ПРИНЦИП РАЗУМНОЙ ДОСТАТОЧНОСТИ, ПОДХОДЫ К ОБОСНОВАНИЮ СТОИМОСТИ КОРПОРАТИВНОЙ СИСТЕМЫ ЗАЩИТЫ

Второй подход (практический) состоит в следующем: можно попробовать найти инвариант разумной стоимости корпоративной системы защиты информации. Ведь существуют аналогичные инварианты в других областях, где значимые для бизнеса события носят вероятностный характер. Например, на рынке автострахования некоторая общая оценка разумной стоимости такой услуги, как страхование собственного автомобиля, составляет от 5 до 15% его рыночной цены - в зависимости от локальных условий эксплуатации, культуры и опыта вождения водителя, интенсивности движения, состояния дорог и т.д. Эксперты-практики в области защиты информации нашли некий оптимум, позволяющий чувствовать себя относительно уверенно, - стоимость системы ИБ должна составлять примерно 10-20% от стоимости КИС - в зависимости от уровня конфиденциальности информации (но надо их еще правильно вложить). Это и есть та самая оценка на основе практического опыта (best practice), на которую можно положиться. И на вопрос «А почему для создания адекватной целям и задачам бизнеса корпоративной системы защиты информации требуется сто тысяч долларов?» отвечать «Потому что на сегодняшний день стоимость нашей КИС составила один миллион долларов!». Очевидно, что второй подход не лишен недостатков. Здесь, скорее всего, не удастся заставить руководство глубоко осознать проблемы ИБ. Но зато можно смело прогнозировать объем бюджета на ИБ и существенно сэкономить на услугах внешних консультантов.

Под риском информационной безопасности будем понимать возможные потери собственника или пользователя информации и поддерживающей инфраструктуры связанные с реализацией некоторой угрозы.

1. Риск нарушения конфиденциальности информации (информация - товар).

2. Риск нарушения целостности информации (Магнитогорск, Dr Paper).

ПРИНЦИП РАЗУМНОЙ ДОСТАТОЧНОСТИ, ПОДХОДЫ К ОБОСНОВАНИЮ СТОИМОСТИ КОРПОРАТИВНОЙ СИСТЕМЫ ЗАЩИТЫ

3. Риск нарушения доступности информации, доступности сервисов – Владивосток. Организации сейчас жестко завязаны на автоматизацию, на сервисы, несут огромные потери от их простаивания (это ущерб). Не даром сейчас вводят такого рода процессы, как управление доступностью сервисов, управление непрерывностью и т.д.

Информация как товар

Современное общество называется информационным. Широкое развитие средств вычислительной техники и связи позволило собирать, хранить, обрабатывать и передавать информацию в таких объемах и с такой оперативностью, которые были немыслимы раньше. Благодаря новым информационным технологиям производственная и не производственная деятельность человека, его повседневная сфера общения безгранично расширяются за счет вовлечения опыта, знаний и духовных ценностей, выработанных мировой цивилизацией, и сама экономика все в меньшей степени характеризуется как производство материальных благ и все большей - как распространение информационных продуктов и услуг. И уже вряд ли стоит возражать против сложившихся и укоренившихся в теории и практике употребления таких словосочетаний как "информация - это товар". Тем более, что отнесение информации к категории "товара" юридически закреплено законодательно: информационные ресурсы могут быть товаром.

Как любой товар, информация может покупаться, продаваться, и т.д.

Информация сейчас – важнейший ресурс экономики. Кто владеет информацией – владеет всем!

Следующим важнейшим свойством информации, как товара, является ее цена. Главная черта рыночного ценообразования состоит в том, что реальный процесс формирования цен здесь происходит не в среде производства, а в среде реализации продукции, т.е. на рынке под воздействием спроса и предложения. Цена товара и его полезность проходят проверку рынком и окончательно формируются на рынке. Формирование цены на информационные продукты и услуги осуществляется на основе анализа рентабельности предлагаемой информации и конъюнктуры рынка. Например, создание автоматизированных баз данных. Факторами, влияющими на установление цен, являются затраты на разработку информационного продукта, качество представленной информации, а также ожидаемый спрос на тот или иной информационный продукт. Цена информации в предпринимательской деятельности может также определяться, как величина ущерба, который может быть нанесен фирме в результате использования коммерческой информации конкурентами. Или наоборот прибыли (дохода), который может быть получен фирмой в результате получения коммерческой информации.

Информация как товар

Таким образом, информация как особый вид ресурсов и фактор общественного развития становиться и особым видом продукта с присущими ему всеми свойствами товара. Наблюдается переход от индустриальной экономики к экономике, основанной на информации, на новой информационной технологии как совокупности информационно- технологических процессов.

