"Gazeti la fedha. Toleo la kikanda", 2008, N 41

Katika hali ya kisasa, umuhimu wa kuhakikisha usalama wa habari hauwezi kupuuzwa. Uvujaji mdogo wa habari za siri kwa washindani unaweza kusababisha hasara kubwa ya kiuchumi kwa kampuni, kusimamishwa kwa uzalishaji na hata kufilisika.

Malengo ya usalama wa habari ni: kuzuia uvujaji, wizi, upotevu, upotoshaji na upotoshaji wa habari; kuzuia vitendo visivyoidhinishwa vya kuharibu, kurekebisha, kupotosha, nakala, kuzuia habari; kuzuia aina nyingine za kuingiliwa kinyume cha sheria katika rasilimali za habari na mifumo ya habari ya shirika.

Gharama za kulinda habari hasa ni pamoja na upatikanaji wa njia ili kuhakikisha ulinzi wake kutoka kwa upatikanaji usioidhinishwa. Kuna njia nyingi za kuhakikisha usalama wa habari; zinaweza kugawanywa katika vikundi viwili vikubwa. Ya kwanza ni fedha ambazo zina msingi wa nyenzo, kama vile salama, kamera za CCTV, mifumo ya usalama, nk. Katika uhasibu huhesabiwa kama mali ya kudumu. Ya pili ni zana ambazo hazina msingi wa nyenzo, kama vile programu za kuzuia virusi, programu za kuzuia ufikiaji wa habari kwa fomu ya elektroniki, nk. Wacha tuzingatie huduma za uhasibu kwa njia kama hizo za usalama wa habari.

Wakati wa kununua programu ili kuhakikisha usalama wa habari, haki za kipekee kwake hazipitishi kwa mnunuzi tu nakala iliyolindwa ya programu inunuliwa, ambayo mnunuzi hawezi kunakili au kusambaza. Kwa hiyo, wakati wa kuzingatia programu hizo, mtu anapaswa kuongozwa na Chap. VI "Uhasibu wa shughuli zinazohusiana na utoaji (kupokea) haki ya kutumia mali zisizoonekana" ya PBU mpya 14/2007 "Uhasibu wa mali zisizoonekana".

Katika hali nadra, wakati wa kununua programu za usalama wa habari, kampuni hupata haki za kipekee kwa bidhaa. Katika kesi hii, programu itahesabiwa katika uhasibu kama mali isiyoonekana (mali zisizoonekana).

Kulingana na PBU 14/2007, katika uhasibu, mali zisizoonekana zinazotolewa kwa matumizi chini ya masharti ya makubaliano ya leseni, malipo ya haki ya kutumia ambayo hufanywa kwa njia ya malipo ya wakati mmoja na haki za kipekee ambazo hazijalipwa. kuhamishwa kwa mnunuzi, lazima izingatiwe na mpokeaji kama sehemu ya gharama zilizoahirishwa na kuonyeshwa kwenye akaunti ya karatasi isiyo na usawa (kifungu cha 39). Katika kesi hii, kipindi ambacho gharama hizi zitafutwa kwa akaunti za gharama imeanzishwa na makubaliano ya leseni. Katika uhasibu wa ushuru, gharama za ununuzi wa programu za ulinzi wa habari kwa madhumuni ya ushuru wa faida huzingatiwa kama gharama zingine na zinafutwa vivyo hivyo - kwa sehemu sawa katika kipindi kilichowekwa katika makubaliano ya leseni (kifungu cha 26, kifungu cha 1, kifungu cha 264 cha Nambari ya Ushuru ya Shirikisho la Urusi).

Ikiwa malipo ya haki ya kutumia bidhaa ya programu ambayo hutoa usalama wa habari hufanywa kwa njia ya malipo ya mara kwa mara, basi, kulingana na kifungu cha 39 cha PBU 14/2007, yanajumuishwa na mtumiaji katika gharama za kipindi cha kuripoti ambacho yalifanywa.

Kwa mazoezi, makubaliano ya leseni sio mara zote yanaonyesha kipindi cha matumizi ya programu. Wakati uhusiano kati ya mapato na gharama hauwezi kuelezewa wazi, katika uhasibu wa ushuru, gharama za ununuzi wa programu za ulinzi wa habari zinasambazwa na walipa kodi kwa kujitegemea kwa madhumuni ya kuhesabu ushuru wa mapato, kwa kuzingatia kanuni ya utambuzi wa mapato na gharama (kifungu cha 1 cha Kifungu cha 272 cha Kanuni ya Ushuru ya Shirikisho la Urusi). Katika uhasibu, kipindi ambacho gharama hizi zitafutwa kutoka kwa akaunti 97 imewekwa na usimamizi wa biashara kulingana na wakati unaotarajiwa wa matumizi ya programu.

Mfano 1. OJSC Alfa ilinunua nakala ya leseni ya mpango wa kupambana na virusi kutoka kwa LLC Betta kwa rubles 118,000, ikiwa ni pamoja na VAT (18%). Mkataba wa leseni huanzisha muda wa matumizi ya programu ya miezi 9.

Katika rekodi za uhasibu za OJSC Alfa, mpango unapaswa kuzingatiwa kama ifuatavyo:

D-t 60, K-t 51 - 118,000 kusugua. - gharama ya programu hulipwa kwa muuzaji;

D-t 60, K-t 97 - 100,000 kusugua. - mpango uliopokelewa unaonyeshwa kama gharama zilizoahirishwa;

D-t 002 - 100,000 kusugua. - mpango uliopokelewa unaonyeshwa kwenye akaunti ya karatasi isiyo ya usawa;

D-t 19, K-t 60 - 18,000 kusugua. - VAT iliyotengwa;

Dt 68, Kt 19 - 18,000 kusugua. - kukubaliwa kwa kupunguzwa kwa VAT;

D-t 26 (44), K-t 97 - 11,111.11 kusugua. (RUB 100,000: miezi 9) - kila mwezi kwa miezi 9 gharama ya programu ya kupambana na virusi imeandikwa kwa sehemu sawa kama gharama.

Wacha tubadilishe masharti ya mfano 1: tuseme kwamba Alfa OJSC haifanyi malipo mara moja, lakini kwa awamu sawa katika muda wote wa makubaliano ya leseni. Kiasi cha malipo kitakuwa rubles 11,800. kwa kila mwezi, pamoja na VAT.

Katika kesi hii, maingizo yafuatayo yatafanywa katika uhasibu:

D-t 002 - 90,000 kusugua. (RUB 10,000 x 9 miezi) - mpango uliopokea unaonyeshwa kwenye akaunti ya karatasi isiyo ya usawa;

D-t 60, K-t 51 - 11,800 kusugua. - gharama ya bidhaa ya programu hulipwa kwa muuzaji kila mwezi kwa miezi 9;

D-t 19, K-t 60 - 1800 kusugua. - VAT iliyotengwa;

D-t 26 (44), K-t 60 - 10,000 kusugua. - gharama ya programu imeandikwa kama gharama;

D-t 68, K-t 19 - 1800 kusugua. - kukubaliwa kwa kupunguzwa kwa VAT.

Mara nyingi, kabla ya muda wa makubaliano ya leseni, kampuni inayotengeneza programu za usalama wa habari hutoa sasisho. Katika kesi hii, gharama katika uhasibu na uhasibu wa ushuru zitakubaliwa wakati wa kusasishwa.

Pia ni desturi ya kawaida kwa kampuni ya maendeleo kutoa programu yake kwa mashirika kwa muda mfupi kwa ajili ya tathmini. Ili kuonyesha kwa usahihi mpango wa usalama wa habari uliopokelewa bila malipo, ni lazima uzingatiwe kama sehemu ya mapato yaliyoahirishwa kwa bei ya soko.

Mfano 2. LLC "Betta" iliipatia OJSC "Alfa" programu ya usalama wa habari bila malipo ili ikaguliwe kwa muda wa miezi 3. Bei ya soko ya bidhaa hii ya programu ni rubles 3300.

Maingizo yafuatayo yanapaswa kufanywa katika rekodi za uhasibu za Alfa OJSC:

D-t 97, K-t 98 - 3300 kusugua. - programu iliyopokelewa bila malipo imekubaliwa kwa uhasibu;

D-t 98, K-t 91 - 1100 kusugua. - kila mwezi kwa miezi mitatu, sehemu ya mapato yaliyoahirishwa hukubaliwa kama mapato mengine.

Katika uhasibu wa kodi, mapato kutoka kwa programu iliyopokelewa bila malipo pia yatakubaliwa ndani ya miezi mitatu (kifungu cha 2 cha Kifungu cha 271 cha Kanuni ya Ushuru ya Shirikisho la Urusi).

Gharama za ulinzi wa habari hazijumuishi tu upatikanaji wa zana za usalama wa habari, lakini pia gharama za huduma za ushauri (habari) kwa ulinzi wa habari (hazihusiani na upatikanaji wa mali zisizoonekana, mali zisizohamishika au mali nyingine za shirika). Kulingana na kifungu cha 7 cha PBU 10/99 "Gharama za shirika", gharama za huduma za ushauri katika uhasibu zinajumuishwa katika gharama za shughuli za kawaida katika kipindi cha kuripoti wakati zilitumika. Katika uhasibu wa ushuru, zinaainishwa kama gharama zingine zinazohusiana na utengenezaji na uuzaji wa bidhaa (kifungu cha 15, kifungu cha 1, kifungu cha 264 cha Msimbo wa Ushuru wa Shirikisho la Urusi).

Mfano 3. LLC "Betta" ilitoa huduma za ushauri juu ya usalama wa habari kwa OJSC "Alpha" kwa jumla ya kiasi cha rubles 59,000, ikiwa ni pamoja na VAT - 9,000 rubles.

Maingizo yafuatayo lazima yafanywe katika rekodi za uhasibu za Alfa OJSC:

D-t 76, K-t 51 - 59,000 kusugua. - kulipwa kwa huduma za ushauri;

Dt 26 (44), Kt 76 - 50,000 kusugua. - huduma za ushauri juu ya usalama wa habari zimefutwa kama gharama za shughuli za kawaida;

Dt 19, Kt 76 - 9000 kusugua. - VAT iliyotengwa;

Dt 68, Kt 19 - 9000 kusugua. - kukubaliwa kwa kupunguzwa kwa VAT.

