28.08.2009

Сколько денег на безопасность достаточно?

Вопрос, которым часто задается топ-менеджмент при финансировании проектов по ИБ? И казалось бы, что универсального ответа на него нет. Оказывается это не так.

Одной из первых работ по данной теме явилось исследование Лоуренса Гордона и Мартина Леба (The Economics of Information Security Investment, ACM Transactions on Information and System Security, Vol. 5, No. 4, стр. 438-457), которые в 2002 году опубликовали модель оценки оптимального уровня инвестиций в ИБ исходя из стоимости защищаемой информации. По их мнению, этот уровень должен быть равен 36.8%. Правда у данной модели есть одна сложность - мы должны оценить стоимость защищаемой информации. Но это дело поправимое ;-)

Вот такая интересная и очень полезная в жизни служб ИБ модель. Правда, тремя годами позже, Жан Виллемсон из Эстонии показал, что оптимальный уровень инвестиций может быть и выше, согласившись при этом с правильно выбранным Гордоном и Лебом подходом. В 2005-м Деррик Хуанг из атлантического университета Флориды дополнил модель Гордона-Леба профилем риска человека, принимающего решение об уровне инвестиций в ИБ, и все сразу встало на свои места.

Можно ли утверждать, что уровень затрат в 36.8% - действительно оптимальный? Четкого ответа, особенно ввиду исследования Виллемсона, пока нет. Но модель Гордона-Леба положила начало активному применение экономики и смежных наук в области информационной безопасности. Мы сейчас только в начале пути...

ЗЫ. "Любители изучают криптографию. Профессионалы изучают экономику". Алан Шиффман, 2 июля 2004 г.

13 коммент.:

Ригель комментирует...

Ооочень спорная цифра (неожиданно высокая) - надо в расчеты вникать.

e1am0 комментирует...

даже зы вызывает вопросы...

Dmitry Evteev комментирует...

потому я и говорю, что информационная безопасность стоит дорого!:)

ivlad комментирует...

Алан Шиффман

Кто это? Почему к его мнению надо прислушаться?

swan комментирует...

Я лично готов обосновать и освоить 150%

Алексей Лукацкий комментирует...

Ригель: Прислать?

ivlad: О! Тебя задело про криптографию? ;-)

Ригель комментирует...

Алексею: не надо - я ж потому и поленился разбираться, что объем видел.
Дело не в математике, цифра психологически не верна, понимаешь? Ни один нормальный ЛПР не будет столько платить, как бы это ни обосновывалось.
Вот представь КАСКО под 40%.

ivlad комментирует...

Ничуть - я-то изучаю экономику. Однако, ты разве не считаешь, что мнение бесполезных людей бесполезно? Если бы, к примеру, Шнаер сказал, что криптографию изучать не надо, над этим бы имело смысл подумать, поскольку квалификация Шнаера в области криптографии известна, а так же известно, что он по большей части сначала думает, потом говорит.

В общем, цитируя Шелдона Купера "exactly who are these people? What are their credentials? How are they qualified?"

Алексей Лукацкий комментирует...

Ну если вспоминать Шнайера, то он в "секретах и лжи" написал, что он ошибался, считая ранее, что криптография - это панацея ;-)

А сейчас он вообще занят психологией ;-)

Maria Sidorova комментирует...

Алексей, где можно взять расчеты?

Swan, освоить можно и 200%..кто больше?!

ЗЫ. Задело по страшному!!! Не тот ли это Алан Шифман, который занимается продажей разработчикам ПО программ шифрования???

Ivlad, определенно стоит почитать "Секреты и ложь", а Шнайер да...вот мой любимый отрывок - "Криптография – это раздел математики и, как и прочие ее разделы, связана с числами, уравнениями и логикой. Безопасность – реальная, ощутимая безопасность, столь необходимая нам с вами, – связана с людьми: с уровнем их знаний, их взаимоотношениями и с тем, как они управляются с машинами. Информационная безопасность связана с компьютерами – сложными, нестабильными, несовершенными компьютерами".

swan комментирует...

Вопрос Алексея о достаточности вызывает (раз уж кто то занимается психологией) яркую ассоциацию из произведения Вий от гения литературы Гоголя.

"— Любопытно бы знать, — сказал философ, — если бы, примером, эту брику нагрузить каким-нибудь товаром — положим, солью или железными клинами: сколько потребовалось бы тогда коней?
— Да, — сказал, помолчав, сидевший на облучке козак, — достаточное бы число потребовалось коней."

Ригель комментирует...

Гоголь крут нереально.

Алексей Лукацкий комментирует...

Издевайтесь, издевайтесь ;-)