вторник, 7 июня 2011 г.

Оценка ценности активов!?

Вероятность реализации угроз ИБ оценили? Тогда переходим дальше. А дальше необходимо оценить ценность активов. В информационной системе можно выделить три основных типа активов: информационные (информация в файлах и базах данных), технические (сервера, АРМ, маршрутизаторы, каналы связи и т.д.) и программные (системное и прикладного программное обеспечение).

Опять переходим к шкалам. Первый вариант - качественная шкала, например, легкое влияние угрозы ИБ на актив - очень низкое влияние на репутацию организации и очень низкие финансовые потери, умеренное влияние - ............. и т.д. Шкала вполне пригодная, но как всегда возникает вопрос: что значит "очень низкие финансовые потери? Это 1000 или это 100000. Для одной организации очень низкие потери в 1000, а для другой в 100000." Конечно, для каждой организации необходимо проработать индивидуальную шкалу оценки.
Второй вариант - количественная шкала, характеризующая стоимость конкретного актива. Если с программными и техническими активами все более менее понятно (стоимость сервера - 50000 за минусом амортизации = итоговая стоимость сервера), то с информационными активами все не так очевидно. 

Давайте рассмотрим несколько случаев:
1. Нам необходимо оценить стоимость информации, которая относится к коммерческой тайне, в частности план развития организации на 2011-2016гг (планы о расширении производства, получения дополнительной прибыли, развитие информационной инфраструктуры, ребрендинг продукции, выпуск новой продукции и т.д.), который хранится в конкретном файле Plan.doc. Для меня, очевидно, что стоимость такой информации равна совокупной планируемой прибыли в результате реализации этого плана. Почему так? Если организация-конкурент получит такую информацию, то приступит к реализации этих планов намного быстрее, чем организации разработчик. Что в итоге? В итоге мы получаем недополученную прибыль первой организации в результате реализации плана или пересмотр своей стратегии (на что требуются дополнительные затраты) и т.д. Основной вывод: стоимость коммерческой тайны = количеству прибыли, которую может получить ее владелец.
2. Нам необходимо оценить стоимость информации, которая содержится в правилах фильтрации межсетевых экранов, сертификатах закрытых ключей шифрования и ЭП. С помощью качественной шкалы и метода "палец в небо" можно что-то оценит, но нужна ли такая оценка - как по мне, так нет :). Оценить количественно стоимость информации в правилах фильтарации - практически невозможно. Если злоумышленник взломал наш межсетевой экран (пусть подобрал пароль к учетке админа) и изменил правила фильтрации, которые часть информационного потока (внутренней корпоративной почты или icq) перенаправляют ему. Чем это опасно? Сотрудники, общаясь внутри организации, передают большой поток информации ограниченного доступа, которую может получить например конкурент. Далее события развиваются по первому сценарию. Но какую информацию конкретно он перехватит - это не известно, что и не позволяет оценить ее стоимость. Как следствие, оценить стоимость информации в правилах фильтрации - невозможно.

В качестве коротенького заключения хочу сказать, что такое мнение у меня выработалось со временем, но я не исключаю того, что оно может измениться после прочтения книги "Оценка нематериальных активов" авторов Рейли и Шварца, о которой я узнал из совместной статьи А. Волкова и А. Бондаренко

3 комментария:

Ригель комментирует...

> можно выделить три основных типа
> активов: информация в файлах и
> базах, сервера, АРМ,
> маршрутизаторы и программное
> обеспечение

Можно или нельзя - зависит от того, куда их планируется потом использовать.
Ущерб от публикации, что РКН нашел грубейшие нарушения, крайне тяжело через файлы и маршрутизаторы будет выразить ;)

Сергей комментирует...

Подчеркиваю "в информационной системе".
Тут надо разбираться: 1. Кто опубликовал?
Сам РКН - обязан ее публиковать, что успешно и делает (давайте только без всяких политических аспектов, например, история про сбербанк).
Сотрудник (путем фотографирования или сканов документа) - в чистом виде файлы данных.
Сотрудник путем изложения информации в свободной форме на форуме или в блоге..... - думаю что в качестве актива выступает информация на бумажном носители информации. К ИС довольно опосредованно относится.
Аналогичный пример можно сформулировать для внешнего нарушителя (конкурента, хакера).

Ригель комментирует...

В пример приведен риск non-compliance. Он чисто ИБ-шный и к ЗИ в ИС действительно не относится.