Защита от проявления той или иной угрозы может быть реализована различными способами. Например, защитить информацию на жестком диске ПЭВМ от ознакомления можно следующими способами :
- организовать контроль за доступом в помещение, в котором установлена ПЭВМ;
- назначить ответственных за использование ПЭВМ;
- шифровать информацию на диске;
- использовать системы разграничения доступа;
- закрывать доступ или демонтировать дисководы и порты ввода-вывода;
- применять средства оповещения администратора о вскрытии корпуса ПЭВМ.
Для каждого из этих способов определяются такие характеристики, как стоимость и эффективность. Стоимость метода защиты имеет абсолютное значение, выраженное в денежных единицах, затраченных на его реализацию и сопровождение. При оценке стоимости метода необходимо учитывать не только прямые (закупка оборудования, обучение персонала и т.д.), но и косвенные затраты (замедление работы системы, нарушение устоявшейся технологии обработки информации и т.д)
Эффективность метода — это его способность противостоять тем или иным угрозам. Получить реальное значение эффективности очень трудно, и в большинстве случаев эта характеристика определяется эмпирически.
Анализ риска также позволяет экспериментировать с некоторой моделью АСОИБ для того, чтобы выяснить, какие из имеющихся методов защиты наиболее эффективны для сохранения работоспособности системы и конфиденциальности обрабатываемой в ней информации.
Анализ риска — хорошо известный инструмент планирования, широко используемый в практике управления. Тем не менее, иногда выдвигаются аргументы против его использования. Рассмотрим основные из них.
1. Неточность. Многие значения, получаемые в процессе анализа (вероятность появления событий, стоимость ущерба) не отличаются высокой точностью. Однако существуют различные методы для получения приемлемых приближений этих значений.
В то же время, анализ риска — это инструмент планирования. Основная его задача — определить уровень возможных потерь. Например, можно ошибиться в частоте появления некоторого события — один раз в год или один раз в три года, но мы по крайней мере будем уверены, что оно вряд ли будет происходить каждую неделю. Анализ риска определяет эффективный уровень затрат на защиту, особенно в условиях ограниченных финансов.
Кроме того, излишняя точность может оказаться ненужной. Например, совершенно неважно, составят ли ожидаемые потери $150.000 или $100.000, важно, что они будут много больше чем $20.000. Стремление к излишней точности в таких случаях только требует увеличения времени анализа и дополнительных затрат.
2. Быстрая изменяемость. Анализ риска актуален лишь в течение определенного промежутка времени. Потом может изменится состав системы, внешние условия и т.д, и придется проводить новый анализ. В идеале анализ риска для собственной АСОИБ рекомендуется проводить ежегодно.
Важный момент в ежегодном исследовании — учет всех имеющих отношение к делу изменений, происшедших за истекший год. При этом некоторые факторы могли не учитываться в прошлом году, а некоторые могли потерять актуальность.
3. Отсутствие научной базы. Почти все методики проведения анализа риска основывается на положениях теории вероятностей и математической статистики, однако их применение не всегда корректно.
Больше по теме:
Понятие банка и
банковской системы
Вопрос о том, что такое банк, не является таким простым, как это кажется на первый взгляд. В обиходе банки — это хранилище денег. Вместе с тем данное или подобное ему житейское толкование банка не только не раскрывает его сути, но и скрыв ...
Хеджеры
Хеджерами
являются участники рынка, использующие фьючерсы и опционы для уменьшения риска ценовых колебаний. Их участие во фьючерсной торговле связано с реальными операциями, касающимися товара или финансового инструмента, лежащего в осно ...
Необходимость и сущность кредита
Кредит является неотъемлемым элементом рыночного хозяйства, оказывающим непосредственное воздействие на процессы расширенного воспроизводства на макроуровне и на уровне отдельного предприятия. Будучи одновременно категорией воспроизводств ...