ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.12.2020
Просмотров: 4225
Скачиваний: 25
ми руководства предприятия, но и состоянием и уровнем эконо
мического развития, как предприятия, так и рыночных отноше
ний в целом.
Состояние защищенности не является постоянным и находит
ся в прямой зависимости от уровня экономического развития,
прибыли (дохода), стоимости материальных ценностей коммер
ческого предприятия. При этом существуют следующие связи
объективной действительности:
• увеличение прибыли, материальных ценностей влечет необ
ходимость увеличения состояния защищенности;
• с увеличением прибыли увеличиваются опасности и угрозы;
• увеличение опасностей и угроз вызывает необходимость улуч
шения качества защиты предприятия;
• с улучшением защищенности предприятия увеличиваются за
траты на ее обеспечение;
• увеличение уровня защиты коммерческого предприятия сни
жает уровень воздействия угроз.
Таким образом, состояние защищенности коммерческого пред
приятия находится в объективной связи как с уровнем экономи
ческого развития, так и с возможностями угроз по нанесению ему
материального ущерба. Перечисленные выше связи могут исполь
зоваться как отдельные законы их состояния и развития.
1.4. Разумная достаточность и экономическая
эффективность
Достаточность защиты конкретного предприятия определяет
его руководство, исходя из своего представления и оценки защи
ты, наличия необходимых ресурсов, перспектив и тому подобных
факторов. В этом случае говорят о принимаемых мерах защиты
по нейтрализации возможных угроз и опасностей. Считается, что
состояние будет достаточным, если предпринимаемые меры за
щиты будут адекватными характеру и действиям возможных
угроз.
Организация защиты коммерческого предприятия представля
ется процессом, включающим оценки двух противоборствующих
враждующих сторон: с одной стороны — это угрозы и опасности,
а с другой — силы и средства защиты.
Критерием уровня взаимодействия между силами является со
стояние защищенности, зависящее от факторов:
• состояние производственной, хозяйственной и финансовой
деятельности предприятия;
• уровень обеспеченности системы защиты материальными,
техническими, людскими и прочими ресурсами;
• степень подготовленности кадров;
• состояние и уровень развития преступности в регионе и госу
дарстве и др.
Кривая
1
на рис. 1.1 характеризует зависимость состояния за
щищенности от уровня экономического развития предприятия [24].
В соответствии с принципом защищенности кривая
1
направлена
вверх: с увеличением уровня экономического развития предприя
тия защищенность увеличивается. Кривая
2
характеризует зави
симость возможностей угроз по нанесению ущерба предприятию
от уровня его экономического развития. Закон изменения кри
вой
2
выбран при условии, что уровень развития возможностей
угроз в процессе экономического развития коммерческого пред
приятия остается неизменным. Особенностью графика на рис. 1.1
является то, что оси
S
и
N
положительно направлены в противо
положные стороны.
Кривая
3
— результирующая; она отражает разность взаимо
действия сил:
d = S - N
и указывает на степень достаточности
защиты коммерческого предприятия. Из рис. 1.1 следует, что в
точке равновесия сил (
Ra)
5, =
Nj9
а поэтому
d
= 0. Данное состо
яние для коммерческого предприятия экономически эффектив
но, так как при этом обеспечивается соответствующая (адекват
ная) угрозам защита.
На участке [0,
Ra] N> S, d <
0. Заштрихованная область указы
вает на преобладание возможностей сил угроз над способностями
предприятия им противостоять. Данный участок соответствует
Рис. 1.1. Разумная достаточность защищенности предприятия:
ось
S —
защищенность; ось
N —
реализация угроз; ось
R
— уровень экономиче
ского развития предприятия;
Ra —
состояние, при котором защищенность пред
приятия
Sj
такова, что отражает все угрозы УѴ,; кривая
1
характеризует защищен
ность предприятия; кривая
2
— возможности по нанесению ущерба; кривая
3 —
S\
Взаимодействие
противоборствующих
1
СИЛ
/
1
недостаточной
защиты
защиты
результирующая кривая
\
области недостаточной защиты и характеризуется возможными
избыточными потерями предприятия из-за низкого уровня защи
щенности. Для этой области характерны: низкий уровень защи
щенности; недооценка угроз руководством предприятия; высокий
уровень преступности; низкий уровень экономического развития
предприятия.
На участке [/?а, + °°]
N < S,
поэтому
d >
0. Заштрихованная
область указывает на преобладание защиты над возможностями
сил угроз.
Таким образом, только в состоянии равновесия противобор
ствующих сил (при
d
= 0) достаточность защиты является той
минимально необходимой, при которой затраты на обеспечение
защиты предприятия будут минимальными. Такое состояние бу
дет указывать на уровень защиты, соответствующий возможно
стям угроз, т. е. будет адекватно угрозам.
В процессе управления безопасностью предприятия сохранить
состояние адекватности можно в одном из двух случаев. Первый,
когда закон зависимости возможностей воздействия угроз (кри
вая
2)
после точки равновесия
Ra
не изменится. В этом случае
состояние защищенности (кривая
1)
должно будет измениться в
направлении
А.
Во втором случае с ростом экономического развития предпри
ятия после точки адекватности
Ra
злоумышленники будут стре
миться увеличить свои возможности. В этом случае кривая
2
из
менит свое первоначальное направление в сторону увеличения
возможностей (кривая
В).
Для удержания адекватного (равновес
ного), экономически эффективного состояния коммерческому
предприятию необходимо изменить состояние защищенности в
сторону увеличения (кривая Q .
