Файл: лекции по ксзи.pdf

ми руководства предприятия,  но  и состоянием и уровнем  эконо­
мического  развития,  как  предприятия,  так  и  рыночных отноше­
ний  в  целом.

Состояние защищенности не является постоянным и находит­

ся  в  прямой  зависимости  от  уровня  экономического  развития, 
прибыли  (дохода),  стоимости  материальных  ценностей  коммер­
ческого  предприятия.  При  этом  существуют  следующие  связи 
объективной  действительности:

•  увеличение  прибыли,  материальных  ценностей  влечет  необ­

ходимость  увеличения состояния  защищенности;

•  с увеличением  прибыли увеличиваются  опасности  и угрозы;
• увеличение опасностей и угроз вызывает необходимость улуч­

шения качества защиты  предприятия;

• с улучшением защищенности предприятия увеличиваются за­

траты  на  ее  обеспечение;

• увеличение уровня защиты коммерческого предприятия сни­

жает уровень  воздействия  угроз.

Таким образом, состояние защищенности коммерческого пред­

приятия находится  в  объективной  связи  как с  уровнем  экономи­

ческого развития, так и с возможностями угроз по нанесению ему 

материального ущерба. Перечисленные выше связи могут исполь­
зоваться  как  отдельные  законы  их состояния  и  развития.

1.4.  Разумная  достаточность  и  экономическая

эффективность

Достаточность  защиты  конкретного  предприятия  определяет 

его руководство,  исходя из своего представления и  оценки защи­
ты,  наличия необходимых ресурсов, перспектив и тому подобных 
факторов.  В  этом  случае  говорят  о  принимаемых  мерах  защиты 
по нейтрализации возможных угроз и опасностей.  Считается, что 
состояние  будет  достаточным,  если  предпринимаемые  меры  за­
щиты  будут  адекватными  характеру  и  действиям  возможных 

угроз.

Организация защиты коммерческого предприятия представля­

ется  процессом,  включающим  оценки двух  противоборствующих 
враждующих сторон:  с одной стороны  — это угрозы  и опасности, 
а с другой  —  силы  и  средства защиты.

Критерием уровня взаимодействия между силами является со­

стояние  защищенности,  зависящее  от факторов:

•  состояние  производственной,  хозяйственной  и  финансовой 

деятельности  предприятия;

•  уровень  обеспеченности  системы  защиты  материальными, 

техническими,  людскими  и  прочими ресурсами;

•  степень  подготовленности  кадров;
• состояние и уровень развития преступности в регионе и госу­

дарстве  и др.

Кривая 

1

  на рис.  1.1  характеризует  зависимость  состояния  за­

щищенности от уровня экономического развития предприятия [24]. 

В соответствии с принципом защищенности кривая 

1

 направлена 

вверх:  с увеличением уровня экономического развития предприя­

тия  защищенность  увеличивается.  Кривая 

2

 характеризует  зави­

симость  возможностей  угроз  по  нанесению ущерба  предприятию 
от  уровня  его  экономического  развития.  Закон  изменения  кри­
вой 

2

  выбран  при  условии,  что  уровень  развития  возможностей 

угроз  в  процессе  экономического  развития  коммерческого  пред­

приятия остается неизменным. Особенностью графика на рис.  1.1 
является то,  что оси 

S

 и 

N

 положительно направлены  в противо­

положные  стороны.

Кривая 

3

  —  результирующая;  она  отражает  разность  взаимо­

действия  сил: 

d =  S  -   N

 и  указывает  на  степень  достаточности 

защиты  коммерческого  предприятия.  Из  рис.  1.1  следует,  что  в 
точке равновесия  сил  (

Ra)

  5, = 

Nj9

  а поэтому 

d

 = 0.  Данное состо­

яние  для  коммерческого  предприятия  экономически  эффектив­

но,  так  как  при  этом  обеспечивается  соответствующая  (адекват­
ная)  угрозам  защита.

