Вопрос, которым часто задается топ-менеджмент при финансировании проектов по ИБ? И казалось бы, что универсального ответа на него нет. Оказывается это не так.
Одной из первых работ по данной теме явилось исследование Лоуренса Гордона и Мартина Леба (The Economics of Information Security Investment, ACM Transactions on Information and System Security, Vol. 5, No. 4, стр. 438-457), которые в 2002 году опубликовали модель оценки оптимального уровня инвестиций в ИБ исходя из стоимости защищаемой информации. По их мнению, этот уровень должен быть равен 36.8%. Правда у данной модели есть одна сложность - мы должны оценить стоимость защищаемой информации. Но это дело поправимое ;-)
Вот такая интересная и очень полезная в жизни служб ИБ модель. Правда, тремя годами позже, Жан Виллемсон из Эстонии показал, что оптимальный уровень инвестиций может быть и выше, согласившись при этом с правильно выбранным Гордоном и Лебом подходом. В 2005-м Деррик Хуанг из атлантического университета Флориды дополнил модель Гордона-Леба профилем риска человека, принимающего решение об уровне инвестиций в ИБ, и все сразу встало на свои места.
Можно ли утверждать, что уровень затрат в 36.8% - действительно оптимальный? Четкого ответа, особенно ввиду исследования Виллемсона, пока нет. Но модель Гордона-Леба положила начало активному применение экономики и смежных наук в области информационной безопасности. Мы сейчас только в начале пути...
ЗЫ. "Любители изучают криптографию. Профессионалы изучают экономику". Алан Шиффман, 2 июля 2004 г.
Ооочень спорная цифра (неожиданно высокая) - надо в расчеты вникать.
ОтветитьУдалитьдаже зы вызывает вопросы...
ОтветитьУдалитьпотому я и говорю, что информационная безопасность стоит дорого!:)
ОтветитьУдалитьАлан Шиффман
ОтветитьУдалитьКто это? Почему к его мнению надо прислушаться?
Я лично готов обосновать и освоить 150%
ОтветитьУдалитьРигель: Прислать?
ОтветитьУдалитьivlad: О! Тебя задело про криптографию? ;-)
Алексею: не надо - я ж потому и поленился разбираться, что объем видел.
ОтветитьУдалитьДело не в математике, цифра психологически не верна, понимаешь? Ни один нормальный ЛПР не будет столько платить, как бы это ни обосновывалось.
Вот представь КАСКО под 40%.
Ничуть - я-то изучаю экономику. Однако, ты разве не считаешь, что мнение бесполезных людей бесполезно? Если бы, к примеру, Шнаер сказал, что криптографию изучать не надо, над этим бы имело смысл подумать, поскольку квалификация Шнаера в области криптографии известна, а так же известно, что он по большей части сначала думает, потом говорит.
ОтветитьУдалитьВ общем, цитируя Шелдона Купера "exactly who are these people? What are their credentials? How are they qualified?"
Ну если вспоминать Шнайера, то он в "секретах и лжи" написал, что он ошибался, считая ранее, что криптография - это панацея ;-)
ОтветитьУдалитьА сейчас он вообще занят психологией ;-)
Алексей, где можно взять расчеты?
ОтветитьУдалитьSwan, освоить можно и 200%..кто больше?!
ЗЫ. Задело по страшному!!! Не тот ли это Алан Шифман, который занимается продажей разработчикам ПО программ шифрования???
Ivlad, определенно стоит почитать "Секреты и ложь", а Шнайер да...вот мой любимый отрывок - "Криптография – это раздел математики и, как и прочие ее разделы, связана с числами, уравнениями и логикой. Безопасность – реальная, ощутимая безопасность, столь необходимая нам с вами, – связана с людьми: с уровнем их знаний, их взаимоотношениями и с тем, как они управляются с машинами. Информационная безопасность связана с компьютерами – сложными, нестабильными, несовершенными компьютерами".
Вопрос Алексея о достаточности вызывает (раз уж кто то занимается психологией) яркую ассоциацию из произведения Вий от гения литературы Гоголя.
ОтветитьУдалить"— Любопытно бы знать, — сказал философ, — если бы, примером, эту брику нагрузить каким-нибудь товаром — положим, солью или железными клинами: сколько потребовалось бы тогда коней?
— Да, — сказал, помолчав, сидевший на облучке козак, — достаточное бы число потребовалось коней."
Гоголь крут нереально.
ОтветитьУдалитьИздевайтесь, издевайтесь ;-)
ОтветитьУдалить