Как посчитать цену утечек?

В блоге Рича Могула, известного эксперта в области ИБ и в частности в области утечек информации, опубликованы предложения по оценке стоимости утечек информации. Он предлагает уйти от распространенного метода оценки «цена утечки в пересчете на одну запись» (который совершенно непрозрачен) в сторону более применимого на практике подхода. Он заключается в использовании следующих метрик:

  • цена на инцидент
    • стоимость расследования инцидента
    • стоимость восстановления после инцидента
    • стоимость PR/общения с прессой
    • затраты на юридические издерюки (опционально)
    • затраты на нарушение соответствия (опционально)
    • стоимость досудебного урегулирования (опционально)
  • цена на запись
    • стоимость уведомления (создание списка пострадавших, печать, почтовые услуги)
    • стоимость реагирования пострадавших, например, звонки в Help Desk (опционально)
    • стоимость защитных мер у заказчиков, например, регулярные уведомления, системы борьбы с мошенничеством, средства ИБ (опционально)

Также Рич предлагает еще три метрики, которые можно оценивать только при наличии соответствующих условий:

  • Отток клиентов (в течении 1, 3, 6, 12, n месяцев)
  • Удар по курсовой стоимости акций (в течении 1, 3, 6, 12, n месяцев)
  • Удар по доходам (в течении 1, 3, 6, 12, n дней или недель — в месяцах измерять нет смысла — рынок все забывает)
Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Анонимный

    правильная считалка, отражает реальные потери. я примерно по такому же принципу ранее считал стоимость информационных активов. Издержки…

    Ответить
  2. Quiet Zone

    А как сопрячь два первых, количественных, набора с третьим? Первые еще более или менее объективны, но в чем считать, например, отток клиентов? В штуках, процентах, упущенной выгоде? И как связать вот этот конкретный отток именно с этим инцидентом?

    Ответить
  3. Алексей Лукацкий

    Считать в деньгах. До инцидента было 100 клиентов, после 90. Стандартная текучка — 5%. Значит утекло 5 клиентов. Умножаем на стоимость клиента для компании и получаем ущерб.

    Ответить
  4. Dmitry Evteev

    правильный подход!

    Ответить
  5. Анонимный

    Стоимость защиты ПДн, значительно выше ее стоимости.
    Вряд ли кто-то уйдет от мобилопа по причине того, что его ПДн продают на рынке.

    Ответить
  6. Алексей Т.

    Алексей, мне нравится Ваш блог, поднимаете время от времени полезные темы. Но данную запись я даже не знаю, как комментировать. Все эти расчеты в конечном счете очень субъективны, должны учитывать множество дополнительных факторов, которые может учесть только человек — например, текучка клиентов — для расчета нужно обзвонить клиентов и уточнить, по какой причине они ушли от вас. Стоимость акций и доход вообще понятия субъективные, влияние инцидентов на них оказывает минимальное влияние (трейдеры, в студию! :-)). Может попробуем затеять такие обсуждения, которые приведут хоть к какому-нибудь конкретному результату? 🙂 Например, попробуем разработать/доработать какой-нибудь документ (заикаясь напишу слово ГОСТ ;-)) Хотя наверное я многого хочу от блога.

    Ответить
  7. Алексей Лукацкий

    Ну вообще-то когда от компании уходит клиент продавец сам звонит и выясняет причину, почему его денежный мешок его покинул. Это в его же интересах. Просто нужно наладить взаимодействие бизнеса и ИБ, чтобы последние получали эту информацию.

    Доход — понятие вполне конкретное. Акции — очень динамичное, но тоже либо очевидное, либо нет.

    И какого результата вы ждете от обсуждения? Стандарт можно затеять — это не проблема. Его и частное лицо можно создать 😉 Только зачем?

    Ответить
  8. Алексей Т.

    Главное слово — Зачем. 🙂 Писал писал ответ на этот вопрос, и не нашел. Чтобы кому-нибудь помочь. Нужна кому-нибудь помощь? АУ??? Никому не нужна. Все прекрасно работают — плохие интеграторы, умные заказчики, основательные регуляторы. 🙂 К сожалению (хотя сам считаю что к счастью) ушел из выполнения НИР по заказам регулятора (того самого, которого все не любят). У меня была прекрасная и наивная идея привлекать лучших экспертов для регулярного анализа разрабатываемых документов (на постоянной и платной основе — чтобы можно было получать не только замечания, но и конкретные предложения и редакции документов). Вот это было бы полезно, но как и сказал — наивно.

    Ответить
  9. Алексей Лукацкий

    Это надо многим, но не в виде документа от регулятора. Мне нравится подход ENISA — выпускает себе best practices и выпускает. И все довольны.

    Ответить
  10. Алексей Т.

    Почитал про Enisa — рунет приводит несколько не совсем актуальных новостей с рекомендациями по ИБ при печати документов, повышения доступности сетей (в европе вроде как 99,9% — сразу видно, что у них проблемы ;-))))) и социальным сетям. Главное, что бюджет у ENISы скромный, открытый и бюрократии нет. 🙂

    Ответить
  11. Алексей Лукацкий

    А зачем читать Рунет? Вот первоисточник — http://www.enisa.europa.eu/

    Ответить
  12. Алексей Т.

    С первоисточником все ясно, там я бюджет смотрел — выделяются ли на исследования деньги и какие. Оказывается немного денег для исследования надо. Думаю регуляторы в России имеют в разы больше. 😉

    Ответить