На участке  [0, 

Ra]  N> S,  d <

 0.  Заштрихованная область указы­

вает на преобладание возможностей сил угроз над способностями 
предприятия  им  противостоять.  Данный  участок  соответствует

Рис.  1.1.  Разумная  достаточность  защищенности  предприятия:

ось 

S —

  защищенность;  ось 

N —

  реализация  угроз;  ось 

R

  —  уровень  экономиче­

ского  развития  предприятия; 

Ra  —

  состояние,  при  котором  защищенность  пред­

приятия 

Sj

 такова,  что  отражает  все  угрозы  УѴ,;  кривая 

1

  характеризует  защищен­

ность  предприятия;  кривая 

2

 —  возможности  по  нанесению  ущерба;  кривая 

3  —

S\

Взаимодействие

противоборствующих 

1

СИЛ 

/  

1

недостаточной

защиты

защиты

результирующая  кривая

\

области  недостаточной  защиты  и  характеризуется  возможными 
избыточными потерями предприятия из-за низкого уровня защи­
щенности.  Для  этой  области  характерны:  низкий  уровень  защи­
щенности; недооценка угроз руководством предприятия; высокий 

уровень преступности;  низкий уровень экономического развития 
предприятия.

На  участке  [/?а,  + °°] 

N  <  S,

  поэтому 

d  >

  0.  Заштрихованная 

область  указывает  на  преобладание  защиты  над  возможностями 
сил  угроз.

Таким  образом,  только  в  состоянии  равновесия  противобор­

ствующих  сил  (при 

d

  =  0)  достаточность  защиты  является  той 

минимально  необходимой,  при  которой  затраты  на  обеспечение 
защиты  предприятия  будут  минимальными.  Такое  состояние  бу­

дет  указывать  на  уровень  защиты,  соответствующий  возможно­

стям угроз,  т. е.  будет  адекватно угрозам.

В  процессе управления безопасностью предприятия  сохранить 

состояние адекватности можно в одном из двух случаев.  Первый, 
когда  закон  зависимости  возможностей  воздействия  угроз  (кри­
вая 

2)

  после  точки  равновесия 

Ra

  не  изменится.  В  этом  случае 

состояние  защищенности  (кривая 

1)

 должно  будет  измениться  в 

направлении 

А.

Во втором случае с ростом  экономического развития предпри­

ятия  после  точки  адекватности 

Ra

  злоумышленники  будут  стре­

миться  увеличить  свои  возможности.  В  этом  случае  кривая 

2

 из­

менит  свое  первоначальное  направление  в  сторону  увеличения 

возможностей  (кривая 

В).

 Для удержания адекватного  (равновес­

ного),  экономически  эффективного  состояния  коммерческому 
предприятию  необходимо  изменить  состояние  защищенности  в 
сторону увеличения  (кривая  Q .

Таким образом, принцип разумной достаточности защиты ука­

зывает на то, что только прогнозированием и своевременной оцен­

кой  как  возможностей  угроз,  так  и  возможностей  сил  и  средств 

защиты  можно  эффективно  управлять  коммерческим  предприя­
тием,  обеспечивая  при  этом  адекватные  предпринимаемые  меры 
при  минимальных  экономических  затратах.

В условиях рыночной экономики любое предприятие при огра­

ниченности  финансов  имеет  широкий  спектр  инвестиционных 
возможностей,  поэтому  возникает  задача  оптимизации  инвести­

ционного  портфеля. Для ее  решения  необходимо  правильно оце­

нивать  эффективность  инвестиционных  проектов.  Это  положе­
ние справедливо для информационных технологий  (ИТ), которые 

менеджеры,  принимающие  инвестиционные  решения,  рассмат­
ривают прежде всего как средство решения задач бизнеса:  сниже­
ние  издержек  производства,  повышение  эффективности  критич­
ных для данного вида бизнеса операций и т.д.  Здесь однако суще­
ствует исключение: цели инвестиций в КСЗИ отличаются от стан­

дартных  целей  ИТ-инвестиций,  поскольку  инвестор  не  может 

ожидать непосредственного  возврата  инвестиций.  В  связи  с  этим 
с  экономической  точки  зрения  инвестиции  в  КСЗИ:

• имеют целью предотвращение (снижение) ущерба от возмож­

ного  нарушения  ИБ,  а  не  получение  дополнительных  экономи­
ческих  выгод;

•  представляют  собой  специфический  экономический  ущерб 

для  предприятия;

•  целесообразны,  если  их  размер  не  превышает  величину  воз­

можного  ущерба.

Эти  идеи  определяют  основные  направления  инвестиционно­

го  анализа  КСЗИ,  а  именно  оценку  ущерба  в  случае  реализации 
угроз ИБ; оценку затрат на создание систем ИБ; обоснование эко­
номически  эффективной  КСЗИ.

Методы оценки ущерба (рисков) рассмотрены в разд. 6.4.  Пока 

лишь отметим,  что в самом простом случае этот анализ можно  не 

проводить,  а  использовать  какой-то  базовый  набор  угроз.  Для 

противодействия  этим  угрозам  принимается  типовой  набор  ре­
шений  по  ИБ  вне  зависимости  от  вероятности  их осуществления 
и  уязвимости  объектов  ИБ.  Подобный  подход  приемлем,  если 
ценность объектов  ИБ оценивается  не  слишком  высоко.

