кої протягом року відбуваються порушення інформаційної безпеки i-го типу; - оціночна величина середньорічних втрат (Annualized Loss Expectancy, ALEi) - сумарний розмір втрат від порушень інформаційної безпеки (реалізації ризиків) i-го типу протягом року. br/>
ALEi = SLEi x AROi = (AV x EFi) x AROi (3.3)
Безпосередній ефект від реалізації заходів з підвищення рівня інформаційної безпеки буде проявлятися в тому, що: - негативні наслідки кожної реалізованої загрози після реалізації заходів (EFi ') будуть менше, ніж були до їх реалізації: EFi> EFi'; - частота порушень інформаційної безпеки зменшиться після реалізації заходів AROi> AROi '. p> У результаті зменшена величина ALEi 'становитиме:
ALE'i = SLEi x AROi = (AVi x EFi ') x AROi' (3.4)
Таким чином, сумарний річний ефект від реалізації заходу буде визначатися як: Виходячи з цього, загальний грошовий потік від реалізації заходу визначається за наступною формулою:
(3.5)
3.2 Оцінка ризиків
Під ризиком інформаційної безпеки будемо розуміти можливі втрати власника або користувача інформації і підтримуючої інфраструктури пов'язані з реалізацією деякої загрози. p> Ризик порушення конфіденційності інформації (інформація - товар). p> Ризик порушення цілісності інформації. p> Ризик порушення доступності інформації, доступності сервісів.
Організації зараз жорстко зав'язані на автоматизацію, на сервіси, несуть величезні втрати від їх простоювання (це збиток). Не дарма зараз вводять такого роду процеси, як управління доступністю сервісів, управління безперервністю і т.д.
Статистика показує, що у всіх країнах збитки від зловмисних дій безперервно зростають. Причому, основні причини збитків пов'язані не стільки з недостатністю коштів безпеки як таких, скільки з відсутністю взаємозв'язку між ними, тобто з нереалізованістю системного підходу. Тому необхідно випереджаючими темпами удосконалювати комплексні засоби захисту інформації. Основні висновки про способи використання розглянутих вище засобів, методів і заходів захисту, зводиться до наступного: не існує універсальної системи розрахунку витрат на засоби ЗІ, але слід враховувати, що витрати на заходи не повинні перевищувати вартість захищається інформації, протягом усього часу використання. p> Також слід враховувати розвиток і совершенстваніе засобів і технологій ЗІ, і вкладати кошти переважно в новітні розробки.
У цьому розділі проведено обгрунтування вибору методів ЗІ і дано оцінки характеристик пропонованих варіантів.
Завдання вибору оптимальних методів зазвичай зводиться до найбільш універсальною реалізації c мінімальною вартістю за умови задоволення цієї реалізацією всіх поставлених вимог щодо функціонування. Розглянемо ризики і розрахуємо втрати у разі виникнення загроз. p> У широкому сенсі, під цим терміном розуміють всі, що представляє цінність з точки зору орг...
