Экономическая оценка ущерба от реализации различного вида угроз

Второй этап — определение аспектов деятельности, уязвимых в защищаемом объекте. Для всех параметров и направлений деятельно­сти, определенных на первом этапе, необходимо установить, какие опасности могут угрожать каждому из них и что может послужить их причиной. В качества примера этого этапа можно использовать табли­цу, отражающую особенности реализации информационных угроз (табл. 4.3).

Таблица 4.3

Основные особенности реализации угроз информационной безопасности (применительно к АСОИ)

Виды угроз	Объекты воздействия
	Оборудование	Программы	Данные	Персонал
	Хищение	Несанк-	Хищение,	Разглашение,
Утечка информа­ции	носителей, подключение, несанкциони­рованное использование	циониро­ванное копирование, перехват	копия, перехват	халатность, передача сведений
Нарушение	Подключение, модификация, изменение	Внедрение специальных программ	Искажение, модификация	Вербовка, подкуп
целостности	режимов,
ин­формации	несанкциони­рованное
	использование ресурсов
Нарушение работоспо­собности системы	Изменение режимов, вывод из строя, нарушение	Искажение, подмена, удаление	Удаление, искажение	Уход, физическое устранение

Третий этап — оценка вероятности проявления (частоты реализа­ции) каждой из угроз с использованием одного из методов (или их совокупности):

· эмпирической оценки числа проявлений угрозы за некоторый пери­од. Как правило, этот метод применим для оценки вероятности

· проявлений естественных угроз (стихийных бедствий) путем накопления массива данных о них;

· непосредственной регистрации проявлений угроз — применим для оценки вероятности систематических угроз как часто повторяю­щихся событий;

· оценки частоты проявления угроз по специальной таблице коэффициентов (табл. 4.4).

Таблица 4.4

Анализ рисков угроз с использованием коэффициентов

Частота проявления	Коэффициент
Более одного раза в день
Один раз в день
в три дня
в неделю
в две недели
в месяц
в четыре месяца
в год
в-три года
Менее одного раза в три года

Четвертый этап — оценка величины потерь, ожидаемых в результате реализации любой из угроз безопасности. Ожидаемые величины по­терь следует рассматривать как некую функцию от уровня надежности применяемых в системе безопасности методов защиты.

Поэтому в выборе возможных методов защиты необходимо исхо­дить из оценок потенциального ущерба, обоснованных расчетами.

Пятый этап — анализ возможных методов защиты с оценкой их стоимости и эффективности. Выбор совокупности применяемых ме­тодов защиты (организационных, программных, технических), каж­дый из которых может реализовываться различными способами (ме­рами), обусловит соответствующий уровень надежности системы защиты, ее стоимость, величину потерь от возможного проявления угроз, последовательность, и эффективность этой системы.

Стоимость метода защиты — величина совокупных затрат на его разработку и реализацию (сопровождение). При оценке стоимости метода необходимо учитывать не только капитальные вложения (в проектирование или привязку к объекту, приобретение, монтаж и наладку технических средств, обучение персонала), но и эксплуатаци­онные расходы (материально-энергетические и трудовые затраты, амортизацию технических средств, накладные расходы).

Эффективность системы защиты — обобщающая характеристика ее способности противостоять угрозам безопасности предприятия. Эффективность метода защиты — частный показатель эффективно­сти системы защиты безопасности предприятия в целом.

Показатели эффективности системы и метода защиты можно рассчитывать как в относительном выражении, так и в абсолютном. В качестве показателя относительной эффективности системы защиты (или отдельного метода) можно использовать величину прироста сэкономленных потерь от применения выбранного варианта этой сис­темы (или метода), проектируемого взамен базового.

Абсолютная эффективность системы (метода) защиты можно вы­разить отношением прироста величины сэкономленных потерь к капи­тальным вложениям, обусловленным организацией проектируемого варианта системы (метода) защиты. Отметим, что оценить величину предполагаемого прироста сэкономленных потерь весьма сложно из-за неопределенности факторов проявления угроз, и поэтому в большин­стве случаев общие и частные показатели эффективности системы и методов защиты определяют эмпирически.

Величину сэкономленных потерь можно трактовать как экономи­ческий выигрыш предприятия — прирост прибыли от применения предполагаемых мер защиты. В самом деле, потери от ненадежности выбранного варианта системы защиты предприятие вынуждено будет компенсировать за счет чистой прибыли. И чем меньше потери, тем меньше отчисления от прибыли на компенсацию экономических по­терь от проявлений угроз и тем большую сумму можно высвободить и направить, например, на развитие деятельности.

Величина выигрыша может иметь как положительное, так и отрицательное значение. В первом случае это означает, что использование системы защиты с предопределенным уровнем надежности и стоимостью обеспечит получение сопоставимой с ними величины прироста сэкономленных потерь. Во втором случае вызовет лишь дополнитель­ные, относительно базового варианта системы защиты, расходы, и сэ­кономленные потери будут меньше. При этом нужно учитывать, что потери от тех или иных угроз могут быть незначительными, хотя ча­стота их повторения достаточно высока. Или вероятность проявления угрозы может быть минимальной, но ущерб при этом оказывается зна­чительным. Отсюда следует, что угрозы безопасности предприятия имеют различную приоритетность в выборе различных по надежнос­ти и стоимости методов и мер защиты от них.

