Экономика и организация безопасности хозяйствующих субъектов - Гусев В.С.
ISBN 5-299-00119-3
Скачать (прямая ссылка):
Третий этап — оценка вероятности проявления (частоты реализации) каждой из угроз1 с использованием одного из методов (или их совокупности):
Таблица 4.2
Основные особенности реализации угроз информационной безопасности (применительно к АСОИ)
Вид угроз Объект воздействия
Оборудование Программы Данные Персонал
Утечка информации. Хищение носителей, подключение, несанкционированное использование. Несанкционированное копирование, перехват. Хищение, копия, перехват. Разглашение, халатность, передача сведений.
Нарушение
целостности
информации. Подключение, модификация, изменение режимов, несанкционированное использование ресурсов. Внедрение
специальных
программ. Искажение, модификация. Вербовка, подкуп.
Нарушение работоспособности системы. Изменение режимов, вывод из строя, нарушение. Искажение,
подмена,
удаление. Удаление, искажение. Уход,
физическое устранение.
1 Следует отметить, что не всегда возможно оценить вероятность появления той или иной угрозы. Однако для большинства видов угроз такая оценка все же выполнима.
144
эмпирической оценки числа проявлений угрозы за некоторый период; как правило, этот метод применим для оценки вероятности проявлений естественных угроз (стихийных бедствий) путем накопления массива данных о них;
непосредственной регистрации проявлений угроз — применим для оценки вероятности систематических угроз как часто повторяющихся событий;
оценки частоты проявления угроз по специальной таблице коэффициентов (табл. 4.3).
Четвертый этап — оценка потерь, ожидаемых в результате реализации любой из угроз безопасности. Ожидаемые размеры потерь следует рассматривать как некую функцию от уровня надежности методов защиты, применяемых в системе безопасности.
Поэтому, выбирая методы защиты, необходимо исходить из оценок потенциального ущерба, обоснованных расчетами.
Пятый этап — анализ возможных методов защиты с оценкой их стоимости и эффективности. Выбор совокупности
Таблица 4.3
Анализ рисков угроз с использованием коэффициентов
Частота проявления
Коэффициент
Более одного раза в день Один раз в день
в три дня
в две недели
в неделю
в четыре месяца в год
в три года
в месяц
10 9 8 7 6 5 4 3 2
Менее одного раза в три года
10 Зак.254
145
применяемых методов защиты (организационных, программных, технических), каждый из которых можно реализовывать различными способами (мерами), обусловит соответствующий уровень надежности системы защиты, ее стоимость, размеры потерь от возможного проявления угроз, а следовательно, и эффективность этой системы.
Стоимость метода защиты — совокупные затраты на его разработку и реализацию (сопровождение). Определяя стоимость метода, необходимо учитывать не только капитальные вложения (в проектирование или привязку к объекту, приобретение, монтаж и наладку технических средств, обучение персонала), но и эксплуатационные расходы (материально-энергетические и трудовые затраты, амортизацию технических средств, накладные расходы).
Эффективность системы защиты — обобщающая характеристика ее способности противостоять угрозам безопасности предприятия. Эффективность метода защиты — частный показатель эффективности системы защиты безопасности предприятия в целом.
Показатели эффективности системы и метода защиты можно рассчитывать как в относительном выражении, так и в абсолютном. В качестве показателя относительной эффективности системы защиты (или отдельного метода) можно использовать прирост сэкономленных потерь от применения выбранного варианта этой системы (или метода), проектируемого взамен базового.
Абсолютную эффективность системы (метода) защиты можно выразить отношением прироста сэкономленных потерь к капитальным вложениям, обусловленным организацией проектируемого варианта системы (метода) защиты. Отметим, что оценить предполагаемый прирост сэкономленных потерь весьма сложно из-за неопределенности факторов проявления угроз, и поэтому в большинстве случаев общие и частные показатели эффективности системы и методов защиты определяют эмпирически.
146
Сэкономленные потери можно трактовать как экономический выигрыш предприятия — прирост прибыли от применения предполагаемых мер защиты. В самом деле, потери от ненадежности выбранного варианта системы защиты предприятие вынуждено будет компенсировать за счет чистой прибыли1. И чем меньше потери, тем меньше отчисления от прибыли на компенсацию экономических потерь от проявлений угроз и тем большую сумму можно высвободить и направить, например, на развитие деятельности.
Размер выигрыша может иметь как положительное, так и отрицательное значение. В первом случае это означает, что использование системы защиты с предопределенными уровнем надежности и стоимостью обеспечит получение сопоставимого с ними прироста сэкономленных потерь. Во втором — вызовет лишь дополнительные относительно базового варианта системы защиты расходы, и сэкономленные потери будут меньше. При этом нужно учитывать, что потери от тех или иных угроз могут быть незначительными, хотя частота их повторения достаточно высока. Или вероятность проявления угрозы может быть минимальной, но ущерб при этом окажется значительным. Отсюда следует, что угрозы безопасности предприятия имеют различную приоритетность в выборе различных по надежности и стоимости методов и мер защиты от них.
