Закрыть [x]

Перейти на мобильную версию

Александр Хрусталев: «Измерение эффективности информационной безопасности – задача нетривиальная»

Александр Хрусталев: «Измерение эффективности информационной безопасности – задача нетривиальная» 13.10.2015

Александр Хрусталев, директор Департамента информационной безопасности ОАО «МГТС» и спикер конференции «Эффективная борьба с мошенничеством и ИТ-безопасность бизнеса», рассказал CFO Russia об экономическом аспекте ИТ-безопасности бизнеса.

С какими проблемами экономического планирования в сфере информационной безопасности может столкнуться любая компания?

Информация сегодня является товаром особого рода. Поэтому в современных условиях служба информационной безопасности становится важнейшим базовым элементом всей системы безопасности в компании. Если говорить о любой компании — вряд ли проблематика планирования в информационной безопасности отличается от других сфер деятельности организации. Сейчас самой сложной задачей планирования, наверное, в любой отрасли является прогнозирование изменений внешней среды и готовность адекватного реагирования на эти изменения. Нестабильный курс национальной валюты, проблемы с финансированием уже запланированных проектов, все это актуально для любой компании.

Если же рассматривать более частные проблемы — для государственных компаний это жесткие и меняющиеся требования регуляторов, задача импортозамещения, которая с каждым днем становится все актуальнее. В коммерческих организациях основными задачами являются снижение затрат на обеспечение информационной безопасности, не потеряв при этом в эффективности, а также обоснование необходимости внедрения новых решений, демонстрации эффективности уже эксплуатируемых систем.

Как рассчитать предполагаемый средний экономический ущерб от угроз информационной безопасности?

С экономической точки зрения, информация имеет такие особенности, как трудность определения потребителя при массовом распространении и трудность определения точной стоимостной оценки полученной и отправленной информации. В основном объектами защиты в коммерческих компаниях являются внеоборотные и оборотные активы, информационные ресурсы, персонал организации и договорные отношения компании с ее подрядчиками. Таким образом, в процессе обеспечения информационной безопасности предприятий мы выделяем основные объекты, подлежащие рассмотрению в качестве источников финансового и репутационного благополучия предприятий.

Оперировать некоторой суммой как средним ущербом в корне неверно, так как разброс стоимости ущерба от разных угроз информационной безопасности очень велик. Методику расчета можно взять из международных и отечественных Стандартов по управлению рисками (например, ГОСТ Р ИСО/МЭК 27005–2010.). Однако, оценка рисков — это сложный процесс, при котором необходимо учитывать множество факторов: зоны уязвимостей, вероятность наступления риска, затраты на восстановление, и многие другие.

Кроме оценки рисков, необходимо четко понимать, какие последствия для бизнеса компании могут повлечь угрозы в случае их реализации, это может быть прямая потеря дохода, репутационные потери, предписания и внеплановые проверки со стороны регуляторов, судебные издержки и т. д.

Помимо этого, важнейшим шагом является определение материальной ценности активов организации. Таким образом, для детальной и качественной оценки экономического ущерба от рисков информационной безопасности, должен быть достигнут весьма зрелый уровень управления ИБ в Компании.

Как рассчитать показатели эффективности внедрения ИТ-решений в сфере безопасности?

Измерение эффективности информационной безопасности — задача нетривиальная. Показатель эффективности внедрения конкретного решения измерить проще, так как можно опираться на цели, достижение которых являлось предпосылками к внедрению системы.

Соответственно, при оценке эффективности необходимо учитывать как качественные, так и количественные показатели. Основным качественным показателем является достижение поставленной при внедрении цели. Такой целью может быть выполнение требований регуляторов или прохождения внешнего аудита.

Количественными показателями может быть сниженное число атак, утечек, простоев критичных для бизнеса ИС, и т. п.

Таким образом, основным показателем будет являться предотвращенный ущерб. Данная величина представляет собой сохранённые компанией средства в следствии «ненаступления рисков». Соответственно и результатом внедрения систем ИБ должно быть снижение расходов вызываемых реализацией возникающих угроз.

Наибольшая эффективность системы обеспечения информационной безопасности предприятий может быть достигнута, на наш взгляд, при условии объединения в единый, целостный механизм средств, методов и средств, которые в совокупности в состоянии обеспечить безопасность, сохранить и эффективно использовать финансовые, материальные и информационные ресурсы компаний.

Более подробно познакомиться с опытом ОАО «МГТС» и задать собственные вопросы Александру Хрусталеву вы сможете на конференции «Эффективная борьба с мошенничеством и ИТ-безопасность бизнеса», которая состоится 23 октября 2015 года в Москве.

Экзархо Ирина


Комментарии