Так, например, западноевропейские фирмы-производители оборудования для банковских систем защиты придерживаются такой приоритетности объективных и искусственных угроз, правда, по весьма ограниченному кругу объектов защиты [51]:

· для сейфовых комнат, хранилищ ценностей, компьютерных бан­ков данных — защита от чрезвычайных обстоятельств (пожаров, аварий, терроризма), от несанкционированного доступа и краж;

· для операционных залов — защита от несанкционированной за­писи или считывания информации, от чрезвычайных ситуаций.

Данный подход позволяет дифференцированно подойти к распределению ресурсов на обеспечение информационной безопасности.

В ранжировании угроз по частоте их проявления можно использо­вать мнения экспертов [51,61]: (1) копирование и кража программно­го обеспечения; (2) несанкционированный ввод информации в базу данного предприятия; (3) модификация или уничтожение информа­ционных файлов на магнитных носителях; (4) кража (съем) конфи­денциальной информации; (5) несанкционированное использование ресурсов компьютерной системы предприятия; (6) несанкциониро­ванный доступ к конфиденциальной информации.

Количественные оценки вероятности риска экономических потерь от проявления различных угроз оцениваются теми же экспертами сле­дующим образом (% от общих годовых потерь): потери от несанкцио­нированного доступа к конфиденциальной информации — 48; непред­сказуемые потери (технологические ошибки, отказы) — 35; потери от вирусных атак — 15; остальные потери — 2. Отсюда видно, что все-таки наибольшей приоритетностью в принятии эффективных защит­ных мер обладают угрозы информационной безопасности вообще (2/3 всех потерь) и несанкционированного доступа к конфиденциальной ин­формации в частности. Поэтому организация системы защиты конфиденциальной информации в комплексной безопасности предприятия имеет особое значение в повышении эффективности его деятельности. Можно предложить следующий подход, предусматривающий кон­кретизацию этапов анализа риска угроз, но уже по отношению к сис­теме защиты конфиденциальной информации:

· постановка задач защиты;

· планирование организации защиты;

· синтез и структурная оптимизация системы защиты;

· практическая реализация предпочтительного (оптимального) варианта системы защиты конфиденциальной информации, реа­лизация и поддержка политики безопасности. Исходные данные для формирования системы и постановки задач защиты конфиденциальной информации как совокупности правовых, организационных, информационно-программных и технических мер таковы:

· априорные требования об уровнях безопасности конфиденци­альной информации;

· характеристика сфер распространения конфиденциальной информации, циркулирующей на предприятии;

· эксплуатационные характеристики (в том числе надежностные и стоимостные) элементов программного и технического обеспече­ния системы защиты;

· затраты, планируемые предприятием на организацию защиты конфиденциальной информации.

Формулируемые в сложившейся теории [28, 31, 32, 46] требования к организации системы защиты связывают с неуязвимостью инфор­мации. Она предполагает достижение определенного сочетания трех свойств защищаемой информации: конфиденциальности, целостно­сти, готовности.

Свойство конфиденциальности означает, что засекреченная информация должна быть доступна только тем пользователям, которым она предназначена. Целостность: информация, на основе которой при­нимаются решения, должна быть достоверной и полной, защищена от возможных непреднамеренных и злоумышленных искажений. Готов­ность: информация должна быть доступна соответствующим службам в виде, предполагающем ее использование в решении управленческих задач. Невыполнение хотя бы одного из этих свойств и будет означать уязвимость системы защиты.

Определение априорных требований к защите, обеспечивающей неуязвимость (конфиденциальность) информации, можно свести к выбору класса защищенности, соответствующего специфическим особенностям предприятия — объекта защиты и допустимым сферам циркуляции его конфиденциальной информации. Каждый класс характеризуется определенной минимальной совокупностью требований к защите:

· 7 класс содержит только самые необходимые требования и наи­лучшим образом подходит для хозяйствующих субъектов, нахо­дящихся на начальных этапах автоматизации сбора и обработки информации и организации системы защиты;

· 6 класс включает требования к защите рабочих станций локальной вычислительной сети, в которой технология обработки данных не предусматривает передачи данных по внешним каналам связи;

· 5 класс описывает требования к системам защиты, применяемым в автоматизированных комплексах с распределенной обработкой данных;

· 4 класс предназначен для обеспечения решения задач защиты в автоматизированных комплексах, применяющих электронные платежи в межбанковских расчетах и (или) в системе «банк-кли­ент», характеризуется обеспечением целостности архивов элект­ронных документов;

· 3 класс — системы, отвечающие требованиям этого класса защиты, характеризуются большим числом субъектов и объектов доступа;

· 2 класс определяет использование полного набора механизмов (методов и мер) защиты на нескольких рубежах безопасности;

· 1 класс характеризуется, в отличие от предыдущих классов, наи­более развитой службой администрации безопасности, исполь­зующей возможности автоматизированной обработки данных и дистанционного управления системой защиты

ВЫВОДЫ

Поставленные цель и задачи в приемлемой степени были выполнены. В ходе работы были отработаны и скорректированы навыки работы с программами, входящими в пакет Microsoft Office (Word, Excel).