15.12.2003

Как убедить руководство компании вкладывать средства в обеспечение информационной безопасности?

Типовой вопрос, с которым сталкиваются ИТ-менеджеры компаний, как обосновать руководству необходимость вложений в информационную безопасность. По статистике самым большим препятствием на пути принятия каких-либо мер по обеспечению информационной безопасности в компании являются две причины: ограничение бюджета и отсутствие поддержки со стороны руководства.

 Илья Медведовский, к.т.н.
Директор компании Digital Security (http://www.dsec.ru)
Типовой вопрос, с которым сталкиваются ИТ-менеджеры компаний, как обосновать руководству необходимость вложений в информационную безопасность. По статистике самым большим препятствием на пути принятия каких-либо мер по обеспечению информационной безопасности в компании являются две причины: ограничение бюджета и отсутствие поддержки со стороны руководства.

Если ИТ-менеджер четко представляет, сколько компания может потерять денег в случае реализации угроз, то решение задачи убедить руководство обратить внимание и выделить средства на обеспечение информационной безопасности становится значительно более реальным. В принципе, существуют два достаточно недорогих и наглядных способа решения задачи, как убедить руководство:

1. Провести комплексную оценку стоимости обрабатываемой информации (ущерба) и оценить существующие в системе риски (вероятный ущерб). Для этого лучше всего воспользоваться одной из автоматизированных систем анализа и контроля информационных рисков. Подобными системами являются западные CRAMM (www.cramm.com), RiskWatch (www.riskwatch.com) и российская разработка компании Digital Security – ГРИФ, с описанием и демо-версией которой можно ознакомиться по адресу: (http://www.dsec.ru/soft/grif.php ). Применение системы ГРИФ позволяет экономически обосновать необходимость вложений в информационную безопасность (ИБ), сравнив существующие в системе риски (вероятный ущерб) с ежегодными расходами на информационную безопасность.

2. Провести тесты на проникновение, успех которых наглядно продемонстрирует руководству необходимость повышенного внимания к вопросам обеспечения информационной безопасности. Тем более, что в случае применения современных технологий взлома вероятнее всего не устоит даже самая защищенная система, и успех проведения тестов на проникновение практически предрешен.

Данные способы (а эффективнее всего - их комбинация) позволят ИТ-менеджеру привлечь внимание руководства компании к животрепещущей теме информационной безопасности, обеспечив тем самым необходимый уровень инвестиций в обеспечение безопасности системы и повысив собственный вес и авторитет в глазах высшего руководства компании.

Обратим внимание, что других методов обосновать необходимость вложений в ИБ, кроме как, оценив существующие в системе риски и предоставив руководству данную финансовую информацию (риск - это ущерб, который понесет компания в случае атаки), не существует. А успешный тест на проникновение станет хорошей демонстрацией реальности атаки. Цепочка замкнулась! Уровни рисков оценены – возможность взлома доказана. Теперь нужно оценить необходимый уровень вложений в ИБ и сравнить при помощи той же системы анализа рисков насколько при этом уменьшатся риски. Решаемая задача сводится к следующему: минимизируя затраты на информационную безопасность, довести уровень риска до приемлемых значений (суммарные затраты на безопасность должны быть существенно меньше суммарного риска).

или введите имя

CAPTCHA