Полезное:
Как сделать разговор полезным и приятным
Как сделать объемную звезду своими руками
Как сделать то, что делать не хочется?
Как сделать погремушку
Как сделать так чтобы женщины сами знакомились с вами
Как сделать идею коммерческой
Как сделать хорошую растяжку ног?
Как сделать наш разум здоровым?
Как сделать, чтобы люди обманывали меньше
Вопрос 4. Как сделать так, чтобы вас уважали и ценили?
Как сделать лучше себе и другим людям
Как сделать свидание интересным?
Категории:
АрхитектураАстрономияБиологияГеографияГеологияИнформатикаИскусствоИсторияКулинарияКультураМаркетингМатематикаМедицинаМенеджментОхрана трудаПравоПроизводствоПсихологияРелигияСоциологияСпортТехникаФизикаФилософияХимияЭкологияЭкономикаЭлектроника
|
Анализ рисков угроз с использованием коэффициентов ⇐ ПредыдущаяСтр 2 из 2
Четвертый этап — оценка величины потерь, ожидаемых в результате реализации любой из угроз безопасности. Ожидаемые величины потерь следует рассматривать как некую функцию от уровня надежности применяемых в системе безопасности методов защиты. Поэтому в выборе возможных методов защиты необходимо исходить из оценок потенциального ущерба, обоснованных расчетами. Пятый этап — анализ возможных методов защиты с оценкой их стоимости и эффективности. Выбор совокупности применяемых методов защиты (организационных, программных, технических), каждый из которых может реализовываться различными способами (мерами), обусловит соответствующий уровень надежности системы защиты, ее стоимость, величину потерь от возможного проявления угроз, а'следовательно, и эффективность этой системы. Стоимость метода зашиты — величина совокупных затрат на его разработку и реализацию (сопровождение). При оценке стоимости метода необходимо учитывать не только капитальные вложения (в проектирование или привязку к объекту, приобретение, монтаж и наладку технических средств, обучение персонала), но и эксплуатационные расходы (материально-энергетические и трудовые затраты, амортизацию технических средств, накладные расходы). Эффективность системы защиты — обобщающая характеристика ее способности противостоять угрозам безопасности предприятия. Эффективность метода защиты — частный показатель эффективности системы защиты безопасности предприятия в целом. Показатели эффективности системы и метода защиты можно рассчитывать как в относительном выражении, так и в абсолютном. В качестве показателя относительной эффективности системы защиты (или отдельного метода) можно использовать величину прироста сэкономленных потерь от применения выбранного варианта этой системы (или метода), проектируемого взамен базового. Абсолютная эффективность системы (метода) защиты можно выразить отношением прироста величины сэкономленных потерь к капитальным вложениям, обусловленным организацией проектируемого варианта системы (метода) защиты. Отметим, что оценить величину предполагаемого прироста сэкономленных потерь весьма сложно из-за неопределенности факторов проявления угроз, и поэтому в большинстве случаев общие и частные показатели эффективности системы и методов защиты определяют эмпирически. Величину сэкономленных потерь можно трактовать как экономический выигрыш предприятия — прирост прибыли от применения предполагаемых мер защиты. В самом деле, потери от ненадежности выбранного варианта системы защиты предприятие вынуждено будет компенсировать за счет чистой прибыли.' И чем меньше потери, тем меньше отчисления от прибыли на компенсацию экономических потерь от проявлений угроз и тем большую сумму можно высвободить и направить, например, на развитие деятельности. Величина выигрыша может иметь как положительное, так и отрицательное значение. В первом случае это означает, что использование системы защиты с предопределенным уровнем надежности и стоимо- стью обеспечит получение сопоставимой с ними величины прироста сэкономленных потерь. Во втором случае вызовет лишь дополнительные, относительно базового варианта системы защиты, расходы, и сэкономленные потери будут меньше. При этом нужно учитывать, что потери от тех или иных угроз могут быть незначительными, хотя частота их повторения достаточно высока. Или вероятность проявления угрозы может быть минимальной, но ущерб при этом оказывается значительным. Отсюда следует, что угрозы безопасности предприятия имеют различную приоритетность в выборе различных по надежности и стоимости методов и мер защиты от них. Так, например, западноевропейские фирмы-производители оборудования для банковских систем защиты придерживаются такой приоритетности объективных и искусственных угроз, правда, по весьма ограниченному кругу объектов защиты [51]: • для сейфовых комнат, хранилищ ценностей, компьютерных банков данных — защита от чрезвычайных обстоятельств (пожаров, аварий, терроризма), от несанкционированного доступа и краж; • для операционных залов — защита от несанкционированной записи или считывания