, которые касаются информационной безопасности и критической информационной инфраструктуры страны.

Основные источники информационных угроз в военной сфере РФ.

Председатель парламентского комитета по информационной политике, информационным технологиям и связи Леонид Левин, представляя законопроекты, предупредил об увеличении в количества кибератак на стратегически значимые объекты. На заседании комитета представитель ФСБ Николай Мурашов сообщил, что в течение года на объекты в России произведено 70 млн кибератак . Одновременно с возрастающими угрозами внешних атак увеличивается масштабность, сложность и координация информационных атак внутри страны.

Законопроекты, принятые парламентариями, создают правовую основу обеспечения информации в сфере общегосударственной критической инфраструктуры и отдельных отраслей. Кроме этого, законопроекты прописывают полномочия государственных органов в сфере информационной безопасности и предусматривают ужесточение уголовной ответственности за нарушение информационной безопасности.

Глобальное исследование рисков информационной безопасности для бизнеса (Kaspersky Lab Global Corporate IT Security Risks Survey) – это ежегодный анализ тенденций в области корпоративной информационной безопасности по всему миру. Мы рассматриваем такие важные аспекты кибербезопасности, как размер затрат на ИБ, актуальные типы угроз для различных видов компаний и финансовые последствия столкновений с этими угрозами. Кроме того, получив от руководителей сведения о принципах формирования бюджетов информационной безопасности, мы можем проследить, как компании в разных регионах мира реагируют на изменения в ландшафте угроз.

В 2017 году мы постарались понять, видят ли компании в информационной безопасности источник затрат (необходимое зло, на которое они вынуждены выделять деньги), или начинают считать ее стратегическими инвестициями (то есть средством обеспечения непрерывности бизнес-процессов, которое дает значительные преимущества в эпоху стремительно развивающихся киберугроз).

Это очень важный вопрос, особенно в связи с тем, что в большинство регионов мира IT-бюджет снижался.

В России, однако, в 2017 году был зафиксирован небольшой рост среднего бюджета, выделяемого на безопасность – 2%. Средний ИБ-бюджет в России составил около 15,4 млн рублей.

В этом отчете подробно рассматриваются типы угроз, с которыми сталкиваются компании любого размера, а также характерные закономерности распределения IT-затрат.

Общие сведения и методология исследования

Глобальное исследование «Лаборатории Касперского» в области рисков информационной безопасности для бизнеса (Kaspersky Lab Corporate IT Security Risks Survey) – это опрос руководителей, управляющих IT-службами своих организаций, который проводится ежегодно, начиная с 2011 года.

Самые свежие данные были собраны в марте и апреле 2017 года. Всего было опрошено 5274 респондента более чем из 30 стран, в исследовании участвовали компании самых разных размеров.

В отчете иногда используются следующие обозначения: малый бизнес – менее 50 сотрудников, СМБ (средний и небольшой бизнес – от 50 до 250 сотрудников) и крупный бизнес (компании со штатом от 250 человек). В текущем отчете представлен анализ наиболее показательных параметров из проведенного опроса.

Основные выводы:

Компаниям любого размера становится сложнее бороться с киберугрозами, расходы на защиту также возрастают. В России в сегменте среднего и малого бизнеса средние затраты на ликвидацию последствий лишь одного киберинцидента составляет 1,6 млн рублей, а для сегмента крупного бизнеса затраты составляют 16,1 млн рублей.

Растет доля IT-бюджета, выделяемая на информационную безопасность. Это характерно для компаний любого размера. Общая сумма бюджета при этом остается невысокой, а в России рост составил всего 2%, поэтому специалисты вынуждены выполнять свои задачи с небольшими ресурсами.

Ущерб от одного лишь инцидента растет, и компании, которые не приоритизируют затраты на информационную безопасность, могут вскоре столкнуться с серьезными проблемами. Исследование показало, что в сегменте SMB компании тратят около 300 тыс. рублей при каждом инциденте безопасности на дополнительные выплаты персоналу, а крупные корпорации могут потратить 2,7 млн рублей на снижение ущерба, нанесенного бренду.

Ущерб от инцидентов безопасности

Ущерб от инцидентов кибербезопасности постоянно растет: компаниям приходится иметь дело со множеством их последствий, от дополнительной работы с общественностью до найма новых сотрудников. В 2017 году был отмечен дальнейший рост финансовых потерь в случае нарушений целостности данных. Это должно повлиять на подход к данному вопросу: компании перестанут видеть в затратах на кибербезопасность необходимое зло и начнут рассматривать их как инвестиции, которые позволят избежать значительных денежных потерь в случае атаки.

Серьезные нарушения целостности данных обходятся все дороже

Больше всего технических директоров волнуют массовые атаки, которые приводят к утечке миллионов записей. Таковы были нападения на Национальную службу здравоохранения (NHS) Великобритании, компанию Sony или взлом телеканала HBO с обнародованием конфиденциальных данных, относящихся к сериалу «Игра престолов». Однако на деле такие крупные инциденты скорее исключение, чем правило. Большинство кибератак до прошлого года не попадали в новостные заголовки и оставались уделом специальных сводок для специалистов. Конечно, эпидемии шифровальщиков немного изменили ситуацию, но все же корпоративный сегмент бизнеса не осознает всей картины.

