Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
Уважаемые студенты!
Перед Вами четвертое задание компьютерной практики - фрагмент отсканированного текста. Ваша задача –отформатировать предложенный текст в соответствии со следующими условиями:
ЖЕЛАЮ УДАЧИ!
4.МЕТОДЫ ВЫЯВЛЕНИЯ И ОЦЕНКИ УГРОЗ
БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ
4.2. Экономическая оценка ущерба от реализации различного вида угроз
Второй этап — определение аспектов деятельности, уязвимых в защищаемом объекте. Для всех параметров и направлений деятельности, определенных на первом этапе, необходимо установить, какие опасности могут угрожать каждому из них и что может послужить их причиной. В качества примера этого этапа можно использовать таблицу, отражающую особенности реализации информационных угроз (табл. 4.3).
Таблица 4.3
Основные особенности реализации угроз информационной безопасности (применительно к АСОИ)
|
Виды угроз |
Объекты воздействия |
|
Оборудование |
Программы |
Данные |
Персонал |
|
|
Хищение |
Несанк- |
Хищение, |
Разглашение, |
|
|
Утечка информации |
носителей, подключение, несанкционированное использование |
ционированное копирование, перехват |
копия, перехват |
халатность, передача сведений |
|
Нарушение |
Подключение, модификация, изменение |
Внедрение специальных программ |
Искажение, модификация |
Вербовка, подкуп |
|
целостно- |
режимов, |
|||
|
сти информации |
несанкционированное |
|||
|
использование ресурсов |
||||
|
Нарушение работоспособности системы |
Изменение режимов, вывод из строя, нарушение |
Искажение, подмена, удаление • |
Удаление, искажение |
Уход, физическое устранение |
Третий этап —оценка вероятности проявления (частоты реализации) каждой из угроз ' с использованием одного из методов (или их совокупности):
•эмпирической оценки числа проявлений угрозы за некоторый период. Как правило, этот метод применим для оценки вероятности
проявлений естественных угроз (стихийных бедствий) путем накопления массива данных о них;
•непосредственной регистрации проявлений угроз —применим для оценки вероятности систематических угроз как часто повторяющихся событий;
•оценки частоты проявления угроз по специальной таблице коэффициентов (табл. 4.4).
Таблица 4.4
Анализ рисков угроз с использованием коэффициентов
|
Частота проявления |
Коэффициент |
|
Более одного раза в день |
10 |
|
Один раз в день |
9 |
|
в три дня |
8 |
|
в неделю |
7 |
|
в две недели |
6 |
|
в месяц |
5 |
|
в четыре месяца |
4 |
|
в год |
3 |
|
в-три года |
2 |
|
Менее одного раза в три года |
1 |
Четвертый этап —оценка величины потерь, ожидаемых в результате реализации любой из угроз безопасности. Ожидаемые величины потерь следует рассматривать как некую функцию от уровня надежности применяемых в системе безопасности методов защиты.
Поэтому в выборе возможных методов защиты необходимо исходить из оценок потенциального ущерба, обоснованных расчетами.
Пятый этап —анализ возможных методов защиты с оценкой их стоимости и эффективности. Выбор совокупности применяемых методов защиты (организационных, программных, технических), каждый из которых может реализовываться различными способами (мерами), обусловит соответствующий уровень надежности системы защиты, ее стоимость, величину потерь от возможного проявления угроз, а'следовательно, и эффективность этой системы.
Стоимость метода зашиты —величина совокупных затрат на его разработку и реализацию (сопровождение). При оценке стоимости метода необходимо учитывать не только капитальные вложения (в проектирование или привязку к объекту, приобретение, монтаж и наладку технических средств, обучение персонала), но и эксплуатационные расходы (материально-энергетические и трудовые затраты, амортизацию технических средств, накладные расходы).
Эффективность системы защиты —обобщающая характеристика ее способности противостоять угрозам безопасности предприятия. Эффективность метода защиты —частный показатель эффективности системы защиты безопасности предприятия в целом.
Показатели эффективности системы и метода защиты можно рассчитывать как в относительном выражении, так и в абсолютном. В качестве показателя относительной эффективности системы защиты (или отдельного метода) можно использовать величину прироста сэкономленных потерь от применения выбранного варианта этой системы (или метода), проектируемого взамен базового.
Абсолютная эффективность системы (метода) защиты можно выразить отношением прироста величины сэкономленных потерь к капитальным вложениям, обусловленным организацией проектируемого варианта системы (метода) защиты. Отметим, что оценить величину предполагаемого прироста сэкономленных потерь весьма сложно из-за неопределенности факторов проявления угроз, и поэтому в большинстве случаев общие и частные показатели эффективности системы и методов защиты определяют эмпирически.
Величину сэкономленных потерь можно трактовать как экономический выигрыш предприятия —прирост прибыли от применения предполагаемых мер защиты. В самом деле, потери от ненадежности выбранного варианта системы защиты предприятие вынуждено будет компенсировать за счет чистой прибыли.' И чем меньше потери, тем меньше отчисления от прибыли на компенсацию экономических потерь от проявлений угроз и тем большую сумму можно высвободить и направить, например, на развитие деятельности.
