Аналитика по бюджетам на ИБ КИИ в Европе от ENISA

  

Недавно европейский орган European Union Agency for Cybersecurity (ENISA) выпустили отчет NIS Investments Report по анализу объема бюджетов на ИБ и состава входящих на него трат (также опираются на данные иных исследований, таких как Gartner). Давайте посмотрим на них подробнее (возможно будут параллели бюджетами на СОИБ ОКИИ в РФ):


·        В подавляющем большинстве организаций, бюджетом на ИБ владеет ИТ подразделение и ИБ отчитывается перед CIO


·        В среднем бюджет ИБ не превышает 6% от бюджета на ИТ. Но также в среднем бюджет на ИБ ещё и зависит от отрасли компании



·        Интересно посмотреть и на натуральные размеры ИБ бюджета в зависимости от отраслей: самые большие у Телекома, Облаков, Водоканалы и Фин.сектора



·        Бюджеты на европейский аналог КИИ (NIS) в зависимости от отрасли



·        Также от отрасли сильно зависит на какие средства защиты тратится ИБ бюджет:



·        И на что тратится бюджет КИИ (NIS): SIEMAwarenessBCMVM



·        Интересна и структура затрат в разрезе оборудование/ПО/сервисы/персонал: больше всего в ИБ затраты на персонал, поэтому и внешние сервисы занимают уже значительный объем



·        Какие скилы набирают ценность



·        Какой процент компаний нанимали доп. персонал для выполнения требований по КИИ (NIS)



В отчете ещё есть много интересной аналитики с которой рекомендую ознакомится самостоятельно. 


DPPS: Чтобы не пропустить другие рекомендации и практики по КИИ подписывайтесь в вашем любимом канале

TWITTER 
FACEBOOK
VK
Telegram




Комментарии

Unknown написал(а)…
Как понимать нулевые траты на безопасность компаниями с оборотом выше 100М евро?
15 декабря 2020 г. в 21:02
Сергей Борисов написал(а)…
Сложно сказать однозначно - возможно что в части компаний сразу все ИТ технологии поставляются в защищенном варианте, поэтому отдельный бюджет на ИБ не выделяется. С другой стороны, думаю что всё ещё есть ряд компаний, в которых ИБ просто не занимаются/игнорируют/забили/приняли риски.
20 декабря 2020 г. в 23:55
Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп
Далее...

КИИ. ОКВЭД vs 187-ФЗ

Все ещё одним из наиболее часто задаваемых вопросов про КИИ является: попадаем ли мы в сферы 187-ФЗ?   Например, если мы школа или учреждение соц. защиты. Чтобы ответить на этот вопрос в первую очередь рекомендуется посмотреть на коды ОКВЭД вашей организации и сравнить с кодами ОКВЭД в которые попадают сферы и отрасли из 187-ФЗ. Если по каким -то причинам вам это было сложно сделать, то специально в честь наступающего праздника я сделал это за Вас. Пользуйтесь :     Также табличка может быть полезна регуляторам чтобы оценить объем организаций подпадающих под законодательство 187-ФЗ.
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). Давайте посмот
Далее...