Относительно малое число известных масштабных кибератак вовсе не значит, что и ущерб от большинства атак незначителен. Итак, сколько же в среднем тратят компании на ликвидацию «типичного» нарушения целостности данных? Мы попросили участников исследования оценить, какие суммы потратила/потеряла их компания в результате любого инцидента безопасности, произошедшего в последний год.

Все компании, насчитывающие от 50 сотрудников, должны были оценить затраты, понесенные в каждой из следующих категорий:

Для каждой из категорий мы рассчитали средние затраты, которые понесли компании, столкнувшиеся с ИБ-инцидентами, а сумма всех категорий позволила нам оценить размер общего ущерба, нанесенного ИБ-инцидентом.

Ниже отдельно приведены результаты для сегмента СМБ и крупного бизнеса, поскольку статистика для них во многом различается. Например, средний ущерб для российских СМБ-компаний составляет почти 1,6 млн рублей, а для крупного бизнеса он почти в десять раз выше – 16,1 млн рублей. Это показывает, что кибератаки обходятся дорого компаниям любого размера.

То, что крупный бизнес в среднем несет больше потерь при нарушении целостности данных, неудивительно, однако интересно проанализировать распределение ущерба по категориям.

В прошлом году дополнительные выплаты сотрудникам были самой значительной статьей расхода и для SMB, и для крупного бизнеса. Однако в этом году картина изменилась, и у компаний разного размера главными стали разные статьи расходов. Небольшой и средний бизнес теряет больше всего по-прежнему на выплатах сотрудникам. А вот крупный бизнес стал вкладываться в дополнительный PR, чтобы снизить ущерб репутации бренда. Кроме того, значительной статьей расходов для крупного бизнеса стали затраты на улучшение технического оснащения и приобретение дополнительного ПО.

Для всех компаний выросли затраты на обучение сотрудников. Инциденты безопасности часто заставляют компании осознать важность повышения киберграмотности и улучшения системы анализа угроз.

Более обширные внутренние ресурсы крупных компаний и особенности регулирования их деятельности определяют иной баланс между затратами на ликвидацию самой угрозы и затратами на возмещение ущерба. Серьезной статьей расхода стало увеличение страховых премий, ухудшение кредитных рейтингов и подрыв доверия к компании: в среднем после каждого инцидента крупные компании теряют на этом около 2,3 млн рублей.

Наше исследование показало, что во многом росту расходов компании были обязаны необходимостью предотвратить – или хотя бы снизить – репутационные потери в виде кредитного рейтинга, имиджа бренда и компенсаций.

В связи с повсеместным внедрением все новых нормативных требований средний ущерб, скорее всего, продолжит расти: компаниям придется публично сообщать обо всех инцидентах и повышать прозрачность защиты данных.

Такие тенденции характерны, например, для Японии, где средние затраты на ликвидацию последствий бреши в системе безопасности увеличились больше чем вдвое: с 580 тыс. долл. США в 2016 году до 1,3 млн долл. США в 2017 году. Правительство Японии приняло меры к ужесточению нормативных требований в связи с увеличением числа угроз кибербезопасности. В 2017 году вступили в силу новые законы, которые и вызвали внезапный рост затрат.

Однако разработка и внедрение законов требует времени. В условиях стремительного развития корпоративного IT-ландшафта и эволюции киберугроз отставание нормативных мер становится серьезной проблемой. Например, новые японские стандарты были согласованы еще в 2015 году, однако их вступление в силу пришлось отложить на целых два года. Многим эта задержка обошлась очень дорого: за эти два года ряд крупных японских компаний стали жертвами дорогостоящих атак. Один из примеров – туристическая компания JTB Corp., которая в 2016 году столкнулась с огромной утечкой. Были украдены данные 8 миллионов клиентов, включая имена, адреса и номера паспортов.

Это один из симптомов общемировой проблемы: угрозы развиваются стремительно, а инерция правительств и компаний слишком высока. Еще один пример затягивания гаек – общеевропейские стандарты защиты данных (GDPR), которые вступают в силу в мае 2018 года и значительно ограничивают допустимые способы обработки и хранения данных граждан Евросоюза.

Законы меняются по всему миру, но за киберугрозами им не угнаться – об этом в России напомнили три волны шифровальщиков в 2017 году. Поэтому бизнесу следует помнить о несовершенстве законодательства и укреплять защиту в соответствии с фактическими обстоятельствами – или заранее смириться с ущербом для репутации и клиентов. К новым нормативным требованиям стоит готовиться, не дожидаясь крайних сроков. Меняя политики уже после выхода соответствующих законов, компании рискуют не только штрафами, но и безопасностью своих и клиентских данных.

Чужих уязвимостей не бывает: бреши в защите партнеров обходятся дорого

Для защиты от утечек данных очень важно представлять, какие векторы атаки используют злоумышленники. В свою очередь, эти сведения помогут понять, какие типы атак обходятся дороже всего.

