기업의 정보를 보호하는 직간접 비용. 정보 보안의 경제학 정보 보안에 대한 조직의 비용

그들은 소프트웨어 취약점 발견에 대해 보너스를 지급하는 플랫폼에서 진단 및 프로그램의 자동 테스트에 이르기까지 다양한 컴퓨터 보안 기술에 투자합니다. 그러나 무엇보다도 인증 및 신원 관리 기술에 매료되어 2019년 말 이러한 기술을 다루는 스타트업에 약 9억 달러를 투자했습니다.

사이버 보안 교육 스타트업에 대한 투자는 2019년에 4억 1,800만 달러에 이르렀으며 주로 KnowBe4가 3억 달러를 모금했으며 이 스타트업은 피싱 시뮬레이션 플랫폼과 다양한 교육 프로그램을 제공합니다.

2019년에는 사물 인터넷 보안과 관련된 회사에서 약 4억 1,200만 달러를 받았습니다. SentinelOne은 2019년 엔드포인트 보호 기술 개발을 위해 1억 2,000만 달러를 받은 투자 규모 측면에서 이 카테고리의 리더입니다.

동시에 Metacurity 분석가는 정보 보안 부문의 벤처 캐피탈 시장 상황을 특성화하는 다른 데이터를 제공합니다. 2019년 이곳의 투자 규모는 65억 7천만 달러로 2018년 38억 8천만 달러에서 증가했습니다. 거래 건수도 133건에서 219건으로 증가했습니다. 동시에 Metacurity에 따르면 1건의 거래당 평균 투자 규모는 실질적으로 변하지 않았고 2019년 말 2,920만 건에 달했습니다.

2018

9% 성장하여 370억 달러 - Canalys

2018년 정보 보안(IS)을 위한 장비, 소프트웨어 및 서비스의 매출은 370억 달러에 이르렀으며 이는 1년 전(340억 달러)에 비해 9% 증가한 수치입니다. 이러한 데이터는 Canalys 분석가에 의해 2019년 3월 28일에 발표되었습니다.

많은 기업이 자산, 데이터, 엔드포인트, 네트워크, 직원 및 고객을 보호하는 것을 우선시하지만 사이버 보안은 2018년 전체 IT 지출의 2%만 차지했습니다. 그러나 점점 더 많은 새로운 위협이 나타나고 더 복잡해지고 더 자주 발생하여 정보 보안 솔루션 제조업체에 새로운 성장 기회를 제공합니다. 총 사이버 보안 지출은 2020년에 420억 달러를 초과할 것으로 예상됩니다.

Canalys의 분석가인 Matthew Ball은 정보 보안 구현의 새로운 모델로의 전환이 가속화될 것이라고 믿습니다. 고객들은 퍼블릭 클라우드 서비스와 유연한 가입 기반 서비스를 통해 IT 예산의 성격을 바꾸고 있습니다.

2018년 정보 보안 시스템 배포 프로젝트의 약 82%가 기존 하드웨어 및 소프트웨어의 사용과 관련되었습니다. 나머지 18%의 경우 가상화, 퍼블릭 클라우드 및 정보 보안 서비스가 사용되었습니다.

새로운 솔루션이 시장에서 인기를 얻으면서 2020년까지 정보 보안 시스템을 배포하는 기존 모델의 점유율이 70%로 떨어질 것입니다.

다양한 제품이 다양한 배포 유형에 적합하기 때문에 공급업체는 이러한 전환을 지원하기 위해 다양한 비즈니스 모델을 생성해야 합니다. 오늘날 많은 사람들이 직면한 주요 과제는 새로운 모델을 파트너 채널에 더욱 집중하고 기존 파트너 프로그램, 특히 클라우드를 통한 고객 운영과 통합하는 것입니다. Matthew Ball은 2019년 3월 29일 게시물에서 일부 클라우드 시장이 이미 이에 대응하여 파트너가 고객에게 맞춤형 제안과 가격을 직접 제공하고 거래 및 할인 등록을 추적할 수 있다고 말했습니다.

Canalys의 분석가인 Ketaki Borade에 따르면 주요 사이버 방어 기술 공급업체는 구독 방식으로 전환하고 클라우드 인프라 운영을 늘리는 새로운 배포 모델을 구현했습니다.

Momentum Cyber의 공동 설립자이자 관리 파트너인 Eric McAlpine은 사이버 보안 시장은 증가하는 규제 및 기술 요구 사항과 지속적으로 만연한 데이터 침해 위험에 대응하여 기록적인 거래 및 거래량 활동으로 매우 역동적인 상태를 유지하고 있다고 말했습니다. “우리는 이 모멘텀이 새로운 위협에 대응하기 위해 노력하고 공급업체 피로와 기술 부족 증가에 직면하여 통합됨에 따라 이 부문을 계속해서 새로운 영역으로 밀어넣을 것이라고 믿습니다.

2017

사이버 보안 비용 1000억 달러 초과

리서치 회사 가트너(Gartner)에 따르면 2017년 8월 중순에 제품 및 서비스인 정보 보안(IS)에 대한 전 세계 지출이 1,015억 달러에 달했다고 합니다. 2017년 말 전문가들은 이 시장을 891억 3000만 달러로 추산했는데, 평가가 크게 증가한 이유는 무엇인지 보고되지 않았다.

Gartner의 연구 이사인 Siddharth Deshpande는 CIO가 조직이 기술 플랫폼을 안전하게 사용하여 경쟁력을 높이고 비즈니스 성장을 추진할 수 있도록 지원하기 위해 최선을 다하고 있다고 말했습니다. “유럽의 GDPR(일반 데이터 보호 규정)과 같은 지속적인 인재 부족과 규제 변화가 사이버 보안 시장의 지속적인 성장을 주도하고 있습니다.

전문가들은 정보 보호 비용을 높이는 주요 요인 중 하나가 위협을 탐지하고 대응하는 새로운 방법의 도입이라고 생각합니다. 이는 2018년에 조직 보안의 최우선 과제가 되었습니다.

Gartner 추정에 따르면 2017년에 전 세계적으로 사이버 보안 서비스에 대한 조직의 지출은 523억 달러를 초과했으며 2018년에는 이러한 비용이 589억 달러로 증가할 것입니다.

2017년 기업들은 애플리케이션 보호에 24억 달러, 데이터 보호에 26억 달러, 클라우드 서비스에 1억 8,500만 달러를 지출했습니다.

ID 및 액세스 관리(Identity And Access Management) 솔루션의 연간 매출은 88억 달러에 달했으며 IT 인프라 보호 수단의 구현은 126억 달러로 증가했습니다.

이 연구는 또한 네트워크 보안을 보장하는 데 사용되는 장비에 109억 달러를 지출했다고 보고했습니다. 그들의 제조업체는 정보 보안 위험 관리 시스템에서 39억 달러를 벌었습니다.

Gartner 연구에 따르면 2017년 소비자 사이버 보안 지출은 분석가에 의해 59억 달러로 추산되었습니다.

가트너는 시장 규모를 891억3000만 달러로 추산했다.

2017년 12월, 2017년 정보 보안(IS)에 대한 기업의 글로벌 비용이 891억 3,000만 달러에 이를 것으로 알려졌습니다. Gartner에 따르면 사이버 보안에 대한 기업의 비용은 2016년에 822억 달러를 거의 70억 달러 초과할 것으로 예상됩니다.

전문가들은 사이버 보안 서비스가 가장 큰 비용 항목이라고 생각합니다. 2017년에는 기업이 이러한 목적을 위해 530억 달러 이상을 할당하고 2016년에는 488억 달러를 할당할 것입니다. 정보 보안 시장에서 두 번째로 큰 부문은 인프라 보호를 위한 솔루션으로, 2017년 비용은 1년 전의 152억 달러에서 162억 달러에 이를 것입니다. 네트워크 보안 장비 - 3위(109억 3000만 달러).

정보 보안 비용 구조에는 정보 보안을 위한 소비자 소프트웨어와 ID 및 액세스 관리 시스템(Identity and Access Management, IAM)도 포함됩니다. 2017년 Gartner에서 이 영역의 비용은 46억 4000만 달러와 43억 달러로 추산되며, 2016년에는 각각 45억 7000만 달러와 39억 달러로 추산됩니다.

분석가들은 정보 보안 시장의 추가 성장을 예상합니다: 2018년에 조직은 사이버 방어에 대한 지출을 8% 더 늘리고 이러한 목적을 위해 총 963억 달러를 할당할 것입니다 성장 요인 중 전문가들은 정보에 변화하는 규정을 나열했습니다 보안 부문, 새로운 위협에 대한 인식 및 디지털 비즈니스 전략을 향한 기업의 피벗.