Biashara zinazotumia mfumo wa kodi uliorahisishwa kama gharama zinazopunguza msingi unaotozwa ushuru wa kodi ya mapato, kulingana na aya. 19 kifungu cha 1 cha Sanaa. 346.16 ya Kanuni ya Ushuru ya Shirikisho la Urusi itaweza tu kukubali gharama za upatikanaji wa programu zinazohakikisha usalama wa habari. Gharama za huduma za ushauri juu ya usalama wa habari katika Sanaa. 346.16 ya Kanuni ya Ushuru ya Shirikisho la Urusi haijatajwa, kwa hiyo, kwa madhumuni ya kodi ya faida, mashirika hawana haki ya kukubali.

V. Shchanikov

Msaidizi wa Mkaguzi

idara ya ukaguzi

Baker Tilly Rusaudit LLC

Kulingana na muktadha, neno "usalama wa habari" hutumiwa kwa maana tofauti. Kwa maana pana zaidi, dhana hii ina maana ya ulinzi wa taarifa za siri, mchakato wa uzalishaji, na miundombinu ya kampuni kutokana na vitendo vya kukusudia au vya bahati mbaya vinavyosababisha uharibifu wa kifedha au kupoteza sifa.

Kanuni za usalama wa habari

Katika tasnia yoyote kanuni ya msingi ya usalama wa habari ni kudumisha uwiano wa maslahi ya raia, jamii na serikali. Ugumu wa kudumisha usawa upo katika ukweli kwamba masilahi ya jamii na raia mara nyingi hukinzana. Raia anajitahidi kuweka siri maelezo ya maisha yake binafsi, vyanzo na kiwango cha mapato, na matendo mabaya. Jamii, kinyume chake, ina nia ya "kuweka wazi" habari kuhusu mapato haramu, ukweli wa ufisadi, na vitendo vya uhalifu. Serikali inaunda na kusimamia utaratibu wa kuzuia ambayo inalinda haki za raia kutofichua data ya kibinafsi na wakati huo huo inadhibiti mahusiano ya kisheria yanayohusiana na kutatua uhalifu na kuwafikisha wahalifu kwenye haki.

Umuhimu katika hali ya kisasa kanuni ya msaada wa kisheria faida za usalama wa habari wakati usaidizi wa udhibiti hauendani na maendeleo ya tasnia ya usalama wa habari. Mapengo katika sheria hayaruhusu tu watu kukwepa kuwajibika kwa uhalifu wa mtandao, lakini pia huzuia utekelezaji wa teknolojia ya juu ya ulinzi wa data.

Kanuni ya utandawazi , au ujumuishaji wa mifumo ya usalama wa habari huathiri sekta zote: kisiasa, kiuchumi, kitamaduni. Maendeleo ya mifumo ya mawasiliano ya kimataifa inahitaji usalama thabiti wa data.

Kulingana na kanuni ya uwezekano wa kiuchumi , ufanisi wa hatua za usalama wa habari lazima ulingane au uzidi rasilimali zilizotumika. Kutorejeshwa kwa gharama za kudumisha mfumo wa usalama kunadhuru tu maendeleo.

Kanuni ya kubadilika kwa mfumo ulinzi wa habari unamaanisha kuondoa vikwazo vyovyote vya serikali vinavyozuia uzalishaji na utekelezaji wa teknolojia mpya.

Udhibiti mkali wa habari za siri badala ya habari wazi inamaanisha kanuni ya kutokuwa na usiri .

Kadiri zana tofauti za usalama za maunzi na programu zinavyotumika kulinda data, ndivyo washambuliaji wa maarifa na ujuzi mbalimbali wanavyohitaji kugundua udhaifu na ulinzi wa kupita. Inalenga kuimarisha usalama wa habari kanuni ya utofauti mifumo ya ulinzi ya mifumo ya habari.

Kanuni ya urahisi wa udhibiti mfumo wa usalama unatokana na wazo kwamba kadiri mfumo wa usalama wa habari unavyokuwa mgumu zaidi, ndivyo inavyokuwa vigumu zaidi kuthibitisha uthabiti wa vipengele vya mtu binafsi na kutekeleza utawala mkuu.

Ufunguo wa mtazamo wa uaminifu wa wafanyikazi kuelekea usalama wa habari ni mafunzo ya mara kwa mara katika sheria za usalama wa habari na maelezo wazi ya matokeo ya kutofuata sheria, hadi na kufilisika kwa kampuni. Kanuni ya uaminifu Wasimamizi wa mfumo wa usalama wa data na wafanyikazi wote wa kampuni huhusisha usalama na motisha ya wafanyikazi. Ikiwa wafanyikazi, pamoja na wenzao na wateja, wanaona usalama wa habari kama jambo lisilo la lazima au hata chuki, hata mifumo yenye nguvu zaidi haiwezi kuhakikisha usalama wa habari katika kampuni.

Kanuni zilizoorodheshwa ni msingi wa kuhakikisha usalama wa habari katika tasnia zote, ambayo huongezewa na vipengele kulingana na maalum ya sekta hiyo. Hebu tuangalie mifano ya sekta ya benki, nishati na vyombo vya habari.

Benki

Ukuzaji wa teknolojia za mashambulizi ya mtandao hulazimisha benki kutekeleza mifumo mipya na kila mara kuboresha mifumo ya msingi ya usalama. Lengo la kuendeleza usalama wa taarifa katika sekta ya benki ni kuendeleza ufumbuzi wa kiteknolojia ambao unaweza kupata rasilimali za habari na kuhakikisha ujumuishaji wa bidhaa za hivi karibuni za IT katika michakato muhimu ya biashara ya taasisi za fedha.

Taratibu za kuhakikisha usalama wa taarifa za taasisi za fedha zinajengwa kwa mujibu wa mikataba na mikataba ya kimataifa iliyoidhinishwa, pamoja na sheria na viwango vya shirikisho. Pointi za kumbukumbu katika uwanja wa usalama wa habari kwa benki za Urusi ni:

• Kiwango cha Benki ya Urusi STO BR IBBS-1.0-2010 "Kuhakikisha usalama wa habari wa mashirika ya mfumo wa benki wa Shirikisho la Urusi";
• Sheria ya Shirikisho Nambari 161 "Kwenye Mfumo wa Malipo wa Kitaifa";
• Sheria ya Shirikisho Nambari 152 "Katika Data ya Kibinafsi";
• Kadi ya Malipo ya Usalama wa Takwimu ya Sekta ya Kawaida ya PCI DSS na hati zingine.

Uhitaji wa kufuata sheria na viwango mbalimbali ni kutokana na ukweli kwamba benki hufanya shughuli nyingi tofauti, zinafanya kazi katika maeneo tofauti, ambayo yanahitaji zana zao za usalama. Kwa mfano, kuhakikisha usalama wa taarifa wakati wa huduma za benki za mbali (RBS) hujumuisha uundaji wa miundombinu ya usalama, ambayo inajumuisha njia za kulinda maombi ya benki na kudhibiti mtiririko wa data. kufuatilia miamala ya benki na kuchunguza matukio. Ulinzi wa vipengele vingi vya rasilimali za habari huhakikisha kupunguzwa kwa vitisho vinavyohusishwa na udanganyifu wakati wa kutumia huduma za RBS, pamoja na ulinzi wa sifa ya benki.

Usalama wa habari katika sekta ya benki, kama sekta nyingine, inategemea wafanyakazi. Upekee wa usalama wa habari katika benki ni kuongezeka kwa tahadhari kwa wataalamu wa usalama katika ngazi ya mdhibiti. Mwanzoni mwa 2017, Benki ya Urusi pamoja na Wizara ya Kazi na Ulinzi wa Jamii kwa ushiriki wa FSTEC, Wizara ya Elimu na Sayansi kwa wataalam wa usalama wa habari.

Jinsi ya kufanya ukaguzi wa usalama wa habari katika benki kwa usahihi?

Nishati

Mchanganyiko wa nishati ni mojawapo ya sekta za kimkakati zinazohitaji hatua maalum ili kuhakikisha usalama wa habari. Ikiwa zana za kawaida za usalama wa habari zinatosha mahali pa kazi katika tawala na idara, basi ulinzi katika maeneo ya kiteknolojia ya uzalishaji wa nishati na uwasilishaji kwa watumiaji wa mwisho unahitaji udhibiti zaidi. Jambo kuu la ulinzi katika sekta ya nishati sio habari, lakini mchakato wa kiteknolojia. Katika kesi hii, mfumo wa usalama lazima uhakikishe uadilifu wa mchakato wa kiteknolojia na mifumo ya udhibiti wa kiotomatiki. Kwa hivyo, kabla ya kutekeleza mifumo ya usalama wa habari katika biashara katika sekta ya nishati, wataalam wanasoma:

• kitu cha ulinzi - mchakato wa kiteknolojia;
• vifaa vinavyotumika katika sekta ya nishati (telemechanics);
• mambo yanayohusiana (ulinzi wa relay, automatisering, metering ya nishati).

Umuhimu wa usalama wa habari katika sekta ya nishati imedhamiriwa na matokeo ya utekelezaji wa vitisho vya mtandao wa habari. Hii sio tu uharibifu wa nyenzo au pigo kwa sifa, lakini, juu ya yote, madhara kwa afya ya wananchi, uharibifu wa mazingira, uharibifu wa miundombinu ya jiji au kanda.

Kubuni mfumo wa usalama wa habari katika sekta ya nishati huanza na kutabiri na kutathmini hatari za usalama. Njia kuu ya tathmini ni mfano wa vitisho vinavyowezekana, ambayo husaidia kusambaza rasilimali wakati wa kupanga mfumo wa usalama na kuzuia utekelezaji wa vitisho vya cyber. Kwa kuongeza, tathmini ya hatari za usalama katika sekta ya nishati ni ya kuendelea: ukaguzi wakati wa uendeshaji wa mfumo unafanywa mara kwa mara ili kubadilisha mipangilio mara moja ili kuhakikisha kiwango cha juu cha ulinzi na kuweka mfumo hadi sasa.