На сегодня рынок информации в России многообразен и динамичен. Активно используя самые совершенные технологии, он расширяется за счет формирования новых общественных потребностей и начинает доминировать в российской экономике наряду с энергетическим рынком. Чтобы оценить масштабность рынка информации, достаточно посмотреть на его структуру. В число основных секторов этого рынка входят:

- традиционные средства массовой информации (телевидение, радио, газеты);

- справочные издания (энциклопедии, учебники, словари, каталоги и т.д.);

- справочно-информационные службы (телефонные службы, справочные бюро, доски объявлений и др.);

- консалтинговые службы (юридические, маркетинговые, налоговые и др.);

- компьютерные информационные системы и базы данных

Как уже было сказано, часть информации обращающейся в фирме представляет собой конфиденциальную информацию, чаще она называется коммерческой тайной (КТ).

Под КТ предприятия понимаются не относящиеся к государственным секретам сведения, связанные с производством, технологией, управлением, финансами и другой деятельностью предприятия, разглашение (передача, утечка) которых может нанести ущерб его интересам. Состав и объем сведений составляющих КТ, определяются руководством предприятия. Для того, чтобы иметь возможность контролировать деятельность предприятий, Правительство России выпустило 05.12.91 г. Постановление № 35 "О перечне сведений, которые не могут составлять коммерческую тайну".

Информация как товар

Перечень сведений, относящихся к КТ и носящий рекомендательный характер, может быть сгруппирован по тематическому принципу. Сведения, включенные в данный перечень, могут быть КТ только с учетом особенностей конкретного предприятия (организации).

1. Сведения о финансовой деятельности - прибыль, кредиты, товарооборот; финансовые отчеты и прогнозы; коммерческие замыслы; фонд заработной платы; стоимость основных и оборотных средств; кредитные условия платежа; банковские счета; плановые и отчетные калькуляции.

2. Информация о рынке - цены, скидки, условия договоров, спецификация продукции, объем, история, тенденции производства и прогноз для конкретного продукта; рыночная политика и планирование; маркетинг и стратегия цен; отношения с потребителем и репутация; численность и размещения торговых агентов; каналы и методы сбыта; политика сбыта; программа рекламы.

3. Сведения о производстве продукции - сведения о техническом уровне, технико-экономических характеристиках разрабатываемых изделий; сведения о планируемых сроках создания разрабатываемых изделий; сведения о применяемых и перспективных технологиях, технологических процессах, приемах и оборудовании; сведения о модификации и модернизации ранее известных технологий, процессов, оборудования; производственные мощности; состояние основных и оборотных фондов; организация производства; размещение и размер производственных помещений и складов; перспективные планы развития производства; технические спецификации существующей и перспективной продукции; схемы и чертежи новых разработок; оценка качества и эффективности.

4. Сведения о научных разработках - новые технологические методы, новые технические, технологические и физические принципы; программы НИР; новые алгоритмы; оригинальные программы.

Информация как товар

5. Сведения о материально-техническом обеспечении - сведения о составе торговых клиентов, представителей и посредников; потребности в сырье, материалах, комплектующих узлах и деталях, источники удовлетворения этих потребностей; транспортные и энергетические потребности.

6. Сведения о персонале предприятия - численность персонала предприятия; определение лиц, принимающих решения.

7. Сведения о принципах управления предприятием - сведения о применяемых и перспективных методах управления производством; сведения о фактах ведения переговоров, предметах и целей совещаний и заседаний органов управления; сведения о планах предприятия по расширению производства; условия продажи и слияния фирм.

8. Прочие сведения - важные элементы системы безопасности, кодов и процедур доступа, принципы организации защиты коммерческой тайны. Законом РФ от 02.12.90г. "О банках и банковской деятельности" введено понятие "банковской тайны".

Под банковской тайной подразумевается обязанность кредитного учреждения сохранять тайну по операциям клиентов, ограждение банковских операций от ознакомления с ними посторонних лиц, прежде всего конкурентов того или иного клиента, тайну по операциям, счетам и вкладам своих клиентов и корреспондентов. Иначе банковскую тайну можно определить как личную тайну банка. В итоге КТ банка включает КТ самого банка и личную тайну вкладчика.

Нецелесообразно превращать информацию в коммерческую тайну идеи и сведения, которые общеизвестны. То есть следует различать информацию, имеющую коммерческую ценность, и информацию, представляющую научный и теоретический интерес. Американцы, например, (в "Практике защиты коммерческой тайны в США") предлагают двухчленное деление сведений, составляющих КТ: технология и деловая информация.

Информация как товар

Первая группа коммерческих секретов представляет интерес для конкурентов потому, что может быть применена ими для производства таких же товаров с использованием технических и технологических решений данного предприятия.

Вторая группа - деловая информация, содержащая КТ, может учитываться конкурентом в борьбе с предприятием за рынок сбыта клиентов, покупателей, для навязывания невыгодных сделок. Коммерческая информация может быть ранжирована по степени ее важности для предприятия с тем, чтобы регулировать ее распространение среди работающих на предприятии, указывать пользователей этой информации, уровень ее защиты и т.д.

Для обозначения степени важности коммерческой информации для предприятия можно предложить систему обозначения степени ее секретности:

Коммерческая тайна - строго конфиденциально (КТ-СК). Коммерческая тайна - конфиденциально (КТ-К). Коммерческая тайна (КТ).