일반적으로 사이버 보안 비용은 주로 사이버 보안 사고에 대한 기업의 반응으로 인해 발생한다고 Gartner의 연구 이사인 Ruggero Contu는 조직이 겪고 있는 세간의 이목을 끄는 사이버 공격 및 정보 유출이 전 세계적으로 증가하고 있기 때문이라고 말했습니다.

분석가의 말은 가트너가 2016년 호주, 캐나다, 프랑스, 독일, 인도, 싱가포르, 미국 등 세계 8개국의 512개 조직을 대상으로 실시한 설문조사에서 얻은 데이터로도 확인됩니다.

응답자의 53%는 사이버 보안 지출 증가의 주요 원동력으로 사이버 보안 위험을 꼽았습니다. 이 중 설문에 응한 응답자 중 가장 높은 비율은 사이버 공격 위협이 정보 보안 지출에 대한 결정을 내리는 데 가장 큰 영향을 미친다고 말했습니다.

Gartner의 2018년 전망은 모든 주요 영역에서 지출이 증가할 것으로 예상합니다. 따라서 사이버 보호 서비스에 약 577억 달러(+ 46억 5000만 달러), 인프라 보안에 약 175억 달러(+ 12억 5000만 달러), 네트워크 보호를 위한 장비에 116억 7000만 달러(+ 7억 3500만 달러), 소비자 소프트웨어 - 47억 4000만 달러(+ 1억 900만 달러) 및 IAM 시스템 - 46억 9000만 달러(+ 4억 1600만 달러).

분석가들은 또한 2020년까지 전 세계 조직의 60% 이상이 정보 손실 방지, 암호화 및 감사를 포함한 여러 데이터 보호 도구에 동시에 투자할 것이라고 믿습니다. 2017년 말 기준 이러한 솔루션을 구매하는 기업의 비율은 35%로 추산됩니다.

정보 보안에 대한 기업 지출의 또 다른 중요한 항목은 타사 전문가의 참여입니다. 사이버 보안 분야의 인력 부족, 정보 보안 시스템의 기술적 복잡성 증가 및 사이버 위협 증가를 배경으로 기업의 2018년 정보 보안 아웃소싱 비용은 11% 증가할 것으로 예상됩니다. 185억 달러.

Gartner의 계산에 따르면 2019년까지 타사 정보 보안 전문가의 서비스에 대한 기업 지출은 사이버 보안을 보장하기 위한 소프트웨어 및 장비의 총 비용의 75%를 차지할 것이며 2016년에는 이 비율이 63% 수준이었습니다.

IDC, 820억 달러 시장 규모 예측

비용의 3분의 2는 대기업 및 초대형 기업과 관련된 회사에 소요됩니다. IDC 애널리스트에 따르면 2019년까지 직원이 1,000명 이상인 기업의 지출 규모는 500억 달러를 넘어설 것입니다.

2016년: 시장 규모 737억 달러, IT 시장의 2배 성장

2016년 10월, 분석 회사 IDC는 글로벌 정보 보안 시장에 대한 연구 요약을 발표했습니다. IT 시장보다 더 높은 성장이 예상된다.

IDC는 사이버 방어를 위한 장비, 소프트웨어 및 서비스의 글로벌 매출이 2016년에 약 737억 달러, 2020년에는 1,000억 달러를 넘어 1,016억 달러에 이를 것으로 추정합니다. 보안 시장 -기술은 매년 평균 8.3%의 속도로 성장할 것이며 이는 IT 산업의 예상 성장률의 두 배입니다.

2016년 말에 가장 큰 사이버 보안 비용(86억 달러)은 은행에서 예상됩니다. 이러한 투자 측면에서 2위, 3위 및 4위는 개별 제조 기업, 정부 기관 및 연속 생산 기업이 각각 차지할 것이며 비용의 약 37%를 차지할 것입니다.

분석가들은 증가하는 사이버 보안 투자의 역동성에서 리더십을 의료 분야에 부여했습니다(2016-2020년에는 연평균 10.3%의 성장률이 예상됨). 통신, 주택 부문, 정부 기관, 투자 및 증권 시장의 사이버 방어 비용은 매년 약 9%씩 증가할 것입니다.

연구원들은 가장 큰 사이버 보안 시장을 미국 시장이라고 부르며 2016년 규모는 315억 달러에 달할 것이며 상위 3위는 서유럽과 아시아 태평양 지역(일본 제외)도 포함될 것입니다. IDC 설문조사의 짧은 버전에는 러시아 시장에 대한 정보가 없습니다.

러시아 회사 Monitor Security의 총책임자인 Dmitry Gvozdev는 총 러시아 보안 지출에서 서비스 점유율이 30-35%에서 40-45%로 증가할 것으로 예측하고 클라이언트 시장 구조의 발전도 예측합니다. 더 넓은 범위의 산업에서 중소기업에 대한 국가, 금융 및 에너지 부문의 지배.

트렌드 중 하나는 수입 대체 문제 및 외교 정책 상황과 관련하여 국내 소프트웨어 제품 점유율의 발전이어야합니다. 그러나 이것이 재무 지표에 어느 정도 반영되는지는 여전히 국내 소프트웨어 솔루션 시장의 최소 절반, 장비 부문의 최대 3분의 2를 점유하고 있는 외국 벤더의 가격 정책과 루블 환율에 크게 좌우됩니다. . Gvozdev는 TAdviser와의 대화에서 러시아 전체 정보 보안 솔루션 시장의 최종 연간 재무 결과도 외부 경제 요인과 관련이 있다고 말했습니다.

2015

시장 규모

연방 지출

사이버 범죄

위반당 비용

금융 서비스

국제적인

보안 분석

2013: EMEA 시장은 25억 달러로 성장했습니다.

EMEA 지역(유럽, 중동, 아프리카)의 보안 제품 시장 규모는 2012년 대비 2.4% 성장하여 25억 달러에 달했습니다. 통합 위협 관리). 동시에 IDC는 2018년까지 정보 보안의 기술적 수단 시장이 평균 연간 성장률 5.4%로 가치 기준으로 42억 달러에 이를 것으로 예측했습니다.

2013년 말, Check Point는 EMEA 지역의 정보 보안 기술 판매 수익 측면에서 공급업체 중 선두 자리를 차지했습니다. IDC에 따르면 2013년 이 부문의 공급업체 수익은 3.8% 증가하고 3억 7,464만 달러에 달했으며 이는 19.3%의 시장 점유율에 해당합니다.

2012: PAC 예측: 정보 보안 시장은 매년 8%씩 성장할 것입니다.

세계 정보 보안 시장은 2016년까지 매년 8%씩 성장하여 360억 유로에 달할 것이라고 연구는 밝혔습니다.

"정보 보안"이라는 용어는 컨텍스트에 따라 다른 의미를 갖습니다. 가장 넓은 의미에서 이 개념은 재정적 손상이나 평판 상실로 이어지는 고의적이거나 우발적인 행동으로부터 기밀 정보, 생산 프로세스, 회사 인프라를 보호하는 것을 의미합니다.

정보 보안 원칙

모든 산업에서 정보 보안의 기본 원칙 시민, 사회 및 국가의 이익의 균형을 유지하는 것입니다. 균형 유지의 어려움은 사회와 시민의 이익이 종종 충돌한다는 사실에 있습니다. 시민은 개인 생활, 출처 및 소득 수준, 나쁜 행동에 대한 세부 정보를 비밀로 유지하려고 합니다. 반대로 사회는 불법 소득, 부패 사실 및 범죄 행위에 대한 정보를 "기밀 해제"하는 데 관심이 있습니다. 국가는 개인 데이터의 비공개에 대한 시민의 권리를 보호하는 동시에 범죄 공개와 관련된 법적 관계를 규제하고 가해자를 재판에 회부하는 억제 메커니즘을 만들고 관리합니다.

오늘날의 환경에서 중요한 법적 지원의 원칙 규제 지원이 정보 보안 산업의 발전 속도를 따라가지 못할 때 정보 보안을 획득합니다. 법적 격차는 사이버 범죄에 대한 책임 회피를 허용할 뿐만 아니라 고급 데이터 보호 기술의 구현을 방해합니다.

세계화의 원리 , 또는 정보 보안 시스템의 통합은 정치, 경제, 문화 등 모든 부문에 영향을 미칩니다. 국제 통신 시스템의 개발에는 일관된 데이터 보안이 필요합니다.