Vyombo vya habari

Kazi kuu ya usalama wa habari katika vyombo vya habari ni kulinda maslahi ya taifa, ikiwa ni pamoja na maslahi ya wananchi, jamii na serikali. Shughuli za vyombo vya habari katika hali ya kisasa zinakuja kwa kuundwa kwa mtiririko wa habari kwa namna ya habari na nyenzo za uandishi wa habari ambazo zinapokelewa, kusindika na kusambazwa kwa watumiaji wa mwisho: wasomaji, watazamaji, wageni wa tovuti.

Kuhakikisha na kudhibiti usalama katika uwanja wa vyombo vya habari unatekelezwa katika maeneo kadhaa na ni pamoja na:

• maendeleo ya mapendekezo juu ya taratibu za kupambana na mgogoro katika tukio la tishio la mashambulizi ya habari;
• programu za mafunzo juu ya usalama wa habari kwa wafanyikazi wa ofisi za wahariri wa media, huduma za vyombo vya habari, na idara za uhusiano wa umma;
• utawala wa nje wa muda wa mashirika ambayo yamepata shambulio la habari.

Tatizo jingine la usalama wa habari kwenye vyombo vya habari ni upendeleo. Ili kuhakikisha kuwa matukio yanaangaziwa, utaratibu wa ulinzi unahitajika ambao utawalinda wanahabari dhidi ya shinikizo kutoka kwa maafisa wa serikali, menejimenti na/au mmiliki wa vyombo vya habari, na wakati huo huo kuhakikisha miundo ya biashara yenye uaminifu kutokana na vitendo vya wawakilishi wa vyombo vya habari wasio waaminifu.

Msingi mwingine wa usalama wa habari katika sekta ya vyombo vya habari ni kuzuia ufikiaji wa data. Shida ni kwamba kuzuia ufikiaji wa habari ili kuzuia vitisho vya habari sio "jalada" la udhibiti. Suluhisho ambalo litafanya vyombo vya habari kuwa wazi zaidi na kusaidia kuepuka madhara kwa maslahi ya usalama wa taifa linapatikana katika rasimu ya Mkataba wa Upataji wa Rasilimali za Habari, ambayo inasubiri kura katika Umoja wa Ulaya. Kanuni za hati zinadhani kuwa serikali inahakikisha upatikanaji sawa wa nyaraka zote rasmi kwa kuunda rejista zinazofaa kwenye mtandao, na huweka vikwazo vya upatikanaji ambavyo haziwezi kubadilishwa. Kuna tofauti mbili tu ambazo zitakuruhusu kuondoa vizuizi vya ufikiaji wa rasilimali za habari:

• manufaa ya umma, ambayo inamaanisha uwezo wa kuweka hadharani hata data zile ambazo hazijasambazwa katika hali ya kawaida;
• maslahi ya taifa ikiwa kufichwa kwa habari kunaweza kusababisha uharibifu kwa serikali.

Sekta binafsi

Pamoja na maendeleo ya uchumi wa soko, ukuaji na ugumu wa ushindani, sifa ya kampuni inakuwa sehemu isiyoweza kutenganishwa ya mali zisizoonekana. Uundaji na uhifadhi wa picha nzuri moja kwa moja inategemea kiwango cha usalama wa habari. Pia kuna uhusiano wa nyuma, wakati picha iliyoanzishwa ya kampuni kwenye soko hutumika kama dhamana ya usalama wa habari. Kwa njia hii, aina tatu za sifa ya biashara zinajulikana:

1. Picha ya shirika "lisilo na maana"., rasilimali za habari ambazo hazina maslahi yoyote, kwa kuwa haziwezi kutumika kwa madhara au manufaa ya mtu wa tatu.

2. Picha ya mpinzani hodari, ambaye usalama wake ni "ghali zaidi" kutishia. Mipaka iliyofifia ya fursa za kurudisha nyuma shambulio la habari husaidia kudumisha sifa ya adui mkubwa: \u200b\u200b\u003e kadri inavyokuwa ngumu kuelewa uwezo wa ulinzi wa habari, ndivyo kampuni inavyoonekana kutoweza kuingizwa machoni pa washambuliaji.

3. Picha ya shirika "muhimu".. Ikiwa mchokozi anayeweza kuwa na nia ya uwezekano wa kampuni, badala ya shambulio la habari, mazungumzo na uundaji wa sera ya jumla ya usalama wa habari inawezekana.

Kila kampuni inapanga shughuli zake kwa kufuata sheria na kujitahidi kufikia malengo yake. Vigezo sawia pia vitatumika wakati wa kuunda sera ya usalama wa habari, kutekeleza na kuendesha mifumo ya usalama wa ndani kwa data ya siri na rasilimali za TEHAMA. Ili kuhakikisha kiwango cha juu zaidi cha usalama wa habari katika shirika, mara tu mifumo ya usalama inapotekelezwa, vipengele vya usalama vinapaswa kufuatiliwa kwa utaratibu, kusanidiwa upya, na kusasishwa inavyohitajika.

Ulinzi wa habari wa vifaa vya kimkakati

Mwanzoni mwa 2017, Jimbo la Duma la Shirikisho la Urusi lilipitisha katika kusoma kwanza mfuko wa bili zinazohusiana na usalama wa habari na miundombinu muhimu ya habari ya nchi.

Vyanzo vikuu vya vitisho vya habari katika nyanja ya kijeshi ya Shirikisho la Urusi.

Mwenyekiti wa Kamati ya Bunge ya Sera ya Habari, Teknolojia ya Habari na Mawasiliano Leonid Levin, akiwasilisha miswada hiyo, alionya juu ya ongezeko la mashambulizi ya mtandao kwenye vitu muhimu vya kimkakati. Katika mkutano wa kamati, mwakilishi wa FSB Nikolai Murashov alisema kuwa katika mwaka huo mashambulizi milioni 70 ya mtandao yalifanywa kwa vitu nchini Urusi. Sambamba na kuongezeka kwa vitisho vya mashambulizi ya nje, ukubwa, utata na uratibu wa mashambulizi ya habari ndani ya nchi unaongezeka.

Miswada iliyopitishwa na wabunge inaunda msingi wa kisheria wa kutoa taarifa katika nyanja ya miundombinu muhimu ya kitaifa na tasnia binafsi. Kwa kuongezea, miswada hiyo inaagiza mamlaka ya miili ya serikali katika uwanja wa usalama wa habari na kutoa dhima kali ya jinai kwa ukiukaji wa usalama wa habari.

Utafiti wa Hatari za Usalama wa IT wa Kampuni ya Kaspersky Lab Global ni uchanganuzi wa kila mwaka wa mwenendo wa usalama wa habari wa shirika kote ulimwenguni. Tunaangazia vipengele muhimu vya usalama wa mtandao kama vile gharama ya usalama wa taarifa, aina za sasa za vitisho kwa aina mbalimbali za makampuni na matokeo ya kifedha ya kukabili vitisho hivi. Aidha, kwa kujifunza kutoka kwa watendaji kuhusu kanuni za upangaji bajeti ya usalama wa habari, tunaweza kuona jinsi makampuni katika maeneo mbalimbali ya dunia yanavyokabiliana na mabadiliko katika mazingira ya tishio.

Mnamo mwaka wa 2017, tulijaribu kuelewa ikiwa kampuni zinaona usalama wa habari kama sababu ya gharama (uovu wa lazima ambao wanalazimishwa kutenga pesa) au wanaanza kuuona kama uwekezaji wa kimkakati (yaani, njia ya kuhakikisha mwendelezo wa biashara. ambayo hutoa manufaa makubwa katika enzi ya matishio ya mtandao yanayoendelea kwa kasi).

Hili ni swali muhimu sana, hasa kwa vile bajeti za IT zimekuwa zikipungua katika maeneo mengi duniani.

Katika Urusi, hata hivyo, mwaka 2017 kulikuwa na ongezeko kidogo la bajeti ya wastani iliyotengwa kwa usalama - 2%. Bajeti ya wastani ya usalama wa habari nchini Urusi ilikuwa karibu rubles milioni 15.4.

Ripoti hii inaangazia kwa karibu aina za vitisho vinavyokabili kampuni za ukubwa wote, pamoja na mifumo ya kawaida ya matumizi ya TEHAMA.

Maelezo ya jumla na mbinu ya utafiti

Utafiti wa Kimataifa wa Hatari za Usalama wa IT wa Kampuni ya Kaspersky Lab ni uchunguzi wa watendaji wanaosimamia huduma za TEHAMA za mashirika yao, ambao umefanywa kila mwaka tangu 2011.

Data ya hivi majuzi zaidi ilikusanywa Machi na Aprili 2017. Jumla ya wahojiwa 5,274 kutoka zaidi ya nchi 30 walihojiwa, ikijumuisha makampuni ya ukubwa wote.

Ripoti wakati mwingine hutumia nyadhifa zifuatazo: biashara ndogo - chini ya wafanyikazi 50, SMB (biashara ya kati na ndogo - kutoka wafanyikazi 50 hadi 250) na biashara kubwa (kampuni zilizo na wafanyikazi zaidi ya 250). Ripoti ya sasa inatoa uchanganuzi wa vigezo vinavyofichua zaidi kutoka kwa utafiti.

Hitimisho kuu:

Inakuwa vigumu zaidi kwa makampuni ya ukubwa wote kukabiliana na vitisho vya mtandao, na gharama za ulinzi pia zinaongezeka. Katika Urusi, katika sehemu ya biashara ya kati na ndogo, gharama ya wastani ya kuondoa matokeo ya tukio moja tu la cyber ni rubles milioni 1.6, na kwa sehemu kubwa ya biashara gharama ni rubles milioni 16.1.

Sehemu ya bajeti ya IT inayotengwa kwa usalama wa habari inakua. Hii ni kawaida kwa makampuni ya ukubwa wowote. Bajeti ya jumla inabaki chini, na nchini Urusi ukuaji ulikuwa 2% tu, kwa hivyo wataalam wanalazimika kutekeleza majukumu yao na rasilimali chache.

