Одними из главных задач, стоящих перед специалистами, раздумывающими над приобретением DLP-системы, являются выявление всей конфиденциальной информации в компании и расчет ее примерной стоимости. Если с первым можно более-менее разобраться с помощью организационных мер и консультации с руководителями структурных единиц, то к вопросу оценки стоимости этой информации можно подойти с самых разных, зачастую противоречащих друг другу, позиций.
Вопрос оценки стоимости информации является одним из ключевых как для информационной безопасности, так и для всей индустрии информационных технологий. Дело в том, что нематериальность и уникальность информации делают ее весьма трудной для оценки. Кроме того, для информации практически полностью отсутствуют затраты на хранение, транспортировку и тиражирование.
Ценность детали, созданной на заводе, определяется множеством различных факторов, среди которых трудозатраты, спрос и состояние рынка, однако она все-таки поддается осмыслению и более-менее постоянна. Чертеж этой самой детали также представляет собой весьма ценную информацию. Однако если он попадет в открытый доступ — стоимость этого чертежа станет равна нулю. Если у каждого человека есть неограниченное количество яблок, то никто не станет покупать яблоки. В этом разница между чертежом и деталью — обеспечить быстрый и бесплатный доступ к бесконечным деталям невозможно, а вот с информацией, в данном случае с чертежом, такое может произойти. Таким образом ценность информации (не гуманистическая ценность для человечества и индустрии, а непосредственная цена для конкретной организации) продиктована ее ограниченностью.
Соответственно единственный способ поддерживать ценность информации — обеспечить монополию на нее. Во-первых, в юридическом плане — для этого существует патентная индустрия, институт правообладания и соответствующие законы. Во-вторых, организовать ее фактическую недоступность — сделать так, чтобы о ней никто не знал. Именно последней цели в определенном смысле и служит вся индустрия информационной безопасности.
В частном случае, касательно информационной безопасности, такой вопрос особенно остро встает при обосновании затрат на внедрение продуктов обеспечения безопасности, например, DLP-систем. Рассматривая вопрос внедрения DLP для защиты от утечки информации следует выяснить два главных фактора: вероятность компрометации этой информации и потенциальный ущерб вследствие этого. Если оба они достаточно высоки — значит такая информация уязвима.
Ценность информации не равна потенциальному ущербу от компрометации. Возможно у вас есть безумно важная информация, такая как планы логистических процессов на складе или схема работы конвейеров для разной продукции, но важная исключительно для вас. Для конкурентов или злоумышленников она не представляет ценности, поэтому попадания в открытый доступ можно не опасаться. Однако утрата этой информации может больно ударить по организации. Главной угрозой в данном случае выступает не компрометация информации, а ее потеря, вследствие сбоя, ошибки или действия вредоносного ПО, такого как шифровальщики. Поэтому в данном случае обратить внимание стоит не на контроль за доступом к этой информации, а на обучение сотрудников и создание бэкапов.
Средства защиты информации также предоставляют доказательную базу для возможного возмещения убытка юридическим путем. Затраты на последующее расследование не стоит упускать при рассмотрении критериев оценки стоимости информации. Тот вариант развития событий, в котором урон от компрометации и эти затраты удается полностью возместить с виновного — к сожалению, практически невозможный.
На практике достоверно выяснить точную стоимость информации, находящейся во владении организации, практически невозможно. Любая оценка будет приблизительной. Задачей сотрудника, отвечающего за подготовку к внедрению, является получить данные, максимально приближенные к достоверным, и уже основываясь на этих показателях принимать дальнейшие решения.
Последствия любого инцидента информационной безопасности труднопрогнозируемы. Задача для компании — во-первых, не допустить этого инцидента, а во-вторых максимально снизить потенциальный ущерб. Ценность для компании данные представляют не сами по себе, а в различных контекстах, в том числе в контексте репутационных рисков. Информацию можно оценить по-разному, однако репутация любой организации — бесценна.