에 따르면 경제적 편의의 원칙 , 정보 보안을 보장하기 위한 조치의 효과는 지출된 자원과 일치하거나 초과해야 합니다. 보안 시스템을 유지 관리하는 데 드는 복구할 수 없는 비용은 진행 상황을 저해할 뿐입니다.

시스템 유연성의 원리 정보 보호는 새로운 기술의 생성 및 구현을 방해하는 모든 체제 제한을 제거하는 것을 의미합니다.

공개된 정보가 아닌 기밀에 대한 엄격한 규제는 비밀보장의 원칙 .

데이터를 보호하기 위해 더 다양한 하드웨어 및 소프트웨어 보안 도구를 사용할수록 공격자가 취약성을 발견하고 보호를 우회하는 데 더 다양한 지식과 기술이 필요합니다. 정보보안 강화를 목적으로 합니다. 다양성의 원칙 정보 시스템의 보호 메커니즘.

제어의 용이성 원리 보안 시스템은 정보 보안 시스템이 복잡할수록 개별 구성 요소의 일관성을 확인하고 중앙 관리를 구현하기가 더 어렵다는 생각에 기반합니다.

정보 보안에 대한 직원의 충성스러운 태도의 핵심은 정보 보안 규칙에 대한 지속적인 교육과 회사의 파산까지 규칙을 준수하지 않을 경우의 결과에 대한 명확한 설명입니다. 충성도 원칙 데이터 보안 관리자와 모든 회사 직원에게 보안은 직원 동기 부여와 연결됩니다. 직원은 물론 거래 상대방, 고객이 정보 보안을 불필요하거나 적대적으로 인식하면 가장 강력한 시스템이라도 회사의 정보 보안을 보장할 수 없습니다.

나열된 원칙은 모든 산업에서 정보 보안을 보장하기 위한 기반이며 산업의 특성에 따라 요소가 보완됩니다. 은행 부문, 에너지 및 미디어 부문의 사례를 살펴보겠습니다.

은행

사이버 공격 기술의 발전으로 은행은 새로운 기본 보안 시스템을 도입하고 지속적으로 개선해야 합니다. 은행 부문에서 정보 보안을 개발하는 목표는 정보 자원을 확보하고 최신 IT 제품을 금융 기관의 주요 비즈니스 프로세스에 통합할 수 있는 기술 솔루션을 개발하는 것입니다.

금융 기관을 위한 정보 보안 메커니즘은 비준된 국제 협약 및 협약은 물론 연방법 및 표준에 따라 구축됩니다. 다음은 러시아 은행에 대한 정보 보안 분야의 벤치마크입니다.

러시아 은행 표준 STO BR IBBS-1.0-2010 "러시아 연방 은행 시스템에서 조직의 정보 보안 보장";
연방법 161 "국가 지불 시스템";
연방법 152 "개인 데이터";
PCI DSS 지불 카드 산업 데이터 보안 표준 및 기타 문서.

다른 법률과 표준을 따라야 할 필요성은 은행이 다양한 운영을 수행하고 자체 보안 도구가 필요한 다양한 방향으로 활동을 수행하기 때문입니다. 예를 들어, 원격 뱅킹 서비스(RBS)에서 정보 보안을 보장하는 것은 뱅킹 애플리케이션을 보호하고 데이터 흐름을 제어하는 수단을 포함하는 보안 인프라의 생성을 포함합니다. 은행 거래를 모니터링하고 사건을 조사합니다. 정보 자원의 다중 구성 요소 보호는 RBS 서비스 사용 시 사기와 관련된 위협을 최소화하고 은행의 평판을 보호합니다.

다른 산업과 마찬가지로 은행 부문의 정보 보안은 인력 배치에 달려 있습니다. 은행의 정보 보안의 특징은 규제 기관 수준의 보안 전문가에 대한 관심이 증가한다는 것입니다. 2017년 초 러시아 은행은 정보 보안 전문가를 위한 교육 과학부, FSTEC의 참여로 노동 및 사회 보호부와 함께했습니다.

은행에서 정보 보안 감사를 올바르게 수행하는 방법은 무엇입니까?

에너지

에너지단지는 정보보안을 위한 특별한 대책이 필요한 전략산업 중 하나입니다. 관리 및 부서의 작업장에서 표준 정보 보안 도구로 충분하다면 에너지 생성 및 최종 사용자에게 전달하는 기술 영역에서 보호를 강화해야 합니다. 에너지 부문의 주요 보호 대상은 정보가 아니라 기술 프로세스입니다. 이 경우 보안 시스템은 기술 프로세스 및 자동화된 제어 시스템의 무결성을 보장해야 합니다. 따라서 전문가들은 에너지 부문 기업에 정보 보안 메커니즘을 도입하기 전에 다음을 연구합니다.

보호 대상 - 기술 프로세스;
전력 공학(전기 역학)에 사용되는 장치;
수반되는 요소(릴레이 보호, 자동화, 에너지 계량).

에너지 부문에서 정보 보안의 중요성은 정보 사이버 위협 구현의 결과에 따라 결정됩니다. 이것은 물질적 손해나 평판에 대한 타격일 뿐만 아니라 무엇보다도 시민의 건강에 대한 해악, 환경 훼손, 도시 또는 지역의 기반 시설 침해입니다.

에너지 부문의 정보 보안 시스템 설계는 보안 위험을 예측하고 평가하는 것으로 시작됩니다. 주요 평가 방법은 가능한 위협을 모델링하는 것으로 보안 시스템 구성 시 리소스를 합리적으로 할당하고 사이버 위협이 실행되지 않도록 합니다. 또한 에너지 부문의 보안 위험 평가는 지속적입니다. 시스템 작동 중에 감사를 지속적으로 수행하여 적시에 설정을 변경하여 최대 보호 수준을 보장하고 시스템을 지속적으로 유지합니다. 지금까지.

매스 미디어

언론에서 정보 보안의 주요 임무는 시민, 사회 및 국가의 이익을 포함한 국가의 이익을 보호하는 것입니다. 현대 조건에서 미디어의 활동은 독자, 시청자, 사이트 방문자와 같은 최종 사용자에게 수신, 처리 및 발행되는 뉴스 및 저널리즘 자료 형태의 정보 흐름 생성으로 축소됩니다.

매스 미디어 분야의 보안 제공 및 제어는 여러 방향으로 구현되며 다음을 포함합니다.

정보 공격의 위협이 실현된 경우 위기 방지 절차에 대한 권장 사항 개발
미디어 편집실, 언론 서비스, 홍보 부서 직원을 위한 정보 보안 교육 프로그램;
정보에 의해 공격을 받은 조직의 임시 외부 관리.

미디어 정보 보안의 또 다른 문제는 편견입니다. 사건의 객관적인 보도를 보장하기 위해 언론인을 정부 관리, 경영진 및/또는 언론 소유주로부터의 압력으로부터 보호하는 동시에 부정직한 언론 관계자의 행동으로부터 진정한 비즈니스 구조를 보장하는 보호 메커니즘이 필요합니다. .

데이터에 대한 액세스를 제한하는 것은 미디어 부문에서 정보 보안의 또 다른 초석입니다. 문제는 정보위협을 막기 위해 정보접근을 제한하는 것이 검열의 '커버'가 되지 않는다는 점이다. 언론의 업무를 보다 투명하게 만들고 국가 안보 이익에 해를 끼치는 것을 방지하는 데 도움이 되는 결정은 유럽 연합에서 표결을 기다리고 있는 정보 자원 접근에 관한 협약 초안에 포함되어 있습니다. 문서의 규범은 국가가 인터넷에 적절한 레지스트리를 생성하여 모든 공식 문서에 대한 평등한 액세스를 제공하고 변경할 수 없는 액세스 제한을 설정한다고 가정합니다. 정보 리소스에 대한 액세스 제한을 취소할 수 있는 예외는 두 가지뿐입니다.

공익, 이는 정상적인 조건에서 유포 대상이 아닌 데이터도 공개할 수 있는 능력을 의미합니다.
국익정보를 숨기는 것이 국가에 해를 끼치는 경우.

민간 부문

시장 경제의 발전, 성장 및 치열한 경쟁으로 인해 회사의 명성은 무형 자산에서 분리할 수 없는 부분이 되었습니다. 긍정적인 이미지의 형성과 안전성은 정보 보안 수준에 직접적으로 의존합니다. 시장에서 기업의 기존 이미지가 정보 보안을 보장하는 역할을 한다는 피드백도 있다. 이 접근 방식에는 세 가지 유형의 비즈니스 평판이 있습니다.

