Thursday, April 17, 2014

Оценка материальных рисков

Проводить анализ рисков информационной безопасности необходимо хотя бы для того, чтобы понять сколько можно потратить на обеспечение безопасности, чтобы не заниматься глупостями когда возможный ущерб значительно ниже совокупной стоимости контролей безопасности.
Отлично, если удастся посчитать риски в деньгах - сразу получаем лимит суммы на безопасность.
Все риски адресовать не хочется, так как хочется распределять свои усилия более эффективно - будем рассматривать из множества рисков только материальные.
Так, к чему бы привязаться в плане материальности риска? Чтобы придать высокую корпоративную значимость процессу, давайте попробуем привязаться к готовому обороту Компании, - скажем, будем разбираться с риском, оценка в деньгах которого превышает 1% годового оборота.
Мы занимается, ИТ-безопасностью, по которой есть средне-мировая статистика бюджета ИБ от бюджета ИТ - 10%, что позволяет, имея абсолютно конкретный бюджет ИТ, прикинуть бюджет ИБ.
Ну и главное - поскольку мы задумываемся о таких серьезных вещах как количественная характеристика рисков ИБ, да и вообще говорим столько об этом - мы в крупной корпорации!
Ну-ка что у нас получится?
Годовой оборот - $5 млн.
Порог материальности риска - 1% * $5 млн = $50 к.
Бюджет ИТ - $200 к.
Бюджет ИБ - 10% * $200 к = $20 к
Вот ведь парадокс, - весь бюджет ИБ не превышает порог материальности риска!
Конечно же это здорово, что стоимость любых контролей ИБ [в любом случае] меньше материального риска, но важно и другое - независимо от эффективности инвестиций в ИБ (да вообще, независимо ни от чего!) все, что делает ИБ - не превышает допустимый уровень потерь для Бизнеса. Если при этом ИБ еще удается управлять материальными рисками, получается всегда исполнимый KPI  по эффективности: стоимость всей ИБ нематериальна, а предотвращаются материальные риски :-)

Ну что же делать, когда глупость подхода выше все-таки становится заметной?
На практике надо привязываться не к каким-то общекорпоративным показателям, которые не позволят проанализировать детали, а к показателям конкретного защищаемого бизнес-процесса. При этом стоимость бизнес-процесса можно рассматривать банальненько как стоимость его автоматизации со стороны ИТ (CapEx) и стоимость сопровождения этой автоматизации (OpEx) и уже от этого брать указанные выше 10% (соответственно на разработку и внедрение (CapEx) и последующую поддержку (OpEx)), в которые надо вписать всю безопасность. Материальность риска также надо оценивать применительно к бизнес-процессу, и в первом приближении это может быть просто стоимость простоя, рассчитанная из стоимости курящих бизнес-людей в совокупности со стоимостью усердно устраняющих инцидент подразделений ИТ и ИБ, пока сложные схемы оценки в деньгах конфиденциальности и целостности не пришли в голову. Может получиться, что беспокоиться об оценке в деньгах стоимости конфиденциальности и целостности уже и не надо, в случае, если стоимость возможного простоя (==стоимость доступности) превышает наши 10% на безопасность. Как правило, так оно и есть, чего уже достаточно для обоснования своей эффективности и адекватности, навешанной за 10% бюджета ИТ, безопасности.

No comments: