Важно и нужно проводить оценку ущерба активам от угроз ИБ. Она потребуется при:
· анализе рисков (ИСО 2700x, Cobitи др.),
· выполнении требований законодательства по ПДн
· моделировании угроз безопасности ПДн, ГИС, АСУ
· замене одних мер защиты ПДн, ГИС, АСУ на другие компенсирующие
· внутреннего маркетинга ИБ, обосновании необходимости службы ИБ, обоснования любых инвестиций в ИБ и т.п.
Не обязательно дожидаться запуска какого либо крупного проекта (например, по ПДн, АСУ, ГИС).
Провести высокоуровневую оценку ущерба нужно как можно раньше, а результаты использовать в следующих проектах / мероприятиях.
Хорошо если активы в компании уже оценены в общем. Тогда ущерб активу от угроз ИБ будет составлять некоторую часть от его цены (не превышать). Даже если нет – самое время оценивать. Конечно же, к оценке будем привлекать владельцев активов.
Чтобы правильно оценить ущерб нужно кроме прямых финансовых потерь учесть другие возможные последствия реализации угроз (и перевести их в деньги). Если точная оценка какого либо значения вызовет затруднения (недавно Михаил Хромов жаловался на невозможность оценки) – берите экспертные мнения (от трех экспертов и более). Если согласовывать бюджет вам будут те же лица, которые давали экспертную оценку ущерба (владельцы систем) – то проблем возникнуть не должно. К тому же опыт показывает что точный расчет и экспертная оценка в итоге дают схожий результат.
Для каждого актива (детализацию выбирайте сами, но я бы взял крупно – однотипные группы ИС) нужно высокоуровнево оценить ущерб от нарушения свойств (конфиденциальности, целостности и доступности) от совокупности всех угроз ИБ. Для этого отвечаем на следующие вопросы:
· прямой финансовый ущерб (сумма в руб.)
· ущерб от потери клиентов (общее количество клиентов, % из них которые будут потеряны в течении следующего года, средний годовой доход от одного клиента)
· потери от уменьшения стоимости ценных бумаг (общая стоимость ценных бумаг, % на который уменьшится стоимость в течении года)
· потери от неполучения доходов по неклиентским договорам (общее сумма договоров, по которым получаем доходы, % договоров по которым будет не получен доход)
· потери от невыполнения обязательств по договорам (общее количество договоров по которым возможно невыполнение обязательств, средняя стоимость санкций которые начисляются за невыполнение обязательств)
· штрафы за нарушение законодательства
· возможные потери от в результате отзыва лицензий (доход от лицензируемой деятельности в год, для лицензий связанных с ИБ)
· стоимость судебных издержек на дела по нарушению законодательства и условий договоров
· затраты персонала на устранение последствий реализации угроз (количество человекомесяцев, стоимость человекомесяца)
· затраты на материалы/оборудования для устранения последствий реализации угроз
· командировочные и представительские расходы для устранения последствий реализации угроз