Вопрос, которым часто задается топ-менеджмент при финансировании проектов по ИБ? И казалось бы, что универсального ответа на него нет. Оказывается это не так.
Одной из первых работ по данной теме явилось исследование Лоуренса Гордона и Мартина Леба (The Economics of Information Security Investment, ACM Transactions on Information and System Security, Vol. 5, No. 4, стр. 438-457), которые в 2002 году опубликовали модель оценки оптимального уровня инвестиций в ИБ исходя из стоимости защищаемой информации. По их мнению, этот уровень должен быть равен 36.8%. Правда у данной модели есть одна сложность — мы должны оценить стоимость защищаемой информации. Но это дело поправимое 😉
Вот такая интересная и очень полезная в жизни служб ИБ модель. Правда, тремя годами позже, Жан Виллемсон из Эстонии показал, что оптимальный уровень инвестиций может быть и выше, согласившись при этом с правильно выбранным Гордоном и Лебом подходом. В 2005-м Деррик Хуанг из атлантического университета Флориды дополнил модель Гордона-Леба профилем риска человека, принимающего решение об уровне инвестиций в ИБ, и все сразу встало на свои места.
Можно ли утверждать, что уровень затрат в 36.8% — действительно оптимальный? Четкого ответа, особенно ввиду исследования Виллемсона, пока нет. Но модель Гордона-Леба положила начало активному применение экономики и смежных наук в области информационной безопасности. Мы сейчас только в начале пути…
ЗЫ. «Любители изучают криптографию. Профессионалы изучают экономику». Алан Шиффман, 2 июля 2004 г.
Ооочень спорная цифра (неожиданно высокая) — надо в расчеты вникать.
даже зы вызывает вопросы…
потому я и говорю, что информационная безопасность стоит дорого!:)
Алан Шиффман
Кто это? Почему к его мнению надо прислушаться?
Я лично готов обосновать и освоить 150%
Ригель: Прислать?
ivlad: О! Тебя задело про криптографию? 😉
Алексею: не надо — я ж потому и поленился разбираться, что объем видел.
Дело не в математике, цифра психологически не верна, понимаешь? Ни один нормальный ЛПР не будет столько платить, как бы это ни обосновывалось.
Вот представь КАСКО под 40%.
Ничуть — я-то изучаю экономику. Однако, ты разве не считаешь, что мнение бесполезных людей бесполезно? Если бы, к примеру, Шнаер сказал, что криптографию изучать не надо, над этим бы имело смысл подумать, поскольку квалификация Шнаера в области криптографии известна, а так же известно, что он по большей части сначала думает, потом говорит.
В общем, цитируя Шелдона Купера "exactly who are these people? What are their credentials? How are they qualified?"
Ну если вспоминать Шнайера, то он в "секретах и лжи" написал, что он ошибался, считая ранее, что криптография — это панацея 😉
А сейчас он вообще занят психологией 😉
Алексей, где можно взять расчеты?
Swan, освоить можно и 200%..кто больше?!
ЗЫ. Задело по страшному!!! Не тот ли это Алан Шифман, который занимается продажей разработчикам ПО программ шифрования???
Ivlad, определенно стоит почитать "Секреты и ложь", а Шнайер да…вот мой любимый отрывок — "Криптография – это раздел математики и, как и прочие ее разделы, связана с числами, уравнениями и логикой. Безопасность – реальная, ощутимая безопасность, столь необходимая нам с вами, – связана с людьми: с уровнем их знаний, их взаимоотношениями и с тем, как они управляются с машинами. Информационная безопасность связана с компьютерами – сложными, нестабильными, несовершенными компьютерами".
Вопрос Алексея о достаточности вызывает (раз уж кто то занимается психологией) яркую ассоциацию из произведения Вий от гения литературы Гоголя.
"— Любопытно бы знать, — сказал философ, — если бы, примером, эту брику нагрузить каким-нибудь товаром — положим, солью или железными клинами: сколько потребовалось бы тогда коней?
— Да, — сказал, помолчав, сидевший на облучке козак, — достаточное бы число потребовалось коней."
Гоголь крут нереально.
Издевайтесь, издевайтесь 😉