Предыстория... Наткнулся на Озоне на книжку "
Экономика защиты информации" некоего Шепитько Г.Е.
Анонс меня привлек. Рецензии тоже. Там и про то, что ее все практики ИБ
должны прочесть, и про возможность общаться с бизнесом после прочтения
книжки, и про многое другое. Потом, правда, я обнаружил, что все
рецензии даны в течение всего одной недели мая 2011 года. Содержание весомое.
Начал читать. Вообще автор местами просто удивлял. Начиная от предложения использовать методы страхования информационных рисков, опираясь на статистику, которой в нашей сфере просто нет. А как вам практическое задание по теме экономики защиты информации: "
Период работы гражданина до пенсии составляет 40 лет, возраст его дожится после пенсии - 20 лет, причем размер пенсии не превышает 50% от его средней зарплаты. Сколько процентов от зарплаты он должен накапливать на банковском счету, чтобы получать 50% надбавку к пенсии при таком способе самофинансирования пенсии?" И причем тут защита информации спрашивается?
Раздел оценки информационных ресурсов тоже требует отдельного упоминания. Автор не знаком с методикой оценки нематериальных активов, утвержденных постановлением Правительства. Поэтому он предлагает свои вариант. Один из них просто донельзя - стоимость информационного ресурса равна стоимости лицензии на покупаемый продукт, который и называется информационным ресурсом. Дальше автор приводит свой метод расчета стоимости уникальной разработки и делает вывод, что такая стоимость не превышает единиц процентов от стоимости фонда заработной платы. Кстати, про стоимость самой информации, а не ПО автор вообще не пишет ни слова. Дальше больше. Автор дает методику расчета ущерба от инцидентов. Выводы следующие - стоимость прямого и косвенного ущерба соизмеримы, а стоимость потенциального ущерба на порядок меньше. Вот так - ни больше ни меньше. И плевать, что на практике размер прямого ущерба от утечки информации составляет копейки по сравнению с косвенным ущербом от ухода клиентов, размера исков, удара по репутации и т.д. Вообще автор под инцидентом, похоже, понимает только выведение из строя какого-либо узла сети в результате чего сотрудники простаивают и не работают.
Потом автор начинает вычислять интенсивность инцидентов. Ну тут я вновь умолкаю. "
Теорема 2. При воздействии пуассоновского потока инцидентов внутренних преднамеренных нарушителей с переменным ресурсом поведения автономной линейной системы защиты первого порядка с переменными параметрами описывается вторым уравнением безопасности вида <две строки непонятных мне букв греческого и латинского алфавитов, цифр, знаков препинания и еще чего-то>". Дальше две практических задачки. Первая - "
Системный администратор вуза получает ежемесячно 15 тысяч рублей. Чему равен его вклад в годовую чистую прибыль такого учреждения по оказанию образовательных услуг?". Вторая - "
Оператор ввода информации на ПК стоимостью 10 тысяч рублей получает такую же месячную зарплату. Какова стоимость нового информационного ресурса созданного им в течение месяца?".
Третий раздел труда Шепитько Г.Е. посвящен категорированию объектов информатизации. Зачем-то он полез в тему персданных. Мало того, что он вводит новый гриф "персонально" и перевирает ФЗ-152, т.к. он еще накрутил там столько формул. Я, например, узнал, что то, что в "приказе трех" по классификации определялось как 3 значения объема ПДн (до 1000, от 1000 до 100000, и больше 100000 субъектов), на самом деле является "
логарифмической интервальной шкалой измерений количества субъектов персональных данных". И если в обычной жизни я просто беру одно из трех значений данного показателя, то автор даже предлагает особую формулу для расчета этого значения (результаты, правда, получаются те же). А еще я не вкурил, зачем нужно рассчитывать зависимость значения категории объема ПДн X
нпд от их объема V
нпд по формуле X
нпд=3,5 - 0,217 * lnV
нпд.
Потом идет много-много формул и таблиц расчета нелинейных скалярных показателей категорирования степени защиты ПДн. Я так и не вкурил. Видимо моего диплома прикладного математика не хватает для оценки глубины исследования. Но вывод, сделанный автором, меня зацепил. Оказывается, причин слабости защиты ПДн (выведено на основе формул) всего 4:
- слишком большой перечень лиц, допущенных ко всем записям базы ПДн
- низкая заработная плата допущенных лиц
- большая доля устаревшего оборудования с малой остаточной стоимостью
- отказы устаревшей техники и отсутствие резервирования.
Практическое задание в этом разделе такое: "
В ИТ-подразделении коммерческого вуза находятся 4 компьютерных класса по 25 компьютеров каждый. Срок службы компьютеров - более трех лет, поэтому наблюдается ежемесячно более трех мелких компьютерных нарушений с ущербом не более 3 тыс.руб. Определите категорию важности такого объекта информатизации, содержашего коммерческую тайну".
В разделе про оценку рисков и эффективности системы защиты я узнал, что для оценки эффективности защиты недостаточно знания только экономического риска. Необходимо принять во внимание дополнительную "социальную нагрузку" на нее со стороны общества для одобрения им уровня допустимого риска в соответствии с ФЗ "О техническом регулировании". Также я узнал, что интенсивность потока допущенных инцидентов ИБ можно оценить по модели Остроградлского-Ланчестера-Осипова, разработанной в Генеральном штабе русской армии еще в 1905 году.
Дальше автор, попутно опустив Эйнштейна и назвав его "известный из газет А.Эйнштейн", утверждает, что вероятности ущерба от последствий инцидентов ИБ описываются логарифмически нормальным распределением. И на этом сей опус завершается. Из заданий этого раздела: "
Оцените стоимость базы паспортных данных предпринимателей московского региона, если их количество не превышает 1 миллиона человек".
Потом обратил внимание на то, что на
каждой странице
от руки написан экземпляр книги. Вдумайтесь только. На каждой странице и от руки.
Я решил было посмотреть выходные данные, ан нет. Нет их. Тираж определить невозможно. Мне сразу подумалось, что речь идет о печати под заказ. Заказали книжку - напечатали; не заказали - не напечатали. Ну а как еще объяснить от руки подписанные номера экземпляров? Дальше больше. На первой странице предупреждение о контроле каждого экземпляра и ссылка на отмененный закон об авторских правах.
Но и это не все. В книгу был вложен вот такой листочек! Я его даже не буду комментировать - просто читайте и ужасайтесь.
ЗЫ. Не рассматривайте заметку, как рекламу книги!
ЗЗЫ. И ведь не первое апреля вроде. Но ржал наш офис, когда я читал выдержки, в течение пары часов. Массу удовольствия доставило это чтиво.
ЗЗЗЫ. Данное пособие планируется к включению в государственный образовательный стандарт третьего поколения. Мне жаль студентов, которые будут учиться по этой х..не.
ЗЗЗЗЫ. На форзаце висит гриф "Для внутреннего пользования". Хорошо что не для наружного применения.
ЗЗЗЗЗЫ. Книга посвящена светлой памяти резидента русской разведки
Полежаева А.П., награжденного "За выдающийся вклад в информатизацию мирового сообщества". Билл Гейтс или Стив Джоббс отдыхают.