Достаточность защиты конкретного предприятия определяет его руководство, исходя из своего представления и оценки защиты, наличия необходимых ресурсов, перспектив и тому подобных факторов. В этом случае говорят о принимаемых мерах защиты по нейтрализации возможных угроз и опасностей. Считается, что состояние будет достаточным, если предпринимаемые меры защиты будут адекватными характеру и действиям возможных угроз.
Организация защиты коммерческого предприятия представляется процессом, включающим оценки двух противоборствующих враждующих сторон: с одной стороны — это угрозы и опасности, а с другой — силы и средства защиты.
Критерием уровня взаимодействия между силами является состояние защищенности, зависящее от факторов:
. состояние производственной, хозяйственной и финансовой деятельности предприятия;
• уровень обеспеченности системы зашиты материальными, техническими, людскими и прочими ресурсами;
• степень подготовленности кадров;
• состояние и уровень развития преступности в регионе и государстве и др.
|
|
Кривая / на рис. 1.1 характеризует зависимость состояния защищенности от уровня экономического развития предприятия [24]. 15 соответствии с принципом защищенности кривая / направлена вверх: с увеличением уровня экономического развития предприятия защищенность увеличивается. Кривая 2 характеризует зависимость возможностей угроз по нанесению ущерба предприятию от уровня его экономического развития. Закон изменения кри-иой 2 выбран при условии, что уровень развития возможностей угроз в процессе экономического развития коммерческого предприятия остается неизменным. Особенностью графика на рис. 1.1 является то, что оси S и N положительно направлены в противоположные стороны.
Кривая 3 — результирующая; она отражает разность взаимодействия сил: d = S - N и указывает на степень достаточности шщиты коммерческого предприятия. Из рис. 1.1 следует, что в точке равновесия сил (/?„) 5, = Лг, а поэтому d = 0. Данное состояние для коммерческого предприятия экономически эффективно, так как при этом обеспечивается соответствующая (адекватная) угрозам защита.
На участке |0, R„\ N> S, d< 0. Заштрихованная область указы-нает на преобладание возможностей сил угроз над способностями предприятия им противостоять. Данный участок соответствует
Взаимодействие противоборствующих сил Область
недостаточной
зашитыОбластьизбыточнойзащиты
Рис. 1.1. Разумная достаточность защищенности предприятия:
'»I. S — защищенность; ось N — реализация угроз; ось R — уровень экономическою развития предприятии; /?„ — состояние, при котором защищенность предприятия S, такова, что отражает все угрозы Л',; кривая / характеризует защищенность предприятия; кривая 2— возможности по нанесению ущерба; кривая 3 —
|
|
результирующая кривая области недостаточной защиты и характеризуется возможными избыточными потерями предприятия из-за низкого уровня защищенности. Для этой области характерны: низкий уровень защищенности; недооценка угроз руководством предприятия; высокий уровень преступности; низкий уровень экономического развития предприятия.
На участке [Ra, + °о) N < S, поэтому d > 0. Заштрихованная область указывает на преобладание зашиты над возможностями сил угроз.
Таким образом, только в состоянии равновесия противоборствующих сил (при d = 0) достаточность защиты является той минимально необходимой, при которой затраты на обеспечение защиты предприятия будут минимальными. Такое состояние будет указывать на уровень зашиты, соответствующий возможностям угроз, т.е. будет адекватно угрозам.
В процессе управления безопасностью предприятия сохранить состояние адекватности можно в одном из двух случаев. Первый, когда закон зависимости возможностей воздействия угроз (кривая 2) после точки равновесия /?„ не изменится. В этом случае состояние защищенности (кривая /) должно будет измениться в направлении А.
Во втором случае с ростом экономического развития предприятия после точки адекватности Ra злоумышленники будут стремиться увеличить свои возможности. В этом случае кривая 2 изменит свое первоначальное направление в сторону увеличения возможностей (кривая В). Для удержания адекватного (равновесного), экономически эффективного состояния коммерческому предприятию необходимо изменить состояние защищенности в сторону увеличения (кривая С).
Таким образом, принцип разумной достаточности защиты указывает на то, что только прогнозированием и своевременной оценкой как возможностей угроз, так и возможностей сил и средств защиты можно эффективно управлять коммерческим предприятием, обеспечивая при этом адекватные предпринимаемые меры при минимальных экономических затратах.
В условиях рыночной экономики любое предприятие при ограниченности финансов имеет широкий спектр инвестиционных возможностей, поэтому возникает задача оптимизации инвестиционного портфеля. Для ее решения необходимо правильно оценивать эффективность инвестиционных проектов. Это положение справедливо для информационных технологий (ИТ), которые менеджеры, принимающие инвестиционные решения, рассматривают прежде всего как средство решения задач бизнеса: снижение издержек производства, повышение эффективности критичных для данного вида бизнеса операций и т.д. Здесь однако существует исключение: цели инвестиций в КСЗИ отличаются отстанлартных целей ИТ-инвестиций, поскольку инвестор не может ожидать непосредственного возврата инвестиций. В связи с этим с жономической точки зрения инвестиции в КСЗИ:
• имеют целью предотвращение (снижение) ущерба от возможного нарушения ИБ, а не получение дополнительных экономических выгод;
• представляют собой специфический экономический ущерб 1 ля предприятия;
• целесообразны, если их размер не превышает величину возможного ущерба.
