Гарантии анализа риска

Автор: Администратор
Дата публикации: 24 июня 2012 года
Раздел: Защита от взлома

Гарантии анализа риска. Общие положения

Гарантии анализа риска

В книге Паркера (M.Parker) и Бенсона (R.Benson) "Экономика информации" ("Information Economics") предложена модель экономики информации. Подход авторов строится на определении затрат и прибыли, относящихся к информационной технологии.

С одной стороны, концепция прибыли развита до более широкой концепции, отражающей влияние информационной технологии на деловую активность предприятия. С другой — значение затрат также расширено с включением в эту категорию потенциального риска в каждом проекте по обработке данных или автоматизации. Потенциальный риск связан с отставанием по срокам, превышением стоимости, технологическими недостатками и явным провалом.

Все это выражается в том, что "традиционное уравнение" затрат и прибылей уже не достаточно для обоснования стратегии фирмы или предприятия в области защиты информационных технологий. Риск становится третьим фактором в этом уравнении.

Типы риска

Паркер и Бенсон выделяют различные типы риска:

  • организационный (связанный с явными просчетами);
  • зависящий от технической неопределенности;
  • обусловленный несовершенством инфраструктуры.

Эта концепция непосредственно применима к компьютерной безопасности. Здесь организационный риск связан с разработкой политики безопасности. Явные просчеты могут быть допущены при идентификации классов возможных угроз и потенциальных нарушителей. Техническая неопределенность может касаться управления криптографическими ключами.

Риск, связанный с инфраструктурой, может быть обусловлен необходимостью введения дополнительных штатных должностей (аналитиков безопасности, внутрисистемных ревизоров) и служб (например, службы совершенствования системы защиты).

Факторы прибыли

Факторы прибыли

По мнению авторов, прибыль включает ряд факторов, которые часто не учитывались в традиционном анализе по критерию эффективность - стоимость, но имеющих важное значение для быстро развивающихся информационных технологии. Это:

  • объединение ценностей (value linking), используемое для оценки общего эффекта от улучшения выполнения функций и любого последующего эффекта от отдельной функции;
  • ускорение роста ценности (value acceleration), используемое для оценки роста прибыли (и затрат) во времени, вследствие объединения двух функций в соотношении причина — следствие;
  • перераспределение ценностей (value restructuring), учитывающее ценности, связанные с перестройкой работы или функций отдела (измеряет ценность от роста производительности в результате организационных изменений);
  • нововведения (innovation), создающие новые функции в деловой области.

Аргументы против управления риском

управление риском

Оценка компьютерной безопасности - непростая задача даже при использовании традиционного анализа затраты - результаты. Это связано с тем, что большинство выгод неосязаемо, тогда как затраты (расходы на построение, внедрение и сопровождение, административные и эксплуатационные расходы, пониженная производительность, испытания и т.д.) хорошо известны. Поэтому, несмотря на то, что управление риском – хороший инструмент планирования безопасности, широко используемый в практике построения систем защиты, выдвигаются аргументы и против его использования. Рассмотрим основные из них.

1. НЕТОЧНОСТЬ. Многие значения, получаемые в процессе анализа (вероятность появления событий, стоимость ущерба) не отличаются высокой точностью. Однако существуют различные методы для получения приемлемых приближений этих значений.

Следует помнить, что основная задача управления риском - оценить уровень возможных потерь и уровень затрат на защиту, а точнее их соотношение. Например, можно ошибиться в частоте появления некоторого события - один раз в год или один раз в три года, но по крайней мере будет уверенность, что оно вряд ли будет происходить каждую неделю. Анализ риска определяет эффективный уровень затрат на защиту, особенно в условиях ограниченных финансов.

Кроме того, излишняя точность может оказаться ненужной. Например, совершенно неважно, составят ли ожидаемые потери 150000$ или 100000$, важно, что они будут много больше чем 20000$. Стремление к излишней точности в таких случаях только требует увеличения времени анализа и дополнительных затрат.

2. БЫСТРАЯ ИЗМЕНЯЕМОСТЬ. Анализ риска актуален лишь в течение определенного промежутка времени. Потом может измениться состав системы, внешние условия и т.д, и придется проводить новый анализ. В идеале анализ риска для заданной компьютерной системы рекомендуется проводить ежегодно.

Важный момент в ежегодном исследовании - учет всех имеющих отношение к делу изменений, происшедших за истекший год. При этом некоторые факторы могли не учитываться в прошлом году, а некоторые могли потерять актуальность.

3. ОТСУТСТВИЕ СТРОГОЙ НАУЧНОЙ БАЗЫ. Почти все методики проведения анализа риска основывается на положениях теории вероятностей и математической статистики, которые дают лишь приближенные результаты.

Fatal error: Call to a member function return_links() on a non-object in /var/www/zoleg9992/data/www/e2epro.com/page/footer.php on line 42