2.2 Оценка ущерба от реализации информационных угроз анализ риска)

Объектом анализа в данной курсовой работе выступает Альфа-банк, поэтому необходимо отразить его основные характеристики, которые будут использоваться в нижеследующих расчетах.

Альфа-банк, основанный в 1991 году, семь последних лет остается крупнейшим частным банком России. «Успехами после кризиса 1998 года он во многом обязан основному владельцу Михаилу Фридману, который принимает самое активное участие в управлении банком, чего не скажешь о других владельцах «Альфа-Групп» - Германе Хане и Алексее Кузьмичеве, им в банке принадлежит 23% и 18% соответственно. Доля Фридмана – около 36%. Еще около 14% банка – в собственности президента Альфа-банка Петра Авена».

Активы банка – 230,3 млрд. руб., капитал – 30,6 млрд. руб., прибыль до налогообложения 2,6 млрд. руб., депозиты частных лиц – 36,8 млрд. руб., ставки по годовым депозитам на сумму до 100 000 руб. принесет 7,5%, а вклад свыше 1 млн. руб. – 9%, муниципальные облигации – 3,3 млрд. руб., корпоративные облигации – 8,5 млрд. руб., средства клиентов – 144,9 млрд. руб., доля срочных депозитов – 55,9%.

Под риском реализации угрозы информационной безопасности предприятия понимается вероятность свершения события, ведущего к нарушению режима его функционирования и экономическому ущербу (потерям). С оценкой степени риска связывается получение вероятностной оценки экономического ущерба, который может понести защищаемое предприятие в случае реализации информационной угрозы его безопасности:

R = PL,

где R – величина риска; P – вероятность реализации конкретной угрозы; L – ущерб от реализации этой угрозы.

Предлагаемый ниже подход к анализу риска позволит обосновать выбор эффективного варианта комплекса планируемых мероприятий, обеспечивающих защиту предприятия с допустимыми для его экономики значениями экономических потерь, т.е. с незначительными (допустимыми) изменениями параметров деятельности.

Первый этап – необходимо выбрать точку отсчета, от которой будут отмечаться достигнутые и прогнозные параметры деятельности (см. выше), как фиксированное состояние данной производственной системы, и все дальнейшие оценки динамики риска угроз ведутся от этого состояния.

Второй этап – определение аспектов деятельности, уязвимых в защищаемом объекте. В качестве примера этого этапа можно использовать таблицу 2.2, в которой отражается особенность реализации информационных угроз.

Третий этап – оценка вероятности проявления (частоты реализации) информационных угроз с использованием одного из методов (или их совокупности):

- эмпирической оценки числа проявлений угрозы за определенный период.

Табл. 2.2. Основные особенности реализации угроз информационной безопасности (применительно к АСОИ).

Виды угроз Объекты воздействия
Оборудование Программы Данные Персонал
Утечка информации

Хищение носителей, подключение, несанкционирован-

ное использование

Несанк-

ционированное копирование, перехват

Хищение, копия, перехват Разглашение халатность, передача сведений
Нарушение целостности информации

Подключение, модификация, изменение режимов, несанкционирован-

ное использование ресурсов

Внедрение специальных программ Искажение, модификация Вербовка, подкуп
Нарушение работоспособности системы Изменение режимов, вывод из строя, нарушение Искажение, подмена, удаление Удаление, искажение Уход, физическое устранение

- непосредственной регистрации проявлений угроз;

- оценки частоты проявления угроз по специальной таблице коэффициентов (см. приложение).

Четвертый этап – оценка величины потерь, ожидаемых в результате реализации информационной угрозы. Ожидаемые величины потерь следует рассматривать как некую функцию от уровня надежности применяемых в системе безопасности методов защиты.

Пятый этап – анализ возможных методов защиты с оценкой их стоимости и эффективности.

Стоимость метода защиты – величина совокупных затрат на его разработку, реализацию и эксплуатационные расходы.

Эффективность системы защиты – общая характеристика ее способности противостоять информационным угрозам предприятия и частный показатель эффективности системы защиты в целом.

Выбор одного из вариантов защиты информации должен соответствовать коэффициенту, отражающему соотношение «эффект/стоимость». За величину эффекта можно принять ущерб от реализации информационной угрозы, а стоимость, таким образом, выражает затраты на ее организацию и эксплуатацию.

Защита информации предполагает достижение определенного сочетания трех свойств: конфиденциальности, целостности и готовности.