Эти идеи определяют основные направления инвестиционного анализа КСЗИ, а именно оценку ущерба в случае реализации угроз И Б; оценку затрат на создание систем И Б; обоснование экономически эффективной КСЗИ.
Методы оценки ущерба (рисков) рассмотрены в разд. 6.4. Пока шшь отметим, что в самом простом случае этот анализ можно не проводить, а использовать какой-то базовый набор угроз. Для противодействия этим угрозам принимается типовой набор решений по И Б вне зависимости от вероятности их осуществления и уязвимости объектов И Б. Подобный подход приемлем, если ценность объектов И Б оценивается не слишком высоко.
|
|
В этом случае затраты на аппаратно-программные средства ИБ и организационные мероприятия, необходимые для соот-иетствия КСЗИ базовым спецификациям, являются обязательными. Как правило, затраты на И Б не превышают 15 — 20% средств, затрачиваемых на ИТ. Обычно проводится анализ по критерию стоимость/эффективность нескольких вариантов КСЗИ. В зависимости от степени готовности предприятия к со-иершенствованию КСЗИ и характера основной деятельности обоснование допустимого уровня риска может проводиться разными способами.
В настоящее время распространен анализ различных вариан-loii обеспечения И Б по критерию стоимость/эффективность. I) общем случае предприятие может реализовать два предельных шшестиционных решения:
1) не производить инвестиций, допуская возможность нанесения любого ущерба;
2) осуществить максимально возможные инвестиции (реально DI раниченные платежеспособностью).
Второе решение позволяет комплексно реализовать правовые, ормнизационные, технические и морально-этические меры, обеспечивающие повышенную надежность КСЗИ, но такие решения очень дороги.
Очевидно, что предприятие, с одной стороны, не должно при-Врживаться первой линии поведения, а с другой стороны, не всегда может реализовывать вторую. Компромиссом может быть одно из
19множества «промежуточных» решений, которые, тем не менее, сводятся к одному из следующих вариантов:
1) стоимость КСЗИ не должна превышать определенную сумму, например более 20% стоимости информационной системы, — в этом случае ставится задача поиска варианта обеспечения И Б, минимизирующего уровень интегральных рисков;
2) уровень рисков не должен превышать некоторое значение, например «очень низкий уровень», в этом случае необходимо найти вариант решений по обеспечению И Б, минимизирующий стоимость.
Следует иметь в виду, что ущерб от нарушения И Б может быть значительно ниже стоимости КСЗИ (т.е. речь идет об избыточно надежной КСЗИ). Следовательно, основной ущерб предприятия связан не с потерями от нарушения И Б, а с чрезмерно высокой стоимостью системы, поэтому инвестиции в создание и эксплуатацию КСЗИ должны быть сбалансированными и соответствовать масштабу угроз.
|
|
Такой качественный анализ показывает, что в инвестиционном диапазоне существует оптимальное значение инвестиций в КСЗИ, минимизирующее общий ущерб при нарушениях ИБ. Именно в этом смысле рассматривается задача создания экономически оптимальной КСЗИ.
Типичная зависимость уровня ущерба от стоимости КСЗИ, полученная при условии уменьшения вероятности нанесения ущерба Л™ (уменьшения уязвимости Ру) с ростом стоимости системы приведена на рис. 1.2. Из рисунка следует, что применение даже недорогих способов и средств обеспечения И Б резко снижает суммарный ущерб. Поэтому инвестиции в КСЗИ даже в сравнительно небольших размерах очень эффективны, а кривая ущерба в некоторой точке имеет наименьшее значение, которое можно считать оптимальным.
Рост затрат на КСЗИ выше оптимального значения ведет к увеличению суммарных затрат. В этом случае повышение надежности КСЗИ и соответствующее снижение вероятности ущерба нивелируются чрезмерно высокой стоимостью самой системы.
Рис. 1.2. Зависимость ущерба от стоимости системы информационной
безопасности (СИ Б)
Ущерб
Поэтому наилучшей стратегией, видимо, является использование КСЗИ, обеспечивающей минимум суммарных затрат. Эффективность этого решения подтверждена результатами моделирования: жономически оптимальная КСЗИ снижает суммарные ожидаемые потери примерно на порядок по сравнению с базовыми решениями. При этом такая система не является самой безопасной. Более того, вероятность ущерба от нарушения ИБ в этой системе может в разы превышать минимально возможные значения.
В случае, когда доминирующим требованием является обеспечение гарантированной И Б на заданном уровне, реализация концепции экономически оптимальной КСЗИ не применима. Это относится, например, к защите сведений, составляющих государственную тайну.
Оптимальные КСЗИ наиболее интересны для экономически самостоятельных предприятий, для которых критичен баланс между затратами на систему ИБ и возможным ущербом. Оценка экономически оптимальных параметров должна являться основой формирования конкретного технико-организационного облика КСЗИ.
Таким образом, изложенные принципы организации менеджмента по безопасности коммерческого предприятия позволяют осуществить анализ действующих либо вновь создаваемых систем шщиты в плане обеспечения экономически эффективной безопасности предпринимательской деятельности, т.е. позволяет создать согласованный комплекс мероприятий, направленных на решение научно-технических, социально-экономических и других проблем наиболее эффективным путем в соответствии с требованиями, установленными в стандартах и законах.