Общая стоимость закрытия (защиты ) информационных ресурсов (комплексный подход)
Стоимость защиты информационных ресурсов на практике оценивается величиной стоимости каждого из её компонентов:
Стоимость организационных мероприятий;
Стоимость программной реализации ЗИ;
Стоимость аппаратной реализации;
и т.д.
Стоимость ЗИ = стоимость организационных мероприятий (Сом) + стоимость программной реализации (Спр) + стоимость аппаратной реализации (Сап).
На практике можно описать в виде следующей линейной функции
Сом = Ком*Nсс
Ком (важность ом)
Ncc (сложность реализации ом)
Спр = Кпр*(Ncc)nпр
Сап = Кап*exp Ncc
Представленные в графическом виде стоимостные показатели стоимостного ресурса позволяет сделать выводы (с учётом сложности защищаемой системы):
Затраты на защиту с помощью ом меньше, чем стоимость аппаратных и программных и их применение наиболее целесообразно
B. Затраты на защиту пр меньше, чем ом и ар, следовательно пр наиболее целесообразно.
C. Затраты на ар меньше ,чем на ом и пр, следовательно ар наиболее целесообразно.
Итог: в основе принимаемых решений – итоговая стоимость защищаемых ресурсов должна стремиться к минимуму.
Экономика ЗИ на основе соотношения стоимости: атака – защита
При создании и использовании экономически выгодных (эффективных) СЗИ на практике рассматривается соотношение: атака-защита.
Если затраты равны стоимости защищаемого ресурса, то считается, что ресурс является надёжно защищенным
Если затраты на защиту информационных ресурсов, то такая защита рассматривается не целесообразной.
Проблемным в данном подходе является. что стоимость защищаемого информационного ресурса и стоимость проводимых мер защиты постоянно изменяются во времени.
Стоимость защищаемых ресурсов на практике определяется:
Затратами на её создание, прибылью которою может принести данный ресурс
Наличие конкурирующих ресурсов на рынке.
Таким образом, на практике сложились следующие соотношения по стоимости атак и стоимости защиты:
В общем виде
Са <<Стоимость ресурса (Ср)
Стоимость защиты (Сз)<<Стоимость ресурса(Ср)
Са<Ср
Сз<10%∑ср.
Даже при такой установке процесс ЗИ является вероятностным процессом, поэтому в аналитической сфере практической деятельности вероятность взлома СЗИ представляет собой как отношение числа успешных попыток взлома системы к общему числу попыток (с группированным по виду атак):
Рвзл. сзи = ∑П ус. ат. i/∑ П∑ат. i
i i
i – число атак
Оценка экономических затрат на зи
В настоящее время при определении затрат на ЗИ учитывают виды затрат:
Прямые затраты
Единовременные
Проектирование и разработка СЗИ
Приобретение готовых компонентов (средств) по ЗИ
Внедрение (интеграция СЗИ) в бизнес процессах
Обучение персонала
Консалтинг (привлечение внешних специалистов)
Системные (ежегодные)
тех поддержка и сопровождение
Оплата и работа персонала
Оплата услуг связи
Косвенные затраты
расходы I группы (сбои в работе СЗИ)
расходы II группы (низкая организация и тех. поддержка)
Соотношение уровней затрат от уровня остаточного риска