В основе проектирования системы защиты информации можно использовать экономическую модель. В основе этой модели лежит тезис о том, что все информационные угрозы в конечном итоге должны быть экономически оправданы. Действительно, реализация любой информационной угрозы связана с определенными затратами: тратятся средства на изучение обстановки, разработку плана и технологии реализации угрозы, приобретения оборудования и необходимых специальных технических средств, имеются расходы и на этапе реализации информационной угрозы. Источник угрозы надеется на то, что все эти затраты окупятся сведениями, которые он получит. Мерой такого сопоставления является величина: , где Z – эквивалентная стоимость полученных сведений, а b – совокупные затраты по организации угрозы. Чем больше величина , тем больше вероятность угрозы. Обозначим данное отношение через - коэффициент опасности угрозы, используя экономическую модель угроз, можно сделать следующие выводы:
1. Чем больше информационная значимость зоны Z, тем больше вероятность угрозы при прочих равных условиях.
2. Чем меньше затраты на реализацию угрозы, тем больше вероятность угрозы.
Рассмотрим в качестве примера акустические угрозы в отношении некоторого условного помещения. Методику оценки эффективности системы безопасности в упрощенном виде можно представить в виде следующей последовательности действий:
1. Составить полный перечень возможных каналов утечки речевой информации.
2. Для каждой угрозы определить коэффициент опасности угрозы , для акустических угроз = , где
- объем похищенной информации, при реализации угрозы.
- стоимость бита информации (равен 1, поскольку все угрозы сравниваются между собой);
- полоса частот;
T – длительность работы
q – средняя величина динамического диапазона
b – затраты на реализацию угрозы.
3. Определить необходимые технические средства противодействия информационным угрозам (составить полный перечень)
4. Для каждого технического средства определить ранговый коэффициент , чем больше величина , тем больше оснований применить данное техническое средство для защиты от соответствующей информационной угрозы.
5. Выбор решения осуществляется путем отбора технических устройств с наибольшими значениями .
6. Эффективность системы защиты информации определяется выражением:
, где - целочисленная функция принимающая значение 1, если противодействие i –ой угрозе предусматривается системой защиты, 0 –если противодействие отсутствует.