Uharibifu kutokana na tukio moja unaongezeka, na makampuni ambayo hayatanguliza gharama za usalama wa habari hivi karibuni yanaweza kujikuta katika matatizo makubwa. Utafiti ulionyesha kuwa katika sehemu ya SMB, kampuni hutumia takriban rubles elfu 300 kwa kila tukio la usalama kwa malipo ya ziada kwa wafanyikazi, na mashirika makubwa yanaweza kutumia rubles milioni 2.7 ili kupunguza uharibifu wa chapa.

Uharibifu kutokana na matukio ya usalama

Idadi ya matukio ya usalama wa mtandao inaongezeka, huku makampuni yakilazimika kukabiliana na madhara mbalimbali, kuanzia mahusiano ya ziada ya umma hadi kuajiri wafanyakazi wapya. Mnamo 2017, kulikuwa na ongezeko zaidi la hasara za kifedha katika tukio la ukiukaji wa uadilifu wa data. Hii inapaswa kubadilisha jinsi kampuni zinavyoshughulikia suala hili: kampuni zitaacha kuona gharama za usalama wa mtandao kama uovu wa lazima na zitaanza kuziona kama uwekezaji ambao utawaruhusu kuepusha upotezaji mkubwa wa kifedha inapotokea shambulio.

Ukiukaji mkubwa wa data unazidi kuwa wa gharama kubwa

Wasiwasi mkubwa kwa CTO ni mashambulizi makubwa ambayo husababisha mamilioni ya rekodi kuvuja. Hayo yalikuwa mashambulizi dhidi ya Huduma ya Kitaifa ya Afya (NHS) ya Uingereza, Sony, au udukuzi wa kituo cha televisheni cha HBO kwa kutolewa kwa data ya siri inayohusiana na mfululizo wa "Game of Thrones". Walakini, kwa kweli, matukio makubwa kama haya ni ubaguzi badala ya sheria. Hadi mwaka jana, mashambulizi mengi ya mtandaoni hayakuwa vichwa vya habari na yalibaki kuwa mkoa wa ripoti maalum kwa wataalamu. Kwa kweli, magonjwa ya ukombozi yamebadilisha hali kidogo, lakini bado sehemu ya ushirika ya biashara haielewi picha nzima.

Idadi ndogo ya mashambulizi makubwa ya mtandao inayojulikana haimaanishi kuwa uharibifu kutoka kwa mashambulizi mengi ni mdogo. Kwa hivyo, makampuni hutumia kiasi gani kwa wastani kutatua uvunjaji wa data "kawaida"? Tuliwauliza washiriki wa utafiti kukadiria ni kiasi gani kampuni yao ilitumia/ilipoteza kutokana na tukio lolote la usalama lililotokea mwaka jana.

Kampuni zote zilizo na wafanyikazi 50 au zaidi zilihitajika kukadiria gharama zilizotumika katika kila moja ya kategoria zifuatazo:

Kwa kila kategoria, tulikokotoa wastani wa gharama zinazotumiwa na kampuni zinazokabiliwa na matukio ya usalama wa habari, na jumla ya kategoria zote zilituruhusu kukadiria kiasi cha uharibifu uliosababishwa na tukio la usalama wa habari.

Hapo chini tunawasilisha matokeo tofauti ya SMB na sehemu kubwa za biashara, kwani takwimu kwao hutofautiana kwa njia nyingi. Kwa mfano, uharibifu wa wastani kwa makampuni ya SMB ya Kirusi ni karibu rubles milioni 1.6, na kwa biashara kubwa ni karibu mara kumi zaidi - rubles milioni 16.1. Hii inaonyesha kwamba mashambulizi ya mtandao ni ya gharama kubwa kwa makampuni ya ukubwa wote.

Ukweli kwamba biashara kubwa, kwa wastani, hupata hasara zaidi wakati uadilifu wa data unakiukwa haishangazi, lakini inavutia kuchambua usambazaji wa uharibifu kwa kategoria.

Mwaka jana, manufaa ya ziada ya mfanyakazi yalikuwa gharama muhimu zaidi kwa SMB na biashara kubwa. Hata hivyo, mwaka huu picha imebadilika, na makampuni ya ukubwa tofauti yana vitu tofauti vya gharama kuu. Biashara ndogo na za kati zinaendelea kupoteza faida nyingi za wafanyikazi. Lakini biashara kubwa zilianza kuwekeza katika PR ya ziada ili kupunguza uharibifu wa sifa ya chapa. Kwa kuongeza, kipengee cha gharama kubwa kwa biashara kubwa ilikuwa gharama ya kuboresha vifaa vya kiufundi na ununuzi wa programu za ziada.

Kwa makampuni yote, gharama za mafunzo ya wafanyakazi zimeongezeka. Matukio ya usalama mara nyingi hufanya makampuni kutambua umuhimu wa kuongeza ujuzi wa mtandao na kuboresha akili ya vitisho.

Rasilimali za ndani zaidi za makampuni makubwa na upekee wa udhibiti wa shughuli zao huamua usawa tofauti kati ya gharama za kuondoa tishio yenyewe na gharama za kulipa fidia kwa uharibifu. Kitu cha gharama kubwa kilikuwa kuongezeka kwa malipo ya bima, kuzorota kwa viwango vya mikopo na mmomonyoko wa uaminifu katika kampuni: kwa wastani, baada ya kila tukio, makampuni makubwa hupoteza kuhusu rubles milioni 2.3 kutoka kwa hili.

Utafiti wetu ulionyesha kuwa ongezeko kubwa la gharama za kampuni lilitokana na hitaji la kuzuia - au angalau kupunguza - hasara ya sifa kwa njia ya ukadiriaji wa mkopo, taswira ya chapa na fidia.

Kadiri kanuni mpya zinavyozidi kuenea, gharama ya wastani huenda ikaendelea kupanda, na kuhitaji makampuni kuripoti matukio yote hadharani na kuongeza uwazi wa usalama wa data.

Mitindo kama hiyo ni ya kawaida, kwa mfano, huko Japani, ambapo gharama ya wastani ya kuondoa matokeo ya ukiukaji wa usalama iliongezeka zaidi ya mara mbili: kutoka $ 580,000 mnamo 2016 hadi $ 1.3 milioni mnamo 2017. Serikali ya Japan imechukua hatua ya kukaza kanuni ili kukabiliana na ongezeko la vitisho vya usalama wa mtandao. Mnamo 2017, sheria mpya zilianza kutumika, ambayo ilisababisha ongezeko la ghafla la gharama.

Hata hivyo, kutengeneza na kutekeleza sheria huchukua muda. Pamoja na maendeleo ya haraka ya mazingira ya IT ya shirika na mabadiliko ya vitisho vya mtandao, kuchelewa kwa hatua za udhibiti kunakuwa tatizo kubwa. Kwa mfano, viwango vipya vya Kijapani vilikubaliwa mnamo 2015, lakini kuanza kwao kutumika kulibidi kucheleweshwa kwa miaka miwili nzima. Kwa wengi, ucheleweshaji huu ulikuwa wa gharama kubwa sana: katika miaka hii miwili, makampuni kadhaa makubwa ya Kijapani yakawa waathirika wa mashambulizi ya gharama kubwa. Mfano mmoja ni kampuni ya usafiri ya JTB Corp., ambayo ilipata uvujaji mkubwa mwaka wa 2016. Data ya wateja milioni 8 iliibiwa, ikiwa ni pamoja na majina, anwani na nambari za pasipoti.

Hii ni mojawapo ya dalili za tatizo la kimataifa: vitisho vinakua kwa kasi, na hali ya serikali na makampuni ni kubwa mno. Mfano mwingine wa kukaza skrubu ni Viwango vya Jumla vya Ulinzi wa Data vya Ulaya (GDPR), ambavyo vitaanza kutumika Mei 2018 na kupunguza kwa kiasi kikubwa njia zinazokubalika ambazo data ya raia wa Umoja wa Ulaya inaweza kuchakatwa na kuhifadhiwa.

Sheria zinabadilika kote ulimwenguni, lakini haziwezi kuendelea na vitisho vya mtandao - mawimbi matatu ya ransomware nchini Urusi yalitukumbusha hili katika 2017. Kwa hiyo, wafanyabiashara wanapaswa kufahamu kutokamilika kwa sheria na kuimarisha ulinzi kwa mujibu wa hali halisi - au kukubali uharibifu wa sifa na wateja mapema. Inafaa kujiandaa kwa mahitaji mapya ya udhibiti bila kungoja tarehe za mwisho. Kwa kubadilisha sera baada ya sheria husika kutolewa, makampuni huhatarisha sio tu faini, lakini pia usalama wa data zao na za mteja.

Hakuna mambo kama vile udhaifu wa mtu mwingine: mapungufu katika ulinzi wa washirika ni ghali

Ili kulinda dhidi ya uvujaji wa data, ni muhimu sana kuelewa ni washambuliaji gani wa mashambulizi hutumia. Kwa upande mwingine, habari hii itakusaidia kuelewa ni aina gani za mashambulizi ni ya gharama kubwa zaidi.

Utafiti ulionyesha kuwa matukio yafuatayo yalikuwa na athari mbaya zaidi za kifedha kwa biashara za kati na ndogo:

• Matukio yanayoathiri miundombinu iliyoandaliwa kwenye vifaa vya watu wengine (RUB milioni 17.2)
• Matukio yanayoathiri huduma za wingu za wahusika wengine zinazotumiwa na kampuni (RUB milioni 3.6)
• Ubadilishanaji wa data usiofaa kupitia vifaa vya rununu (RUB milioni 2.5)
• Kupoteza kimwili kwa vifaa vya rununu, kuangazia shirika kwenye hatari (RUB milioni 2.1)
• Matukio yanayohusiana na vifaa visivyo vya kompyuta vilivyounganishwa kwenye Mtandao (kwa mfano, mifumo ya udhibiti wa viwanda, Mtandao wa Mambo) (RUB milioni 1.7)

Hali ya biashara kubwa ni tofauti kidogo:

• Mashambulizi yaliyolengwa (RUB milioni 75)
• Matukio yanayoathiri huduma za wingu za wachuuzi wengine (RUB milioni 19)
• Virusi na programu hasidi (RUB milioni 9)
• Ubadilishanaji wa data usiofaa kupitia vifaa vya rununu (RUB milioni 7.3)
• Matukio yanayoathiri wasambazaji ambao makampuni hubadilishana data (RUB milioni 4.4)

Data hizi zinaonyesha kuwa mashambulizi yanayosababishwa na matatizo ya usalama na washirika wa biashara mara nyingi ndiyo yanagharimu zaidi makampuni ya ukubwa wowote. Hii inatumika kwa mashirika yote mawili yanayokodisha wingu au miundombinu mingine kutoka kwa watoa huduma wengine, na kampuni zinazoshiriki data zao na washirika.

