Смысл и оценка потери информации

Прежде, чем приступать к разработке системы информационной безопасности, необходимо определить, что же для организации (физического лица) является интеллектуальной собственностью.

С точки зрения делового человека, интеллектуальной собствен­ностью являются информационные ресурсы, знания, которые помогают ему эффективно разра­батывать и изготавливать новую продукцию, выгодно продавать товар или каким-то другим образом увеличивать свою прибыль. Способ управления производством, технологический процесс, список клиен­тов профиль научных исследований, анализ конкурентоспособно­сти – лишь некоторые примеры тому.

Незнание того, что составляет интеллектуальную собствен­ность — уже шаг к потерям финансовым, моральным и материальным. Именно с этого надо начинать создание системы защиты информации.

Дальнейшими этапами, вне зависимости от размеров организации и специфики ее информационной системы, в том или ином виде должны быть:

определение границ управления информационной безопасностью объекта;

разработка сценария действий по нарушению информационной безопасности

ранжирование угроз и выбор контрмер, обеспечивающих информационную безопасность;

проверка системы защиты информации.

Оценка возможного ущерба (потерь)

Желательно, чтобы эта оценка была количественной. В качестве возможных вариантов оценки потерь могут быть использованы как точные методы современной математики, так и методы экспертных оценок, которые весьма широко используются при решении подобных задач.

Оценивая тяжесть ущерба, необходимо иметь в виду:

непосредственные расходы на замену оборудования, анализ и исследование причин и величины ущер­ба, восстановление информации и функционирования АС по ее обработке

косвенные потери, связанные со снижением банковского доверия, потерей клиентуры, подрывом репутации, ослабление позиций на рынке

Естественно, что информационные потери требуют расходов на их восстановление, что приводит к временным задержкам, вызывающим соответствующие претен­зии пользователей, потерю интересов, а иногда и финансовые санк­ции.

Для оценки потерь необходимо описать сценарий действий трех сторон – нарушителя по использованию добытой информации, службы информационной безопасности по предотвращению последствий и восстановлению нормального функционирования системы и третьей стороны.

Ценность физических ресурсов определяется ценой их восстановления в случае разрушения.

Ценность данных и программного обеспечения определяется в следующих ситуациях:

недоступность ресурса в течение определенного периода времени

разрушение ресурса – потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение;
нарушение конфиденциальности в случаях несанкционированного доступа штатных сотрудников или посторонних лиц;
модификация рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок;
ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу.

Для оценки возможного ущерба рекомендуется использовать некоторые из следующих критериев:

ущерб репутации организации;

нарушение действующего законодательства;

ущерб для здоровья персонала;

ущерб, связанный с разглашением персональных данных отдельных лиц;

финансовые потери от разглашения информации;

финансовые потери, связанные с восстановлением ресурсов;

потери, связанные с невозможностью выполнения обязательств;

дезорганизация деятельности.

Приведенная совокупность критериев используется в коммерческом варианте метода. В других версиях совокупность будет иной. Так, в версии, используемой в правительственных учреждениях, добавляются параметры, отражающие такие области, как национальная безопасность и международные отношения.

Друзья! Приглашаем вас к обсуждению. Если у вас есть своё мнение, напишите нам в комментарии.