Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев
Главная страница / Архитектура отрасли

Адаптация системы информационной безопасности к требованиям бизнеса

Как-то в одной из зарубежных статей я увидел такую фразу: "Специалисты по ИБ традиционно имеют сложности с оправданием своего существования". Определенно, в этом есть доля истины. Интуитивное понимание полезности мероприятий по защите информации не всегда легко перевести в полноценное обоснование внедрения средств ИБ.

Большинство организаций строят свои системы ИБ по принципу "nice-to-have, must-to-have" (сочетание желательного и обязательного). Меры контроля или подсистемы ИБ "must-to-have" (обязательные) вводятся, как правило, в связи с необходимостью соответствовать законодательным требованиям и указаниям различных регулирующих органов. По некоторым данным, организации тратят на это более половины бюджета ИБ. Соответствие таких мер целям бизнеса "очевидны" - они выступают необходимым условием осуществления организацией своей деятельности. Обоснование их внедрения обычно не проводится даже при наличии альтернативных решений. Специалисты ИБ, как правило, осуществляют выбор на основе своих предпочтений (например, наличии опыта работы с конкретной системой) или исходя из ситуации на рынке средств ИБ (решения от лидера рынка де-факто могут стать стандартом для организаций одного типа).

Средства "nice-to-have" (желательные) выбираются на основании самых различных соображений, иногда, например, исходя из того, что аналогичная система используется у конкурентов, или появилась новая технология с интересными возможностями и есть желание ее опробовать. Возможно, что на интуитивном уровне целесообразность применения такой системы понятна, но обосновать ее внедрение будет весьма затруднительно. Самый распространенный метод для обоснования "полезности" различных подсистем ИБ или мер контроля - расчет ROSI (Return on Security Investment). Однако существенным фактором применимости этого метода является наличие в организации системы управления информационными рисками. Упрощенно метод расчета ROSI можно представить следующим образом.

1. Определяется ожидаемая потеря денежных средств за год по причине возникновения инцидента ИБ (annual loss expectancy или ALE). Показатель ALE вычисляется как произведение ущерба от некоего инцидента ИБ в денежном эквиваленте на количество возникновений (или вероятность возникновения) этого инцидента в течение года.

2. Применение той или иной меры защиты предполагает снижение вероятности возникновения инцидента ИБ, поэтому определяется также так называемый модифицированный показатель ALE (mALE), как произведение ущерба от инцидента ИБ в денежном эквиваленте на количество возникновений (или вероятность возникновения) этого инцидента после применения средств защиты.

3. Разница между ALE и mALE за вычетом стоимости средств защиты и есть ROSI.

Очевидно, что такой подход имеет значимые недостатки: отсутствует механизм для связи бизнес-целей компании, ожиданий руководства - с целями ИБ; нет возможности реализовать процессный подход к управлению защитой информации, в то время как один из важных критериев защиты - непрерывное улучшение системы ИБ, основанное на объективном измерении показателей защищенности.

Главная страница / Архитектура отрасли