Таким образом, принцип разумной достаточности защиты ука
зывает на то, что только прогнозированием и своевременной оцен
кой как возможностей угроз, так и возможностей сил и средств
защиты можно эффективно управлять коммерческим предприя
тием, обеспечивая при этом адекватные предпринимаемые меры
при минимальных экономических затратах.
В условиях рыночной экономики любое предприятие при огра
ниченности финансов имеет широкий спектр инвестиционных
возможностей, поэтому возникает задача оптимизации инвести
ционного портфеля. Для ее решения необходимо правильно оце
нивать эффективность инвестиционных проектов. Это положе
ние справедливо для информационных технологий (ИТ), которые
менеджеры, принимающие инвестиционные решения, рассмат
ривают прежде всего как средство решения задач бизнеса: сниже
ние издержек производства, повышение эффективности критич
ных для данного вида бизнеса операций и т.д. Здесь однако суще
ствует исключение: цели инвестиций в КСЗИ отличаются от стан
дартных целей ИТ-инвестиций, поскольку инвестор не может
ожидать непосредственного возврата инвестиций. В связи с этим
с экономической точки зрения инвестиции в КСЗИ:
• имеют целью предотвращение (снижение) ущерба от возмож
ного нарушения ИБ, а не получение дополнительных экономи
ческих выгод;
• представляют собой специфический экономический ущерб
для предприятия;
• целесообразны, если их размер не превышает величину воз
можного ущерба.
Эти идеи определяют основные направления инвестиционно
го анализа КСЗИ, а именно оценку ущерба в случае реализации
угроз ИБ; оценку затрат на создание систем ИБ; обоснование эко
номически эффективной КСЗИ.
Методы оценки ущерба (рисков) рассмотрены в разд. 6.4. Пока
лишь отметим, что в самом простом случае этот анализ можно не
проводить, а использовать какой-то базовый набор угроз. Для
противодействия этим угрозам принимается типовой набор ре
шений по ИБ вне зависимости от вероятности их осуществления
и уязвимости объектов ИБ. Подобный подход приемлем, если
ценность объектов ИБ оценивается не слишком высоко.
В этом случае затраты на аппаратно-программные средства
ИБ и организационные мероприятия, необходимые для соот
ветствия КСЗИ базовым спецификациям, являются обязатель
ными. Как правило, затраты на ИБ не превышают 15 — 20%
средств, затрачиваемых на ИТ. Обычно проводится анализ по
критерию стоимость/эффективность нескольких вариантов
КСЗИ. В зависимости от степени готовности предприятия к со
вершенствованию КСЗИ и характера основной деятельности обо
снование допустимого уровня риска может проводиться разны
ми способами.
В настоящее время распространен анализ различных вариан
тов обеспечения И Б по критерию стоимость/эффективность.
В общем случае предприятие может реализовать два предельных
инвестиционных решения:
1) не производить инвестиций, допуская возможность нанесе
ния любого ущерба;
2) осуществить максимально возможные инвестиции (реально
ограниченные платежеспособностью).
Второе решение позволяет комплексно реализовать правовые,
организационные, технические и морально-этические меры, обес
печивающие повышенную надежность КСЗИ, но такие решения
очень дороги.
Очевидно, что предприятие, с одной стороны, не должно при
держиваться первой линии поведения, а с другой стороны, не всегда
может реализовывать вторую. Компромиссом может быть одно из
множества «промежуточных» решений, которые, тем не менее,
сводятся к одному из следующих вариантов:
1) стоимость КСЗИ не должна превышать определенную сумму,
например более 20 % стоимости информационной системы, —
в этом случае ставится задача поиска варианта обеспечения ИБ,
минимизирующего уровень интегральных рисков;
2) уровень рисков не должен превышать некоторое значение,
например «очень низкий уровень», в этом случае необходимо найти
вариант решений по обеспечению ИБ, минимизирующий сто
имость.
Следует иметь в виду, что ущерб от нарушения ИБ может быть
значительно ниже стоимости КСЗИ (т. е. речь идет об избыточно
надежной КСЗИ). Следовательно, основной ущерб предприятия
связан не с потерями от нарушения ИБ, а с чрезмерно высокой
стоимостью системы, поэтому инвестиции в создание и эксплуа
тацию КСЗИ должны быть сбалансированными и соответство
вать масштабу угроз.
Такой качественный анализ показывает, что в инвестицион
ном диапазоне существует оптимальное значение инвестиций в
КСЗИ, минимизирующее общий ущерб при нарушениях ИБ.
Именно в этом смысле рассматривается задача создания эконо
мически оптимальной КСЗИ.
Типичная зависимость уровня ущерба от стоимости КСЗИ,
полученная при условии уменьшения вероятности нанесения ущер
ба Рущ (уменьшения уязвимости
Ру)
с ростом стоимости системы
приведена на рис. 1.2. Из рисунка следует, что применение даже
недорогих способов и средств обеспечения ИБ резко снижает сум
марный ущерб. Поэтому инвестиции в КСЗИ даже в сравнитель
но небольших размерах очень эффективны, а кривая ущерба в
некоторой точке имеет наименьшее значение, которое можно счи
тать оптимальным.
Рост затрат на КСЗИ выше оптимального значения ведет к
увеличению суммарных затрат. В этом случае повышение надеж
ности КСЗИ и соответствующее снижение вероятности ущерба
нивелируются чрезмерно высокой стоимостью самой системы.
Рис. 1.2. Зависимость ущерба от стоимости системы информационной
безопасности (СИБ)
Ущерб
Уровень
наименьших
потерь
Оптимальное
значение
Стоимость
СИБ