Опрос показал, что для среднего и малого бизнеса наиболее тяжелые финансовые последствия имели следующие инциденты:

• Инциденты, затрагивающие инфраструктуру, размещенную на оборудовании третьей стороны (17,2 млн руб.)
• Инциденты, затрагивающие сторонние облачные сервисы, которые использует компания (3,6 млн руб.)
• Ненадлежащий обмен данными посредством мобильных устройств (2,5 млн руб.)
• Физическая потеря мобильных устройств, подвергающая организацию рискам (2,1 млн руб.)
• Инциденты, связанные с невычислительными устройствами, подключенными к интернету (например, промышленные системы управления, Интернет вещей) (1,7 млн руб.)

Ситуация с крупным бизнесом несколько иная:

• Целевые атаки (75 млн руб.)
• Инциденты, затрагивающие облачные сервисы сторонних вендоров (19 млн руб.)
• Вирусы и вредоносные программы (9 млн руб.)
• Ненадлежащий обмен данными посредством мобильных устройств (7,3 млн руб.)
• Инциденты, затрагивающие поставщиков, с которыми компании обмениваются данными (4,4 млн руб.)

По этим данным видно, что очень часто атаки, вызванные проблемами с безопасностью у бизнес-партнеров, обходятся компаниям любого размера едва ли не дороже всего. Это касается как организаций, арендующих у сторонних поставщиков облачную или иную инфраструктуру, так и компаний, которые обмениваются своими данными с партнерами.

Как только вы даете другой компании доступ к своим данным или инфраструктуре, их слабости становятся вашей проблемой. Однако ранее мы уже наблюдали, что большинство организаций не придают этому достаточного значения. Потому неудивительно, что инциденты такого рода вызывают самые большие расходы: любой боксер скажет вам, что в нокаут обычно отправляет именно неожиданный удар.

Также немедленно обращает на себя внимание еще один вектор, неожиданно вошедший в топ-5 угроз для среднего бизнеса: атаки, связанные с подключенными устройствами, не являющимися компьютерами. Сегодня трафик в интернете вещей (IoT) растет куда быстрее, чем трафик, генерируемый любыми другими технологиями. Это еще один пример того, как новые разработки увеличивают число потенциально уязвимых точек в бизнес-инфраструктуре. В частности, широкое использование заводских паролей по умолчанию и слабых средств безопасности на устройствах интернета вещей сделало их идеальным уловом для ботнетов типа Mirai – зловредов, способных объединять огромное количество уязвимых устройств в единую сеть для проведения масштабных DDoS-атак на выбранные цели.

Обращает на себя внимание сумма потери от целевых атак в сегменте крупного бизнеса – этой угрозе крайне сложно противодействовать. За последние пару лет стало известно о ряде громких целевых атак на банки, что также подкрепляет эту неутешительную статистику.

Инвестиции в сокращение рисков

Как показало наше исследование, угрозы информационной безопасности становятся все серьезнее. В этих условиях не может не беспокоить состояние самих бюджетов информационной безопасности. Проанализировав их изменения, мы сможем решить вопрос, рассматривают ли организации свою безопасность как источник затрат, или баланс понемногу меняется, и в ней начинают видеть поле для инвестиций, дающих реальное конкурентное преимущество.

Размер бюджета показывает отношение компании к IT-безопасности, важность роли защитной системы с точки зрения руководства и готовность организации к риску.

Бюджет информационной безопасности: доля растет, «пирог» уменьшается

В этом году мы наблюдаем, что экономия и аутсорсинг привели к сокращению IT-бюджетов. Несмотря на это (а может, и вследствие этого), доля информационной безопасности в этих IT-бюджетах возросла. В России положительная тенденция прослеживается в компаниях всех размеров. Даже среди микробизнеса, работающего в условиях недостатка ресурсов, доля в IT-бюджетах, отведенная на информационную безопасность, выросла, пусть и на долю процента.

Это означает, что компании наконец-то начинают понимать важность информационной безопасности. Возможно, это показывает, что ИБ стала восприниматься многими как потенциально полезные инвестиции, а не как источник затрат.

Мы наблюдаем, что в мире IT-бюджеты значительно сокращаются. Хотя информационная безопасность получает больший «кусок пирога», сам «пирог» уменьшается. Тенденция тревожная, особенно учитывая, как высоки ставки в этой области и как дорого обходится каждая атака.

В России средний бюджет на ИБ для крупного бизнеса в 2017 году достигал 400 млн руб, а для СМБ –4,6 млн руб.

Выборка: 694 респондента в России, способных дать оценку бюджета

Неудивительно, что организации, оказывающие государственные услуги (в том числе оборонный сектор), и финансовые учреждения по всему миру в этом году сообщают о самых высоких затратах на информационную безопасность. Предприятия в обоих этих секторах тратили на безопасность в среднем более 5 млн долл. США. Стоит отметить и то, что сектор IT и телекоммуникаций, а также компании энергетической отрасли тоже потратили на ИБ больше среднего, хотя их бюджеты оказались ближе к 3 млн долл. США, а не к 5.