В  этом  случае  затраты  на  аппаратно-программные  средства 

ИБ  и  организационные  мероприятия,  необходимые  для  соот­

ветствия  КСЗИ  базовым  спецификациям,  являются  обязатель­
ными.  Как  правило,  затраты  на  ИБ  не  превышают  15 — 20% 
средств,  затрачиваемых  на  ИТ.  Обычно  проводится  анализ  по 
критерию  стоимость/эффективность  нескольких  вариантов 

КСЗИ.  В  зависимости  от степени  готовности  предприятия  к со­

вершенствованию КСЗИ и характера основной деятельности обо­
снование  допустимого  уровня  риска  может  проводиться  разны­
ми  способами.

В  настоящее  время  распространен  анализ  различных  вариан­

тов  обеспечения  И Б  по  критерию  стоимость/эффективность. 

В  общем  случае  предприятие  может  реализовать два  предельных 
инвестиционных  решения:

1)  не  производить  инвестиций,  допуская  возможность  нанесе­

ния любого  ущерба;

2)  осуществить  максимально  возможные  инвестиции  (реально 

ограниченные  платежеспособностью).

Второе  решение  позволяет  комплексно  реализовать  правовые, 

организационные, технические и морально-этические меры, обес­

печивающие  повышенную  надежность  КСЗИ,  но такие  решения 

очень дороги.

Очевидно,  что  предприятие,  с одной стороны,  не должно  при­

держиваться первой линии поведения, а с другой стороны, не всегда 

может реализовывать вторую.  Компромиссом  может быть одно из

множества  «промежуточных»  решений,  которые,  тем  не  менее, 
сводятся  к одному из  следующих вариантов:

1) стоимость КСЗИ не должна превышать определенную сумму, 

например  более  20 %  стоимости  информационной  системы,  — 

в  этом  случае  ставится  задача  поиска  варианта  обеспечения  ИБ, 

минимизирующего  уровень  интегральных рисков;

2)  уровень  рисков  не  должен  превышать  некоторое  значение, 

например «очень низкий уровень», в этом случае необходимо найти 
вариант  решений  по  обеспечению  ИБ,  минимизирующий  сто­
имость.

Следует иметь в виду, что ущерб от нарушения ИБ может быть 

значительно  ниже  стоимости  КСЗИ  (т. е.  речь идет об  избыточно 
надежной  КСЗИ).  Следовательно,  основной  ущерб  предприятия 
связан  не  с  потерями  от  нарушения  ИБ,  а  с  чрезмерно  высокой 
стоимостью  системы,  поэтому инвестиции  в создание  и эксплуа­

тацию  КСЗИ  должны  быть  сбалансированными  и  соответство­

вать масштабу угроз.

Такой  качественный  анализ  показывает,  что  в  инвестицион­

ном  диапазоне  существует  оптимальное  значение  инвестиций  в 
КСЗИ,  минимизирующее  общий  ущерб  при  нарушениях  ИБ. 
Именно  в  этом  смысле  рассматривается  задача  создания  эконо­

мически  оптимальной  КСЗИ.

Типичная  зависимость  уровня  ущерба  от  стоимости  КСЗИ, 

полученная при условии уменьшения вероятности нанесения ущер­
ба  Рущ  (уменьшения  уязвимости 

Ру)

  с ростом  стоимости  системы 

приведена на рис.  1.2.  Из рисунка следует,  что  применение даже 
недорогих способов и средств обеспечения ИБ резко снижает сум­
марный ущерб.  Поэтому инвестиции в  КСЗИ даже  в сравнитель­
но  небольших  размерах  очень  эффективны,  а  кривая  ущерба  в 
некоторой точке имеет наименьшее значение, которое можно счи­

тать  оптимальным.

Рост  затрат  на  КСЗИ  выше  оптимального  значения  ведет  к 

увеличению  суммарных затрат.  В  этом  случае  повышение  надеж­
ности  КСЗИ  и  соответствующее  снижение  вероятности  ущерба 
нивелируются  чрезмерно  высокой  стоимостью  самой  системы.

Рис.  1.2.  Зависимость  ущерба  от  стоимости  системы  информационной

безопасности  (СИБ)

Ущерб

Уровень

наименьших

потерь

Оптимальное

значение

Стоимость

СИБ