09.02.2010

Как посчитать цену утечек?

В блоге Рича Могула, известного эксперта в области ИБ и в частности в области утечек информации, опубликованы предложения по оценке стоимости утечек информации. Он предлагает уйти от распространенного метода оценки "цена утечки в пересчете на одну запись" (который совершенно непрозрачен) в сторону более применимого на практике подхода. Он заключается в использовании следующих метрик:
  • цена на инцидент
    • стоимость расследования инцидента
    • стоимость восстановления после инцидента
    • стоимость PR/общения с прессой
    • затраты на юридические издерюки (опционально)
    • затраты на нарушение соответствия (опционально)
    • стоимость досудебного урегулирования (опционально)
  • цена на запись
    • стоимость уведомления (создание списка пострадавших, печать, почтовые услуги)
    • стоимость реагирования пострадавших, например, звонки в Help Desk (опционально)
    • стоимость защитных мер у заказчиков, например, регулярные уведомления, системы борьбы с мошенничеством, средства ИБ (опционально)

Также Рич предлагает еще три метрики, которые можно оценивать только при наличии соответствующих условий:
  • Отток клиентов (в течении 1, 3, 6, 12, n месяцев)
  • Удар по курсовой стоимости акций (в течении 1, 3, 6, 12, n месяцев)
  • Удар по доходам (в течении 1, 3, 6, 12, n дней или недель - в месяцах измерять нет смысла - рынок все забывает)

12 коммент.:

Анонимный комментирует...

правильная считалка, отражает реальные потери. я примерно по такому же принципу ранее считал стоимость информационных активов. Издержки...

Quiet Zone комментирует...

А как сопрячь два первых, количественных, набора с третьим? Первые еще более или менее объективны, но в чем считать, например, отток клиентов? В штуках, процентах, упущенной выгоде? И как связать вот этот конкретный отток именно с этим инцидентом?

Алексей Лукацкий комментирует...

Считать в деньгах. До инцидента было 100 клиентов, после 90. Стандартная текучка - 5%. Значит утекло 5 клиентов. Умножаем на стоимость клиента для компании и получаем ущерб.

Dmitry Evteev комментирует...

правильный подход!

Анонимный комментирует...

Стоимость защиты ПДн, значительно выше ее стоимости.
Вряд ли кто-то уйдет от мобилопа по причине того, что его ПДн продают на рынке.

Алексей Т. комментирует...

Алексей, мне нравится Ваш блог, поднимаете время от времени полезные темы. Но данную запись я даже не знаю, как комментировать. Все эти расчеты в конечном счете очень субъективны, должны учитывать множество дополнительных факторов, которые может учесть только человек - например, текучка клиентов - для расчета нужно обзвонить клиентов и уточнить, по какой причине они ушли от вас. Стоимость акций и доход вообще понятия субъективные, влияние инцидентов на них оказывает минимальное влияние (трейдеры, в студию! :-)). Может попробуем затеять такие обсуждения, которые приведут хоть к какому-нибудь конкретному результату? :-) Например, попробуем разработать/доработать какой-нибудь документ (заикаясь напишу слово ГОСТ ;-)) Хотя наверное я многого хочу от блога.

Алексей Лукацкий комментирует...

Ну вообще-то когда от компании уходит клиент продавец сам звонит и выясняет причину, почему его денежный мешок его покинул. Это в его же интересах. Просто нужно наладить взаимодействие бизнеса и ИБ, чтобы последние получали эту информацию.

Доход - понятие вполне конкретное. Акции - очень динамичное, но тоже либо очевидное, либо нет.

И какого результата вы ждете от обсуждения? Стандарт можно затеять - это не проблема. Его и частное лицо можно создать ;-) Только зачем?

Алексей Т. комментирует...

Главное слово - Зачем. :-) Писал писал ответ на этот вопрос, и не нашел. Чтобы кому-нибудь помочь. Нужна кому-нибудь помощь? АУ??? Никому не нужна. Все прекрасно работают - плохие интеграторы, умные заказчики, основательные регуляторы. :-) К сожалению (хотя сам считаю что к счастью) ушел из выполнения НИР по заказам регулятора (того самого, которого все не любят). У меня была прекрасная и наивная идея привлекать лучших экспертов для регулярного анализа разрабатываемых документов (на постоянной и платной основе - чтобы можно было получать не только замечания, но и конкретные предложения и редакции документов). Вот это было бы полезно, но как и сказал - наивно.

Алексей Лукацкий комментирует...

Это надо многим, но не в виде документа от регулятора. Мне нравится подход ENISA - выпускает себе best practices и выпускает. И все довольны.

Алексей Т. комментирует...

Почитал про Enisa - рунет приводит несколько не совсем актуальных новостей с рекомендациями по ИБ при печати документов, повышения доступности сетей (в европе вроде как 99,9% - сразу видно, что у них проблемы ;-))))) и социальным сетям. Главное, что бюджет у ENISы скромный, открытый и бюрократии нет. :-)

Алексей Лукацкий комментирует...

А зачем читать Рунет? Вот первоисточник - http://www.enisa.europa.eu/

Алексей Т. комментирует...

С первоисточником все ясно, там я бюджет смотрел - выделяются ли на исследования деньги и какие. Оказывается немного денег для исследования надо. Думаю регуляторы в России имеют в разы больше. ;-)