1. "쓸모없는" 조직의 이미지, 정보 자원은 제3자에게 해를 끼치거나 이익이 되도록 사용할 수 없으므로 관심 대상이 아닙니다.

2. 강력한 적의 이미지, 자신의 안전을 위협하는 "나의 소중한 사람"입니다. 정보 공격을 차단할 수 있는 기회의 경계가 흐려지면 강력한 적의 명성을 유지하는 데 도움이 됩니다. 정보 보호의 잠재력을 이해하기 어려울수록 공격자의 눈에는 회사가 더 접근하기 어려워 보입니다.

3. "유용한" 조직의 이미지... 잠재적인 공격자가 회사의 생존에 관심이 있다면 정보 공격 대신 대화와 공통 정보 보안 정책의 형성이 가능합니다.

각 회사는 법률 규범을 준수하고 설정된 목표를 달성하기 위해 노력하면서 활동을 조직합니다. 정보 보안 정책의 개발, 기밀 데이터 및 IT 리소스에 대한 내부 보안 시스템의 구현 및 운영에도 유사한 기준이 적용될 것입니다. 조직에서 가능한 최고 수준의 정보 보안을 보장하려면 보안 시스템을 구현한 후 보안 구성 요소를 체계적으로 모니터링하고 필요에 따라 재구성하고 업데이트해야 합니다.

전략시설 정보보호

2017년 초 러시아 연방 의회는 국가의 정보 보안 및 중요 정보 인프라와 관련된 법안 패키지를 첫 번째 독회에서 채택했습니다.

러시아 연방의 군사 영역에서 정보 위협의 주요 소스.

정보 정책, 정보 기술 및 통신에 관한 의회 위원회 의장인 Leonid Levin은 법안을 발표하면서 전략적으로 중요한 대상에 대한 사이버 공격의 수가 증가할 것이라고 경고했습니다. FSB의 니콜라이 무라쇼프(Nikolai Murashov) 대표는 위원회 회의에서 러시아에서 한 해 동안 7천만 건의 사이버 공격이 이루어졌다고 말했습니다. 외부 공격의 위협이 증가함과 동시에 국가 내 정보 공격의 규모, 복잡성 및 조정이 증가하고 있습니다.

국회의원이 통과한 법안은 국가 중요 기반 시설 및 개별 산업 분야에서 정보를 제공하기 위한 법적 기반을 만듭니다. 또한이 법안은 정보 보안 분야에서 국가 기관의 권한을 규정하고 정보 보안 위반에 대한 형사 책임을 강화합니다.

Kaspersky Lab 글로벌 기업 IT 보안 위험 조사는 전 세계 기업 정보 보안 동향에 대한 연례 분석입니다. 우리는 정보 보안 비용, 다양한 유형의 회사에 대한 현재 유형의 위협 및 이러한 위협에 직면했을 때의 재정적 결과와 같은 사이버 보안의 중요한 측면을 고려합니다. 또한 경영진으로부터 정보 보안 예산 책정에 대한 통찰력을 얻음으로써 전 세계 기업이 위협 환경의 변화에 어떻게 대응하고 있는지 확인할 수 있습니다.

2017년에 우리는 기업이 사이버 보안을 비용 원천(돈을 써야 하는 필요악)으로 보고 있는지, 아니면 전략적 투자로 보기 시작하는지(즉, 사이버 위협이 빠르게 발전하는 시대에 상당한 이점을 제공합니다.)

이는 특히 IT 예산이 전 세계 대부분의 지역에서 감소하고 있기 때문에 매우 중요한 문제입니다.

그러나 러시아에서는 2017년 평균 보안 예산이 2%로 약간 증가했습니다. 러시아의 평균 정보 보안 예산은 약 1,540만 루블이었습니다.

이 보고서는 모든 규모의 기업이 직면한 위협 유형과 IT 비용이 할당되는 패턴에 대해 자세히 설명합니다.

일반 정보 및 연구 방법론

Kaspersky Lab의 글로벌 기업 IT 보안 위험 설문조사는 2011년부터 매년 조직 내 IT 관리자를 대상으로 실시한 설문조사입니다.

가장 최근 데이터는 2017년 3월과 4월에 수집되었습니다. 30개국 이상에서 온 총 5,274명의 응답자가 인터뷰에 참여했으며 다양한 규모의 기업이 이 연구에 참여했습니다.

보고서에는 때때로 다음과 같은 명칭이 사용됩니다: 소규모 기업 - 직원 50명 미만, SMB(중소기업 - 직원 50명에서 250명 사이) 및 대기업(직원 수 250명 미만 기업). 현재 보고서는 설문조사에서 가장 대표적인 매개변수에 대한 분석을 제공합니다.

주요 결론:

모든 규모의 기업이 사이버 위협에 대처하기가 더 어려워지고 있으며 보호 비용도 증가하고 있습니다. 러시아의 경우 중소 기업 부문에서 단 한 번의 사이버 사고로 인한 결과를 제거하는 데 드는 평균 비용은 160만 루블인 반면 대기업 부문의 경우 비용은 1610만 루블입니다.

정보 보안에 할당되는 IT 예산의 비중이 증가하고 있습니다. 이는 모든 규모의 회사에 해당됩니다. 동시에 예산의 총액은 여전히 낮고 러시아에서는 성장률이 2 %에 불과하므로 전문가는 적은 자원으로 작업을 수행해야합니다.

사고만으로도 피해가 증가하고 있으며, 정보 보안 비용을 우선시하지 않는 기업은 머지 않아 큰 어려움에 직면할 수 있습니다. 연구에 따르면 SMB 부문에서 기업은 추가 직원 혜택에 보안 사고당 약 RUB 300,000를 지출하는 반면 대기업은 브랜드 손상을 줄이기 위해 RUB 270만을 사용할 수 있습니다.

보안 사고로 인한 피해

기업이 추가 공개 지원에서 신규 직원 채용에 이르기까지 수많은 결과를 처리해야 하기 때문에 사이버 보안 사고로 인한 피해는 계속 증가하고 있습니다. 2017년에는 데이터 무결성 위반으로 인한 재정적 손실이 더욱 증가했습니다. 이는 이 문제에 대한 접근 방식에 영향을 미칠 것입니다. 기업은 사이버 보안 비용을 필요악으로 보는 것을 중단하고 공격 시 상당한 금전적 손실을 피할 수 있는 투자로 간주하기 시작할 것입니다.

심각한 데이터 무결성 위반으로 인해 비용이 점점 더 커지고 있습니다.

CTO의 가장 큰 우려는 수백만 개의 레코드를 유출하는 대규모 공격입니다. 이들은 "왕좌의 게임" 시리즈와 관련된 기밀 데이터가 유출된 영국 NHS(National Health Service), Sony 또는 HBO 해킹에 대한 공격이었습니다. 그러나 실제로 이러한 대형 사건은 규칙이 아니라 예외입니다. 대부분의 사이버 공격은 작년까지 헤드라인을 장식하지 않았으며 전문가를 위한 특별 보고서 영역으로 남아 있었습니다. 물론 랜섬웨어의 유행은 상황을 조금 바꾸었지만 여전히 비즈니스의 기업 부문은 전체 그림을 이해하지 못합니다.

알려진 대규모 사이버 공격의 수가 상대적으로 적다고 해서 대부분의 공격으로 인한 피해가 미미하다는 의미는 아닙니다. 그렇다면 기업은 "일반적인" 데이터 무결성 위반을 수정하는 데 평균적으로 얼마를 지출합니까? 우리는 설문 조사 참가자들에게 작년에 발생한 보안 사고의 결과로 회사가 지출/손실한 금액을 추정하도록 요청했습니다.

직원이 50명 이상인 모든 회사는 다음 범주 각각에서 발생한 비용을 추정해야 했습니다.

각 항목별로 정보보호 사고가 발생한 기업의 평균 비용을 산정하고, 모든 항목을 합산하여 정보보호 사고로 인한 총 피해액을 추정할 수 있었습니다.

중소기업과 대기업에 대한 통계는 여러 측면에서 다르기 때문에 아래에 별도로 표시됩니다. 예를 들어, 러시아 SMB 회사의 평균 피해는 거의 160만 루블인 반면 대기업의 경우 1610만 루블의 거의 10배입니다. 이는 사이버 공격이 모든 규모의 회사에 비용이 많이 든다는 것을 보여줍니다.

데이터 무결성이 침해되면 대기업이 평균적으로 더 많은 손실을 입는 것은 놀라운 일이 아니지만 범주별 피해 분포를 분석하는 것은 흥미롭습니다.

