[7. c. – 90]
Активы банка – 230,3 млрд. руб., капитал – 30,6 млрд. руб., прибыль до налогообложения 2,6 млрд. руб., депозиты частных лиц – 36,8 млрд. руб., ставки по годовым депозитам на сумму до 100 000 руб. принесет 7,5%, а вклад свыше 1 млн. руб. – 9%, муниципальные облигации – 3,3 млрд. руб., корпоративные облигации – 8,5 млрд. руб., средства клиентов – 144,9 млрд. руб., доля срочных депозитов – 55,9%. [7. c. – 92-106]
Под риском реализации угрозы информационной безопасности предприятия понимается вероятность свершения события, ведущего к нарушению режима его функционирования и экономическому ущербу (потерям). С оценкой степени риска связывается получение вероятностной оценки экономического ущерба, который может понести защищаемое предприятие в случае реализации информационной угрозы его безопасности:
R = PL,
где R – величина риска; P – вероятность реализации конкретной угрозы; L – ущерб от реализации этой угрозы. [4]
Предлагаемый ниже подход к анализу риска позволит обосновать выбор эффективного варианта комплекса планируемых мероприятий, обеспечивающих защиту предприятия с допустимыми для его экономики значениями экономических потерь, т.е. с незначительными (допустимыми) изменениями параметров деятельности.
Первый этап – необходимо выбрать точку отсчета, от которой будут отмечаться достигнутые и прогнозные параметры деятельности (см. выше), как фиксированное состояние данной производственной системы, и все дальнейшие оценки динамики риска угроз ведутся от этого состояния.
Второй этап – определение аспектов деятельности, уязвимых в защищаемом объекте. В качестве примера этого этапа можно использовать таблицу 2.2, в которой отражается особенность реализации информационных угроз.
Третий этап – оценка вероятности проявления (частоты реализации) информационных угроз с использованием одного из методов (или их совокупности):
- эмпирической оценки числа проявлений угрозы за определенный период.
Табл. 2.2.
Основные особенности реализации угроз информационной безопасности (применительно к АСОИ).
Виды угроз | Объекты воздействия | |||
Оборудование | Программы | Данные | Персонал | |
Утечка информации | Хищение носителей, подключение, несанкционирован- ное использование | Несанк- ционированное копирование, перехват | Хищение, копия, перехват | Разглашение халатность, передача сведений |
Нарушение целостности информации | Подключение, модификация, изменение режимов, несанкционирован- ное использование ресурсов | Внедрение специальных программ | Искажение, модификация | Вербовка, подкуп |
Нарушение работоспособности системы | Изменение режимов, вывод из строя, нарушение | Искажение, подмена, удаление | Удаление, искажение | Уход, физическое устранение |
- непосредственной регистрации проявлений угроз;
- оценки частоты проявления угроз по специальной таблице коэффициентов (см. приложение).
Четвертый этап – оценка величины потерь, ожидаемых в результате реализации информационной угрозы. Ожидаемые величины потерь следует рассматривать как некую функцию от уровня надежности применяемых в системе безопасности методов защиты.
Пятый этап – анализ возможных методов защиты с оценкой их стоимости и эффективности.
Стоимость метода защиты – величина совокупных затрат на его разработку, реализацию и эксплуатационные расходы.
Эффективность системы защиты – общая характеристика ее способности противостоять информационным угрозам предприятия и частный показатель эффективности системы защиты в целом.
Выбор одного из вариантов защиты информации должен соответствовать коэффициенту, отражающему соотношение «эффект/стоимость». За величину эффекта можно принять ущерб от реализации информационной угрозы, а стоимость, таким образом, выражает затраты на ее организацию и эксплуатацию.
Защита информации предполагает достижение определенного сочетания трех свойств: конфиденциальности, целостности и готовности.
Конфиденциальность информации понимается как засекреченная информация и предназначена для использования только допущенным к ней лицам. Целостность информации – на основе которой принимаются решения –должна быть достоверной и полной и защищена от возможных искажений. Готовность: информация предоставляется в подобающем ей виде соответствующим ей службам (структурам) в решении управленческих задач. Невыполнение хотя бы одного элемента будет означать уязвимость системы защиты, т.е. влиять на выживаемость организации.
Выживаемость организации с экономической точки зрения можно определить как финансовую устойчивость, т.е. состояние счетов организации, гарантирующее ее постоянную платежеспособность. Кризисное финансовое состояние означает вероятность банкротства организации.
Необходимо как можно лучше обеспечить защиту конфиденциальной информации при предельно допустимых затратах. Задачи защиты ставят с учетом оценки угроз от внешних (конкуренты, злоумышленники) и внутренних (отдельные работники с социально-психологическими или моральными проблемами) источников опасности.
«Количественную оценку угроз, исходящих из различных источников, производят применительно к потенциальным каналам несанкционированного распространения конфиденциальной информации, каждый из которых интерпретируется как вариант несанкционированного доступа к ней. Поэтому целесообразность организации защиты конфиденциальной информации будет определятся размерами потенциального ущерба, причиняемому предприятию утечкой (разглашением, утратой) конфиденциальной информации по каналам несанкционированного доступа.
Чаще всего затраты И на организацию защиты конфиденциальной информации принимают пропорционально размеру потенциального ущерба или упущенной выгоды предприятия от ее использования L: