ПИРАМИДА АКТИВОВ
10%
Crown Jewels
60% бюджета защиты
20%
Important
25% бюджета
Crown Jewels: платёжный шлюз, АБС, клиентская база
Important: ERP, CRM, корп. почта
Standard: корп. портал, файловый сервер
Low: тестовые среды, гостевой Wi-Fi
БЮДЖЕТ 25 МЛН РУБ/ГОД — ОДИНАКОВЫЙ
Банк А — равномерная защита
25 млн на 300 систем поровну
= 83 тыс. руб. на систему
Каждая система защищена «немного»
Атакующий добрался до АБС через 4 дня
Банк Б — risk-based
70% бюджета на Crown Jewels (30 систем)
= 583 тыс. руб. на критичную систему
Остальное — пропорционально
Атака остановлена через 2 часа
Параллель: физ/эконбез — Это же принцип эшелонированной охраны: к хранилищу с ценностями три рубежа защиты, к гостевой переговорной — один. Никто не охраняет архив старых газет так же, как сейф главного бухгалтера. Risk-based security — перенос этой логики в цифровую инфраструктуру.
Asset Classification — решение бизнеса, не ИТ. CISO не знает, что критично для бизнеса, без участия руководителей бизнес-направлений. Здесь экономбез — ключевой партнёр, у него точная картина по финансовой и операционной критичности активов.