Pindi unapoipa kampuni nyingine ufikiaji wa data au miundombinu yako, udhaifu wao huwa tatizo lako. Hata hivyo, tumeona hapo awali kwamba mashirika mengi hayaambatanishi umuhimu wa kutosha kwa hili. Kwa hivyo haishangazi kwamba matukio ya aina hii husababisha gharama kubwa zaidi: bondia yeyote atakuambia kuwa kawaida ni pigo lisilotarajiwa ambalo husababisha kugonga.

Pia ikumbukwe mara moja ni vekta nyingine ambayo bila kutarajia iliingia katika vitisho 5 vya juu kwa biashara za ukubwa wa kati: mashambulio yanayohusiana na vifaa vilivyounganishwa ambavyo sio kompyuta. Leo, trafiki kwenye Mtandao wa Mambo (IoT) inakua kwa kasi zaidi kuliko trafiki inayozalishwa na teknolojia nyingine yoyote. Huu ni mfano mwingine wa jinsi maendeleo mapya yanavyoongeza idadi ya udhaifu unaowezekana katika miundombinu ya biashara. Hasa, utumizi mkubwa wa manenosiri ya kiwandani na vipengele hafifu vya usalama kwenye Intaneti ya vifaa vimevifanya vivutie vyema vya roboti kama vile Mirai - programu hasidi ambayo inaweza kuunganisha idadi kubwa ya vifaa vilivyo hatarini kwenye mtandao mmoja ili kutekeleza kwa kiasi kikubwa. DDoS hushambulia shabaha zilizochaguliwa.

Kiasi cha hasara kutokana na mashambulizi yaliyolengwa katika sehemu kubwa ya biashara ni ya kukumbukwa - tishio hili ni gumu sana kukabiliana nalo. Katika kipindi cha miaka michache iliyopita, idadi ya mashambulizi ya hali ya juu yaliyolengwa kwenye benki yamejulikana, ambayo pia yanaimarisha takwimu hizi za kukatisha tamaa.

Uwekezaji katika Kupunguza Hatari

Kama utafiti wetu umeonyesha, vitisho kwa usalama wa habari vinazidi kuwa mbaya. Katika hali hizi, mtu hawezi lakini kuwa na wasiwasi juu ya hali ya bajeti ya usalama wa habari yenyewe. Kwa kuchanganua mabadiliko yao, tunaweza kuamua ikiwa mashirika yanaona usalama wao kama kichochezi cha gharama, au kama salio linabadilika hatua kwa hatua ili lionekane kama eneo la uwekezaji ambalo hutoa faida halisi ya ushindani.

Ukubwa wa bajeti unaonyesha mtazamo wa kampuni kuhusu usalama wa IT, umuhimu wa jukumu la mfumo wa ulinzi kutoka kwa mtazamo wa usimamizi, na nia ya shirika kuhatarisha.

Bajeti ya usalama wa habari: sehemu inakua, "pie" inapungua

Mwaka huu tumeona kuwa uwekaji akiba na uuzaji nje umesababisha kupunguzwa kwa bajeti za IT. Licha ya hili (au labda kutokana na hili), sehemu ya usalama wa habari katika bajeti hizi za IT imeongezeka. Katika Urusi, mwelekeo mzuri unaweza kuonekana katika makampuni ya ukubwa wote. Hata kati ya biashara ndogo ndogo zinazofanya kazi katika hali ya ukosefu wa rasilimali, sehemu ya bajeti ya IT iliyotengwa kwa usalama wa habari imeongezeka, ingawa kwa sehemu ya asilimia.

Hii ina maana kwamba makampuni hatimaye yanaanza kuelewa umuhimu wa usalama wa habari. Labda hii inaonyesha kuwa usalama wa habari umeanza kutambuliwa na wengi kama uwekezaji unaowezekana, badala ya kama chanzo cha gharama.

Tunaona kwamba bajeti za IT kote ulimwenguni zinapunguzwa kwa kiasi kikubwa. Wakati usalama wa habari unapata kipande kikubwa cha pai, pai yenyewe inazidi kuwa ndogo. Mwenendo huo ni wa kutisha, haswa ikizingatiwa jinsi hatari zilivyo juu katika eneo hili na jinsi kila shambulio linavyogharimu.

Huko Urusi, bajeti ya wastani ya usalama wa habari kwa biashara kubwa mnamo 2017 ilifikia rubles milioni 400, na kwa biashara ndogo na za kati - rubles milioni 4.6.

Sampuli: wahojiwa 694 nchini Urusi wenye uwezo wa kutathmini bajeti

Haishangazi kwamba mashirika ya huduma za serikali (ikiwa ni pamoja na sekta ya ulinzi) na taasisi za fedha duniani kote zinaripoti gharama za juu zaidi za usalama wa habari mwaka huu. Biashara katika sekta zote hizi mbili zilitumia wastani wa zaidi ya dola milioni 5 kwa usalama. Inafaa pia kuzingatia kwamba sekta ya IT na mawasiliano ya simu, pamoja na makampuni katika sekta ya nishati, pia walitumia zaidi ya wastani juu ya usalama wa habari, ingawa bajeti zao zilikuwa karibu na $ 3 milioni badala ya $ 5.

Hata hivyo, ukigawanya gharama zote kwa idadi ya wafanyakazi, mashirika ya serikali yanaelekea sehemu ya chini ya orodha. Kwa wastani, sekta ya TEHAMA na mawasiliano ya simu hutumia $1,258 kwa kila mtu katika usalama wa habari, wakati sekta ya nishati inatumia $1,344 na makampuni ya huduma za kifedha yanatumia $1,436. Kwa kulinganisha, mashirika ya serikali hutenga $959 pekee kwa kila mtu kwa usalama wa habari.

Katika sehemu zote mbili za IT na mawasiliano ya simu na tasnia ya usambazaji wa nishati, gharama kubwa kwa kila mfanyakazi zina uwezekano mkubwa wa kuhusishwa na hitaji la kulinda haki miliki, ambayo ni muhimu sana katika sekta hizi za uchumi. Kwa upande wa mashirika ya ugavi wa nishati, gharama kubwa za usalama zinaweza pia kuwa kutokana na ukweli kwamba makampuni haya yanazidi kuathiriwa na mashambulizi yaliyolengwa yanayopangwa na makundi ya washambuliaji.

Katika tasnia hii, kuwekeza katika usalama wa habari kunakuwa muhimu kwa maisha kwa sababu inahakikisha mwendelezo wa biashara, jambo muhimu kwa usambazaji wa nishati. Matokeo ya shambulio la mtandao lililofaulu katika tasnia hii ni kali sana, kwa hivyo kuwekeza katika usalama wa habari kuna faida dhahiri.

Huko Urusi, IT na mawasiliano ya simu, na vile vile biashara za viwandani, zimewekezwa kimsingi katika usalama wa habari - wastani wa gharama za zamani hufikia rubles milioni 300, kwa mwisho - rubles milioni 80. Kampuni za viwanda na utengenezaji kwa kawaida hutegemea mifumo ya udhibiti inayosaidiwa na kompyuta (ICS) ili kuhakikisha uendelevu wa michakato ya uzalishaji. Wakati huo huo, mashambulizi ya ICS yanaongezeka kwa idadi: zaidi ya miezi 12 iliyopita idadi yao imeongezeka kwa 5%.

Sababu za kuwekeza katika usalama wa habari

Mtawanyiko wa kiasi cha uwekezaji katika usalama wa habari kati ya sekta ni mkubwa sana. Kwa hiyo, ni muhimu hasa kuelewa sababu zinazohamasisha makampuni kutumia rasilimali ndogo juu ya usalama wa habari. Bila kujua nia, haiwezekani kuelewa ikiwa kampuni inachukulia pesa zinazotumiwa kwa usalama wa miundombinu yake ya TEHAMA kutupwa au kuziona kama uwekezaji wenye faida.

Mnamo 2017, kampuni nyingi zaidi ulimwenguni zilikubali kwamba zitawekeza katika usalama wa mtandao bila kujali faida inayotarajiwa kwenye uwekezaji: 63% ikilinganishwa na 56% mnamo 2016. Hii inaonyesha kwamba makampuni zaidi na zaidi yanaelewa umuhimu wa usalama wa habari.

Sababu kuu za kuongeza bajeti ya usalama wa habari, Urusi

Si makampuni yote yanayotarajia faida ya haraka kwenye uwekezaji, lakini makampuni mengi ya kimataifa yalitaja shinikizo kutoka kwa washikadau wakuu, ikiwa ni pamoja na wasimamizi wakuu wa kampuni, kama sababu ya kuongeza bajeti ya usalama wa habari (32%). Hii inaonyesha kwamba makampuni yanaanza kuona faida zao za kimkakati katika ukuaji wa matumizi ya usalama wa habari: hatua za usalama haziruhusu tu kujilinda katika tukio la mashambulizi, lakini pia kuonyesha kwa wateja kwamba data zao ziko katika mikono nzuri, vile vile. kama kuhakikisha mwendelezo wa biashara, ambayo usimamizi wa kampuni unavutiwa nayo.

Sababu maarufu zaidi ya kuongeza matumizi kwenye usalama wa habari ilitajwa na kampuni nyingi za ndani kama hitaji la kulinda miundombinu ya IT inayozidi kuwa ngumu (46%), na hitaji la kuboresha ujuzi wa wataalam wa usalama wa habari lilibainishwa kwa 30%. Takwimu hizi zinaonyesha hitaji la kuongeza kiwango cha utaalamu unaopatikana kwa kampuni kwa kukuza ujuzi wa wafanyikazi wake yenyewe. Hakika, SMEs na makampuni makubwa kwa pamoja yanazidi kuwekeza katika kusaidia wafanyakazi wao wa ndani katika mapambano dhidi ya vitisho vya mtandao.

