Если из вашей зарплаты, то дорогие сразу

С учетом стоимости защищаемого актива и величины ущерба

ИБ это как страховка. Купил - затраты. Не купил - убытки (в случае наступления инцидента)

Стоимость актива - 100 000 рублей, стоимость ущерба - 100 000 рублей, стоимость контрмер - 100 000 рублей. Контрмеры дорогие?

Вероятность наступления ущерба какая?

0,2 - например.

Не так... ИБ чаще это компенсирующие меры, страховка - передача риска третьей стороне.

Оценка рисков - фундаментальный аспект в страховании и в ИБ (в теории)

Речь про то как это бизнесу объяснить. По мне, так компенсирующие меры это сложно для бизнеса. Страховка это понятнее.

ИБ - это не страховка.  как максимум - подстраховка от утечки. Если пользователи знают о слежке (хоть и наглеют) ) - то хотя бы частично можно восстановить лог событий и разобрать инцидент или утечку. В отсутствии ИБ - расследование инцидента будет высасываться из пальца, как это сейчас происходит у нас на предприятии на местном уровне... А в большинстве случаев, бизнес даже и не знает об утечках информации.

Слежка и т.д. это фуфел, расчитанный на Марью Ивановну из бухгалтерии. Хотя если утечкой называть использование mail.ru знакомства с рабочего компьютера и знакомства с потенциальным шпионом на этом ресурсе, с последующей вербовкой Марьи Ивановны это да.  Нельзя рассматривать ИБ с позиции , какую навязывают вендоры,: ты купи у нас софтину, etc и все будет безопасно и секурно. А если есть сертификат , что это согласовано там то и там, то ты в обще в шоколаде

Коллеги, по поводу обоснования затрат и донесения до руководства, что это нужно. У вас есть автомобили? А подушка безопасности? Какова вероятность, что попадёте в ДТП? Хотелось бы в этом случае сидеть в автомобиле, где есть полный комплект мер безопасности? Так же и с бизнесом...есть критичная информация, потеря которой может «покалечить» и потребуется много времени и денег на «выздоровление» или вовсе «привести к летальному исходу». Причём это далеко не всегда зависит от атак из вне, хватает «водятлов» и внутри. Поэтому всякий раз, когда руководство противится тратить деньги на защиту - спросите, готовы ли они даже с вероятностью 5-10% лицезреть как их бизнес «покалечится» или «издохнет». А для оценки в помощь: 1. Выявляем КИ и делим её на 2 типа («покалечит» и «летальный исход») 2. Берём у фин.дира или даже у самого собственника инфу о хотябы примерной стоимости бизнеса (точную цифру вам вряд ли кто даст). 3. Считаем в % вероятность наступления «неблагоприятных ситуаций» (утечка, атака и т.д.) 4. Считаем сумму этого % от стоимости бизнеса. Если сумма потерь больше суммы затрат на защиту - вменяемый Руководитель примет предложение по ЗИ.
P.S. Это так... «на коленке» сварганил, к этому расчету можно подойти более тщательно, чтобы нокаутировать аргументами и цифрами руководство и финансистов, яро урезающих всевозможные расходы на то, чего не понимают.

Всем хороших выходных!)))

👍

Но суть та же, что и в постах до этого -- переводим вероятность реализации угрозы в денежный эквивалент и показываем бизнесу, а дальше бизнес думает, готов ли он принять эти риски и какую реакцию реализовать дешевле: попытку предотвратить или быстро устранить последствия.

Почти)

"быстро устранить последствия" - я бы перефразировал в - "попытку вообще понять, что произошло и как, и пытаться что-то предпринять при отсутствии каких либо исходных данных".

По аналогии с тем же автомобилем, в котором нет видеорегистратора.

Бизнесу в России все эти ИБ риски абсолютно по барабану. У них другие риски на повестке. Вопрос только в аппаратном весе ЗГД по безопасности и ваших с ним отношениях.

Банки и платежные сервисы - исключение.

не соглашусь.
ОАО, ПАО: откройте hh - все ищут.
Минобразование утверждает новый перечень профессий по ИБ - на этой неделе только список опубликован был.
На уровнее ООО: также поиск специалистов, которые могут конфигурировать маршрутизаторы по соединениям различных подразделенией.
ПАК СКЗИ - эту аббревиатуру знают все больше и больше руководителей, которые взаимодействуют с государственными органами власти.

Ваше утверждение относится к бизнесу, с доходной частью от 3 до 5 млн в год. Соглашусь. Одна точка. Бизнес по модели купи-продай. И даже в таком "контуре", уже многое выносится в облачные системы, удаленные ПК и так далее. И возращаемся к hh - вбейте слово mikrotik

👍