Как посчитать цену утечек?

В блоге Рича Могула, известного эксперта в области ИБ и в частности в области утечек информации, опубликованы предложения по оценке стоимости утечек информации. Он предлагает уйти от распространенного метода оценки "цена утечки в пересчете на одну запись" (который совершенно непрозрачен) в сторону более применимого на практике подхода. Он заключается в использовании следующих метрик: цена на инцидентстоимость расследования инцидентастоимость восстановления после инцидентастоимость PR/общения с прессойзатраты на юридические издерюки (опционально)затраты на нарушение соответствия (опционально)стоимость досудебного урегулирования (опционально)цена на записьстоимость уведомления (создание списка пострадавших, печать, почтовые услуги)стоимость реагирования пострадавших, например, звонки в Help Desk (опционально)стоимость защитных мер у заказчиков, например, регулярные уведомления, системы борьбы с мошенничеством, средства ИБ (опционально) Также Рич предлагает еще три метрики, которые можно оценивать только при наличии соответствующих условий: Отток клиентов (в течении 1, 3, 6, 12, n месяцев)Удар по курсовой стоимости акций (в течении 1, 3, 6, 12, n месяцев)Удар по доходам (в течении 1, 3, 6, 12, n дней или недель - в месяцах измерять нет смысла - рынок все забывает)