Однако если разделить общие затраты на количество сотрудников, то государственные организации сдвигаются к концу списка. В среднем «подушные» затраты сектора IT и телекоммуникаций на ИБ составляют 1258 долл. США, тогда как энергетический сектор тратит 1344 долл. США, а финансовые компании – 1436 долл. США. Для сравнения, государственные учреждения выделяют на ИБ всего 959 долл. США на человека.

Как в сегменте IT и телекоммуникаций, так и в отрасли энергоснабжения высокие затраты на одного сотрудника, скорее всего, связаны с особенно актуальной в этих секторах экономики необходимостью защищать интеллектуальную собственность. В случае с организациями энергоснабжения высокие затраты на защиту могут быть обусловлены и тем, что эти компании все более уязвимы для целевых атак, организованных группами злоумышленников.

В этой отрасли инвестиции в информационную безопасность становятся залогом выживания, поскольку обеспечивают непрерывность работы – чрезвычайно важный фактор для энергоснабжения. Последствия успешной кибератаки в этой отрасли особенно тяжелы, поэтому инвестиции в ИБ приобретают весьма осязаемые преимущества.

В России в ИБ вкладываются в первую очередь IT и телекоммуникации, а также промышленные предприятия – средние расходы для первых достигают 300 млн рублей, для вторых – 80 млн рублей. Промышленные и производственные компании, как правило, полагаются на автоматизированные системы управления (ICS) для обеспечения непрерывности производственных процессов. При этом атаки на ICS увеличиваются в числе: за последние 12 месяцев их количество выросло на 5%.

Причины инвестиций в информационную безопасность

Разброс сумм инвестиций в ИБ между секторами очень велик. Поэтому особенно важно выяснить причины, побуждающие компании тратить ограниченные ресурсы на информационную безопасность. Не зная мотивов, невозможно понять, считает ли компания деньги, потраченные на безопасность IT-инфраструктуры, выброшенными на ветер или рассматривает их как выгодные вложения.

В 2017 году значительно больше компаний во всем мире признало, что собирается вкладывать средства в кибербезопасность независимо от ожидаемого возврата инвестиций: 63% по сравнению с 56% в 2016 году. Это показывает, что все больше компаний понимают важность ИБ.

Основные причины увеличения бюджета информационной безопасности, Россия

Не все компании ожидают скорого возврата инвестиций, однако многие глобальные компании назвали в качестве причины увеличения бюджетов ИБ давление со стороны ключевых заинтересованных лиц, включая топ-менеджмент компании (32%). Это показывает, что компании начинают видеть в росте расходов на ИБ свое стратегическое преимущество: меры безопасности позволяют не только защищаться в случае атаки, но и демонстрировать клиентам, что их данные находятся в надежных руках, а также обеспечивать непрерывность бизнеса, в которой заинтересовано руководство компании.

Самой популярной причиной для увеличения расходов на информационную безопасность большинство отечественных компаний назвали необходимость защитить все более сложную IT-инфраструктуру (46%), а необходимость повышения квалификации экспертов ИБ отметили 30%. Эти цифры указывают на потребность повышать уровень доступных компании экспертных знаний путем развития навыков собственных сотрудников. И в самом деле, как малые и средние, так и крупные предприятия все чаще инвестируют средства в поддержку внутренних трудовых ресурсов в борьбе против киберугроз.

При этом потребность увеличивать расходы на ИБ из-за новых бизнес-операций или расширения компании среди российского бизнеса снизилась: с 36% в прошлом году до 30% в 2017 году. Возможно, оно отражает макроэкономические факторы, с которыми нашим компаниям пришлось столкнуться в последнее время.

Заключение

Огромный урон в 2017 году нанесли массовые атаки, такие как WannaCry, exPetr и BadRabbit. Велик ущерб и от целенаправленных атак, в частности на российские банки. Все это демонстрирует, что ландшафт киберугроз меняется стремительно и неотвратимо. Компаниям приходится адаптировать свои средства защиты или оставаться не у дел.

Все более значительным фактором при принятии бизнес-решений становится разница между стоимостью подготовки к отражению кибератак и расходов, которые понесет жертва.

Отчет показывает, что даже сравнительно небольшие утечки данных, которые не интересуют широкую публику, могут весьма дорого обойтись компании и серьезно повлиять на ее работу. Еще одна причина роста затрат в случае инцидентов безопасности – изменения в законодательствах по всему миру. Компаниям приходится либо адаптироваться, либо рисковать как несоблюдением требований, так и возможным взломом.

В этих обстоятельствах становится особенно важно учитывать все последствия и затраты. Возможно, именно поэтому все больше компаний из разных стран увеличивают долю информационной безопасности в своих IT-бюджетах. В 2017 году значительно больше компаний по всему миру признало, что собирается вкладывать средства в кибербезопасность независимо от ожидаемого возврата инвестиций: 63% по сравнению с 56% в 2016 году.

Скорее всего, в связи с ростом ущерба от инцидентов кибербезопасности именно те организации, которые считают IT-затраты инвестициями в безопасность и готовы тратить на них значительные средства, будут лучше подготовлены к возможным неприятностям. А какова ситуация в вашей компании?

Цель исследования: проанализировать и определить основные тенденции на российском рынке информационной безопасности
Использованы данные Росстата (формы статистической отчетности №№ 3-Информ, П-3, П-4), Бухгалтерская отчетность предприятий и проч.