Wakati huo huo, haja ya kuongeza matumizi ya usalama wa habari kutokana na shughuli mpya za biashara au upanuzi wa kampuni kati ya biashara za Kirusi imepungua: kutoka 36% mwaka jana hadi 30% mwaka wa 2017. Labda inaonyesha mambo ya uchumi mkuu ambayo kampuni zetu zimelazimika kushughulikia hivi karibuni.

Hitimisho

Uharibifu mkubwa ulisababishwa mwaka wa 2017 na mashambulizi makubwa kama vile WannaCry, exPetr na BadRabbit. Uharibifu kutoka kwa mashambulizi yaliyolengwa, hasa kwenye benki za Kirusi, pia ni kubwa. Haya yote yanaonyesha kuwa mazingira ya tishio la mtandao yanabadilika kwa haraka na bila kuzuilika. Makampuni yanalazimika kurekebisha ulinzi wao au kubaki nje ya biashara.

Jambo linalozidi kuwa muhimu katika maamuzi ya biashara ni tofauti kati ya gharama ya kujiandaa kukabiliana na mashambulizi ya mtandaoni na gharama zinazotokana na mwathiriwa.

Ripoti inaonyesha kwamba hata ukiukaji mdogo wa data ambao hauvutii sana umma unaweza kuwa ghali sana kwa kampuni na kuathiri vibaya shughuli zake. Sababu nyingine ya kupanda kwa gharama za matukio ya usalama ni mabadiliko ya kanuni duniani kote. Ni lazima kampuni zibadilike au zihatarishe kutofuata sheria na udukuzi unaowezekana.

Katika hali hizi, inakuwa muhimu kuzingatia matokeo na gharama zote. Labda hii ndiyo sababu makampuni zaidi na zaidi kutoka nchi mbalimbali yanaongeza sehemu ya usalama wa habari katika bajeti zao za IT. Mnamo 2017, kampuni nyingi zaidi ulimwenguni zilikubali kwamba zitawekeza katika usalama wa mtandao bila kujali faida inayotarajiwa kwenye uwekezaji: 63% ikilinganishwa na 56% mnamo 2016.

Uwezekano mkubwa zaidi, kadiri uharibifu kutoka kwa matukio ya usalama wa mtandao unavyoongezeka, mashirika yale ambayo yanazingatia gharama za IT kama uwekezaji katika usalama na wako tayari kutumia kiasi kikubwa cha pesa juu yao yatakuwa tayari kwa shida zinazowezekana. Je, hali ikoje katika kampuni yako?

Kusudi la utafiti: kuchambua na kuamua mwenendo kuu katika soko la usalama wa habari la Urusi
Data ya Rosstat ilitumiwa (fomu za taarifa za takwimu No. 3-Inform, P-3, P-4), taarifa za kifedha za makampuni ya biashara, nk.

Matumizi ya mashirika ya teknolojia ya habari na mawasiliano na zana za usalama wa habari

• Ili kuandaa sehemu hii, idara zilizojumlishwa za kijiografia na ofisi za wawakilishi zilitumika (Fomu ya 3-Taarifa "Taarifa kuhusu matumizi ya teknolojia ya habari na mawasiliano na utengenezaji wa vifaa vya kompyuta, programu na utoaji wa huduma katika maeneo haya".

Kipindi cha 2012-2016 kilichambuliwa. Data haidai kuwa kamili (kwani inakusanywa kutoka kwa idadi ndogo ya makampuni ya biashara), lakini, kwa maoni yetu, inaweza kutumika kutathmini mwenendo. Idadi ya makampuni yaliyohojiwa kwa kipindi kinachokaguliwa ilianzia 200 hadi 210 elfu. Hiyo ni, sampuli ni thabiti kabisa na inajumuisha watumiaji wanaowezekana (biashara kubwa na za kati), ambao huhesabu sehemu kubwa ya mauzo.

Upatikanaji wa kompyuta za kibinafsi katika mashirika

Kwa mujibu wa fomu ya taarifa ya takwimu 3-Inform, mwaka wa 2016, mashirika ya Kirusi ambayo yalitoa taarifa kwenye fomu hii yalikuwa na vitengo milioni 12.4 vya kompyuta za kibinafsi (PC). Katika kesi hii, PC inahusu kompyuta za kompyuta na kompyuta za mkononi dhana hii haijumuishi simu za mkononi na wasaidizi wa kibinafsi wa digital.

Katika kipindi cha miaka 5 iliyopita, idadi ya vitengo vya PC katika mashirika nchini Urusi kwa ujumla imeongezeka kwa 14.9%. Wilaya ya shirikisho yenye vifaa bora ni Wilaya ya Shirikisho la Kati, uhasibu kwa 30.2% ya Kompyuta katika makampuni. Kanda inayoongoza isiyo na shaka kwa kiashiria hiki ni jiji la Moscow kulingana na data ya 2016, makampuni ya Moscow yana PC milioni 1.8. Thamani ya chini kabisa ya kiashiria ilibainishwa katika Wilaya ya Shirikisho la Caucasian katika wilaya hiyo ina vitengo vya PC elfu 300 tu ni katika Jamhuri ya Ingushetia - vitengo elfu 5.45;

Mchele. 1. Idadi ya kompyuta za kibinafsi katika mashirika, Urusi, vitengo milioni.

Gharama za shirika kwenye teknolojia ya habari na mawasiliano

Katika kipindi cha 2014-2015. Kutokana na hali mbaya ya kiuchumi, makampuni ya Kirusi yalilazimika kupunguza gharama zao, ikiwa ni pamoja na gharama za teknolojia ya habari na mawasiliano. Mwaka 2014, kupungua kwa gharama katika sekta ya ICT ilikuwa 5.7%, lakini mwishoni mwa 2015 kulikuwa na mwelekeo mzuri kidogo. Mnamo 2016, makampuni ya Kirusi yalitumia trilioni 1.25 kwenye teknolojia ya habari na mawasiliano. kusugua, kuzidi takwimu za kabla ya mgogoro wa 2013 kwa 0.3%.

Wingi wa gharama huanguka kwa makampuni yaliyopo Moscow - zaidi ya rubles bilioni 590, au 47.2% ya jumla. Kiasi kikubwa cha gharama za mashirika kwenye teknolojia ya habari na mawasiliano mnamo 2016 zilirekodiwa katika: mkoa wa Moscow - rubles bilioni 76.6, St. Petersburg - rubles bilioni 74.4, mkoa wa Tyumen - rubles bilioni 56.0, Jamhuri ya Tatarstan - rubles bilioni 24.7, Nizhny Novgorod. mkoa - rubles bilioni 21.4. Gharama ya chini kabisa ilirekodiwa katika Jamhuri ya Ingushetia - rubles milioni 220.3.

Mchele. 2. Kiasi cha gharama za makampuni kwenye teknolojia ya habari na mawasiliano, Urusi, rubles bilioni.

Matumizi ya mashirika ya zana za usalama wa habari

Hivi majuzi, kumekuwa na ongezeko kubwa la idadi ya kampuni zinazotumia zana za ulinzi wa habari. Kiwango cha ukuaji wa kila mwaka wa idadi yao ni thabiti kabisa (isipokuwa 2014), na ni sawa na 11-19% kwa mwaka.

Kulingana na data rasmi kutoka Rosstat, Njia maarufu zaidi za ulinzi kwa sasa ni njia za kiufundi za uthibitishaji wa mtumiaji (ishara, funguo za USB, kadi za smart). Kati ya kampuni zaidi ya elfu 157, kampuni elfu 127 (81%) zilionyesha utumiaji wa zana hizi kama ulinzi wa habari.

Mchele. 3. Usambazaji wa mashirika kwa kutumia njia za kuhakikisha usalama wa habari mwaka 2016, Urusi,%.

Kulingana na takwimu rasmi, mnamo 2016, kampuni 161,421 zilitumia mtandao wa kimataifa kwa madhumuni ya kibiashara. Miongoni mwa mashirika yanayotumia Intaneti kwa madhumuni ya kibiashara na yameonyesha matumizi ya hatua za usalama wa habari, maarufu zaidi ni sahihi ya kielektroniki ya dijiti. Zaidi ya kampuni 146,000, au 91% ya jumla, zilionyesha chombo hiki kama njia ya ulinzi. Kulingana na utumiaji wa zana za usalama wa habari, kampuni zilisambazwa kama ifuatavyo:

• • Saini ya kielektroniki ya saini inamaanisha - kampuni 146,887;
  • Programu za antivirus zilizosasishwa mara kwa mara - makampuni 143,095;
  • Programu au maunzi ambayo huzuia ufikiaji usioidhinishwa wa programu hasidi kutoka kwa habari ya kimataifa au mitandao ya kompyuta ya ndani (Firewall) - kampuni 101,373;
  • Kichujio cha taka - kampuni 86,292;
  • Zana za usimbaji fiche - makampuni 86,074;
  • Mifumo ya kugundua kuingilia kwa kompyuta au mtandao - makampuni 66,745;
  • Zana za programu kwa ajili ya mchakato wa kuchambua na ufuatiliaji wa usalama wa mifumo ya kompyuta - makampuni 54,409.

Mchele. 4. Usambazaji wa makampuni yanayotumia Intaneti kwa madhumuni ya kibiashara, kwa njia ya kulinda taarifa zinazopitishwa kwenye mitandao ya kimataifa, mwaka 2016, Russia,%.

Katika kipindi cha 2012-2016, idadi ya makampuni yanayotumia Intaneti kwa madhumuni ya kibiashara iliongezeka kwa 34.9%. Mnamo 2016, kampuni 155,028 zilitumia mtandao kuwasiliana na wasambazaji na kampuni 110,421 zilitumia mtandao kuwasiliana na watumiaji. Kati ya kampuni zinazotumia Mtandao kuwasiliana na wauzaji, madhumuni ya matumizi yalionyeshwa:

• kupata taarifa kuhusu bidhaa muhimu (kazi, huduma) na wauzaji wao - makampuni 138,224;
• kutoa taarifa kuhusu mahitaji ya shirika kwa bidhaa (kazi, huduma) - makampuni 103,977;
• kuweka maagizo ya bidhaa (kazi, huduma) zinazohitajika na shirika (bila ya maagizo yaliyotumwa na barua pepe) - makampuni 95,207;
• malipo ya bidhaa zinazotolewa (kazi, huduma) - 89,279;
• risiti ya bidhaa za elektroniki - makampuni 62,940.

