среда, 19 ноября 2014 г.

СОИБ. Анализ. Оценка ущерба в ИБ

Важно и нужно проводить оценку ущерба активам от угроз ИБ. Она потребуется при:
·        анализе рисков (ИСО 2700x, Cobit и др.),
·        выполнении требований законодательства по ПДн
·        моделировании угроз безопасности ПДн, ГИС, АСУ
·        замене одних мер защиты ПДн, ГИС, АСУ на другие компенсирующие
·        внутреннего маркетинга ИБ, обосновании необходимости службы ИБ, обоснования любых инвестиций в ИБ и т.п.

Не обязательно дожидаться запуска какого либо крупного проекта (например, по ПДн, АСУ, ГИС).  

Провести высокоуровневую оценку ущерба нужно как можно раньше, а результаты использовать в следующих проектах / мероприятиях.

Хорошо если активы в компании уже оценены в общем. Тогда ущерб активу от угроз ИБ будет составлять некоторую часть от его цены (не превышать). Даже если нет – самое время оценивать. Конечно же, к оценке будем привлекать владельцев активов.  

Чтобы правильно оценить ущерб нужно кроме прямых финансовых потерь учесть другие возможные последствия реализации угроз (и перевести их в деньги). Если точная оценка какого либо значения вызовет затруднения (недавно Михаил Хромов жаловался на невозможность оценки) – берите экспертные мнения (от трех экспертов и более). Если согласовывать бюджет вам будут те же лица, которые давали экспертную оценку ущерба (владельцы систем) – то проблем возникнуть не должно. К тому же опыт показывает что точный расчет и экспертная оценка в итоге дают схожий результат.

Для каждого актива (детализацию выбирайте сами, но я бы взял крупно – однотипные группы ИС) нужно высокоуровнево оценить ущерб от нарушения свойств (конфиденциальности, целостности и доступности) от совокупности всех угроз ИБ. Для этого отвечаем на следующие вопросы:
·        прямой финансовый ущерб (сумма в руб.)
·        ущерб от потери клиентов (общее количество клиентов, % из них которые будут потеряны в течении следующего года, средний годовой доход от одного клиента)
·        потери от уменьшения стоимости ценных бумаг (общая стоимость ценных бумаг, % на который уменьшится стоимость в течении года)
·        потери от неполучения доходов по неклиентским договорам (общее сумма договоров, по которым получаем доходы, % договоров по которым будет не получен доход)
·        потери от невыполнения обязательств по договорам (общее количество договоров по которым возможно невыполнение обязательств, средняя стоимость санкций которые начисляются за невыполнение обязательств)
·        штрафы за нарушение законодательства
·        возможные потери от в результате отзыва лицензий (доход от лицензируемой деятельности в год, для лицензий связанных с ИБ)
·        стоимость судебных издержек на дела по нарушению законодательства и условий договоров
·        затраты персонала на устранение последствий реализации угроз (количество человекомесяцев, стоимость человекомесяца)
·        затраты на материалы/оборудования для устранения последствий реализации угроз
·        командировочные и представительские расходы для устранения последствий реализации угроз



3 комментария:

Artem Ageev комментирует...

Добавь еще затраты на уведомление пользователей. В случае утечки ПДн необходимо каждого уведомить письмом, звонком. Может набежать огромная сумма в итоге.

Сергей Борисов комментирует...

Артем спасибо. Напомни пожалуйста, каким документом регламентируется необходимость уведомления пользователя.

-)гоист комментирует...

В РФ никаким документом