작년에 직원 복리후생은 중소기업과 대기업 모두에게 가장 큰 비용이었습니다. 그러나 올해에는 다양한 유형의 비용이 규모가 다른 회사의 주요 비용이 되면서 그림이 바뀌었습니다. 중소기업은 여전히 직원 복리후생에서 가장 많은 손실을 보고 있습니다. 그러나 대기업은 브랜드 평판에 대한 손상을 줄이기 위해 추가 PR에 투자하기 시작했습니다. 또한 대기업의 주요 비용 항목은 기술 장비를 개선하고 추가 소프트웨어를 구입하는 비용이었습니다.

모든 회사에서 직원 교육 비용이 증가했습니다. 보안 사고로 인해 기업은 사이버 문맹 퇴치 및 위협 인텔리전스 개선의 중요성을 깨닫게 되는 경우가 많습니다.

대기업의 더 넓은 내부 자원과 활동 규제의 세부 사항은 위협 자체를 제거하는 비용과 피해 보상 비용 사이의 균형을 결정합니다. 심각한 비용 항목은 보험료 인상, 신용 등급 악화 및 회사에 대한 신뢰 약화였습니다. 평균적으로 각 사고 후 대기업은 약 230만 루블을 잃습니다.

우리의 연구에 따르면 비용 증가의 대부분은 신용 등급, 브랜드 이미지 및 보상의 형태로 평판 손실을 방지하거나 최소한 줄이기 위해 필요했기 때문입니다.

새로운 규정의 광범위한 구현으로 인해 기업이 모든 사건을 공개적으로 보고하고 데이터 보호의 투명성을 높여야 하기 때문에 평균 피해는 계속 증가할 것입니다.

예를 들어, 이러한 경향은 보안 침해의 결과를 제거하는 데 드는 평균 비용이 2016년 58만 달러에서 2017년 130만 달러로 두 배 이상 증가한 일본에서 일반적입니다. 일본 정부는 사이버 보안 위협이 증가함에 따라 규제 요구 사항을 강화하기 위한 조치를 취했습니다. 2017년에 새로운 법률이 시행되어 비용이 갑자기 증가했습니다.

그러나 법률의 개발과 시행에는 시간이 걸립니다. 빠르게 진화하는 기업 IT 환경과 진화하는 사이버 위협으로 인해 규제 지연이 주요 과제가 되고 있습니다. 예를 들어, 새로운 일본 표준은 2015년에 합의되었지만 발효를 총 2년 연기해야 했습니다. 많은 사람들에게 지연은 대가를 치르게 했습니다. 지난 2년 동안 많은 일본 대기업이 값비싼 공격의 희생물이 되었습니다. 한 예로 2016년에 대규모 유출에 직면한 여행사 JTB Corp.가 있습니다. 이름, 주소, 여권 번호를 포함한 800만 명의 고객 정보가 도난당했습니다.

이것은 글로벌 문제의 징후 중 하나입니다. 위협이 빠르게 발전하고 정부와 기업의 관성이 너무 높습니다. 나사를 조이는 또 다른 예는 2018년 5월에 발효된 유럽 데이터 보호 규정(GDPR)으로, EU 시민의 데이터를 처리 및 저장하는 데 허용되는 방식을 크게 제한합니다.

전 세계적으로 법이 바뀌고 있지만 사이버 위협을 따라잡을 수 없습니다. 2017년 세 차례에 걸친 랜섬웨어가 러시아에서 이를 상기시켰습니다. 따라서 기업은 법적 미비점에 유의하고 실제 상황에 따라 보호를 강화하거나 명예와 고객에 대한 손해를 미리 감수해야 합니다. 마감일을 기다리지 않고 새로운 규제 요구 사항에 대비할 가치가 있습니다. 관련 법률이 통과된 후 정책을 변경함으로써 기업은 벌금뿐만 아니라 자신과 고객 데이터의 보안 위험도 감수해야 합니다.

낯선 취약점은 없습니다. 파트너 보호 구멍이 비쌉니다.

데이터 유출로부터 보호하려면 공격자가 어떤 공격 벡터를 사용하는지 이해하는 것이 매우 중요합니다. 결과적으로 이 정보는 가장 비용이 많이 드는 공격 유형을 이해하는 데 도움이 됩니다.

설문 조사에 따르면 다음 사건이 중소기업에 가장 심각한 재정적 피해를 입힌 것으로 나타났습니다.

타사 장비에서 호스팅되는 인프라에 영향을 미치는 사고(RUB 1,720만)
회사에서 사용하는 타사 클라우드 서비스에 영향을 미치는 사고(360만 루블)
모바일 장치를 통한 부적절한 데이터 교환(RUB 250만)
모바일 장치의 물리적 손실로 조직이 위험에 노출됨(RUB 210만)
인터넷에 연결된 비 컴퓨팅 장치 관련 사고(예: 산업 제어 시스템, 사물 인터넷)(170만 루블)

대기업의 상황은 약간 다릅니다.

표적 공격(RUB 7,500만)
타사 클라우드 서비스에 영향을 미치는 사고(RUB 1,900만)
바이러스 및 맬웨어(RUB 9백만)
모바일 장치를 통한 부적절한 데이터 교환(RUB 730만)
회사가 데이터를 교환하는 공급업체에 영향을 미치는 사건(440만 루블)

이 데이터에서 볼 수 있듯이 비즈니스 파트너와의 보안 문제로 인한 공격은 모든 규모의 회사에서 가장 많은 비용을 발생시킵니다. 이는 타사 제공업체로부터 클라우드 또는 기타 인프라를 임대하는 조직과 파트너와 데이터를 교환하는 기업 모두에 적용됩니다.

다른 회사에 데이터 또는 인프라에 대한 액세스 권한을 부여하면 해당 회사의 약점이 문제가 됩니다. 그러나 우리는 이미 대부분의 조직이 이에 대해 충분한 중요성을 부여하지 않는다는 것을 관찰했습니다. 따라서 이러한 종류의 사건이 가장 비용이 많이 드는 것은 놀라운 일이 아닙니다. 모든 권투 선수는 일반적으로 기절시키는 것은 예상치 못한 타격이라고 말할 것입니다.

또한 즉시 눈에 띄는 또 다른 벡터는 예기치 않게 중간 규모 기업에 대한 상위 5개 위협인 컴퓨터 이외의 연결된 장치와 관련된 공격에 진입했습니다. 오늘날 IoT(사물 인터넷) 트래픽은 다른 기술에 의해 생성되는 트래픽보다 훨씬 빠르게 증가하고 있습니다. 이것은 새로운 개발이 비즈니스 인프라의 잠재적인 취약점의 수를 어떻게 증가시키는지 보여주는 또 다른 예입니다. 특히 IoT 장치에서 공장 기본 암호가 널리 사용되고 취약한 보안 기능이 사용되면서 대규모 DDoS 공격을 시작하기 위해 수많은 취약한 장치를 단일 네트워크로 통합할 수 있는 멀웨어인 Mirai와 같은 봇넷에 이상적입니다. 선택한 대상에 대해.

대규모 비즈니스 부문에서 표적 공격으로 인한 손실 규모에 주목하고 있습니다. 이 위협은 대응하기가 매우 어렵습니다. 지난 몇 년 동안 은행에 대한 많은 세간의 이목을 끄는 표적 공격이 알려졌으며, 이는 또한 이러한 실망스러운 통계를 강화합니다.

위험 감소에 대한 투자

우리의 연구에서 알 수 있듯이 정보 보안에 대한 위협은 점점 더 심각해지고 있습니다. 이러한 상황에서 정보 보안 예산 자체의 상태에 대해 걱정하지 않을 수 없습니다. 그들의 변화를 분석함으로써 우리는 조직이 보안을 비용의 원천으로 보고 있는지, 아니면 균형이 천천히 변화하고 있는지, 그리고 그들은 진정한 경쟁 우위를 제공하는 투자 분야를 보기 시작했는지 결정할 수 있습니다.

예산 규모는 IT 보안에 대한 회사의 태도, 관리 관점에서 보안 시스템 역할의 중요성, 조직의 위험 감수 의지를 보여줍니다.

정보 보안 예산: 점유율은 증가하고 "파이"는 감소

올해 우리는 비용 절감과 아웃소싱으로 인해 IT 예산이 축소되는 것을 목격하고 있습니다. 그럼에도 불구하고(그리고 아마도 이것 때문에) 이러한 IT 예산에서 정보 보안이 차지하는 비중은 증가했습니다. 러시아에서는 모든 규모의 회사에서 긍정적인 추세를 볼 수 있습니다. 리소스가 부족한 상황에서 운영되는 소규모 기업들 사이에서도 정보 보안에 할당되는 IT 예산의 비율은 비록 몇 퍼센트에 불과하지만 증가했습니다.

