Коллеги, по поводу обоснования затрат и донесения до руководства, что это нужно. У вас есть автомобили? А подушка безопасности? Какова вероятность, что попадёте в ДТП? Хотелось бы в этом случае сидеть в автомобиле, где есть полный комплект мер безопасности? Так же и с бизнесом...есть критичная информация, потеря которой может «покалечить» и потребуется много времени и денег на «выздоровление» или вовсе «привести к летальному исходу». Причём это далеко не всегда зависит от атак из вне, хватает «водятлов» и внутри. Поэтому всякий раз, когда руководство противится тратить деньги на защиту - спросите, готовы ли они даже с вероятностью 5-10% лицезреть как их бизнес «покалечится» или «издохнет». А для оценки в помощь: 1. Выявляем КИ и делим её на 2 типа («покалечит» и «летальный исход») 2. Берём у фин.дира или даже у самого собственника инфу о хотябы примерной стоимости бизнеса (точную цифру вам вряд ли кто даст). 3. Считаем в % вероятность наступления «неблагоприятных ситуаций» (утечка, атака и т.д.) 4. Считаем сумму этого % от стоимости бизнеса. Если сумма потерь больше суммы затрат на защиту - вменяемый Руководитель примет предложение по ЗИ.
P.S. Это так... «на коленке» сварганил, к этому расчету можно подойти более тщательно, чтобы нокаутировать аргументами и цифрами руководство и финансистов, яро урезающих всевозможные расходы на то, чего не понимают.
Всем хороших выходных!)))
Именно так я и представлял себе оценку риска в иб. Только нужно наполнить это реальностью. Вышел бы крутой доклад/публикация/много денег на консалтинге. Я ни разу не встречал такого подхода от интеграторов. Вендорам не до такого. Видел презентации конечных заказчиков, кто так сделал и делились опытом на коде иб в некоторых городах в прошлом году. Но ажиотажа эти доклады среди заказчиков не вызывали, к моему удивлению.