ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 22.11.2023
Просмотров: 357
Скачиваний: 2
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
отвращенного ущерба или величину снижения риска для информационных активов организации.
Поскольку оптимальное решение вопроса о целесообразном уровне затрат на защиту состоит в том, что этот уровень должен быть равен уровню ожидаемых потерь при нарушении защищенности, достаточно определить только уровень потерь. В качестве одной из методик определения уровня затрат возможно использование следу
ющей эмпирической зависимости ожидаемых
потерь (рисков) от i-й угрозы информации [37]:
(1) где Si - коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы;
Vi - коэффициент, характеризующий значение возможного ущерба при ее возникновении. Si и Vi, приведены в таблице
3.1.
Таблица 3.1 – Значения коэффициентов Si и Vi
Суммарная стоимость потерь определяется формулой:
(2)
где N – количество угроз информационным активам, определенных в п.1.2.3.
При расчете суммарного показателя рекомендуется принять, что угрозы конфиденциальности, целостности и доступности реализуются нарушителем независимо. То есть, если в результате действий нарушителя была нарушена целостность информации, предполагается, что её содержание по-прежнему остается ему неизвестным (конфиденциальность не нарушена), а авторизованные пользователи по-прежнему имеют доступ к активам, пусть и искаженным (см. таблицу 3.2).
Таблица 3.2 -Величины потерь (рисков) для критичных информационных ресурсов до внедрения/модернизации защиты информации
Поскольку оптимальное решение вопроса о целесообразном уровне затрат на защиту состоит в том, что этот уровень должен быть равен уровню ожидаемых потерь при нарушении защищенности, достаточно определить только уровень потерь. В качестве одной из методик определения уровня затрат возможно использование следу
ющей эмпирической зависимости ожидаемых
потерь (рисков) от i-й угрозы информации [37]:
(1) где Si - коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы;Vi - коэффициент, характеризующий значение возможного ущерба при ее возникновении. Si и Vi, приведены в таблице
3.1.
Таблица 3.1 – Значения коэффициентов Si и Vi
| Ожидаемая(возможная)частота появления угрозы | Предполагаемое значениеSi |
| Почти никогда | 0 |
| 1 раз в 1 000 лет | 1 |
| 1 раз в 100 лет | 2 |
| 1 раз в 10 лет | 3 |
| 1 раз в год | 4 |
| 1 раз в месяц (примерно, 10 раз в год) | 5 |
| 1-2 раза в неделю (примерно 100 раз в год) | 6 |
| 3 раза в день (1000 раз в год) | 7 |
| Значениевозможногоущербаприпроявленииугрозы, руб. | Предполагаемое значениеVi |
| 30 | 0 |
| 300 | 1 |
| 3 000 | 2 |
| 30 000 | 3 |
| 300 000 | 4 |
| 3 000 000 | 5 |
| 30 000 000 | 6 |
| 300 000 000 | 7 |
Суммарная стоимость потерь определяется формулой:
(2)
где N – количество угроз информационным активам, определенных в п.1.2.3.При расчете суммарного показателя рекомендуется принять, что угрозы конфиденциальности, целостности и доступности реализуются нарушителем независимо. То есть, если в результате действий нарушителя была нарушена целостность информации, предполагается, что её содержание по-прежнему остается ему неизвестным (конфиденциальность не нарушена), а авторизованные пользователи по-прежнему имеют доступ к активам, пусть и искаженным (см. таблицу 3.2).
Таблица 3.2 -Величины потерь (рисков) для критичных информационных ресурсов до внедрения/модернизации защиты информации
| Актив | Угроза | Величина потерь (тыс.руб.) |
| Проектная документация, разработанная организацией | конфиденциальности | 100 |
| Проектная документация, разработанная организацией | целостности | 500 |
| Проектная документация, разработанная организацией | доступности | 20 |
| Проектная документация, полученная от заказчика | конфиденциальности | 100 |
| Проектная документация, полученная от заказчика | целостности | 100 |
| Проектная документация, полученная от заказчика | доступности | 20 |
| Проектная документация, планы коммуникаций в т.ч. стратегического назначения. | конфиденциальности | 500 |
| Проектная документация, планы коммуникаций в т.ч. стратегического назначения. | целостности | 100 |
| Проектная документация, планы коммуникаций в т.ч. стратегического назначения. | доступности | 20 |
| Личные данные клиента | конфиденциальности | 300 |
| Личные данные клиента | целостности | 20 |
| Личные данные клиента | доступности | 20 |
| Личные сведения о сотрудниках | конфиденциальности | 100 |
| Личные сведения о сотрудниках | целостности | 10 |
| Личные сведения о сотрудниках | доступности | 10 |
| Системное программное обеспечение | конфиденциальности | 0 |
| Системное программное обеспечение | целостности | 100 |
| Системное программное обеспечение | доступности | 100 |
| Прикладное программное обеспечение (в т.ч. САПР, CMS, ERP, CRM и т.д.) | конфиденциальности | 0 |