Экономика и организация безопасности хозяйствующих субъектов - Гусев В.С.
ISBN 5-299-00119-3
Скачать (прямая ссылка):
Оптимизация распределения ресурсов по зонам защиты обеспечивает экономически обоснованный выбор для каждой из них и предприятия в целом состав комплекса специальных технических средств. Критерием оптимальности этой композиции можно выбрать сумму средних потерь от реализации угроз и затрат на систему защиты предприятия.
При оптимизации ресурсов необходимо учитывать некоторые ограничения. Во-первых, значения Ьц должны отражать существующие рыночные цены на технические средства противодействия угрозам и их установку применительно к конкретной зоне защиты. Во-вторых, необходимо использовать значения Ь.р дисконтированные к одному сроку службы Т. И наконец, в-третьих, все затраты не должны превышать некоторой выделенной на /-й период общей суммы расходов на безопасность.
Должны быть включены и ограничения проектируемого уровня надежности системы не ниже допустимого по соображениям сохранения конфиденциальности информации.
(4.4)
158
Более простой и сопоставимый по точности метод оценки риска угроз безопасности и расчета затрат на намечаемые меры защиты можно применить, используя предложенную ранее методику декомпозиции видов угроз, соответствующих защитных мер и затрат по координатам «кубика безопасности» (рис. 4.1-4.4).
Обозначим вероятность реализации у-й угрозы в отношении к-го защищаемого элемента при неиспользовании i-ro способа (метода) защиты P е а ущерб предприятия от ее реализации Lijk. Тогда математическое ожидание ущерба от реализации ijk-й угрозы
MN = PlJkLm (Z- Щ] = Г7Ж; к = Т7~К) (4.5)
Очевидно, что математическое ожидание ущерба от реализации у-й угрозы в результате неиспользования i-ro способа (метода) защиты по всем к защищаемым элементам в этом случае будет
^=ЕРЛ* J-IM) (4.6)
к
Соответственно математическое ожидание ущерба от реализации всех угроз в отношении к-го защищаемого элемента при неприменении i-ro способа (метода) защиты составит
М*=2ЛА* (1-Щк-ТК) (4.7)
;
Математическое ожидание ущерба от неприменения всех способов (методов) защиты к-го элемента от у-й угрозы
'IJk
(/-1,Af; Jt-1,/0
(4.8)
159
Тогда, очевидно, максимально допустимые затраты на систему обеспечения безопасности предприятия (т. е. затраты на ее содержание не должны превышать полное математическое ожидание ущерба от реализации всех угроз в отношении всех защищаемых элементов при применении всех методов защиты) будут равны полному математическому ожиданию ущерба от их реализации:
Оптимальность затрат на организацию защиты определяется на периоде, в течение которого функционирует предприятие. Этот период должен (по крайней мере) равняться периоду Т, на котором определялась вероятность реализации угроз.
Если же для различных видов угроз периоды определения вероятности их реализации отличаются, то здесь появится некоторая неопределенность. Так, если в качестве расчетного периода принять период минимальной длительности, то, с одной стороны, это увеличивает затраты на защиту от тех угроз, вероятность реализации которых определялась на более продолжительном периоде. С другой стороны, в течение короткого периода не все виды угроз могут реализоваться, а значит, они могут быть и не учтены в принятии мер защиты от них. Тогда при реализации проектируемой системы возникает опасность проявления неучтенных угроз, обусловливающих дополнительный ущерб и превышение связанных с их локализацией затрат. При этом система защиты может оказаться нерентабельной, не решающей к тому же задачи обеспечения безопасности.
Неопределенность в проявлении различных угроз в краткосрочных периодах можно разрешить организацией статистики этих проявлений и актуализацией по накопленным статистическим данным структуры, функций и затрат на систему безопасности.
Рассмотрим теперь ситуацию, когда расчетный период, на котором определялась вероятность реализации угроз, принимал
160
ся достаточно продолжительным. В этом случае в целом по периоду затраты на систему безопасности будут минимальными, но в отдельные промежутки времени (когда может реализоваться угроза с вероятностью, определенной на более коротких периодах) ущерб от реализации угроз может превысить затраты на систему безопасности. И тогда она может оказаться нерентабельной (с точки зрения рентабельности предприятия в целом) и не выполнит на этом коротком периоде свою задачу.
Возможный выход из такого противоречия — применение минимаксного подхода теории игр. Он предполагает достижение минимума затрат на такую систему безопасности, которая обеспечивает максимальную результативность. То есть обеспечивает защиту от максимально допустимого ущерба как результата реализации угрозы, вероятность проявления которой определялась на коротком периоде и размер ущерба от которой может на этом периоде необратимо дестабилизировать деятельность предприятия. Естественно, минимаксный подход целесообразен, если различающихся по продолжительности периодов, на которых определялись вероятности реализации угроз, будет более двух.
Из анализа риска угроз (п. 3.2) следует, что получение большей прибыли оказывается связанным и с возможностью больших потерь, т. е. при меньших издержках защиты — больше математическое ожидание ущерба. При этом зачастую традиционные вероятностные методы не позволяют выбрать предпочтительный, компромиссный вариант. В этом плане компромисс между значениями издержек, прибыли и средними значениями экономических потерь от реализации угроз можно установить с помощью аппарата теории полезности [55].