Kati ya jumla ya idadi ya kampuni zinazotumia Mtandao kuwasiliana na watumiaji, madhumuni ya matumizi yalionyeshwa:

• kutoa taarifa kuhusu shirika, bidhaa zake (kazi, huduma) - makampuni 101,059;
• (kazi, huduma) (bila ya maagizo yaliyotumwa kwa barua pepe) - makampuni 44,193;
• utekelezaji wa malipo ya kielektroniki na watumiaji - makampuni 51,210;
• usambazaji wa bidhaa za elektroniki - makampuni 12,566;
• huduma baada ya mauzo (huduma) - makampuni 13,580.

Kiasi na mienendo ya bajeti ya mamlaka kuu ya shirikisho kwa teknolojia ya habari mwaka 2016-2017.

Kulingana na Hazina ya Shirikisho, jumla ya mipaka ya majukumu ya bajeti ya 2017, iliwasilishwa kwa mamlaka kuu ya shirikisho (hapa inajulikana kama mamlaka kuu ya shirikisho) kulingana na nambari ya gharama ya 242 "Ununuzi wa bidhaa, kazi, huduma katika uwanja. ya teknolojia ya habari na mawasiliano” kwa mujibu wa habari ambayo haijumuishi siri ya serikali, kuanzia tarehe 1 Agosti 2017 ilifikia rubles bilioni 115.2, ambayo ni takriban 5.1% ya juu kuliko bajeti ya jumla ya teknolojia ya habari ya mamlaka kuu ya shirikisho mnamo 2016 (109.6). rubles bilioni, kulingana na Wizara ya Telecom na Mawasiliano ya Misa). Kwa hivyo, wakati jumla ya bajeti ya IT ya idara za shirikisho inaendelea kukua mwaka hadi mwaka, kiwango cha ukuaji kimepungua (mwaka 2016, jumla ya bajeti ya IT iliongezeka kwa 8.3% ikilinganishwa na 2015). Ambapo Kuna ongezeko la utabaka kati ya "tajiri" na "maskini" katika suala la matumizi ya teknolojia ya habari na mawasiliano ya idara. Kiongozi asiye na shaka sio tu kwa suala la ukubwa wa bajeti, lakini pia kwa suala la mafanikio katika uwanja wa IT ni Huduma ya Ushuru ya Shirikisho. Bajeti yake ya ICT mwaka huu ni zaidi ya rubles bilioni 17.6, ambayo ni zaidi ya 15% ya bajeti ya mamlaka yote ya shirikisho. Sehemu ya jumla ya tano za juu (Huduma ya Ushuru ya Shirikisho, Mfuko wa Pensheni wa Shirikisho la Urusi, Hazina, Wizara ya Mambo ya Ndani, Wizara ya Telecom na Mawasiliano ya Misa) ni zaidi ya 53%.

Mchele. 5. Muundo wa matumizi ya bajeti kwa ununuzi wa bidhaa, kazi na huduma katika uwanja wa teknolojia ya habari na mawasiliano na mamlaka kuu ya shirikisho mwaka 2017, %

Udhibiti wa kisheria katika uwanja wa ununuzi wa programu kwa mahitaji ya serikali na manispaa

Kuanzia Januari 1, 2016, miili yote ya serikali na manispaa, mashirika ya serikali Rosatom na Roscosmos, miili ya usimamizi wa fedha za ziada za serikali, pamoja na taasisi za serikali na za bajeti zinazofanya manunuzi kulingana na mahitaji ya Sheria ya Shirikisho ya Aprili 5, 2013. Nambari 44 -FZ "Kwenye mfumo wa mkataba katika uwanja wa ununuzi wa bidhaa, kazi, huduma ili kukidhi mahitaji ya serikali na manispaa", zinahitajika kuzingatia marufuku ya uandikishaji wa programu kutoka nchi za nje kwa madhumuni ya ununuzi. kukidhi mahitaji ya serikali na manispaa. Marufuku hiyo ilianzishwa na Amri ya Serikali ya Shirikisho la Urusi ya Novemba 16, 2015 No. 1236 "Katika kuweka marufuku ya uandikishaji wa programu zinazotoka nchi za nje kwa madhumuni ya ununuzi ili kukidhi mahitaji ya serikali na manispaa." Wakati wa kununua programu, wateja walio hapo juu lazima waonyeshe moja kwa moja marufuku ya kununua programu kutoka nje katika notisi ya ununuzi. Marufuku hiyo inatumika kwa ununuzi wa programu za kompyuta na hifadhidata za kielektroniki, zinazotekelezwa bila kujali aina ya mkataba kwenye njia inayoonekana na (au) kielektroniki kupitia njia za mawasiliano, pamoja na haki za kipekee kwa programu kama hizo na haki za kutumia programu kama hizo.

Kuna tofauti kadhaa wakati ununuzi wa programu zilizoagizwa na wateja unaruhusiwa.

• ununuzi wa programu na (au) haki zake kwa misheni ya kidiplomasia na ofisi za kibalozi za Shirikisho la Urusi, misheni ya biashara ya Shirikisho la Urusi katika mashirika ya kimataifa ili kuhakikisha shughuli zao katika eneo la nchi ya kigeni;
• ununuzi wa programu na (au) haki zake, habari kuhusu ambayo na (au) ununuzi ambao unajumuisha siri ya serikali.

Katika matukio mengine yote, kabla ya kununua programu, mteja atahitajika kufanya kazi na rejista ya umoja ya mipango ya Kirusi kwa kompyuta za elektroniki na databases na classifier ya programu za kompyuta za elektroniki na database.
Uundaji na matengenezo ya rejista kama chombo kikuu cha shirikisho kilichoidhinishwa hufanywa na Wizara ya Telecom na Mawasiliano ya Misa ya Urusi.
Kufikia mwisho wa Agosti 2017, rejista ilijumuisha bidhaa 343 za programu za darasa la "zana za usalama wa habari" kutoka kwa kampuni 98 za maendeleo za Urusi. Miongoni mwao ni bidhaa za programu kutoka kwa watengenezaji wakubwa wa Kirusi kama vile:

• OJSC "Teknolojia ya Habari na Mifumo ya Mawasiliano" ("InfoTeKS") - bidhaa 37 za programu;
• JSC Kaspersky Lab - bidhaa 25 za programu;
• Msimbo wa Usalama LLC - bidhaa 19 za programu;
• Crypto-Pro LLC - bidhaa 18 za programu;
• Daktari WEB LLC - bidhaa 12 za programu;
• S-Terra CSP LLC - bidhaa 12 za programu;
• CJSC "Aladdin R.D." - bidhaa 8 za programu;
• JSC "Infowatch" - bidhaa 6 za programu.

Uchambuzi wa shughuli za wachezaji wakubwa katika uwanja wa usalama wa habari

• Kama habari ya msingi ya kuchambua shughuli za wachezaji wakubwa katika soko la usalama wa habari, habari juu ya ununuzi wa serikali katika uwanja wa shughuli za habari na mawasiliano na, haswa, usalama wa habari, ilitumiwa kuandaa utafiti huu.

Ili kuchanganua mienendo, tulichagua kampuni 18 ambazo ni miongoni mwa viongozi katika soko la usalama wa habari na zinashiriki kikamilifu katika ununuzi wa serikali. Orodha hiyo inajumuisha watengenezaji wa moja kwa moja wa programu na vifaa na mifumo ya usalama ya programu, pamoja na viunganishi vikubwa zaidi vya mfumo. Mapato ya jumla ya makampuni haya mwaka 2016 yalifikia rubles bilioni 162.3, zaidi ya takwimu ya 2015 kwa 8.7%.
Ifuatayo ni orodha ya makampuni yaliyochaguliwa kwa ajili ya utafiti.

Jedwali 1. Makampuni yaliyochaguliwa kwa ajili ya utafiti

№	Jina	TIN	Aina ya shughuli (OKVED 2014)
1	"I-Teco" JSC	7736227885	Shughuli zinazohusiana na matumizi ya teknolojia ya kompyuta na teknolojia ya habari, zingine (62.09)
2	Croc Incorporated, JSC	7701004101
3	"Informzashita", CJSC NIP	7702148410	Utafiti na maendeleo katika sayansi ya kijamii na ubinadamu (72.20)
4	"Biashara ya laini", JSC	7736227885
5	"Technoserv AS", LLC	7722286471	Biashara ya jumla ya mashine na vifaa vingine (46.69)
6	"Elvis-plus", JSC	7735003794
7	"Asteros" JSC	7721163646	Biashara ya jumla ya kompyuta, vifaa vya pembeni vya kompyuta na programu (46.51
8	"Kampuni ya Uzalishaji wa Aquarius", LLC	7701256405
9	Lanit, CJSC	7727004113	Biashara ya jumla ya mashine na vifaa vingine vya ofisi (46.66)
10	Jet Infosystems, JSC	7729058675	Biashara ya jumla ya kompyuta, vifaa vya pembeni vya kompyuta na programu (46.51)
11	"Dialognauka", JSC	7701102564	Maendeleo ya programu ya kompyuta (62.01)
12	"Factor-TS", LLC	7716032944	Uzalishaji wa kompyuta na vifaa vya pembeni (26.20)
13	"InfoTeKS", JSC	7710013769	Maendeleo ya programu ya kompyuta (62.01)
14	"Kituo cha Ural cha Mifumo ya Usalama", LLC	6672235068	Shughuli katika uwanja wa usanifu, uhandisi na ushauri wa kiufundi katika maeneo haya (71.1)
15	"ICL-KPO VS", JSC	1660014361	Maendeleo ya programu ya kompyuta (62.01)
16	Kikundi cha NVision, JSC	7703282175	Biashara ya jumla isiyo maalum (46.90)
17	"Siri-Ushirikiano", LLC	7811512250	Shughuli za usindikaji wa data, utoaji wa huduma za mwenyeji na shughuli zinazohusiana (63.11)
18	"Kaluga Astral", JSC	4029017981	Shughuli za ushauri na kazi katika uwanja wa teknolojia ya kompyuta (62.02