이는 기업이 마침내 정보 보안의 중요성을 이해하기 시작했음을 의미합니다. 아마도 이것은 정보 보안이 비용의 원천이 아니라 잠재적으로 유용한 투자로 인식되기 시작했음을 보여줍니다.

전 세계적으로 IT 예산이 크게 감소하고 있습니다. 사이버 보안이 파이의 더 큰 부분을 차지하는 동안 파이 자체는 줄어들고 있습니다. 특히 이 영역의 지분이 얼마나 높고 각 공격에 비용이 많이 드는지를 고려할 때 추세는 우려스럽습니다.

러시아에서는 2017년 대기업의 평균 정보 보안 예산이 4억 루블, 중소기업의 경우 460만 루블에 도달했습니다.

샘플: 예산을 평가할 수 있는 러시아 응답자 694명

당연히 전 세계 정부 서비스 제공업체(방위 부문 포함)와 금융 기관이 올해 가장 높은 정보 보안 지출을 보고했습니다. 이 두 부문의 기업은 보안에 평균 500만 달러 이상을 지출했습니다. IT 및 통신 부문과 에너지 산업 기업도 정보 보안에 평균 이상을 지출했지만 예산은 500만 달러가 아닌 300만 달러에 가까웠습니다.

그러나 총 비용을 직원 수로 나누면 정부 기관이 목록의 끝으로 이동합니다. 평균적으로 IT와 통신은 사이버 보안에 1인당 1258달러를 지출하는 반면 에너지 부문은 1344달러, 금융 회사는 1436달러를 지출합니다. 이에 비해 정부 기관은 사이버 보안에 1인당 미화 959달러만 할당합니다.

IT 및 통신 부문과 에너지 공급 산업 모두에서 직원당 높은 비용은 특히 이러한 경제 부문에서 시급한 지적 재산 보호의 필요성과 관련이 있습니다. 유틸리티의 경우 높은 보호 비용은 이러한 회사가 악의적인 그룹의 표적 공격에 점점 더 취약해지고 있다는 사실에서 기인할 수도 있습니다.

이 산업에서 정보 보안에 대한 투자는 전원 공급에 있어 비즈니스 연속성이 매우 중요하기 때문에 생존을 위해 필수적입니다. 이 산업에서 성공적인 사이버 공격의 결과는 특히 어렵기 때문에 정보 보안에 대한 투자는 매우 실질적인 이점을 얻습니다.

러시아에서는 IT 및 통신이 주로 산업 기업뿐만 아니라 정보 보안에 투자됩니다. 전자의 평균 비용은 3억 루블, 후자의 경우 8천만 루블에 이릅니다. 산업 및 제조 회사는 일반적으로 생산 프로세스의 연속성을 보장하기 위해 자동화된 제어 시스템(ICS)에 의존합니다. 동시에 ICS에 대한 공격도 증가하고 있습니다. 지난 12개월 동안 그 수는 5% 증가했습니다.

정보 보안에 투자하는 이유

정보 보안에 대한 투자 금액의 섹터 간 분산은 매우 큽니다. 따라서 기업이 정보보안에 한정된 자원을 사용하도록 유도하는 이유를 찾는 것이 특히 중요합니다. 동기를 모르면 IT 인프라 보안에 투자한 돈을 낭비로 여기는지, 수익성 있는 투자로 생각하는지 알 수 없다.

2017년에 전 세계적으로 훨씬 더 많은 기업이 예상 투자 수익과 상관없이 사이버 보안에 투자할 것이라고 인정했습니다. 2016년의 56%에서 증가한 63%입니다. 이는 점점 더 많은 기업이 정보 보안의 중요성을 이해하고 있음을 보여줍니다.

정보 보안 예산 증가의 주요 원인, 러시아

모든 기업이 빠른 투자 수익을 기대하는 것은 아니지만 많은 글로벌 기업이 정보 보안 예산 증가의 이유로 회사 최고 경영진(32%)을 비롯한 주요 이해 관계자의 압력을 꼽았습니다. 이는 기업이 정보 보안 비용의 증가에서 전략적 이점을 보기 시작했음을 보여줍니다. 보안 조치를 통해 공격 시 자신을 보호할 수 있을 뿐만 아니라 고객에게 데이터가 안전하게 보호되고 있음을 입증할 수 있습니다. 회사의 경영진이 관심을 갖는 비즈니스 연속성을 보장하기 위해 ....

대부분의 국내 기업이 정보보호 비용을 인상하는 가장 큰 이유로는 점점 복잡해지는 IT인프라 보호 필요성(46%), 정보보호 전문가의 자질 향상 필요성 30%를 꼽았다. 이 수치는 직원의 기술을 개발하여 회사에서 사용할 수 있는 전문 지식 수준을 향상시킬 필요가 있음을 나타냅니다. 실제로 중소기업과 대기업 모두 사이버 위협과의 싸움에서 내부 인력을 지원하는 데 점점 더 많은 투자를 하고 있습니다.

동시에 러시아 기업 간의 신규 사업 운영이나 회사 확장으로 인한 정보 보안 비용 증가 필요성이 작년 36%에서 2017년 30%로 감소했습니다. 최근 우리 기업이 직면한 거시경제적 요인을 반영한 것일 수도 있습니다.

결론

2017년에는 WannaCry, exPetr, BadRabbit 등의 대규모 공격으로 막대한 피해가 발생했습니다. 특히 러시아 은행에 대한 표적 공격의 피해도 큽니다. 이 모든 것은 사이버 위협 환경이 빠르게 그리고 필연적으로 변화하고 있음을 보여줍니다. 기업은 방어 체계를 조정하거나 사업을 중단해야 합니다.

비즈니스 의사 결정에서 점점 더 중요한 요소는 사이버 공격을 방어하기 위한 준비 비용과 피해자가 입은 비용 간의 차이입니다.

보고서에 따르면 일반 대중이 관심을 갖지 않는 비교적 작은 데이터 침해라도 회사에 막대한 비용이 소요되고 운영에 심각한 영향을 미칠 수 있습니다. 보안 사고 발생 시 비용이 증가하는 또 다른 이유는 전 세계적으로 법률이 변경되었기 때문입니다. 기업은 비준수와 해킹 가능성 모두에 적응하거나 위험을 감수해야 합니다.

이러한 상황에서는 모든 결과와 비용을 고려하는 것이 특히 중요합니다. 아마도 이것이 다른 국가의 점점 더 많은 회사들이 IT 예산에서 정보 보안의 비중을 늘리고 있는 이유일 것입니다. 2017년에 전 세계적으로 훨씬 더 많은 기업이 예상 투자 수익과 상관없이 사이버 보안에 투자할 것이라고 인정했습니다. 2016년의 56%에서 증가한 63%입니다.

사이버 보안 사고로 인한 피해 증가로 인해 IT 비용을 보안에 대한 투자로 간주하고 상당한 자금을 지출할 준비가 된 조직은 가능한 문제에 더 잘 대비할 수 있습니다. 귀사의 상황은 어떻습니까?

정보 보안 비용을 정당화하는 방법은 무엇입니까?

친절한 허가를 받아 재인쇄되었습니다. OJSC InfoTeks 인터넷 트러스트
원본 텍스트가 위치합니다. 여기.

회사의 성숙도

Gartner Group은 정보 보안(IS) 측면에서 회사 성숙도를 4단계로 식별합니다.

0레벨:

아무도 회사의 정보 보안에 관여하지 않으며 회사 경영진은 정보 보안 문제의 중요성을 인식하지 못합니다.
사용 가능한 자금이 없습니다.
IS는 운영 체제, DBMS 및 응용 프로그램(암호 보호, 리소스 및 서비스에 대한 액세스 차별화)의 표준 수단으로 구현됩니다.

1레벨:

IS는 경영진이 순전히 "기술적" 문제로 간주하며 회사의 정보 보안 시스템(ISS) 개발을 위한 단일 프로그램(개념, 정책)이 없습니다.
자금은 전체 IT 예산 내에서 이루어집니다.
IS는 제로 레벨 + 백업 도구, 바이러스 백신 도구, 방화벽, VPN 조직 도구(기존 보호 도구)를 통해 구현됩니다.