Использование организациями информационно-коммуникационных технологий и средств защиты информации

• Для подготовки данного раздела были использованы агрегированные , территориально обособленных подразделений и представительств (Форма 3-Информ «Сведения об использовании информационных и коммуникационных технологий и производстве вычислительной техники, программного обеспечения и оказании услуг в этих сферах» .

Проанализирован период 2012-2016 гг. Данные не претендуют на полноту (так как собираются по ограниченному кругу предприятий), но, по-нашему мнению, могут использоваться для оценки тенденций. Количество предприятий-респондентов за рассматриваемый период находилось в пределах от 200 до 210 тысяч. То есть выборка достаточно стабильна и включает наиболее вероятных потребителей (крупные и средние предприятия), на которых приходится основной объем продаж.

Наличие персональных компьютеров в организациях

По данным формы статистической отчетности 3-Информ, в 2016 году в российских организациях, предоставивших сведения по данной форме, насчитывалось около 12,4 млн. единиц персональных компьютеров (ПК). Под ПК, в данном случае, подразумеваются настольные и портативные компьютеры, это понятие не включает в себя мобильные сотовые телефоны и карманные персональные компьютеры.

За последние 5 лет количество единиц ПК в организациях, в целом по России, выросло на 14,9%. Самым оснащенным федеральным округом является ЦФО, на его долю приходится 30,2% ПК в компаниях. Безусловный регион-лидер по данному показателю – город Москва, по данным за 2016 год в московских компаниях насчитывается около 1,8 млн. ПК. Наименьшее значение показателя отмечено в СКФО, в организациях округа насчитывается всего около 300 тыс. единиц ПК, наименьшее количество в республике Ингушетия – 5,45 тыс. единиц.

Рис. 1. Количество персональных компьютеров в организациях, Россия, млн. ед.

Затраты организаций на информационно-коммуникационные технологии

В период 2014-2015 гг. в связи с неблагоприятной экономической обстановкой российские компании были вынуждены минимизировать свои затраты, в том числе и расходы на информационно-коммуникационные технологии. В 2014 году снижение затрат на сферу ИКТ составило 5,7%, но уже по итогам 2015 года наблюдалась незначительная положительная динамика. В 2016 году затраты российских компаний на информационно-коммуникационные технологии составили 1,25 трлн. руб., превысив показатель докризисного 2013 года на 0,3%.

Основная часть затрат приходится на компании, расположенные в Москве – свыше 590 млрд. рублей, или 47,2% от общего объема. Наибольшие объемы затрат организаций на информационные и коммуникационные технологии в 2016 году зафиксированы в : Московская область – 76,6 млрд. рублей, г. Санкт-Петербург – 74,4 млрд. рублей, Тюменская область – 56,0 млрд. рублей, республика Татарстан – 24,7 млрд. рублей, Нижегородская область – 21,4 млрд. рублей. Самые низкие объемы затрат отмечены в республике Ингушетия – 220,3 млн. рублей.

Рис. 2. Объем затрат компаний на информационно-коммуникационные технологии, Россия, млрд. рублей.

Использование организациями средств защиты информации

В последнее время можно отметить значительный рост числа компаний, использующих средства защиты информационной безопасности. Ежегодные темпы прироста их числа достаточно стабильны (за исключением 2014 года), и составляют порядка 11-19% в год.

По официальным данным Росстата, наиболее востребованными средствами защиты в настоящее время являются технические средства аутентификации пользователей (токены, USB-ключи, смарт-карты). Из более чем 157 тысяч компаний, 127 тысяч компаний (81%) указали использование именно этих средств в качестве защиты информации.

Рис. 3. Распределение организаций по использованию средств, обеспечивающих информационную безопасность, в 2016 г., Россия, %.

По данным официальной статистики, в 2016 году 161 421 компания использовала глобальную сеть Интернет в коммерческих целях. Среди организаций, использующих Интернет в коммерческих целях и указавших применение средств защиты информации, наибольшей популярностью пользуется электронная цифровая подпись. Данный инструмент в качестве средства защиты указали свыше 146 тысяч компаний, или 91% от общего числа. По использованию средств защиты информации компании распределились следующим образом:

• • Средства электронной цифровой подписи – 146 887 компаний;
  • Регулярно обновляемые антивирусные программы – 143 095 компаний;
  • Программные или аппаратные средства, препятствующие несанкционированному доступу вредоносных программ из глобальных информационных или локальных вычислительных сетей (Брандмауэр) – 101 373 компании;
  • Спам-фильтр – 86 292 компании;
  • Средства шифрования – 86 074 компании;
  • Системы обнаружения вторжения в компьютер или сеть – 66 745 компаний;
  • Программные средства автоматизации процессов анализа и контроля защищенности компьютерных систем – 54 409 компаний.

Рис. 4. Распределение компаний, использующих сеть Интернет в коммерческих целях, по средствам защиты информации, передаваемой по глобальным сетям, в 2016 г., Россия, %.

