Информационная безопасность. Экономика процесса (Игорь Чернов, Директор ТОО «Informsecurity») (©Paragraph 2018 / 5.0.2.34)

Информационная безопасность.

Экономика процесса

 

Игорь Чернов,

Директор ТОО «Informsecurity»

 

Заблуждения, включающие в себя долю правды, наиболее опасны.

Адам Смит

 

Очень часто в последнее время приходится слышать и читать постулат: «Стоимость защиты информации не должна превышать стоимости самой информации». С одной стороны всё вроде как верно. Действительно, глупо тратить на мероприятия, направленные на защиту информации, денег больше, чем стоит сама информация. Но с другой стороны возникает вопрос: а как рассчитать эту стоимость? Ну, чтобы сравнить. Казалось бы - нет ничего сложного. Нужно рассчитать стоимость мер по защите информации и стоимость самой информации и сравнить эти цифры. Но на самом деле всё немного сложнее. Если с расчётом затрат на обеспечение информационной безопасности проблем нет и такой расчёт может сделать любой экономист, то с расчётом стоимости информации не всё так просто. Действительно, а сколько стоит информация? Как посчитать её стоимость? Сразу скажу - есть несколько методик, но все эти методики абсолютно разные и выдают совершенно разные результаты. Да и специалистов, владеющих такими методиками, раз-два и обчёлся. Например, одна из методик за основу берёт убытки, понесённые компанией/банком в результате утраты информации. Действительно, мне неоднократно приходилось слышать: - я потерял восемьдесят миллионов тенге; - я потерял двести сорок миллионов тенге; - я потерял триста пятьдесят миллионов тенге и так далее по возрастающей. Но дело в том, что это не стоимость информации - восемьдесят или триста пятьдесят миллионов. Это убытки, причинённые действиями стороны, похитившей эту информацию и предпринявшей на её основе некие недружественные действия. А сколько тогда стоила непосредственно сама похищенная информация? Ведь расчёт производится по свершившемуся факту, когда информацию уже похитили и последствия наступили. И тут возникает вопрос: - а сколько стоит не похищенная информация? При том, что возможно её никто и не собирается похищать? Вы же заранее этого не знаете. Это повысит или понизит стоимость информации и на сколько? Хорошие вопросы. Вот только ответов на них нет. Кроме того на стоимость информации влияет временной фактор. Информация, которая ничего не стоит сегодня, завтра может стоить очень дорого. Или наоборот. В общем, как сказал бы математик, уравнение по расчёту стоимости информации не решаемо, так как в нём слишком много переменных. Не верите? Попробуйте тогда рассчитать стоимость информации, содержащей данные о логинах и паролях пяти процентов клиентов какого-нибудь банка. А я посмотрю.

Дальше. Так как вторую цифру (стоимость информации) в этом уравнении рассчитать невозможно, как правило, при расчёте цифра берётся «с потолка». А так как времена сейчас тяжёлые и деньги лишними не бывают, то почти всегда берётся минимальная цифра, а зачастую и просто ноль. И в этом случае мероприятия по предупреждению или пресечению утечки информации обычно не производятся. И это логично, так как любое мероприятие имеет свою цену, которая обязательно будет дороже стоимости защищаемой информации. А это противоречит постулату.

То что я написал на самом деле не выдумка. Знаю много случаев, когда защитные мероприятия не проводились, техника и программное обеспечение не закупались только потому, что это дорого. Дороже защищаемой информации. В результате были проблемы.

Вывод. Постулат: «Стоимость защиты информации не должна превышать стоимости самой информации» на самом деле не просто ошибочен. Он вреден.

И возникает вопрос: - что делать в такой ситуации? На самом деле всё просто. Нужно отказаться от цифр. И ввести понятие не стоимости, а ценности информации. Ввести градацию такой ценности в зависимости от того, какие возможные проблемы будут у компании/банка в случае утечки такой информации. Определить, утечка какой информации может привести к финансовым/репутационным потерям, а утечка какой может привести и к банкротству компании (что тоже бывает). И защищать эту информацию. Закупать технику и программное обеспечение. Проводить мероприятия, направленные на предотвращение и пресечение утечки информации. При этом решение о закупке техники и программ или о проведении защитных мероприятий должен принимать уполномоченный на это профессионал, отвечающий за данное направление безопасности, а не бухгалтерия (это не шутка, я такое не один раз видел).

Берегите себя.

 

6 декабря 2018, 11:13
Источник, интернет-ресурс: Чернов И.

Если вы обнаружили ошибку или опечатку – выделите фрагмент текста с ошибкой и нажмите на ссылку сообщить об ошибке.

Акции
Комментарии
Если вы видите данное сообщение, значит возникли проблемы с работой системы комментариев. Возможно у вас отключен JavaScript