В блоге Рича Могула, известного эксперта в области ИБ и в частности в области утечек информации, опубликованы предложения по оценке стоимости утечек информации. Он предлагает уйти от распространенного метода оценки «цена утечки в пересчете на одну запись» (который совершенно непрозрачен) в сторону более применимого на практике подхода. Он заключается в использовании следующих метрик:
- цена на инцидент
- стоимость расследования инцидента
- стоимость восстановления после инцидента
- стоимость PR/общения с прессой
- затраты на юридические издерюки (опционально)
- затраты на нарушение соответствия (опционально)
- стоимость досудебного урегулирования (опционально)
- цена на запись
- стоимость уведомления (создание списка пострадавших, печать, почтовые услуги)
- стоимость реагирования пострадавших, например, звонки в Help Desk (опционально)
- стоимость защитных мер у заказчиков, например, регулярные уведомления, системы борьбы с мошенничеством, средства ИБ (опционально)
Также Рич предлагает еще три метрики, которые можно оценивать только при наличии соответствующих условий:
- Отток клиентов (в течении 1, 3, 6, 12, n месяцев)
- Удар по курсовой стоимости акций (в течении 1, 3, 6, 12, n месяцев)
- Удар по доходам (в течении 1, 3, 6, 12, n дней или недель — в месяцах измерять нет смысла — рынок все забывает)
правильная считалка, отражает реальные потери. я примерно по такому же принципу ранее считал стоимость информационных активов. Издержки…
А как сопрячь два первых, количественных, набора с третьим? Первые еще более или менее объективны, но в чем считать, например, отток клиентов? В штуках, процентах, упущенной выгоде? И как связать вот этот конкретный отток именно с этим инцидентом?
Считать в деньгах. До инцидента было 100 клиентов, после 90. Стандартная текучка — 5%. Значит утекло 5 клиентов. Умножаем на стоимость клиента для компании и получаем ущерб.
правильный подход!
Стоимость защиты ПДн, значительно выше ее стоимости.
Вряд ли кто-то уйдет от мобилопа по причине того, что его ПДн продают на рынке.
Алексей, мне нравится Ваш блог, поднимаете время от времени полезные темы. Но данную запись я даже не знаю, как комментировать. Все эти расчеты в конечном счете очень субъективны, должны учитывать множество дополнительных факторов, которые может учесть только человек — например, текучка клиентов — для расчета нужно обзвонить клиентов и уточнить, по какой причине они ушли от вас. Стоимость акций и доход вообще понятия субъективные, влияние инцидентов на них оказывает минимальное влияние (трейдеры, в студию! :-)). Может попробуем затеять такие обсуждения, которые приведут хоть к какому-нибудь конкретному результату? 🙂 Например, попробуем разработать/доработать какой-нибудь документ (заикаясь напишу слово ГОСТ ;-)) Хотя наверное я многого хочу от блога.
Ну вообще-то когда от компании уходит клиент продавец сам звонит и выясняет причину, почему его денежный мешок его покинул. Это в его же интересах. Просто нужно наладить взаимодействие бизнеса и ИБ, чтобы последние получали эту информацию.
Доход — понятие вполне конкретное. Акции — очень динамичное, но тоже либо очевидное, либо нет.
И какого результата вы ждете от обсуждения? Стандарт можно затеять — это не проблема. Его и частное лицо можно создать 😉 Только зачем?
Главное слово — Зачем. 🙂 Писал писал ответ на этот вопрос, и не нашел. Чтобы кому-нибудь помочь. Нужна кому-нибудь помощь? АУ??? Никому не нужна. Все прекрасно работают — плохие интеграторы, умные заказчики, основательные регуляторы. 🙂 К сожалению (хотя сам считаю что к счастью) ушел из выполнения НИР по заказам регулятора (того самого, которого все не любят). У меня была прекрасная и наивная идея привлекать лучших экспертов для регулярного анализа разрабатываемых документов (на постоянной и платной основе — чтобы можно было получать не только замечания, но и конкретные предложения и редакции документов). Вот это было бы полезно, но как и сказал — наивно.
Это надо многим, но не в виде документа от регулятора. Мне нравится подход ENISA — выпускает себе best practices и выпускает. И все довольны.
Почитал про Enisa — рунет приводит несколько не совсем актуальных новостей с рекомендациями по ИБ при печати документов, повышения доступности сетей (в европе вроде как 99,9% — сразу видно, что у них проблемы ;-))))) и социальным сетям. Главное, что бюджет у ENISы скромный, открытый и бюрократии нет. 🙂
А зачем читать Рунет? Вот первоисточник — http://www.enisa.europa.eu/
С первоисточником все ясно, там я бюджет смотрел — выделяются ли на исследования деньги и какие. Оказывается немного денег для исследования надо. Думаю регуляторы в России имеют в разы больше. 😉