• Получить достаточное количество статистических данных о проявлениях этих угроз и их последствиях для определения уровня ущерба от реализации каждой из угроз экономической информации. По России такая статистика практически отсутствует, тогда как в США сбору и обработке этих данных уделяется большое внимание. В результате этого получено большое количество данных по ряду угроз, которые могут быть положены в основу данных расчетов (глава 2). • Дать оценку ожидаемых потерь при нарушении защищенности информации. В принципе это возможно лишь тогда, когда речь идет о защите информации, которую как-то можно оценить, в основном экономической, промышленной, коммерческой и им подобной. • Оценить надежность элементов системы защиты. На текущий момент нет общепринятой методики оценки защищенности компьютерных систем, как нет и общетеоретического подхода к решению данной проблемы. Поэтому возникает проблема разработки методики, с помощью которой можно было бы с достаточной точностью оценить надежность как отдельных элементов защиты, так и системы защиты в целом. В обосновании затрат на систему информационной безопасности в кредитной организации существует два основных подхода 4. Первый подход заключается в том, чтобы освоить, а затем и применить на практике необходимый инструментарий измерения уровня информационной безопасности. Для этого необходимо привлечь руководство кредитной организации (как ее собственника) к оценке стоимости информационных ресурсов, определению оценки потенциального ущерба от нарушений в области информационной безопасности. От результатов этих оценок будет во многом зависеть дальнейшая деятельность руководителей в области информационной безопасности. Если информация ничего не стоит, существенных угроз для информационных активов кредитных организаций нет, а потенциальный ущерб минимален, то проблемой обеспечения 70 21 Информационная безопасность: экономические аспекты// Петренко С., Симонов С., К ислой Р. Jet Info Online. 2003. № 10. |
теории множеств, и в теории графов имеются средства для представления всех трех перечисленных компонентов описания систем. Для описания процессов функционирования стохастических систем необходимы средства отображения влияния случайных факторов. Такие средства содержатся в целом ряде достаточно хорошо разработанных к настоящему времени методов: статистических испытаний, теории массового обслуживания, теории вероятностных автоматов и др. 2.2. Подходы к обоснованию затрат на информационную безопасность В обосновании затрат на систему информационной безопасности предприятия существует два основных подхода1. П ервы й подход заключается в том, чтобы освоить, а затем и применить на практике необходимый инструментарий измерения уровня информационной безопасности. Для этого необходимо привлечь руководство компании (как ее собственника) к оценке стоимости информационных ресурсов, определению оценки потенциального ущерба от нарушений в области информационной безопасности. От результатов этих оценок будет во многом зависеть дальнейшая деятелыюсть руководителей в области информационной безопасности. Если информация ничего не стоит, существенных угроз для информационных активов компании нет, а потенциальный ущерб минимален, то проблемой обеспечения информационной безопасности можно не заниматься. Если информация обладает определенной стоимостью, угрозы и потенциальный ущерб ясны, тогда встает вопрос о внесении в бюджет компании расходов па систему ИБ. В этом случае становится необходимым заручиться поддержкой руководства компании в осознании проблем 59 1Петренко С., Симонов С., Каслов Р. Информационная безопасность: экономические аспекты// Jet Info Online. 2003.. — № 10. Фактически для экономически выгодного приобретения набора средств защиты информации компьютерных систем, необходимо решить ряд задач: 1. Рассмотрев предполагаемые угрозы информации, выбрать те из них, которые действительно могут иметь место в конкретном случае, и определить уровень ущерба от реализации каждой из этих угроз. 2. Получить достаточное количество статистических данных о проявлениях этих угроз и их последствиях для определения уровня ущерба от реализации каждой из угроз экономической информации. По России такая статистика практически отсутствует, тогда как в США сбору и обработке этих данных уделяется большое внимание. В результате этого получено большое количество данных по ряду угроз, которые могут быть положены в основу данных расчетов. 3. Дать оценку ожидаемых потерь, при нарушении защищенности информации. В принципе это возможно лишь тогда, когда речь идет о защите информации, которую как-то можно оценить, в основном экономической, промышленной, коммерческой и им подобной. 4. Оценить надежность элементов системы защиты. На текущий момент нет общепринятой методики оценки защищенности компьютерных систем, как нет и общетеоретического подхода к решению данной проблемы. Поэтому возникает проблема разработки методики, с помощью которой можно было бы с достаточной точностью оценить надежность как отдельных элементов защиты, так и системы защиты в целом. Рассмотрим далее модели решения проблемы создания структуры СИБ предприятия. В общем случае полагаем» что задано множество информационных угроз (ИУ), которые могут возникнуть в информационной системе предприятия, и множество аппаратных и программных средств защиты (03), с помощью которых эти угрозы могут быть нейтрализованы. Причем для каждого сочетания ИУ-СЗ определено число r\(ij) эффективность нейтрализации i-м 75 |