информации, от чрезвычайных ситуаций. Данный подход позволяет дифференцированно подойти к распределению ресурсов на обеспечение информационной безопасности. В ранжировании угроз по частоте их проявления можно использовать мнения экспертов [51,61]: (1) копирование и кража программного обеспечения; (2) несанкционированный ввод информации в базу дащшх предприятия; (3) модификация или уничтожение информационных файлов на магнитных носителях; (4) кража (съем) конфиденциальной информации; (5) несанкционированное использование ресурсов компьютерной системы предприятия; (6) несанкционированный доступ к конфиденциальной информации. Количественные оценки вероятности риска экономических потерь от проявления различных угроз оцениваются теми же экспертами следующим образом (% от общих годовых потерь): потери от несанкционированного доступа к конфиденциальной информации — 48; непредсказуемые потери (технологические ошибки, отказы) — 35; потери от вирусных атак — 15; остальные потери — 2. Отсюда видно, что все-таки наибольшей приоритетностью в принятии эффективных защитных мер обладают угрозы информационной безопасности вообще (2/3 всех потерь) и несанкционированного доступа к конфиденциальной информации в частности. Поэтому организация системы защиты конфи- денциальной информации в комплексной безопасности предприятия имеет особое значение в повышении эффективности его деятельности. Можно предложить следующий подход, предусматривающий конкретизацию этапов анализа риска угроз, но уже по отношению к системе защиты конфиденциальной информации: • постановка задач защиты; • планирование организации защиты; • синтез и структурная оптимизация системы защиты; • практическая реализация предпочтительного (оптимального) варианта системы защиты конфиденциальной информации, реализация и поддержка политики безопасности. Исходные данные для формирования системы и постановки задач защиты конфиденциальной информации как совокупности правовых, организационных, информационно-программных и технических мер таковы: • априорные требования об уровнях безопасности конфиденциальной информации; • характеристика сфер распространения конфиденциальной информации, циркулирующей на предприятии; • эксплуатационные характеристики (в том числе надежностные и стоимостные) элементов программного и технического обеспечения системы защиты; • затраты, планируемые предприятием на организацию защиты конфиденциальной информации. Формулируемые в сложившейся теории [28, 31, 32, 46] требования к организации системы защиты связывают с неуязвимостью информации. Она предполагает достижение определенного сочетания трех свойств защищаемой информации: конфиденциальности, целостности, готовности. Свойство конфиденциальности означает, что засекреченная информация должна быть доступна только тем пользователям, которым она предназначена. Целостность: информация, на основе которой принимаются решения, должна быть достоверной и полной, защищена от возможных непреднамеренных и злоумышленных искажений. Готовность: информация должна быть доступна соответствующим службам в виде, предполагающем ее использование в решении управленческих задач. Невыполнение хотя бы одного из этих свойств и будет означать уязвимость системы защиты. Определение априорных требований к защите, обеспечивающей неуязвимость (конфиденциальность) информации, можно свести к выбору класса защищенности, соответствующего специфическим особенностям предприятия — объекта защиты и допустимым сферам циркуляции его конфиденциальной информации. Каждый класс характеризуется определенной минимальной совокупностью требований к защите: • 7 класс содержит только самые необходимые требования и наилучшим образом подходит для хозяйствующих субъектов, находящихся на начальных этапах автоматизации сбора и обработки информации и организации системы защиты; • 6 класс включает требования к защите рабочих станций локальной вычислительной сети, в которой технология обработки данных не предусматривает передачи данных по внешним каналам связи; • 5 класс описывает требования к системам защиты, применяемым в автоматизированных комплексах с распределенной обработкой данных; • 4 класс предназначен для обеспечения решения задач защиты в автоматизированных комплексах, применяющих электронные платежи в межбанковских расчетах и (или) в системе «банк-клиент», характеризуется обеспечением целостности архивов электронных документов; • 3 класс — системы, отвечающие требованиям этого класса защиты, характеризуются большим числом субъектов и объектов доступа; • 2 класс определяет использование полного набора механизмов (методов и мер) защиты на нескольких рубежах безопасности; • 1 класс характеризуется, в отличие от предыдущих классов, наиболее развитой службой администрации безопасности, использующей возможности автоматизированной обработки данных и дистанционного управления системой защиты.
|