Экономика и организация безопасности хозяйствующих субъектов - Гусев В.С.
ISBN 5-299-00119-3
Скачать (прямая ссылка):
2-й класс определяет использование полного набора механизмов (методов и мер) защиты на нескольких рубежах безопасности;
1-й класс характеризуется наиболее развитой службой администрации безопасности, использующей возможности автоматизированной обработки данных и дистанционного управления системой защиты.
150
Постановка задач выявления и ослабления угроз безопасности предприятия будет содержать в себе требование обеспечить максимально достижимый уровень защиты конфиденциальной информации при предельно допустимых затратах. Задачи защиты ставят с учетом оценки угроз, исходящих от внешних и внутренних источников опасности. Внешним источникам, представляемым злоумышленниками и конкурентами, свойственны промышленный шпионаж, криминогенные угрозы доступа к информации для использования ее в корыстных целях, недобросовестная конкуренция. Для внутренних источников угроз характерны злонамеренные действия отдельных работников предприятия, главным образом из числа лиц, имеющих социально-психологические или моральные проблемы. Угрозы от внешних источников, будучи неподконтрольными (нерегулируемыми) со стороны предприятия, могут дестабилизи-рующе воздействовать на параметры его деятельности:
нарушать коммерческие интересы предприятия, вплоть до нанесения ему невосполнимых экономических потерь;
снижать деловую активность или способность предприятия выступать в качестве конкурирующей стороны на товарных рынках;
лишать предприятия научно-технического приоритета в соответствующих областях его деятельности.
Количественную оценку угроз, исходящих из различных источников, производят применительно к потенциальным каналам несанкционированного распространения конфиденциальной информации, каждый из которых интерпретируется как вариант несанкционированного доступа к ней. Поэтому целесообразность организации защиты конфиденциальной информации будет определяться размерами потенциального ущерба, причиняемого предприятию утечкой (разглашением, утратой) конфиденциальной информации по каналам несанкционированного доступа.
Чаще всего затраты И на организацию защиты конфиденциальной информации принимают пропорционально размеру
151
потенциального ущерба или упущенной выгоды предприятия от ее использования L:
M = ItL,
где к — коэффициент, учитывающий допустимые затраты на организацию защиты конфиденциальной информации в долях от потенциального ущерба или упущенной выгоды (от 0,05 до 0,2).
Если оценить размер упущенной выгоды L трудно, затраты на организацию защиты могут быть приняты пропорционально прибыли Я, получаемой предприятием за счет использования конфиденциальной информации:
// — Л/7.
По мнению экспертов, если затраты на организацию защиты от информационных угроз L на предприятии составили менее 5% упущенной выгоды или прибыли за счет использования своей конфиденциальной информации, то оно рискует собственной экономической безопасностью. Если же они превышают 20%, то целесообразно пересмотреть организацию (структуру средств) защиты конфиденциальной информации, чтобы сократить затраты на нее.
Планирование организации защиты от угроз информационной безопасности предусматривает синтез альтернативных вариантов средств защиты конфиденциальной информации, их структурную оптимизацию и технико-экономическую оценку.
Синтез средств защиты конфиденциальной информации заключается в выборе оптимального варианта структуры системы защиты (состава средств). Задача структурной оптимизации будет состоять в том, чтобы установить такую структуру информационного, программного и технического обеспечения системы, которая обеспечит максимальное значение уровня надежности защиты в фиксированный момент (интервал) времени при допустимых затратах.
152
Выбрать тот или иной вариант организации информационной защиты можно и по другим критериям оптимальности синтеза системы, например по показателю эффективности, отражающему соотношение «эффект/стоимость». За эффект здесь может приниматься значение ущерба от реализации угроз (сэкономленных потерь), а стоимость выражает совокупные затраты на ее организацию и эксплуатацию (издержки). Заслуживает внимания использование и такого дробно-линейного критерия, как технико-экономическая оценка системы защиты конфиденциальной информации — показатель ее предельной эффективности. Его можно определить как приращение контролируемого показателя качества (надежности) системы защиты (далее именуется выгодой объекта защиты) в расчете на единицу приращения издержек.
Таким образом, цель анализа риска состоит в выборе такой политики предприятия, которая позволит ему построить и реализовать оптимальный вариант собственной службы безопас-ности. После выявления и оценки вероятных угроз и рисков воз-никает необходимость разработать конкретную систему защиты предприятия и обосновать затраты на ее реализацию.
4.3. УЧЕТ ВЕРОЯТНОСТНЫХ ФАКТОРОВ УГРОЗ В ОПРЕДЕЛЕНИИ ЗАТРАТ НА БЕЗОПАСНОСТЬ
Не будет преувеличением сказать, что оценка вероятности реализации угроз и связанная с ней оценка возможных потерь — наиболее сложная и ответственная часть всего процесса обеспечения безопасности. От того, насколько, с одной стороны, достаточно полно выявлены реальные и прогнозируемые (потенциальные) угрозы, зависит в конечном итоге степень защищенности объекта. С другой стороны, сознательное превышение достаточности при учете тех угроз, влияние которых непосредственно на функционирование объекта маловероятно или локализация которых невозможна, или
