ЦБ 05.07
$77.23
88.03
ММВБ 05.07
$
BRENT 05.07
$71.94
5556
RTS 05.07
914.90

Оценка урона от инцидентов ИБ

В каждой компании, рано или поздно задумываются об оценке возможного ущерба от инцидентов, связанных с информационной безопасностью. Для ее проведения можно пригласить консалтинговую компанию, специализирующуюся на ИБ, а можно выполнить работу силами своих специалистов, конечно, при наличии у них достаточной компетенции. Сегодня о том, как сделать оценку ущерба быстро, а результат получить в наглядном и простом для понимания виде.

Оценка урона от инцидентов ИБ - Фото: geralt / unsplash - Источник

Читайте также

Начнем с того, что в реальности, точная, вплоть до копейки, оценка возможного ущерба не реальна. Но часто достаточно предварительной оценки, чтобы уже на ее основе принимать решение о дальнейших действиях. Такая оценка подразумевает ответы на определенные вопросы. Например: «А сколько мы зарабатываем в единицу времени при помощи нашего сервиса?» и «Что будет, если он перестанет работать на одну минуту? Десять? Час?». Простой в одну минуту для компаний, занимающихся денежными переводами и онлайн оплатами, может принести огромный ущерб. Конечно, его величина будет зависеть от того, когда инцидент произошел, и от скорости его последствий. Глубокой ночью, при быстрой реакции специалистов ИБ, ущерб будет минимальным, а в часы пик - он может вырасти многократно. Для адекватности оценки, лучше брать среднее значение.

Если сервис напрямую не участвует в генерации прибыли, но критически важен для создания денежного потока, стоит обратить внимание на сервисы, находящиеся под его непосредственным влиянием. А если прибыль в компании генерируется за счет сотрудников и получение выплат растянуто по времени, оценку возможного ущерба необходимо провести, основываясь на времени простоя сотрудников, а именно: «Сколько компания заплатит денег в качестве заработной платы сотрудникам, которые не смогут выполнять свою работу в связи с инцидентом ИБ?»

Конечно, приведенные подходы не включают в себя оценку косвенных издержек - репутационных или судебных. Они не учитывают потери от утечек коммерческой тайны и недополученной прибыли. Они не являются комплексными, оставляя без внимания множество факторов. Однако, подходы в оценке вполне пригодны для быстрой и примерной первичной оценки ущерба от инцидентов ИБ.

И в заключение… Руководителю на заметку:

Помните, создание систем ИБ начинается с осознания того, что у вас есть что защищать и эти активы имеют стоимость. Проведите для своих сервисов и приложений примерную оценку возможного ущерба от инцидентов, связанных с информационной безопасностью. Если вы не уверены в своих силах или сомневаетесь в своих расчетах, поручите эту работу профессионалам. Они всегда готовы прийти к вам на помощь.

Выпуск подготовил директор департамента организации работ с заказчиками компании «Газинформсервис» Роман Пустарнаков.

Автор:
Поделиться
Комментировать Связь с редакцией

Рекомендуем

Любое путешествие — это прежде всего эмоции и воспоминания. Чтобы они были яркими и незабываемыми, путешествие лучше пла...
Автор и ведущий проекта «Высокие технологии для бизнеса» Андрей Соловьёв расскажет о важности проведения учений по восст...
Алексей Бушуев, коммерческий директор «ГК Алькор» (входит в «Главстрой Санкт-Петербург»), рассказал о том, на чт...
Яркое путешествие начинается не с чемодана, а с информации, предварительно собранной о нем. Сегодня говорим об удивитель...

Комментарии

CAPTCHA