Офис: Пн-Пт 9.00-18.00
Тех. поддержка: 9.00-21.00
Работаем с 44 и 223 ФЗ

Составляющие финансового планирования на информационную безопасность

Ежегодно российские компании увеличивают расходы на организацию информационной безопасности – формируют новые подразделения, используют последние технологии. Параллельно растет и число инцидентов, причём во всём мире. Более того, они не просто становятся массовыми, но и наносят всё больший ущерб. Как защитить данные, распланировать затраты на организацию информационной безопасности и рассчитать расходы?

Картина информационной безопасности

По разным данным не более 15% всех компаний в России, которые уже организовали информационную безопасность, способны отразить кибератаку. ИБ остальных компаний недостаточно, в основном они не могут противостоять серьёзным угрозам.

Киберпреступления, прежде всего – финансовые расходы, в том числе упущенная прибыль, а также испорченная репутация. Например, исследование IBM показало, что только за прошлый 2020 год потеря данных обернулась ущербом в почти 4 млн долларов из расчёта на один инцидент. Если гиганты рынка могут справиться с таким ущербом, то средние и мелкие компании часто разоряются после серьёзных кибератак или потери данных.

Организация кибербезопасности включает предложения разработчиков и интеграторов услуг продуктов или комплексных решений. Не всегда возможно сразу посчитать отдачу от покупки продукта.

Это практически не касается государственных компании – организация ИБ в них строго регламентирована, расходы на неё заложены в бюджет.  Для частных же компаний траты на информационную безопасность могут варьироваться.

Какие существуют риски

Киберинциденты несут в себе следующие риски:

  • финансовые – потеря денег или потенциальной прибыли;
  • репутационные;
  • информационные – потеря конфиденциальных данных;
  • технические – нарушение работы оборудования или ПО.

Согласно недавно проведенному опросу, 25% российских компаний оценивают ущерб от остановки работы системы в день в сумму около 500 тыс. руб. Но есть и другие примеры – атаковавший датскую компанию Moller-Maersk вирус NotPetya  стоил ей по меньшей мере 300 млн долларов – это недополученная выручка во время простоя зараженной системы.

Составляющие финансового планирования

Работа службы информационной безопасности включает:

  • административно-организационные аспекты;
  • технические мероприятия;
  • действия по устранению форс-мажоров или влиянию негативных факторов на систему.

Соответственно, расходы на ИБ можно разделить на три категории:

  • организационные мероприятия для предупреждения атак;
  • технические мероприятия для предупреждения атак;
  • ликвидация атак.

Рассчитать годовые затраты на организацию ИБ можно по формуле ЗИБ = Зо + Зт + Зл, где:

  • ЗИЗ – затраты на безопасность в сумме за год;
  • Зо – расходы на административно-организационные действия;
  • Зт – затраты на мероприятия технического плана;
  • Зл – затраты на устранение последствий.

По сути, бюджет состоит из  расходов на привлекаемые ресурсы и оплату труда специалистов по кибербезопасности. Распределение этих частей в общих расходах варьируется в зависимости от отрасли, направления деятельности и масштаба компании.

Например, если компания мало использует информационные технологии, то и расходы на ИБ будут меньше, чем в компаниях, например, сферы IT.

Какие компоненты защиты использовать

Чтобы правильно рассчитать расходы на ИБ, нужно провести такие мероприятия:

  • выполнить IT-аудит;
  • составить список уязвимостей;
  • оценить все виды потерь, которые компания потенциально не получит из-за кибератак;
  • составить перечень задач, которые будет решать информационная безопасность;
  • подобрать инструменты для улучшения ИБ и рассчитать их цену.

Во многих организациях уже есть те или иные компоненты ИБ:

Но для современных кибермошенников классические варианты защиты перестали быть преградой. Если была запланирована целевая атака на компанию, этих компонентов недостаточно.

Информационная безопасность должна включать такие основные компоненты:

  • базовые средства для защиты от кибератак;
  • тестирование и аудиты;
  • выявление небезопасных ресурсов;
  • организация SIEM;
  • применение WAF;
  • оперативное реагирование на киберинциденты и их расследование;
  • обучение сотрудников компании вопросам информационной безопасности.

Это тот минимум, который позволит защитить данные. Все мероприятия должны быть регулярными, минимум один раз в год важно проводить аудит или тестирование.

С развитием технологий для компаний повышается не только прибыль, но и риски. Ими можно управлять, если кобеспечить комплексный подход против киберугроз. ИТ аутсорсинговая компания Битрейд поможет вам сэкономить деньги. Наши специалисты проведут аудит безопасности данных и обеспечат информационную безопасность в IT-инфраструктуре компаний и предприятий. Мы создадим антивирусную защиту почты, интернет-трафика, рабочих мест, серверов, организуем управление учетными записями пользователей, ограничим несанкционированный доступ в сеть и устраним все уязвимости. Заключаем с клиентом соглашение SLA и несем полную ответственность за результат.