Файловый архив студентов. Файловый архив студентов.
1306 вузов, 5198 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный исследовательский университет «Высшая школа экономики»
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Л-4 ФЭО ИБ.doc
Скачиваний:
0
Добавлен:
01.07.2025
Размер:
429.06 Кб
Скачать
►Содержание►

Уровень остаточного риска

Rост

Оптимальная величина затрат Sопт s

Рис.5. График зависимости величины риска от затрат на обеспечение ИБ

Необходимо заметить, что наличие остаточной величины информационного риска при оптимальных затратах ограничивает применение данной модели областью коммерческой тайны, что весьма важно и объясняет невозможность сохранения такого подхода для ХС, имеющих отношение к государственной, военной тайны.

Практика реализации мероприятий по обеспечению ИБ подтверждает, что экономически оптимальная СЗИ не является самой безопасной. Более того, вероятность ущерба от несанкционированных действий при реализации такой системы может значительно превышать минимально возможные значения показателей безопасности информации. Поэтому данный подход актуален только для соображений экономической целесообразности.

Сл. 23. Рассмотрим возможность адаптации требований информационной безопасности к размеру возможного ущерба. На рис.6 приведена качественная зависимость вероятности нанесения ущерба информационным ресурсам ХС от величины этого ущерба при δR/δS < 0, т.е. область, когда любые затраты на СОИБ будут сопровождаться снижением риска.

Вид данной кривой базируется на предположении о том, что более высокий уровень безопасности достигается за счет увеличения затрат на СОИБ, что вполне логично.

Рис.6. Зависимость вероятности нанесения ущерба информационным ресурсам ХС от величины ущерба при δR/δS < 0

Рассмотрим другие варианты.

Вероятность нанесения ущерба информационным ресурсам ХС не зависит от затрат на СОИБ (δR/δS = 0). Несмотря на кажущееся противоречие в данном суждении, такой случай правдоподобен. Например, если организация-подрядчик, осуществляющая проектирование СОИБ, предлагает своему заказчику заведомо более дорогое решение, хотя такой же уровень безопасности может быть достигнут и меньшими затратами. Такой подход представляется вполне современным.

Следовательно, такое недобросовестное решение приводит к зависимости риска безопасности ХС (риск нанесения материального ущерба) от стоимости СЗИ вида, который показан на рис.7.

Рис.7. График зависимости риска безопасности ХС от стоимости СОИБ при δR/δS = 0

На графике величина P – вероятность, с которой ХС может столкнуться с недобросовестным решением по организации СОИБ. Стрелкой показано направление изменения риска при увеличении вероятности P.

Следовательно, риск нанесения материального ущерба ХС при одном и том же уровне затрат на СОИБ, равном Si, может быть выражен величиной R = Rimax - Rimin, при вероятности 0  P  1. Обратим внимание, что риск информационной безопасности при этом не изменится.

Подобная зависимость технических характеристик СОИБ от затрат на нее может иметь место и в случае монополизма поставщика, инфляционных процессах в экономике, недобросовестной конкуренции.

Таким образом, если существующая на предприятии СОИБ обладает достаточными характеристиками безопасности, то в целях снижения риска безопасности ХС целесообразно добиваться снижения затрат на систему. Если же изначально характеристики системы неудовлетворительны, то целесообразно отказаться от ее реализации.

Возможен также случай, когда уровень некоторой интегральной характеристики СОИБ имеет тенденцию к снижению с ростом ее стоимости (δR/δS > 0). Это возможно, если например, для дальнейшего совершенствования СОИБ применяются некоторые программные, технические и др. средства защиты, которые содержат скрытые ошибки.

В этом случае зависимость риска нанесения материального ущерба ХС от уровня затрат на СОИБ показана на рис.8, где для сравнения пунктиром показан риск при δR/δS < 0. В связи с тем, что общий уровень риска возрастает во всем стоимостном диапазоне (заштрихованная область), необходимо провести более тщательный анализ и поиск оптимального решения.

Рис.8. График зависимости риска безопасности ХС от стоимости СОИБ при δR/δS = 0

Стоимость СОИБ можно существенно снизить при использовании страховых инструментов. Эффективность этого метода во многом зависит от точности определения, во-первых - страховой стоимости защищаемых информационных ресурсов, а во-вторых - вероятности реализации угроз ИБ.

Практическая реализация механизма страхования информации затрудняется отсутствием действенных и достаточно точных методик определению стоимости информационных ресурсов.

Отметим, что оптимальная по затратам СОИБ наиболее целесообразна для экономически самостоятельных ХС, которые в своей деятельности вынуждены соблюдать баланс между затратами ИБ и возможным ущербом. Оценка экономически оптимальных параметров должна являться основой формирования конкретного технического облика СОИБ. Однако современная практика, ориентированная на создание СОИБ в соответствии с выделяемым бюджетом, не имеющим обоснования по критериям «стоимость информации - возможный ущерб - риски», оставляет вероятность экономического проигрыша ХС существенной.

33

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности