Пока гром не грянет

Пока гром не грянет

Обратная связь с нашими читателями очень важна для редакции журнала «Information Security / Информационная безопасность». Одной из форм обратной связи является проведение опросов на сайте www.itsec.ru. В частности, предлагалось всем желающим ответить на вопрос «Какую сумму вы готовы ежегодно тратить на обеспечение информационной безопасности вашего предприятия?».

Результаты опроса показали: большинство предприятий стали понимать, что надо платить не только за обеспечение физической охраны, но и за программное обеспечение, защищающее корпоративную сеть, услуги консультантов и интеграторов, выстраивающих надежную защиту. Кроме того, в штате любой серьезной фирмы имеются собственные специалисты по информационной безопасности, чьи услуги недешевы.

В какой-то степени результаты опроса удивили. Так, оказалось, что почти в половине организаций, чьи представители стали респондентами, на информационную безопасность готовы тратить свыше 50 000 у.е. (49%). Правда, между «готовы» и «тратим», как говорят в Одессе, две большие разницы.

Принято считать, что затраты на информационную безопасность составляют от суммарных затрат на информационные технологии следующую долю: 1-1,5% для небольших фирм и до 20% для государственных учреждений. Приняв в качестве среднего значения 5%, получим, что почти в половине компаний IT-бюджет превышает $1 млн. По другим данным, расходы на ИТ занимают примерно 1% от оборота для предприятий промышленности и 3-4% для финансовой сферы. Значит, средний оборот фирм, принявших участие в опросе, составляет в среднем порядка 50 млн у.е.

В целом по затрачиваемым на информационную безопасность средствам компании расположились, как показано на рисунке.

Как видите, почти 1/5 фирм тратят в год на информационную безопасность меньше 4000 у.е. Это означает прежде всего отсутствие штатного сотрудника, занимающегося вопросами безопасности. Нельзя забывать, что затраты на информационную безопасность должны быть оправданными и зависеть от потенциальных рисков. Но неужели у этих фирм практически отсутствует ценная компьютерная информация? Скорее всего, мы имеем дело с недооценкой важности вопроса обеспечения защиты информации со стороны руководства. Думается, что это — временное явление, до первого инцидента. Известно ведь, что «пока гром не грянет, мужик не перекрестится».