Вопрос, которым часто задается топ-менеджмент при финансировании проектов по ИБ? И казалось бы, что универсального ответа на него нет. Оказывается это не так.
Одной из первых работ по данной теме явилось исследование Лоуренса Гордона и Мартина Леба (The Economics of Information Security Investment, ACM Transactions on Information and System Security, Vol. 5, No. 4, стр. 438-457), которые в 2002 году опубликовали модель оценки оптимального уровня инвестиций в ИБ исходя из стоимости защищаемой информации. По их мнению, этот уровень должен быть равен 36.8%. Правда у данной модели есть одна сложность - мы должны оценить стоимость защищаемой информации. Но это дело поправимое ;-)
Вот такая интересная и очень полезная в жизни служб ИБ модель. Правда, тремя годами позже, Жан Виллемсон из Эстонии показал, что оптимальный уровень инвестиций может быть и выше, согласившись при этом с правильно выбранным Гордоном и Лебом подходом. В 2005-м Деррик Хуанг из атлантического университета Флориды дополнил модель Гордона-Леба профилем риска человека, принимающего решение об уровне инвестиций в ИБ, и все сразу встало на свои места.
Можно ли утверждать, что уровень затрат в 36.8% - действительно оптимальный? Четкого ответа, особенно ввиду исследования Виллемсона, пока нет. Но модель Гордона-Леба положила начало активному применение экономики и смежных наук в области информационной безопасности. Мы сейчас только в начале пути...
ЗЫ. "Любители изучают криптографию. Профессионалы изучают экономику". Алан Шиффман, 2 июля 2004 г.
Подписаться на:
Комментарии к сообщению (Atom)
13 коммент.:
Ооочень спорная цифра (неожиданно высокая) - надо в расчеты вникать.
даже зы вызывает вопросы...
потому я и говорю, что информационная безопасность стоит дорого!:)
Алан Шиффман
Кто это? Почему к его мнению надо прислушаться?
Я лично готов обосновать и освоить 150%
Ригель: Прислать?
ivlad: О! Тебя задело про криптографию? ;-)
Алексею: не надо - я ж потому и поленился разбираться, что объем видел.
Дело не в математике, цифра психологически не верна, понимаешь? Ни один нормальный ЛПР не будет столько платить, как бы это ни обосновывалось.
Вот представь КАСКО под 40%.
Ничуть - я-то изучаю экономику. Однако, ты разве не считаешь, что мнение бесполезных людей бесполезно? Если бы, к примеру, Шнаер сказал, что криптографию изучать не надо, над этим бы имело смысл подумать, поскольку квалификация Шнаера в области криптографии известна, а так же известно, что он по большей части сначала думает, потом говорит.
В общем, цитируя Шелдона Купера "exactly who are these people? What are their credentials? How are they qualified?"
Ну если вспоминать Шнайера, то он в "секретах и лжи" написал, что он ошибался, считая ранее, что криптография - это панацея ;-)
А сейчас он вообще занят психологией ;-)
Алексей, где можно взять расчеты?
Swan, освоить можно и 200%..кто больше?!
ЗЫ. Задело по страшному!!! Не тот ли это Алан Шифман, который занимается продажей разработчикам ПО программ шифрования???
Ivlad, определенно стоит почитать "Секреты и ложь", а Шнайер да...вот мой любимый отрывок - "Криптография – это раздел математики и, как и прочие ее разделы, связана с числами, уравнениями и логикой. Безопасность – реальная, ощутимая безопасность, столь необходимая нам с вами, – связана с людьми: с уровнем их знаний, их взаимоотношениями и с тем, как они управляются с машинами. Информационная безопасность связана с компьютерами – сложными, нестабильными, несовершенными компьютерами".
Вопрос Алексея о достаточности вызывает (раз уж кто то занимается психологией) яркую ассоциацию из произведения Вий от гения литературы Гоголя.
"— Любопытно бы знать, — сказал философ, — если бы, примером, эту брику нагрузить каким-нибудь товаром — положим, солью или железными клинами: сколько потребовалось бы тогда коней?
— Да, — сказал, помолчав, сидевший на облучке козак, — достаточное бы число потребовалось коней."
Гоголь крут нереально.
Издевайтесь, издевайтесь ;-)
Отправить комментарий