яке несанкціоноване розмноження є зловмисна дія;
) несанкціоноване розмноження може здійснюватися в організаціях-розробниках компонентів АСОД, безпосередньо в АСОД і сторонніх організаціях, причому останні можуть отримувати носій, з якого робиться спроба зняти копію як законним, так і незаконним шляхом.
Спроби несанкціонованого розмноження інформації у розробника і в АСОД є один з видів зловмисних дій з метою несанкціонованого її отримання і тому імітуються наведеної вище моделлю (див. рис. 3). Якщо ж носій з захищається інформацією яким-небудь шляхом (законним чи незаконним) потрапив у сторонню організацію, то для його несанкціонованого копіювання можуть використовуватися будь-які засоби і методи, включаючи й такі, які носять характер наукових досліджень і дослідно-конструкторських розробок. Тоді модель процесу розмноження в найзагальнішому вигляді може бути представлена ??так, як показано на рис. 4.
У процесі розвитку теорії та практики захисту інформації сформувалися три методологічних підходи до оцінки вразливості інформації: емпіричний, теоретичний і теоретико-емпіричний.
Сутність емпіричного підходу полягає в тому, що на основі тривалого збору та обробки даних про реальних проявах загроз інформації і про розміри того збитку, який при цьому мав місце, чисто емпіричним шляхом встановлюються залежності між потенційно можливим збитком і коефіцієнтами, що характеризують частоту прояву відповідної загрози та значення мав при її прояві розміру збитку.
Найбільш характерним прикладом моделей розглянутої різновиди є моделі, розроблені фахівцями американської фірми IBM. Розглянемо розвиваються у цих моделях підходи.
Рис. 4. Загальна модель процесу несанкціонованого копіювання інформації
Вихідною посилкою при розробці моделей є майже очевидне припущення: з одного боку, при порушенні захищеності інформації наноситься деякий збиток, з іншого, забезпечення захисту інформації пов'язане з витрачанням коштів. Повна очікувана вартість захисту може бути виражена сумою витрат на систему захисту і втрат від її порушення.
Математичне вираження залежності очікуваної повної вартості буде мати вигляд:
C=Cd + Cр,
Cd - вартість збитку при порушенні захищеності інформації;
Cр - вартість витрат на забезпечення захисту інформації.
Отже, оптимальна повна вартість витрат визначається гарантованим рівнем захищеності при допустимому значенні вартості збитку, тобто:
Сорt=min (Cd + Cр).
Зазначена залежність графічно представлена ??на рис. 5.
Очевидно, що оптимальним рішенням було б виділення на захист інформації коштів у розмірі Сорt, оскільки саме при цьому забезпечується мінімізація загальної вартості захисту інформації.
Рис. 5. Вартісні залежно захисту інформації
Для того щоб скористатися даним підходом до вирішення проблеми, необхідно, по-перше, знати (або вміти визначати) очікувані втрати при порушенні захищеності інформації, а по-друге, залежність між рівнем захищеності і засобами, затраченими на захист інформації.
Рішення першого питання, тобто оцінки очікуваних втрат при порушенні захищеності інформації, принципово може бути отримано лише тоді, коли йдеться про захист промислової, комерційної та їм подібної таємниці, хоча і тут зустрічаються досить серйозні труднощі. Що стосується оцінки рівня втрат при порушенні статусу захищеності інформації, що містить державну, військову і їм подібну таємницю, то тут до теперішнього часу строгіші підходи до їх отримання не знайдені. Дана обставина істотно звужує можливу область використання моделей, заснованих на розглянутих підходах.
Для визначення рівня витрат, що забезпечують необхідний рівень захищеності інформації, необхідно принаймні знати, по-перше, повний перелік загроз інформації, по-друге, потенційну небезпеку для інформації кожної з загроз і, по-третє , розміри витрат, необхідних для нейтралізації кожної із загроз.
Крім того, щоб скористатися даним підходом до вирішення проблеми, необхідно знати (або вміти визначати) очікувані втрати при порушенні захищеності інформації і знати залежність між рівнем захищеності і засобами, затраченими на захист інформації.
Цілком очевидно, що оптимальним рішенням було б виділення на захист інформації коштів у розмірі Сорt, оскільки саме при цьому забезпечується мінімізація загальної вартості захисту інформації.
Рішення першого питання, тобто оцінки очікуваних втрат при порушенні захищеності інформації, принципово мож...
