Консультации экспертов по вопросам защиты бизнеса

Наши сайты Линия консультаций +7 (495) 748-02-22
7000@7000.ru

Ценность информации

Ценность информации

Информация – это деньги, сколько она стоит?

Если руководство крупной фирмы решило заняться оценкой и защитой информации, например, после того, как уже произошла утечка, что нанесло вред как репутации, так и доходам, специалистам и менеджерам компании предстоит проделать целый комплекс работ.

Ценность информации

Для понимания того, сколько стоит информация и как её защитить, важно ответить на два главных вопроса: что именно планируется защищать и от кого?

Именно так начинается процесс оценки. Необходимо выявить, какую информацию необходимо охранять в процессе целенаправленных совещаний с менеджерами высшего и среднего звеньев, руководителями подразделений и ведущими специалистами. Эти люди хорошо понимают, какие активы есть в их ведении и каков может быть ущерб от их потери или повреждения. Существенно упростит задачу чётко регламентированное описание бизнес-процессов на предприятии.

Сценарии последствий

После того, как стало понятно, что хотим охранять, нужно узнать какова ценность этих ресурсов. Это самый важный и одновременно самый сложный этап, так как точных цифр добиться не всегда возможно – вводные данные слишком неоднородны.

Существуют разные модели оценки информации: анализ риска (в том числе автоматизированные методы – RiskWatch, CRAMM, ГРИФ, Proteus), аддитивная модель, решётка подмножеств, порядковая шкала. Но все они базируются на одном постулате: ценность информационного актива характеризуется величиной потерь, которые понесёт бизнес в том случае, если угроза будет реализована.

Определение последствий нарушения информационной безопасности осуществляется двумя способами: либо на основе анализа прецедентов, либо посредством сценарного анализа. С первым всё понятно. Второй способ подразумевает выявление и изучение причинно-следственных связей между любым предполагаемым событием нарушения безопасности и последствиями от него для бизнеса в целом. Последствия таких сценариев оцениваются несколькими специалистами компании, в результате чего можно прийти к пониманию о ценности тех или иных активов.

Например, происходит атака, которая выводит из строя часть информационных систем и останавливает работу предприятия. Специалисты компании в состоянии устранить неисправность за 2 дня. Это означает, что, допустим, двум сотням сотрудникам в это время зарплата выплачивается «вхолостую». За день на предприятие поступает около 350 звонков, Часть из них– консультации, остальные – заказы, их число согласно статистике работы за последние месяцы примерно одинаково. Примерно 20% от общего числа заказов приходится на обращения постоянных клиентов, которые перезвонят, остальные – вряд ли. Если средняя сумма заказа составляет 15000 руб, то неисправность телефонной линии принесла 1050000 руб упущенной прибыли.

Если «лежит» сайт, через который также обращаются клиенты – аналогичные вычисления стоит произвести и применительно к этой неполадке. Получившиеся суммы сложить и добавить к ним затраты, необходимые на восстановление работоспособности всех систем в такие сроки.

Однако даже примерно оценить убытки не всегда так легко. Например, в результате ухода «на сторону» данных из клиентской базы компания, поставив пятно на своей репутации, теряет часть клиентов, число которых предсказать непросто. Сложно оценить денежный ущерб, если, например, информация о себестоимости продукции уйдёт к конкуренту или не самое пристойное фото генерального директора попадёт в сеть.

Инвентаризация информации

При проведении оценки информации предприятия внимание уделяется следующим пунктам:

- информационные системы (программное обеспечение, сеть);

- документы (финансовые, делопроизводственные, бизнес-планы и другая стратегически важная информация, протоколы совещаний, персональные данные сотрудников и клиентов);

- физические объекты безопасности на ключевых местах (линии и точки входа коммуникаций, источники энергии, система противопожарной безопасности, системы контроля окружающей среды);

- административная политика (информационная, телекоммуникационная, безопасности, резервного копирования и смены программного обеспечения, организационная, приёма-увольнения и другие);

- персонал (взаимоотношения, загруженность работой, осведомлённость в вопросах   безопасности, соблюдение внутренней политики организации);

- внешнее информационное окружение компании (контакты с партнёрами, прессой; всё, что может влиять на репутацию);

- сведения о недавних проверках и происшествиях;

- специфика деятельности компании (движение информации внутри отделов, между ними и в сторонние организации).

Анализ рисков

Нарушители – это стороны, заинтересованные в получении выгоды в результате нарушения безопасности. Всех потенциальных нарушителей разделяют по типу доступа к информации, знаниям о её структуре и мотивам при реализации нарушений. Это производится при понимании положения компании на рынке, наличии сведений о конкурентах и их методах воздействия. Также анализируются исследования по нарушениям компьютерной безопасности применительно к конкретной отрасли.

Служба безопасности должна выявить уязвимости и разработать модели угроз на основе этих данных. Для этого используется статистика инцидентов и прогнозирование сценариев предполагаемой реализации угроз. Определяются количественные и качественные (например, по 5-ти бальной шкале) значения угроз, формируется их реестр. После чего угрозы можно классифицировать по уровню вероятности на основе наиболее значимых факторов реализации. В этом деле могут помочь специальные программные продукты, например, такие как CVSS (Common Vulnerability Scoring System). 

Заключительный этап

После проведения оценки стоимости информации, её уязвимости и рисков утери, службой безопасности составляется отчет, в котором отображается информация о характере и значимости рисков, первоочередные действия по устранению уязвимостей.

На основе этого отчёта руководство компании принимает решение, в соответствии с политикой управления рисками предприятия. Совместно со службой безопасности определяются требования к системам, выбираются организационные и программно-технические средства, защиты информации. Разрабатываются меры контроля и выделяется бюджет. Здесь важно помнить: стоимость защиты не должна быть выше стоимости защищаемой информации.




Комментарии


Комментарии отсутсвуют

Оставить комментарий

Комментарий будет опубликован после модерации.




CAPTCHA

Нажимая кнопку, я принимаю условия Оферты по использованию сайта и согласен с Политикой конфиденциальности