ИБ обычно ориентируется на потребности бизнеса– старается достичь баланса между затратами на защиту и остаточной стоимостью рисков. Но возможен и подход с противоположной стороны – ориентироваться на потребности злоумышленников, то есть искать баланс между риском при посягательстве на информационные активы и допустимой долей, которая будет списана на хищения.
Пример первого подхода – защита от подделки денежных купюр. Чем выше номинал, тем больше на банкноте разных финтифлюшек, радужек, пупырышков и прочих новейших "степеней защиты". При этом мелкие монеты в XXI веке чеканятся по технологии XVI-го.
Образец второго подхода – схема классического бронирования танка. Толщина брони в каждом месте в точности соответствует вероятности попадания в данный участок, но не коррелирована с ценностью прикрываемого узла.
Для первого подхода необходимо как можно точнее оценить убытки на случай инцидента. Поскольку разных инцидентов возможно множество, а статистики на всех не хватает, точность оценки обычно низкая.
Для второго подхода нужно хорошо ориентироваться в среде киберпреступности и иметь информацию о киберподразделениях вероятного противника. Тоже задачка не из лёгких.
Думаю, со временем нам удастся как-то сплавить обе методики и родить из них синтетическую оценку рисков.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