В период 2012-2016 гг., количество компаний, использующих Интернет в коммерческих целях, увеличилось на 34,9%. В 2016 году 155 028 компаний использовали Интернет для связи с поставщиками и 110 421 компания – для связи с потребителями. Из компаний, использующих Интернет для связи с поставщиками, целью использования указали:

• получение сведений о необходимых товарах (работах, услугах) и их поставщиках – 138 224 компании;
• предоставление сведений о потребностях организации в товарах (работах, услугах) – 103 977 компаний;
• размещение заказов на необходимые организации товары (работы, услуги) (без учета заказов, отправленных по электронной почте) – 95 207 компаний;
• оплата поставляемых товаров (работ, услуг) – 89 279;
• получение электронной продукции – 62 940 компаний.

Из общего числа компаний, использующих Интернет для связи с потребителями, целью использования указали:

• предоставление сведений об организации, ее товарах (работах, услугах) – 101 059 компаний;
• (работы, услуги) (без учета заказов, отправленных по электронной почте) – 44 193 компании;
• осуществление электронных расчетов с потребителями – 51 210 компаний;
• распространение электронной продукции – 12 566 компаний;
• послепродажное обслуживание (сервис) – 13 580 компаний.

Объем и динамика бюджетов федеральных органов исполнительной власти на информационные технологии в 2016-2017 гг.

По данным Федерального Казначейства, общий объем лимитов бюджетных обязательств на 2017 год, доведенных до федеральных органов исполнительной власти (далее ФОИВ) по коду вида расходов 242 «Закупка товаров, работ, услуг в сфере информационно-коммуникационных технологий» в части сведений, не составляющих государственную тайну, по состоянию на 1 августа 2017 года составил 115,2 млрд. рублей, что примерно на 5,1% превышает суммарный объем бюджетов на информационные технологии ФОИВ в 2016 году (109,6 млрд. рублей, по данным Минкомсвязи). Таким образом, при продолжающемся росте общего объема IT-бюджетов федеральных ведомств от года к году скорость роста уменьшилась (в 2016 году общий объем IT-бюджетов вырос на 8,3% по сравнению с 2015 годом). При этом наблюдается все более усиливающееся расслоение на «богатые» и «бедные» в смысле расходов на информационные и коммуникационные технологии ведомства. Безусловным лидером не только по размеру бюджета, но и по уровню достижений в сфере ИТ является Федеральная налоговая служба. Ее бюджет ИКТ в текущем году составляет более 17,6 млрд. рублей, что составляет более 15 % от бюджета всех ФОИВ. Суммарная доля первой пятерки (ФНС, ПФР, Казначейство, МВД, Минкомсвязи) – более 53 %.

Рис. 5. Структура расходов бюджета на закупку товаров, работ и услуг в сфере информационно-коммуникационных технологий в разрезе федеральных органов исполнительной власти в 2017 году, %

Законодательное регулирование в сфере закупок программного обеспечения для государственных и муниципальных нужд

С 1 января 2016 года все государственные и муниципальные органы, государственные корпорации «Росатом» и «Роскосмос», органы управления государственными внебюджетными фондами, а также казенные и бюджетные учреждения, осуществляющие закупки в соответствии с требованиями Федерального закона от 5 апреля 2013 г. № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд», обязаны соблюдать запрет на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд. Запрет введен Постановлением правительства РФ от 16 ноября 2015 г. № 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд». При закупке программного обеспечения вышеперечисленные заказчики должны прямо указывать на запрет приобретать импортное ПО в извещении об осуществлении закупки. Запрет распространяется на закупки программ для электронных вычислительных машин и баз данных, реализуемых независимо от вида договора на материальном носителе и (или) в электронном виде по каналам связи, а также исключительных прав на такое программное обеспечение и прав использования такого программного обеспечения.

Есть несколько исключений, когда закупка импортного ПО заказчикам разрешена.

• закупки программного обеспечения и (или) прав на него дипломатическими представительствами и консульскими учреждениями Российской Федерации, торговыми представительствами Российской Федерации при международных организациях для обеспечения своей деятельности на территории иностранного государства;
• закупки программного обеспечения и (или) прав на него, сведения о котором и (или) о закупке которого составляют государственную тайну.

Во всех остальных случаях от заказчика перед осуществлением закупки программного обеспечения потребуется работа с единым реестром российских программ для электронных вычислительных машин и баз данных и классификатором программ для электронных вычислительных машин и баз данных.
Формированием и ведением реестра в качестве уполномоченного федерального органа исполнительной власти занимается Минкомсвязь России.
По состоянию на конец августа 2017 года в реестре числятся 343 программных продукта, относящихся к классу «средства обеспечения информационной безопасности» 98 российских компаний-разработчиков. Среди них представлены программные продукты таких крупных российских разработчиков, как:

• ОАО «Информационные технологии и коммуникационные системы» («ИнфоТеКС») – 37 программных продуктов;
• АО «Лаборатория Касперского» — 25 программных продуктов;
• ООО «Код безопасности» — 19 программных продуктов;
• ООО «Крипто-Про» — 18 программных продуктов;
• ООО «Доктор WEB» — 12 программных продуктов;
• ООО «С-Терра СиЭсПи» — 12 программных продуктов;
• ЗАО «Аладдин Р.Д.» — 8 программных продуктов;
• АО «Инфовотч» — 6 программных продуктов.

