Пример (выкладка для студента).

Попробуем найти достаточно близкую аналогию с системами ИБ в области нашей повседневной жизни. Возьмем, например, «старый добрый» сейф. И представим типичную для большинства компаний ситуацию: главному бухгалтеру необходимо хранить у себя в кабинете крупные суммы наличных денег или каких-то других ценностей. В ворах и грабителях у нас, к сожалению, дефицита нет, поэтому главбух разумно желает эти ценности как-то защитить и автоматически приходит к идее поставить в кабинете сейф. Далее гдавбух идет с директору и просит его выделить деньги на покупку сейфа. Трудно представить себе ситуацию, когда директор вдруг скажет, что на это денег нет.

Скорей всего это просто не придет ему в голову, ибо деньги должны лежать в сейфе — это аксиома! Поэтому директор деньги выделит. Вопрос: сколько? Опять же трудно представить себе ситуацию, когда директор попросит главбуха подготовить экономическое обоснование оптимальной стоимости сейфа, провести оценку возврата инвестиций от покупки сейфа и т.д. Но мы предположим, что все-таки попросит. И главбух в глубокой задумчивости начнет размышлять: 1) по законам арифметики потенциальный ущерб от отсутствия сейфа в конторе равен той сумме, которую могут выкрасть потенциальные воры минус стоимость самого сейфа; 2) если стоимость сейфа еще можно как-то оценить, то как оценить ту сумму, которая потенциально будет лежать в кабинете бухгалтера. В ТОТ САМЫЙ ДЕНЬ? А когда наступит ЭТОТ ДЕНЬ? А как объективно оценить, сколько раз случиться ограбление? А может ли случиться такое, что ограбления не случиться и при отсутствие сейфа? И т.д. и т.п.

Поэтому, скорей всего, найти правильно обоснование оптимальной стоимости сейфа ему вряд ли удастся и на покупку сейфа, КАК ОБЫЧНО, будет выделено столько денег, сколько покажется разумным на тот момент. Наконец, сейф куплен, установлен и эксплуатируется. Но, к сожалению, наш главбух оказывается рассеянной личностью и он вводит в код замка сейфа дату своего рождения; или ключ от сейф кладет под газетку на его крышку; или иногда просто забывает его закрывать. И однажды сейф успешно опустошают. Из такого «лирического» отступления можно сделать три важных для нас наблюдения, которые вкупе условно можно назвать «законами сейфа»: * в случае наличия в компании каких-либо ощутимых материальных ценностей, их хранение в сейфе воспринимается как безусловный фактор, не требующий обоснования; * реальное экономическое обоснование оптимальной стоимости сейфа невозможно в принципе, поскольку в принципе невозможно оценить стоимость того, что этот сейф защищает; * даже установка Суперсейфа не дает гарантий того, что ваши ценности окажутся в целости и сохранности.

Может оказаться нерадивый главбух. Или очень «радивый» медвежатник. Теперь вернемся к ИБ и попробуем провести аналогию с описанным случаем. Итак деньги — это информация, главбух — CIO, бухгалтерия — аналог информационной системы, сейф — система ИБ, воры — хакеры. Не правда-ли — очень похоже? А поскольку аналогия настолько полная, может быть для ИБ справедливы те же выводы, что и к сейфу. Попробуйте сделать их сами! А теперь настало время вернуться к нашему CIO, который по-прежнему думает о том, как же ему обосновать перед руководством стоимость системы ИБ в сто тысяч долларов. Поначалу он понадеялся было на метрику безопасности, но наши расуждения о сейфе совсем сбили его с толку! И что же теперь делать? Ведь должен же быть выход! И такой выход есть! И даже два! Первый, назовем его наукообразным, подход, заключается в том, чтобы освоить, а затем и применить на практике необходимый инструментарий получения метрики безопасности, а для этого ОБЯЗАТЕЛЬНО привлечь руководство компании (как ее собственника) к оценке СТОИМОСТИ защищаемой информации. В таком случае от результатов такой оценки будет во многом зависеть деятельность CIO в области ИБ.

Если информация не стоит ничего и руководство это ПОДТВЕРДИЛО (!), проблемой ИБ можно вообще не заниматься. Если информация стоит конкретных денег, понятны рамки бюджета системы ИБ. Хотя у автора есть серьезные сомнения, что руководство большинства компаний сможет назвать конкретную сумму, в которую оно оценивает свою бизнес-информацию, данный подход как минимум дает возможность вовлечь руководство компанией в осознание проблем ИБ и заставить его задуматься о реальной стоимости бизнес-информации. Это дорогого стоит, не правда ли! Второй подход, назовем его примитивным, состоит в следующем: можно вообще ничего не оценивать, если найти тот самый инвариант разумной стоимости сейфа, т.е. системы ИБ. Ведь существуют же такие инварианты в других отраслях, где значимые для бизнеса события носят вероятностный характер. Например, автострахование. Любой владелец автомобиля может годами не страховать своего «железного коня» и реально сэкономить на этом кучу денег. Но однажды въехать в 600-ый и потерять все.

А можно, конечно, и не въехать и, соответственно, не потерять. На что многие и надеются. Однако во всех цивилизованных странах мира уже на уровне социальной этики принято страховать свои автомобили и жить спокойно. И существует некоторая общая оценка разумной стоимости этой услуги на рынке автострахования — 5-15% от рыночной стоимости авто в зависимости от локальных условий его эксплуатации (культура вождения, интенсивность движения, состояние дорог и т.д.).

Полная аналогия с ИБ. Можно вообще не заниматься ИБ и не исключен вариант, что такой риск себя вполне оправдает. А можно вложить в ИБ кучу денег, и все равно останется в системе ма-а-а-ленькая дырочка, через которую информация будет успешно «утекать». Поэтому цивилизованный мир также нашел некий оптимум, при котором можно чувствовать себя относиться уверенно — стоимость системы ИБ должна составлять 10-20% от стоимости КИС в зависимости от уровня конфиденциальности информации. Это и есть та самая оценка (best practice), с которой CIO может уверенно оперировать. И на вопрос руководства: А почему сто? бодро отвечать: А потому-что на сегодняшний день стоимость нашей КИС составила один миллион долларов! Второй подход, очевидно, не лишен недостатков.

Однозначно не удаться вовлечь руководство в глубокое осознание проблем ИБ. Но зато можно смело прогнозировать объем бюджета на ИБ и хорошо сэкономить на консультантах. Но и в том и в другом случае грамотному CIO не стоит забывать о третьем «законе сейфа» — даже самая дорогая и безупречно экономически обоснованная система ИБ себя не оправдает, если ее элементы непрофессионально установлены или настроены. Другими словами, если не гарантировано качество системы ИБ. Но это уже отдельная тема лекции.