информационной безопасности можно не заниматься. Нели информация обладает определенной стоимостью, угрозы и потенциальный ущерб ясны, тогда встает вопрос о внесении в бюджет кредитной организации расходов на систему информационной безопасности. В этом случае становится необходимым заручиться поддержкой руководства кредитной организации в осознании проблем информационной безопасности и построении корпоративной системы защиты информации. Второй подход — назовем его практическим ■ — состоит в следующем: можно попытаться найти вариант разумной стоимости корпоративной системы защиты информации. Ведь существуют аналогичные инварианты в других областях, где значимые для бизнеса события носят вероятностный характер. Информационной безопасностью в кредитной организации можно вообще не заниматься, и не исключен такой вариант, что принятый риск себя вполне оправдает. А можно потратить на создание корпоративной системы защиты информации немало денег, и при этом останется некоторая уязвимость, которая рано или поздно приведет к утечке или хищению конфиденциальной информации. Этот подход нс лишен недостатков. В данном случае, скорее всего, не удастся вовлечь руководство в глубокое осознание проблем системы информационной безопасности. Но зато можно обосновать объем бюджета на систему информационной безопасности путем ссылки на понятные большинству владельцев информационных ресурсов общепринятые требования к обеспечению режима информационной безопасности. Применение конкретных методов оценки эффективности системы информационной безопасности на практике зависит от ряда факторов, среди которых основными являются степень зрелости кредитных организаций и специфика их деятельности. Автором диссертационной работы вследствие анализа были собраны данные, которые помогли провести структурированный общий анализ окупаемости вложений в систему информационной безопасности в соответствии с особенностями кредитной организации, степенью развитости 71 |
теории множеств, и в теории графов имеются средства для представления всех трех перечисленных компонентов описания систем. Для описания процессов функционирования стохастических систем необходимы средства отображения влияния случайных факторов. Такие средства содержатся в целом ряде достаточно хорошо разработанных к настоящему времени методов: статистических испытаний, теории массового обслуживания, теории вероятностных автоматов и др. 2.2. Подходы к обоснованию затрат на информационную безопасность В обосновании затрат на систему информационной безопасности предприятия существует два основных подхода1. П ервы й подход заключается в том, чтобы освоить, а затем и применить на практике необходимый инструментарий измерения уровня информационной безопасности. Для этого необходимо привлечь руководство компании (как ее собственника) к оценке стоимости информационных ресурсов, определению оценки потенциального ущерба от нарушений в области информационной безопасности. От результатов этих оценок будет во многом зависеть дальнейшая деятелыюсть руководителей в области информационной безопасности. Если информация ничего не стоит, существенных угроз для информационных активов компании нет, а потенциальный ущерб минимален, то проблемой обеспечения информационной безопасности можно не заниматься. Если информация обладает определенной стоимостью, угрозы и потенциальный ущерб ясны, тогда встает вопрос о внесении в бюджет компании расходов па систему ИБ. В этом случае становится необходимым заручиться поддержкой руководства компании в осознании проблем 59 1Петренко С., Симонов С., Каслов Р. Информационная безопасность: экономические аспекты// Jet Info Online. 2003.. — № 10. информационной безопасности и построении корпоративной системы защиты информации. В торой подход назовем его практическим состоит в следующем: можно попытаться найти инвариант разумной стоимости корпоративной системы защиты информации. Ведь существуют аналогичные инварианты в других областях, где значимые для бизнеса события носят вероятностный характер. Информационной безопасностью в компании можно вообще не заниматься, и не исключен такой вариант, что принятый риск себя вполне оправдает. А можно потратить на создание корпоративной системы защиты информации немало денег, и при этом останется некоторая уязвимость, которая рано или поздно приведет к утечке или хищению конфиденциальной информации. Эксперты-практики в области защиты информации нашли некое оптимальное решение, при котором можно чувствовать себя относительно уверенно стоимость системы ИБ должна составлять примерно 10-20% от стоимости расходов на информационную систему компании, в зависимости от конкретных требований к режиму информационной безопасности. Это и есть та самая оценка на основе практического опыта (best practice), которой можно уверенно оперировать, если не производить детальные расчеты. Этот подход, не лишен недостатков. В данном случае, скорее всего, не удастся вовлечь руководство в глубокое осознание проблем ИБ. Но зато можно обосновать объем бюджета на ИБ путем ссылки на понятные большинству владельцев информационных ресурсов общепринятые требования к обеспечению режима информационной безопасности "best practice", формализованные в ряде стандартов, например ISO 17799. Применение конкретных методов оценки эффективности системы ИБ на практике зависит от ряда факторов, среди которых основными являются степень зрелости организации и специфика ее деятельности. 60 |