Величина выигрыша может иметь как положительное, так и отрицательное значение. В первом случае это означает, что использование системы защиты с предопределенным уровнем надежности и стоимо-
стью обеспечит получение сопоставимой с ними величины прироста сэкономленных потерь. Во втором случае вызовет лишь дополнительные, относительно базового варианта системы защиты, расходы, и сэкономленные потери будут меньше. При этом нужно учитывать, что потери от тех или иных угроз могут быть незначительными, хотя частота их повторения достаточно высока. Или вероятность проявления угрозы может быть минимальной, но ущерб при этом оказывается значительным. Отсюда следует, что угрозы безопасности предприятия имеют различную приоритетность в выборе различных по надежности и стоимости методов и мер защиты от них.
Так, например, западноевропейские фирмы-производители оборудования для банковских систем защиты придерживаются такой приоритетности объективных и искусственных угроз, правда, по весьма ограниченному кругу объектов защиты [51]:
•для сейфовых комнат, хранилищ ценностей, компьютерных банков данных —защита от чрезвычайных обстоятельств (пожаров, аварий, терроризма), от несанкционированного доступа и краж;
•для операционных залов —защита от несанкционированной записи или считывания информации, от чрезвычайных ситуаций.
Данный подход позволяет дифференцированно подойти к распределению ресурсов на обеспечение информационной безопасности.
В ранжировании угроз по частоте их проявления можно использовать мнения экспертов [51,61]: (1) копирование и кража программного обеспечения; (2) несанкционированный ввод информации в базу дащшх предприятия; (3) модификация или уничтожение информационных файлов на магнитных носителях; (4) кража (съем) конфиденциальной информации; (5) несанкционированное использование ресурсов компьютерной системы предприятия; (6) несанкционированный доступ к конфиденциальной информации.
Количественные оценки вероятности риска экономических потерь от проявления различных угроз оцениваются теми же экспертами следующим образом (% от общих годовых потерь): потери от несанкционированного доступа к конфиденциальной информации —; непредсказуемые потери (технологические ошибки, отказы) —; потери от вирусных атак —; остальные потери —. Отсюда видно, что все-таки наибольшей приоритетностью в принятии эффективных защитных мер обладают угрозы информационной безопасности вообще (2/3 всех потерь) и несанкционированного доступа к конфиденциальной информации в частности. Поэтому организация системы защиты конфи-
денциальной информации в комплексной безопасности предприятия имеет особое значение в повышении эффективности его деятельности. Можно предложить следующий подход, предусматривающий конкретизацию этапов анализа риска угроз, но уже по отношению к системе защиты конфиденциальной информации:
•постановка задач защиты;
•планирование организации защиты;
•синтез и структурная оптимизация системы защиты;
•практическая реализация предпочтительного (оптимального) варианта системы защиты конфиденциальной информации, реализация и поддержка политики безопасности. Исходные данные для формирования системы и постановки задач защиты конфиденциальной информации как совокупности правовых, организационных, информационно-программных и технических мер таковы:
•априорные требования об уровнях безопасности конфиденциальной информации;
•характеристика сфер распространения конфиденциальной информации, циркулирующей на предприятии;
•эксплуатационные характеристики (в том числе надежностные и стоимостные) элементов программного и технического обеспечения системы защиты;
•затраты, планируемые предприятием на организацию защиты конфиденциальной информации.
Формулируемые в сложившейся теории [28, 31, 32, 46] требования к организации системы защиты связывают с неуязвимостью информации. Она предполагает достижение определенного сочетания трех свойств защищаемой информации: конфиденциальности, целостности, готовности.
Свойство конфиденциальности означает, что засекреченная информация должна быть доступна только тем пользователям, которым она предназначена. Целостность: информация, на основе которой принимаются решения, должна быть достоверной и полной, защищена от возможных непреднамеренных и злоумышленных искажений. Готовность: информация должна быть доступна соответствующим службам в виде, предполагающем ее использование в решении управленческих задач. Невыполнение хотя бы одного из этих свойств и будет означать уязвимость системы защиты.
Определение априорных требований к защите, обеспечивающей неуязвимость (конфиденциальность) информации, можно свести к выбору класса защищенности, соответствующего специфическим особенностям предприятия —объекта защиты и допустимым сферам циркуляции его конфиденциальной информации. Каждый класс характеризуется определенной минимальной совокупностью требований к защите:
•класс содержит только самые необходимые требования и наилучшим образом подходит для хозяйствующих субъектов, находящихся на начальных этапах автоматизации сбора и обработки информации и организации системы защиты;
•класс включает требования к защите рабочих станций локальной вычислительной сети, в которой технология обработки данных не предусматривает передачи данных по внешним каналам связи;
•класс описывает требования к системам защиты, применяемым в автоматизированных комплексах с распределенной обработкой данных;
•класс предназначен для обеспечения решения задач защиты в автоматизированных комплексах, применяющих электронные платежи в межбанковских расчетах и (или) в системе «банк-клиент», характеризуется обеспечением целостности архивов электронных документов;
•класс —системы, отвечающие требованиям этого класса защиты, характеризуются большим числом субъектов и объектов доступа;
•класс определяет использование полного набора механизмов (методов и мер) защиты на нескольких рубежах безопасности;
•класс характеризуется, в отличие от предыдущих классов, наиболее развитой службой администрации безопасности, использующей возможности автоматизированной обработки данных и дистанционного управления системой защиты.