13.09.2016 Новости, БезопасностьИменно с этими словами у многих ассоциируется задача по оценке эффективности расходов на информационную безопасность. В данной статье мы рассмотрим практические трудности, возникающие у специалистов по ИБ, взявшихся за оценку эффективности расходов на ИБ, а также выскажем некоторые соображения о том, как с ними справиться. Тема оценки эффективности расходов на ИБ традиционно является одной из самых оторванных от практики ИБ. По моему опыту (более 40 различных аудитов и консалтинговых проектов во всех отраслях), ни одна организация, включая крупные компании топливно-энергетического комплекса (ТЭК) и банки из первой десятки, не имела действительно результативного подхода к оценке эффективности расходов на ИБ. Тем не менее, методики и фреймворки пестрят модными аббревиатурами: ROI (Return on investment), CBA (Cost-benefit analysis), QRA (Quantitative risk assessment), основная идея которых — не трать больше, чем сэкономишь. На бумаге все просто: Выделили активы. Определили их ценность и классифицировали. Привязали активы к ИТ-инфраструктуре. Определили её уязвимости. Сопоставили с угрозами ИБ. Посчитали риски (здесь и далее я буду использовать определение риска согласно ISO 31000:2009). Сравнили со стоимостью защитных мер и внедрили экономически обоснованные защитные меры. Соответственно, реализовав данный подход, можно говорить о том, что средства расходуются на ИБ эффективно. Однако в российский реалиях у этого подхода много проблем, причем зачастую неразрешимых. Если ...
читать далее.