Количественная оценка экономических затрат на ИБ
Для количественной оценки меры риска используют ожидаемые суммарные потери в процессе защиты информации в течение определенного периода времени. Моделирование риска собственника информации при создании и эксплуатации СЗИ осуществлялось на основе функциональных зависимостей между риском R, стоимостью СЗИ S, вероятностью преодоления СЗИ (реализации угрозы) Р угрозы и нанесения ущерба Руязвимости и размером возникающего при этом ущерба Ц. Риск=Руязвимости*Ругрозы*Ц < > S
Рассмотрим основные принципы расчета всех трех описанных величин. При оценке денежного эквивалента стоимости информации относительно угрозы I используются два разных метода (которые в принципе дают взаимосвязанные результаты): - принцип ущерба атакованной организации (сумма потерь организации в денежном эквиваленте, которые она может понести в результате реализации данной угрозы); - принцип выигрыша конкурирующей организации (сумма экономической выгоды, которую получит конкурирующая организация в результате реализации данной угрозы). При выборе конкурирующей организации исходят либо из списка наиболее вероятных конкурентов, либо из условия максимального выигрыша конкурента. То есть в тех случаях, когда есть обоснованные причины, из нескольких значений для оценки I выбирают наибольшее.
Оценка самого ущерба или выигрыша, будучи величиной достаточно сложной и комплексной, вычисляется чаще всего с помощью теории вероятностей (или ее прикладного приложения – математической теории рисков). Например, если в результате нарушения целостности случайного набора записей в базе данных в результате выхода из строя накопителя на жестком диске ("винчестера") возможны следующие последствия (см. табл. 1.3.2), то совокупный ущерб от данной угрозы для организации с наибольшей вероятностью будет равен
руб., что очевидно гораздо больше, чем стоимость системы резервирования информации на жестком диске (≈6000 р.), хранящего актуальную копию данных. Для получения оценок величин в таблице последствий, если их нельзя точно вычислить, применяется метод экспертных оценок.
Таблица 1.3.2. Пример вероятности последствий при реализации угрозы
Метод экспертных оценок подразумевает опрос нескольких (от 3 до 10) специалистов в данной области. Специалисты независимо друг от друга дают приблизительные числовые оценки, а затем по специальной методике вычисляется наиболее вероятное значение.
При расчете стоимости реализации угрозы A принимаются в расчет средняя стоимость услуг подобного рода на черном рынке, а также стоимость оборудования, требуемого для реализации угрозы. При этом для удаленных сетевых угроз необходимо учитывать глобализацию компьютерных сетей и, как следствие, возможность гораздо более низких расценок на аналогичные действия на черном рынке других стран. В целом при расчете величины A всегда исходят из минимально возможной стоимости проведения реализации угрозы. Для непреднамеренных воздействий (сотрудников или явлений внешней среды) закладывается нулевая стоимость реализации угрозы (A=0).
Расчет стоимости устранения угрозы D для технических средств защиты производится по традиционным экономическим показателям и складывается из: - стоимости оборудования; - стоимости пуско-наладочных работ;
- ежегодной стоимости поддержания технического средства в работоспособном состоянии; - заработной платы обслуживающего персонала. Стоимость организационных мер устранения угроз принимается равной нулю (D=0) при условии, что они не снижают показатели основной производственной деятельности. Если же это не так, то их стоимость вычисляется через денежный эквивалент снижения производительности труда, возникающей из-за внедрения этих мер защиты информации. В заключение следует отметить, что прямое сравнение величин D и I, описанное выше, возможно только в первом приближении. На практике стоимость внедренных средств защиты информации входит в стоимость владения этой информацией и вычисляется по более сложным методикам. Подведем итоги · основными параметрами экономики защиты информации являются стоимость информации, стоимость реализации угрозы и стоимость устранения этой угрозы; · экономическая эффективность мер по защите информации определяется соотношения между этими величинами · стоимость информации относительно определенной угрозы рассчитывается исходя из совокупного экономического ущерба, который может быть причинен последствиями реализации данной угрозы. вопросы для самоконтроля 1. Приведите основные условия целесообразности организации процесса защиты информации в организации. 2. Объясните принципы расчета величины I. 3. Из чего складывается стоимость внедрения и эксплуатации технического средства устранения угрозы? ИНДИВИДУАЛЬНЫЕ ЗАДАНИЯ 1. Произведите расчет величины I для угрозы, параметры последствий которой приведены в таблице 1.3.3. Таблица 1.3.3. Вероятности последствий при реализации угрозы
2. Произведите расчет величины D (рублей в месяц) для одной из организационных мер устранения этой угрозы, если она замедляет производительность труда сотрудников отдела на 4% при штате отдела в 10 человек и эффективности для фирмы работы каждого сотрудника отдела в 15.000 рублей в месяц.
3. Необходимо оценить выгоду при защите информации от раскрытия в течении одного года. Величину ущерба от реализации этих угроз оценим в $1.000.000 (U=1000000). Предположим, предварительный анализ показал, что в среднем эта ситуация встречается один раз в десять лет (Рпроисшествия=0.1). Для данного абстрактного случая предположим, что в результате экспертной оценки методов защиты было получено значение 60% (в шести случаях из десяти защита срабатывает) – эффективность защиты 60%. Затраты на реализацию этих методов (закупка средств защиты, обучение персонала, изменение технологии обработки информации, зарплата персоналу и т.д.) составили (СМ) $25.000.
Стоимость потерь для данной угрозы (СР) составит: СР = U * Рпроисшествия = $1.000.000 * 0.1 = $100.000
Руязвимости=1-0,6=0,4 ЕМ = Руязвимости * СР = $40.000
Тогда величина выгоды равна: PR = ЕМ - СМ = $40.000 - $25.000 = $15.000. В рассмотренном случае величина выгоды имеет положительное значение, что говорит о целесообразности применения выбранных методов защиты.
Воспользуйтесь поиском по сайту: ©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...
|