Анализ деятельности крупнейших игроков в сфере информационной безопасности

• В качестве основной информации для анализа деятельности крупнейших игроков на рынке информационной безопасности для подготовки данного исследования были использованы сведения о государственных закупках в сфере информационно-коммуникационной деятельности и, в частности, информационной безопасности.

Для анализа тенденций нами были выбраны 18 компаний, входящих в число лидеров рынка информационной безопасности и активно участвующих в государственных закупках. В список вошли, как непосредственно разработчики программного обеспечения и программно-аппаратных комплексов защиты, так и крупнейшие системные интеграторы. Суммарная выручка данных компаний в 2016 году составила 162,3 млрд. руб., превысив показатель 2015 года на 8,7%.
Ниже представлен список компаний, выбранных для исследования.

Табл. 1. Компании, выбранные для исследования

№	Название	ИНН	Вид деятельности (ОКВЭД 2014)
1	«Ай-Теко», АО	7736227885	Деятельность, связанная с использованием вычислительной техники и информационных технологий, прочая (62.09)
2	«Крок Инкорпорейтед», ЗАО	7701004101
3	«Информзащита», ЗАО НИП	7702148410	Научные исследования и разработки в области общественных и гуманитарных наук (72.20)
4	«Софтлайн Трейд», АО	7736227885
5	«Техносерв АС», ООО	7722286471	Торговля оптовая прочими машинами и оборудованием (46.69)
6	«Элвис-плюс», АО	7735003794
7	«Астерос», АО	7721163646	Торговля оптовая компьютерами, периферийными устройствами к компьютерам и программным обеспечением (46.51
8	«Производственная компания Аквариус», ООО	7701256405
9	«Ланит», ЗАО	7727004113	Торговля оптовая прочей офисной техникой и оборудованием (46.66)
10	Инфосистемы Джет», ЗАО	7729058675	Торговля оптовая компьютерами, периферийными устройствами к компьютерам и программным обеспечением (46.51)
11	«Диалогнаука», АО	7701102564	Разработка компьютерного программного обеспечения (62.01)
12	«Фактор-ТС», ООО	7716032944	Производство компьютеров и периферийного оборудования (26.20)
13	«ИнфоТеКС», ОАО	7710013769	Разработка компьютерного программного обеспечения (62.01)
14	«Уральский центр систем безопасности», ООО	6672235068	Деятельность в области архитектуры, инженерных изысканий и предоставление технических консультаций в этих областях (71.1)
15	«АйСиЭл-КПО ВС», АО	1660014361	Разработка компьютерного программного обеспечения (62.01)
16	«Энвижн Груп», АО	7703282175	Торговля оптовая неспециализированная (46.90)
17	«Конфидент-интеграция», ООО	7811512250	Деятельность по обработке данных, предоставление услуг по размещению информации и связанная с этим деятельность (63.11)
18	«Калуга астрал», ЗАО	4029017981	Деятельность консультативная и работы в области компьютерных технологий (62.02

По состоянию на конец октября 2017 года компаниями из представленной выборки заключено 1 034 контрактов с государственными органами на сумму 24,6 млрд. рублей. Лидирует в данном списке по объемам заключенных контрактов компания «Ай-Теко» — 74 контракта на сумму 7,5 млрд. рублей.
На протяжении последних лет, за исключением кризисного 2014 года, можно отметить постоянный рост суммарных объемов контрактов по выбранным компаниям. Наиболее значительная динамика приходится на период 2015-2016 гг. Так, в 2015 году был отмечен рост объемов контрактов более чем в 3,5 раза, в 2016 году - в 1,5 раза. По имеющимся данным о контрактной деятельности компаний за период январь-октябрь 2017 года, можно предположить, что в 2017 году суммарный объем контрактов с госструктурами составит порядка 37-38 млрд. рублей, то есть ожидается снижение в районе 40%.

Вобосновании затрат на информационную безопас­ность существует два основных подхода.

Научный подход . Для этого необходимо привлечь руководство компании (или ее собст­венника) к оценке стоимости информационных ресурсов, оп­ределению оценки потенциального ущерба от нарушений в области защиты информации.

1. Если стоимость информации невелика, существен­ных угроз для информационных активов компании нет, а по­тенциальный ущерб минимален, обеспечение информацион­ной безопасности требует меньшего финансирования.

2. Если информация обладает определенной стоимо­стью, угрозы и потенциальный ущерб значительны и опреде­лены, тогда возникает вопрос о внесении в бюджет расходов на подсистему информационной безопасности. В этом случае необходимо построение корпоративной системы защиты ин­формации.

Практический подход состоит в определении варианта реальной стоимости корпоративной системы защиты информации на основе аналогичных систем в других областях. Эксперты-практики в области защиты информации пола­гают, что стоимость системы защиты информации должна составлять примерно 10-20 % от стоимости корпоративной информационной системы, в зависимости от конкретных тре­бований к режиму информационной безопасности.