2단계:

IS는 경영진이 조직 및 기술 조치의 복합체로 간주하고 생산 프로세스에서 IS의 중요성에 대한 이해가 있으며 경영진이 승인한 회사의 ISIB 개발 프로그램이 있습니다.
IS는 1단계 + 강력한 인증 수단, 메일 메시지 및 웹 콘텐츠 분석 수단, IDS(침입 탐지 시스템), 보안 분석 도구, SSO(단일 인증 수단), PKI(공개 키 인프라) 및 조직적 조치(내부 및 외부 감사, 위험 분석, 정보 보안 정책, 규정, 절차, 규정 및 지침).

레벨 3:

IS는 CISA(고위 정보 보안 책임자)가 임명한 기업 문화의 일부입니다.
자금은 별도의 예산으로 제공됩니다.
IS는 2단계 + IS 관리 시스템인 CSIRT(IS 위반 대응팀), SLA(서비스 수준 계약)를 통해 구현됩니다.

Gartner Group(2001년 데이터)에 따르면 설명된 4가지 수준과 관련된 기업의 비율은 다음과 같습니다.
0레벨 - 30%,
1레벨 - 55%,
2단계 - 10%,
3단계 - 5%.

Gartner Group의 2005년 전망은 다음과 같습니다.
0레벨 - 20%,
1레벨 - 35%,
2단계 - 30%,
레벨 3 - 15%.

통계에 따르면 대다수의 기업(55%)이 이제 최소한의 필수 전통적 기술 보호 수단 세트(레벨 1)를 구현했습니다.

다양한 기술과 보호 수단을 구현할 때 종종 질문이 발생합니다. 먼저 침입 탐지 시스템 또는 PKI 인프라를 구현해야 하는 것은 무엇입니까? 무엇이 더 효과적일까요? Deloitte & Touches의 이사인 Stephen Ross는 개별 보안 조치 및 수단의 효율성을 평가하기 위해 다음과 같은 접근 방식을 제안합니다.

위의 그래프를 기반으로 가장 비싸고 가장 덜 효과적인 것은 전문화된 도구(자체 개발 또는 맞춤형 개발)임을 알 수 있습니다.

가장 비싸지 만 동시에 가장 효과적인 것은 4 번째 범주 (Gartner Group에 따르면 레벨 2 및 3)의 보호입니다. 이 범주의 자금을 구현하려면 위험 분석 절차를 사용해야 합니다. 이 경우 위험 분석을 통해 기존 IS 침해 위협에 대한 구현 비용의 적절성을 보장할 수 있습니다.

가장 저렴하지만 높은 수준의 효율성을 갖는 것은 조직적 조치(내부 및 외부 감사, 위험 분석, 정보 보안 정책, 비즈니스 연속성 계획, 규정, 절차, 규정 및 지침)입니다.

추가 보호 수단의 도입(레벨 2 및 3으로의 전환)에는 상당한 재정적 투자와 그에 따른 정당화가 필요합니다. 경영진이 승인하고 서명한 ISMS 개발을 위한 통합 프로그램의 부재는 안전에 대한 투자를 정당화하는 문제를 악화시킵니다.

위험도 분석

리스크 분석 결과 및 사고에 대해 누적된 통계가 이러한 근거가 될 수 있으며, 리스크 분석 및 통계 축적 메커니즘은 회사의 정보보호 정책에 명시되어야 합니다.

위험 분석 프로세스는 6개의 순차적 단계로 구성됩니다.

1. 보호대상(보호대상기업자원)의 식별 및 분류

3. 공격자의 모델 구축

4. 위협 및 취약성의 식별, 분류 및 분석

5. 위험 평가

6. 조직적 조치 및 기술적 보호 수단의 선택.

무대에서 보호 대상의 식별 및 분류다음 영역에서 회사 자원의 인벤토리를 수행해야 합니다.

정보 자원(회사의 기밀 및 중요 정보)
소프트웨어 리소스(OS, DBMS, ERP와 같은 중요 애플리케이션)
물리적 자원(서버, 워크스테이션, 네트워크 및 통신 장비)
서비스 리소스(이메일, www 등).

분류자원의 기밀성 및 중요도 수준을 결정하는 것입니다. 기밀성은 자원에 의해 저장, 처리 및 전송되는 정보의 비밀 수준을 나타냅니다. 중요도는 회사의 생산 프로세스 기능의 효율성에 대한 자원의 영향 정도로 이해됩니다(예: 통신 자원의 가동 중지 시간이 발생하면 제공 회사가 파산할 수 있음). 기밀성 및 중요도 매개 변수에 특정 질적 값을 할당하면 회사의 생산 프로세스 참여 측면에서 각 리소스의 중요성 수준을 결정할 수 있습니다.

정보 보안의 관점에서 회사 자원의 중요성을 결정하기 위해 다음 표를 얻을 수 있습니다.

예를 들어 회사 직원의 급여 수준에 대한 정보가 있는 파일에는 "엄격한 기밀"(기밀 매개변수) 값과 "무시할 수 있는"(중요 매개변수) 값이 있습니다. 이 값을 표에 대입하면 이 자원의 중요성에 대한 통합 지표를 얻을 수 있습니다. 분류 방법의 다양한 변형이 국제 표준 ISO TR 13335에 나와 있습니다.

공격자 모델 구축다음 매개변수에 따라 잠재적 위반자를 분류하는 프로세스입니다.

공격자 유형(경쟁사, 클라이언트, 개발자, 회사 직원 등)
보호 대상(내부, 외부)과 관련된 공격자의 위치
보호 대상 및 환경에 대한 지식 수준(높음, 중간, 낮음)
보호 대상에 대한 접근 기회 수준(최대, 평균, 최소)
행동 시간(일정한 시간 간격으로 지속적으로)
위치(공격 중 공격자의 추정 위치).

공격자 모델의 나열된 매개변수에 정성적 값을 할당함으로써 공격자의 잠재력(공격자가 위협을 구현하는 능력의 필수 특성)을 결정할 수 있습니다.

위협 및 취약성의 식별, 분류 및 분석보호 대상에 대한 공격을 구현하는 방법을 결정할 수 있습니다. 취약성은 공격자가 위협을 구현하는 데 사용하는 리소스 또는 해당 환경의 속성입니다. 소프트웨어 리소스의 취약점 목록은 인터넷에서 찾을 수 있습니다.

위협은 다음 기준에 따라 분류됩니다.

위협의 이름;
공격자 유형;
구현 수단;
악용된 취약점;
수행된 조치;
구현 빈도.

주요 매개 변수는 위협 구현 빈도입니다. "공격자 잠재력" 및 "자원 보안" 매개변수의 값에 따라 다릅니다. "자원 보안" 매개변수의 값은 전문가 평가에 의해 결정됩니다. 매개변수의 값을 결정할 때 공격자의 주관적인 매개변수, 즉 위협 구현 동기 및 이러한 유형의 위협 구현 시도 통계(있는 경우)가 고려됩니다. 위협 및 취약성 분석 단계의 결과는 각 위협에 대한 "구현 빈도" 매개변수의 평가입니다.

무대에서 위험 평가각 자원 또는 자원 그룹에 대한 정보 보안 침해 위협으로 인한 잠재적 피해가 결정됩니다.

손상의 질적 지표는 두 가지 매개 변수에 따라 다릅니다.

자원의 중요성;
이 리소스에 대한 위협 빈도입니다.

획득한 피해 평가를 기반으로 적절한 조직적 조치와 보호를 위한 기술적 수단이 합리적으로 선택됩니다.

사고 통계의 누적

위험을 평가하고 이에 따라 새로운 보호 기술을 도입하거나 기존 보호 기술을 변경할 필요성을 정당화하기 위해 제안된 방법론의 유일한 취약성은 "위협 실현 빈도" 매개변수의 정의입니다. 이 매개변수에 대한 객관적인 값을 얻는 유일한 방법은 사건에 대한 통계를 누적하는 것입니다. 예를 들어 1년 동안 축적된 통계를 통해 리소스(특정 유형)당 위협(특정 유형) 수를 결정할 수 있습니다. 사고 처리 절차의 틀 내에서 통계 누적 작업을 수행하는 것이 좋습니다.

2018-08-21T12: 03: 34 + 00: 00

대규모 상업 회사는 연간 수익의 약 1%를 비즈니스의 물리적 보안을 보장하는 데 사용합니다. 기업 보안은 기술 및 생산 수단만큼이나 자원입니다. 그러나 데이터 및 서비스의 디지털 보호와 관련하여 재정적 위험과 필요한 비용을 계산하기가 어려워집니다. 우리는 IT 예산에서 사이버 보안에 할당하는 것이 합리적인지, 생략할 수 있는 최소한의 도구 세트가 있는지 알려줍니다.

보안 비용이 증가하고 있습니다.

