Экономические аспекты защиты информации
Эксперты-практики в области защиты информации нашли некий оптимум, позволяющий чувствовать себя относительно уверенно, — стоимость системы ИБ должна составлять примерно 10−20% от стоимости корпоративной информационной системы (КИС) — в зависимости от уровня конфиденциальности информации (но надо их еще правильно вложить). Это и есть та самая оценка на основе практического опыта (best practice… Читать ещё >
Экономические аспекты защиты информации (реферат, курсовая, диплом, контрольная)
Сегодня высшее руководство любой компании при осуществлении управления, по существу имеет дело только с информацией — и на ее основе принимает решения. Информация в настоящее время решает все.
Информация уже давно стала товаром, который можно покупать и продавать на рынке, иногда — за достаточно большие деньги. Как и любой товар, информация имеет свою цену, за которую она покупается и продается, и как любой ценный ресурс — подлежит защите.
Отечественный IT-рынок в последние годы динамично развивается, по оценкам экспертов его рост превышает 10% в год. При этом сектор информационной безопасности (ИБ) развивается еще более быстрыми темпами — более чем на 25% в год. Такой рост определяется в основном двумя факторами: возросшим вниманием руководства к обеспечению ИБ и недостаточным уровнем ИБ в существующих информационных системах (ИС). Понятно, что долго такие темпы роста сектора ИБ сохраняться не смогут, они замедлятся, и вопросы оценки эффективности затрат в области ИБ встанут весьма остро.
Уже сейчас в отечественных ИС с повышенными требованиями в области ИБ (банковские системы, ответственные производства, и т. д.) затраты на обеспечение режима ИБ составляют до 30% всех затрат на ИС. Владельцы информационных ресурсов серьезно рассматривают экономические аспекты обеспечения ИБ. Даже в тех ИС, уровень ИБ которых явно не достаточен, у технических специалистов зачастую возникают проблемы обоснования перед руководством (владельцами информационных ресурсов) затрат на повышение этого уровня. Начальники служб автоматизации, исполнительные директора, начальники служб информационной безопасности должны иметь понятные для бизнеса аргументы для обоснования инвестиций в ИБ, т. е., по сути, представлять обоснование стоимости системы ИБ для бизнеса.
Таким образом, в настоящее время комплексное управление процессами обеспечения ИБ подразумевает не просто бесцельное внедрение совокупности средств и систем защиты. ИБ превратилась в науку о реализации адекватного и эффективного по качеству и стоимости подхода к обеспечению защищенности всех элементов информационных технологий (IT). Такой взгляд на проблему ИБ неизбежно требует определения показателей и метрик, позволяющих сравнивать защищенность различных систем IT, сравнивать эффективность контрмер, ранжировать угрозы и уязвимости по своей важности.
Для любых компаний очень важно деньги в защиту информации (ЗИ) вкладывать обоснованно. В информационной безопасности известен принцип разумной достаточности, который гласит следующее: «Создание 100% надежной системы защиты информации (СЗИ) невозможно в принципе, в любых случаях остается ненулевая возможность реализации какой-либо угрозы либо уязвимости». Любая система ЗИ может быть взломана, это вопрос только времени и потраченных злоумышленником средств. Поэтому бесконечно вкладывать деньги в обеспечение ИБ бессмысленно, необходимо когда-то остановиться (вопрос только в выборе этого порога). Согласно принципу разумной достаточности, стойкость СЗИ считается достаточной, если время взлома злоумышленником СЗИ превосходит время старения информации (либо некоторый разумный предел), либо стоимость взлома системы защиты информации превосходит стоимость полученной злоумышленником выгоды от взлома. В последнем случае, если злоумышленник является нормальным экономическим субъектом, то он, конечно, не будет работать себе в убыток.
Существует, как минимум, два подхода к обоснованию стоимости корпоративной системы защиты.
Первый подход — наукообразный, который заключается в том, чтобы применить на практике необходимый инструментарий получения метрики и меры безопасности, а для этого привлечь руководство компании (как ее собственника) к оценке стоимости защищаемой информации, определению возможностей реализации потенциальных угроз и уязвимостей, а также потенциального ущерба. Наиболее известный показатель, позволяющий характеризовать меру безопасности, сравнивать защищенность различных систем IT, сравнивать эффективность контрмер — есть риск ИБ. Через риск достаточно эффективно считается наиболее экономичный вариант реализации контрмер.
Второй подход — практический состоит в следующем: можно попробовать найти инвариант разумной стоимости корпоративной системы защиты информации. Ведь существуют аналогичные инварианты в других областях, где значимые для бизнеса события носят вероятностный характер. Например, на рынке автострахования некоторая общая оценка разумной стоимости такой услуги, как страхование собственного автомобиля, составляет от 5 до 15% его рыночной цены — в зависимости от локальных условий эксплуатации, культуры и опыта вождения водителя, интенсивности движения, состояния дорог и т. д.
Эксперты-практики в области защиты информации нашли некий оптимум, позволяющий чувствовать себя относительно уверенно, — стоимость системы ИБ должна составлять примерно 10−20% от стоимости корпоративной информационной системы (КИС) — в зависимости от уровня конфиденциальности информации (но надо их еще правильно вложить). Это и есть та самая оценка на основе практического опыта (best practice), на которую можно положиться. И на вопрос «А почему для создания адекватной целям и задачам бизнеса комплексной системы защиты информации (КСЗИ) требуется сто тысяч долларов?» отвечать «Потому что на сегодняшний день стоимость нашей КИС составила один миллион долларов!». Очевидно, что второй подход не лишен недостатков. Здесь, скорее всего, не удастся заставить руководство глубоко осознать проблемы ИБ. Но зато можно смело прогнозировать объем бюджета на ИБ и существенно сэкономить на услугах внешних консультантов.