Kufikia mwisho wa Oktoba 2017, makampuni kutoka kwa sampuli iliyowasilishwa yalihitimisha mikataba 1,034 na mashirika ya serikali kwa kiasi cha rubles bilioni 24.6. Kiongozi katika orodha hii kwa suala la kiasi cha mikataba iliyohitimishwa ni kampuni ya I-Teco - mikataba 74 yenye thamani ya rubles bilioni 7.5.
Zaidi ya miaka iliyopita, isipokuwa mwaka wa mgogoro wa 2014, mtu anaweza kutambua ongezeko la mara kwa mara la jumla ya kiasi cha mikataba kwa makampuni yaliyochaguliwa. Mienendo muhimu zaidi ilitokea katika kipindi cha 2015-2016. Hivyo, mwaka 2015, kulikuwa na ongezeko la kiasi cha mikataba kwa zaidi ya mara 3.5, mwaka 2016 - kwa mara 1.5. Kwa mujibu wa data zilizopo juu ya shughuli za mkataba wa makampuni kwa kipindi cha Januari-Oktoba 2017, inaweza kuzingatiwa kuwa mwaka wa 2017 jumla ya kiasi cha mikataba na mashirika ya serikali itakuwa kuhusu rubles bilioni 37-38, yaani, kupungua kwa karibu 40. % inatarajiwa.

Kuna njia mbili kuu za kuhalalisha gharama za usalama wa habari.

Mbinu ya kisayansi. Ili kufanya hivyo, ni muhimu kuhusisha usimamizi wa kampuni (au mmiliki wake) katika kutathmini gharama ya rasilimali za habari na kuamua tathmini ya uharibifu unaowezekana kutokana na ukiukwaji katika uwanja wa usalama wa habari.

1. Ikiwa gharama ya habari ni ya chini, hakuna vitisho muhimu kwa mali ya habari ya kampuni, na uharibifu unaowezekana ni mdogo, kuhakikisha usalama wa habari unahitaji fedha kidogo.

2. Ikiwa maelezo yana thamani fulani, vitisho na uharibifu unaowezekana ni muhimu na umefafanuliwa, basi swali linatokea la kujumuisha gharama za mfumo mdogo wa usalama wa habari katika bajeti. Katika kesi hiyo, ni muhimu kujenga mfumo wa usalama wa habari wa ushirika.

Mbinu ya vitendo inajumuisha kubainisha chaguo la gharama halisi kwa mfumo wa usalama wa habari wa shirika kulingana na mifumo sawa katika maeneo mengine. Wataalamu katika uwanja wa usalama wa habari wanaamini kuwa gharama ya mfumo wa usalama wa habari inapaswa kuwa takriban 10-20% ya gharama ya mfumo wa habari wa shirika, kulingana na mahitaji maalum ya serikali ya usalama wa habari.

Mahitaji yanayokubalika kwa ujumla ili kuhakikisha mfumo wa usalama wa habari wa "mazoea bora" (kulingana na uzoefu wa vitendo), uliorasimishwa katika viwango kadhaa, kwa mfano ISO 17799, hutekelezwa kwa vitendo wakati wa kuunda mbinu maalum za kutathmini ufanisi wa mfumo wa usalama wa habari.

Matumizi ya njia za kisasa za kukadiria gharama za usalama wa habari hufanya iwezekanavyo kuhesabu sehemu nzima ya mali ya habari ya shirika, pamoja na gharama za moja kwa moja na zisizo za moja kwa moja za vifaa na programu, hatua za shirika, mafunzo na maendeleo ya kitaaluma ya wafanyikazi, kupanga upya, biashara. urekebishaji, nk.

Ni muhimu kuthibitisha ufanisi wa gharama ya mifumo iliyopo ya ulinzi wa kampuni na kuruhusu wakuu wa huduma za usalama wa habari kuhalalisha bajeti ya usalama wa habari, na pia kuthibitisha ufanisi wa kazi ya wafanyakazi wa huduma husika. Mbinu za makadirio ya gharama zinazotumiwa na makampuni ya kigeni huruhusu:

Pata taarifa za kutosha kuhusu kiwango cha usalama wa mazingira ya kompyuta iliyosambazwa na gharama ya jumla ya umiliki wa mfumo wa usalama wa habari wa shirika.

Linganisha idara za usalama za habari za shirika kati yao na idara zinazofanana za mashirika mengine katika tasnia.

Boresha uwekezaji katika usalama wa habari wa shirika.

Mojawapo ya njia zinazojulikana zaidi za kukadiria gharama zinazohusiana na mfumo wa usalama wa habari ni njia Jumla ya gharama ya umiliki (TCO) kampuni ya Gartner Group Kiashiria cha TCO kinaeleweka kama jumla ya gharama za moja kwa moja na zisizo za moja kwa moja kwa shirika (kupanga upya), uendeshaji na matengenezo ya mfumo wa usalama wa habari wa shirika katika mwaka huo. Inatumika katika karibu hatua zote kuu za mzunguko wa maisha wa mfumo wa usalama wa habari wa shirika na inafanya uwezekano wa kuhalalisha kwa usawa na kwa uhuru uwezekano wa kiuchumi wa kuanzisha na kutumia hatua maalum za shirika na kiufundi na njia za usalama wa habari. Kwa usawa wa uamuzi, inahitajika pia kuzingatia hali ya mazingira ya nje na ya ndani ya biashara, kwa mfano, viashiria vya maendeleo ya kiteknolojia, wafanyikazi na kifedha ya biashara.

Kulinganisha kiashiria fulani cha TCO na viashiria sawa vya TCO kwenye tasnia (pamoja na kampuni zinazofanana) hukuruhusu kuhalalisha kwa usawa na kwa uhuru gharama za shirika kwa usalama wa habari. Baada ya yote, mara nyingi hugeuka kuwa ngumu sana au hata haiwezekani kutathmini athari za moja kwa moja za kiuchumi za gharama hizi.

Gharama ya jumla ya umiliki wa mfumo wa usalama wa habari kwa ujumla inajumuisha gharama:

Kazi ya kubuni,

Ununuzi na usanidi wa zana za ulinzi wa programu na vifaa, pamoja na vikundi kuu vifuatavyo: ngome, zana za cryptography, antivirus na AAA (uthibitishaji, idhini na zana za usimamizi),

Gharama za kuhakikisha usalama wa kimwili,

Mafunzo ya wafanyikazi,

Usimamizi wa mfumo na usaidizi (utawala wa usalama),

Ukaguzi wa usalama wa habari, - kisasa ya mara kwa mara ya mfumo wa usalama wa habari.

Gharama za moja kwa moja zinajumuisha vipengele vyote viwili vya gharama ya mtaji (zinazohusishwa na mali zisizohamishika au "mali") na gharama za kazi, ambazo zinajumuishwa katika kategoria za uendeshaji na usimamizi wa usimamizi. Hii pia inajumuisha gharama za huduma za watumiaji wa mbali, n.k., zinazohusiana na kusaidia shughuli za shirika.

Kwa upande mwingine, gharama zisizo za moja kwa moja zinaonyesha athari za mfumo wa habari wa shirika na mfumo mdogo wa usalama wa habari kwa wafanyikazi wa shirika kupitia viashiria vinavyoweza kupimika kama vile wakati wa kupungua na kufungia kwa mfumo wa usalama wa habari wa shirika na mfumo wa habari kwa ujumla, gharama za uendeshaji na usaidizi (sio). kuhusiana na gharama za moja kwa moja). Mara nyingi sana, gharama zisizo za moja kwa moja huchukua jukumu muhimu, kwani kwa kawaida hazionyeshwa mwanzoni katika bajeti ya usalama wa habari, lakini zinafunuliwa baadaye katika uchanganuzi wa gharama.

Uhesabuji wa viashiria vya TCO vya shirika hufanyika katika maeneo yafuatayo.

Vipengele vya mfumo wa habari wa shirika(pamoja na mfumo wa usalama wa habari) na shughuli za habari za shirika (seva, kompyuta za mteja, vifaa vya pembeni, vifaa vya mtandao).

Gharama za maunzi na programu kwa usalama wa habari: Gharama za matumizi na uchakavu si seva, kompyuta za mteja (kompyuta za mezani na simu), vifaa vya pembeni na vipengee vya mtandao.

Gharama za kuandaa usalama wa habari: matengenezo ya mfumo wa usalama wa habari, njia za kawaida za kulinda vifaa vya pembeni, seva, vifaa vya mtandao, kupanga na kusimamia michakato ya usalama wa habari, kukuza dhana ya usalama na sera, na wengine.

Gharama za uendeshaji wa mfumo wa habari mifumo: gharama za moja kwa moja za wafanyakazi, gharama za kazi na utumaji kazi unaofanywa na shirika kwa ujumla au huduma ili kutoa usaidizi wa kiufundi na uendeshaji wa matengenezo ya miundombinu kwa watumiaji.

Gharama za utawala: gharama za wafanyakazi wa moja kwa moja, usaidizi wa uendeshaji na gharama za wasambazaji wa ndani/nje (wachuuzi) ili kusaidia shughuli, ikiwa ni pamoja na usimamizi, ufadhili, upatikanaji na mafunzo ya mifumo ya habari.

Gharama za muamala za mtumiaji wa mwisho: Gharama za kujikimu za mtumiaji wa mwisho, mafunzo rasmi ya mtumiaji wa mwisho, mafunzo ya kawaida (yasiyo rasmi), uundaji wa programu ya jifanyie mwenyewe, usaidizi wa mfumo wa faili wa ndani.

Gharama za kupumzika: Hasara za kila mwaka za tija ya mtumiaji wa mwisho kutokana na kukatika kwa rasilimali za mtandao zilizopangwa na zisizopangwa, ikiwa ni pamoja na kompyuta za mteja, seva zinazoshirikiwa, vichapishaji, programu za programu, rasilimali za mawasiliano na programu ya mawasiliano.