에 따르면 전 세계 상업 조직보고서 Gartner는 2017년 소프트웨어, 전문 서비스 및 하드웨어를 포함한 사이버 보안 요구 사항에 약 870억 달러를 지출했습니다. 이는 2016년보다 7% 증가한 수치다. 올해는 930억대, 내년에는 100억대를 돌파할 것으로 예상된다.

전문가에 따르면 러시아의 정보 보안 서비스 시장은 약 550~600억 루블(약 90만 달러)입니다. 그 중 2/3는 정부 명령으로 폐쇄되었습니다. 기업 부문에서 이러한 비용의 몫은 기업의 형태, 지역 및 활동 분야에 따라 크게 달라집니다.

국내 은행 및 재무구조 평균투자하다 사이버 보안에서 연간 3억 루블, 기업가 - 최대 5천만, 네트워크 회사(소매) - 천만에서 5천만.

그러나 몇 년 동안 러시아 사이버 보안 시장의 성장 수치는 현재 글로벌 규모보다 1.5-2배 높습니다. 2017년에는 2016년 대비 15%(고객 돈 기준) 성장했습니다. 2018년 말에는 훨씬 더 인상적일 수 있습니다.

높은 성장률은 시장의 전반적인 부흥과 IT 인프라의 실제 보안 및 데이터의 안전에 대한 조직의 관심이 급격히 증가했기 때문입니다. 정보보호시스템 구축에 드는 비용은 이제 투자로 인식되고, 잔금으로 처리되는 것이 아니라 사전에 계획되어 있습니다.

긍정적인 기술골라내다 세 가지 성장 동력:

지난 1.5-2년 간의 세간의 이목을 끄는 사건으로 인해 오늘날 게으른 사람만이 기업의 재정적 안정성을 위한 정보 보안의 역할을 이해하지 못한다는 사실이 밝혀졌습니다. 최고 경영자 5명 중 1명은 비즈니스 맥락에서 실질적인 보안에 관심을 갖습니다.

지난 1년은 기초를 무시하는 기업들에게 유익한 해였습니다. ... 최신 업데이트의 부족과 취약점에 주의를 기울이지 않고 작업하는 습관으로 인해 프랑스의 르노 공장, 일본의 혼다 및 닛산 공장이 폐쇄되었습니다. 은행, 에너지, 통신 회사가 영향을 받았습니다. 예를 들어, Maersk는 한 번에 3억 달러의 비용이 듭니다.

WannaCry, NotPetya, Bad Rabbit 등 랜섬웨어가 유행하면서 안티바이러스와 방화벽을 설치하는 것만으로는 안전하지 않다고 국내 기업들에게 가르쳤습니다. 포괄적인 전략, IT 자산 인벤토리, 전용 리소스, 위협 대응 전략이 필요합니다.
어떤 의미에서, 분위기는 모든 영역(의료 및 교육에서 교통 및 금융에 이르기까지)을 포괄하는 디지털 경제를 향한 과정을 발표한 국가에 의해 설정됩니다. 이 정책은 일반적으로 IT 부문의 성장과 특히 정보 보안의 성장에 직접적인 영향을 미칩니다.

보안 취약점의 비용

이 모든 것이 유익하지만 모든 비즈니스는 고유한 이야기입니다. 회사의 일반 IT 예산에서 정보 보안에 얼마를 지출해야 하는지에 대한 질문은 정확하지는 않지만 고객의 관점에서는 가장 시급한 문제입니다.

캐나다 시장의 사례에 대한 국제 조사 회사 IDC전화 조직의 전체 IT 예산 중 사이버 보안에 대한 투자의 최적 9.8-13.7%. 즉, 이제 캐나다 기업은 이러한 요구에 대해 평균 약 10%를 지출하지만(이것이 건강한 회사의 지표라고 믿어집니다), 여론 조사에 따르면 14%에 가깝고 싶습니다.

기업은 침착함을 느끼기 위해 정보 보안에 얼마를 지출해야 하는지 궁금해할 이유가 없습니다. 오늘날 사이버 보안 사고로 인한 위험을 평가하는 것은 물리적 위협으로 인한 손실을 계산하는 것보다 어렵지 않습니다. 세계적으로 있다통계 , 무엇인가에 따르면:

해커 공격으로 인해 세계 경제는 연간 1,100억 달러 이상의 손실을 입었습니다.
소규모 기업의 경우 각 사고당 평균 $188,000의 비용이 듭니다.
2016년 해킹의 51%가 특정 기업을 대상으로 한 조직 범죄 집단을 표적으로 삼았습니다.
공격의 75%는 재정적 동기로 물질적 피해를 입힐 목적으로 수행됩니다.

2018년 봄, Kaspersky Lab은 대규모공부하다 ... 전 세계 기업 전문가 6000명을 대상으로 실시한 설문조사에 따르면 기업 네트워크 해킹과 데이터 유출로 인한 피해가 지난 몇 년간 20~30% 증가했다.

규모, 활동 범위에 관계없이 상업 조직의 2018년 2월 평균 피해 비용은 123만 달러였습니다. 중소기업의 경우 직원의 실수나 해커의 성공적인 행동에 12만 달러가 든다.

정보보안 타당성조사

기업에서 정보 보안을 구성하는 데 필요한 재정 자원을 올바르게 평가하려면 타당성 조사를 작성해야 합니다.

우리는 IT 인프라의 인벤토리를 수행하고 위험을 평가하고 중요도 내림차순으로 취약점 목록을 작성합니다. 평판 손실(보험료 인상, 신용 등급 하락, 서비스 중단 시간 비용), 시스템 복원 비용(장비 및 소프트웨어 업데이트)도 여기에 포함됩니다.
정보 보안 시스템이 해결해야 할 과제를 나열합니다.
우리는 문제 해결을 위한 장비, 도구를 선택하고 비용을 결정합니다.

회사에 사이버 보안 위협 및 위험을 평가할 역량이 없는 경우 언제든지 정보 보안 감사를 옆에서 주문할 수 있습니다. 오늘날 이 절차는 수명이 짧고 저렴하며 고통이 없습니다.

높은 수준의 프로세스 자동화 전문가를 보유한 산업체추천하다 적응형 보안 아키텍처 모델(적응형 보안 아키텍처), Gartner에서 2014년에 제안했습니다. 이를 통해 정보 보안 비용을 적절하게 재할당하고 위협 탐지 및 대응 도구에 더 많은 관심을 기울일 수 있으며 IT 인프라에 대한 모니터링 및 분석 시스템의 구현을 의미합니다.

소규모 기업의 사이버 보안 비용

Capterra 블로그의 작성자는 다음과 같이 결정했습니다.카운트 업 정보 보안 시스템 사용 첫해에 중소기업의 평균 비용은 얼마입니까? 이것을 선택했기 때문에목록 시장에 나와 있는 50개의 인기 있는 "박스" 제품 중

가격 범위는 연간 $ 50 (소규모 회사의 경우 2-3 개의 무료 솔루션도 있음)에서 6,000 달러 (단일 패키지와 각각 24,000 개가 있지만 포함되지 않았습니다. 계산). 평균적으로 소규모 기업은 기본적인 사이버 방어 시스템을 구축하는 데 1,400달러를 사용할 수 있습니다.

비즈니스 VPN 또는 이메일 보호와 같은 가장 저렴한 기술 솔루션은 특정 유형의 위협(예: 피싱)으로부터 보호할 수 있습니다.

스펙트럼의 다른 쪽 끝에는 "고급" 이벤트 대응 및 포괄적인 보호 도구를 갖춘 완전한 모니터링 시스템이 있습니다. 대규모 공격으로부터 기업 네트워크를 보호하는 데 도움이 되며 때로는 출현을 예측하고 초기 단계에서 차단할 수도 있습니다.

회사는 정보 보안 시스템에 대한 여러 지불 모델을 선택할 수 있습니다.

라이센스당 가격, 평균 가격 - $1000-2000 또는 라이센스당 $26~$6000.
사용자당 가격. 회사에서 사용자 1인당 정보 보안 시스템의 평균 비용은 37달러이며 범위는 1인당 월 4달러에서 130달러입니다.
연결된 장치의 가격입니다. 이 모델의 평균 비용은 장치당 $2.25입니다. 가격 범위는 월 $ 0.96에서 $ 4.5입니다.

정보 보안 비용을 올바르게 계산하려면 소규모 회사라도 위험 관리의 기본을 구현해야 합니다. 24시간 이내에 시정되지 않는 최초의 사고(사이트, 서비스, 결제 시스템 다운)는 폐업으로 이어질 수 있습니다.