Конфиденциальность информации понимается как засекреченная информация и предназначена для использования только допущенным к ней лицам. Целостность информации – на основе которой принимаются решения –должна быть достоверной и полной и защищена от возможных искажений. Готовность: информация предоставляется в подобающем ей виде соответствующим ей службам (структурам) в решении управленческих задач. Невыполнение хотя бы одного элемента будет означать уязвимость системы защиты, т.е. влиять на выживаемость организации.

Выживаемость организации с экономической точки зрения можно определить как финансовую устойчивость, т.е. состояние счетов организации, гарантирующее ее постоянную платежеспособность. Кризисное финансовое состояние означает вероятность банкротства организации.

Необходимо как можно лучше обеспечить защиту конфиденциальной информации при предельно допустимых затратах. Задачи защиты ставят с учетом оценки угроз от внешних (конкуренты, злоумышленники) и внутренних (отдельные работники с социально-психологическими или моральными проблемами) источников опасности.

«Количественную оценку угроз, исходящих из различных источников, производят применительно к потенциальным каналам несанкционированного распространения конфиденциальной информации, каждый из которых интерпретируется как вариант несанкционированного доступа к ней. Поэтому целесообразность организации защиты конфиденциальной информации будет определятся размерами потенциального ущерба, причиняемому предприятию утечкой (разглашением, утратой) конфиденциальной информации по каналам несанкционированного доступа.

Чаще всего затраты И на организацию защиты конфиденциальной информации принимают пропорционально размеру потенциального ущерба или упущенной выгоды предприятия от ее использования L:

И = kL,

где k – коэффициент, учитывающий допустимую величину затрат на организацию защиты конфиденциальной информации в долях от величины потенциального ущерба или упущенной выгоды (от 0,05 до 0,2).

При затруднении с оценкой размера упущенной выгоды L затраты на организацию защиты могут быть приняты пропорционально величине прибыли П, получаемой предприятием за счет использования конфиденциальной информации:

И = kП.

По мнению экспертов, если затраты на организацию защиты от информационных угроз L на предприятии составили менее 5% величины упущенной выгоды или прибыли за счет использования своей конфиденциальной информации, то оно рискует собственной экономической безопасностью. Если же они превышают 20% от этих величин, то целесообразно пересмотреть организацию (структуру средств) защиты конфиденциальной информации, чтобы сократить затраты на нее. <…>

По имеющимся оценкам, затраты на безопасность могут оказаться весьма значительными. Так, при эффективности защиты, близкой к единице (т.е. при расчетном сроке окупаемости инвестиций в комплекс защитных мер один год), и вероятности проявления угроз от 15 до 20% (примерно соответствует вероятности проявления на протяжении 5 лет имущественных угроз крупным коммерческим структурам) допустимые издержки на безопасность должны находиться в пределах от 15 до 19% активов предприятия».

Предположим, что Альфа-банк предполагает осуществить сделку с крупным предприятием выгода от которой банку составит 1 млрд. руб., то сумма средств на организацию конфиденциальной информации составит:


Информация о работе «Оценка защищенности информационных ресурсов и управление защитой информации»
Раздел: Информатика, программирование
Количество знаков с пробелами: 76940
Количество таблиц: 6
Количество изображений: 10

Похожие работы

Скачать
214673
1
8

... Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования. М.: Госстандарт СССР. ГОСТ 31078-2002. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. СТБ ИСО/МЭК 9126-2003. Информационные технологии. Оценка программной продукции. Характеристики качества и руководства по их применению. СТБ ИСО/МЭК ТО ...

Скачать
62272
1
7

... для блокировки загрузки с FDD; Интерфейс для блокировки загрузки с CD-ROM; Программное обеспечение формирования списков контролируемых программ; Документация. 2. Система защиты информации "Secret Net 4.0" Рис. 2.1. Назначение: Программно-аппаратный комплекс для обеспечения информационной безопасности в локальной вычислительной сети, рабочие ...

Скачать
43162
0
0

... защищенности КИС. Формирование целевой модели ТСО. По результатам проведенного аудита моделируется целевая (желаемая) модель, учитывающая перспективы развития бизнеса и корпоративной системы защиты информации (активы, сложность, методы лучшей практики, типы СЗИ и СКЗИ, квалификация сотрудников компании и т. п.). Кроме того, рассматриваются капитальные расходы и трудозатраты, необходимые для ...

Скачать
49469
0
2

... соответствия установленной категории для этих технических средств; ·  монтаж средств активной защиты в случае, когда по результатам специальных или объектовых исследований технических средств не выполняются нормы защиты информации для установленной категории этих технических средств; ·  организация охраны и физической защиты объекта информатизации и отдельных технических средств; ·  разработка ...

0 комментариев


Наверх