Общепри­нятые требования к обеспечению режима информационной безопасности "best practice" (на основе практического опыта), формализованные в ряде стандартов, например ISO 17799, реализуются на практике при разработке конкретных методов оценки эффективности системы информационной безопасно­сти.

Применение современных методов оценки затрат на информационную безопасность позволяет рассчитать всю расходную часть информационных активов организации, включая прямые и косвенные затраты на аппаратно-программные средства, организационные мероприятия, обу­чение и повышение квалификации сотрудников, реорганиза­цию, реструктуризацию бизнеса и т. д.

Они необходимы для доказательства экономической эффективности существующих корпоративных систем защи­ты и позволяют руководителям служб информационной безопасности обосновывать бюджет на информационную безопасность, а, также доказывать эффективность работы со­трудников соответствующей службы. Применяемые зарубеж­ными компаниями методики оценки затрат позволяют:

Получить адекватную информацию об уровне защи­щенности распределенной вычислительной среды и совокуп­ной стоимости владения корпоративной системы защиты ин­формации.

Сравнить подразделения службы информационной безопасности организации как между собой, так и с аналогичными подразделениями других организаций в данной отрасли.

Оптимизировать инвестиции на информационную безопасность организации.

Одна из наиболее известных методик оценки затрат применительно к системе информационной безопасности - методика совокупной стоимости владения (ССВ) компании Gartner Group Под показателем ССВ понимается сумма прямых и косвенных затрат на организацию (реорганизацию), эксплуатацию и сопровождение корпоративной системы за­щиты информации в течение года. Он используется практи­чески на всех основных этапах жизненного цикла корпора­тивной системы защиты информации и дает возможность объективно и независимо обосновать экономическую целесо­образность внедрения и использования конкретных организа­ционных и технических мер и средств защиты информации. Для объективности решения также необходимо дополнитель­но учитывать состояние внешней и внутренней среды пред­приятия, например, показатели технологического, кадрового и финансового развития предприятия.

Сравнение определенного показателя ССВ с аналогич­ными показателями ССВ по отрасли (с аналогичными компа­ниями) позволяет объективно и независимо обосновать затра­ты организации на информационную безопасность. Ведь час­то оказывается довольно трудно или даже практически невоз­можно оценить прямой экономический эффект от этих затрат.

Совокупная стоимость владения для системы инфор­мационной безопасности в общем случае складывается из стоимости:

Проектных работ,

Закупки и настройки программно-технических средств защиты, включающих следующие основные группы: межсетевые экраны, средства криптографии, антивирусы и ААА (средства аутентификации, авторизации и администри­рования),

Затрат на обеспечение физической безопасности,

Обучения персонала,

Управления и поддержки системы (администрирова­ние безопасности),

Аудита информационной безопасности, - периодической модернизации системы информацион­ной безопасности.

При этом прямые затраты включают как капитальные компоненты затрат (ассоциируемые с фиксированными акти­вами или "собственностью"), так и трудозатраты, которые учитываются в категориях операций и административного управления. Сюда же относят затраты на услуги удаленных пользователей и др., связанные с поддержкой деятельности организации.

В свою очередь, косвенные затраты отражают влияние корпоративной информационной системы и подсистемы за­щиты информации на сотрудников организации посредством таких измеримых показателей, как простои и "зависания" корпоративной системы защиты информации и информаци­онной системы в целом, затраты на операции и поддержку (не относящиеся к прямым затратам). Очень часто косвенные за­траты играют значительную роль, так как они обычно изна­чально не отражаются в бюджете на информационную безо­пасность, а выявляются при анализе затрат позже.

Расчет показателей ССВ организации проводится по следующим направлениям.

Компоненты корпоративной информационной системы (включая систему защиты информации) и информационные актины организации (серверы, клиентские компьютеры, пе­риферийные устройства, сетевые устройства).

Расходы на аппаратные и программные средства защиты информации : расходные материалы и амортизационные расходы ни серверы, компьютеры клиентов (настольные и мобильные компьютеры), периферийные устройства и сете­вые компоненты.

Расходы на организацию информационной безопасно­сти: обслуживание системы защиты информации, штатных средств защиты периферийных устройств, серверов, сетевых устройств, планирование и управление процессами защиты информации, разработка концепции и политики безопасности и прочие.

Расходы на операции информационной си стемы: пря­мые затраты на содержание персонала, стоимость работ и аутсорсинг, произведенные организацией в целом или службой для осуществления технической поддержки и операций по поддержанию инфраструктуры для пользователей.

Административные расходы : прямые затраты на пер­сонал, обеспечение деятельности и расходы внутрен­них/внешних поставщиков (вендоров) на поддержку опера­ций, включающих управление, финансирование, приобрете­ние и обучение информационных систем.

Расходы на операции конечных пользователей : затраты на самоподдержку конечных пользователей, официальное обучение конечных пользователей, нерегулярное (неофици­альное) обучение, самостоятельные прикладные разработки, поддержку локальной файловой системы.

Расходы на простои : ежегодные потери производи­тельности конечных пользователей от запланированных и не­запланированных отключений сетевых ресурсов, включая клиентские компьютеры, совместно используемые серверы, принтеры, прикладные программы, коммуникационные ре­сурсы и программное обеспечение для связи.