Защита от проявления той или иной угрозы может быть реализована различными способами. Например, защитить информацию на жестком диске ПЭВМ от ознакомления можно следующими способами :
- организовать контроль за доступом в помещение, в котором установлена ПЭВМ;
- назначить ответственных за использование ПЭВМ;
- шифровать информацию на диске;
- использовать системы разграничения доступа;
- закрывать доступ или демонтировать дисководы и порты ввода-вывода;
- применять средства оповещения администратора о вскрытии корпуса ПЭВМ.
Для каждого из этих способов определяются такие характеристики, как стоимость и эффективность. Стоимость метода защиты имеет абсолютное значение, выраженное в денежных единицах, затраченных на его реализацию и сопровождение. При оценке стоимости метода необходимо учитывать не только прямые (закупка оборудования, обучение персонала и т.д.), но и косвенные затраты (замедление работы системы, нарушение устоявшейся технологии обработки информации и т.д)
Эффективность метода — это его способность противостоять тем или иным угрозам. Получить реальное значение эффективности очень трудно, и в большинстве случаев эта характеристика определяется эмпирически.
Анализ риска также позволяет экспериментировать с некоторой моделью АСОИБ для того, чтобы выяснить, какие из имеющихся методов защиты наиболее эффективны для сохранения работоспособности системы и конфиденциальности обрабатываемой в ней информации.
Анализ риска — хорошо известный инструмент планирования, широко используемый в практике управления. Тем не менее, иногда выдвигаются аргументы против его использования. Рассмотрим основные из них.
1. Неточность. Многие значения, получаемые в процессе анализа (вероятность появления событий, стоимость ущерба) не отличаются высокой точностью. Однако существуют различные методы для получения приемлемых приближений этих значений.
В то же время, анализ риска — это инструмент планирования. Основная его задача — определить уровень возможных потерь. Например, можно ошибиться в частоте появления некоторого события — один раз в год или один раз в три года, но мы по крайней мере будем уверены, что оно вряд ли будет происходить каждую неделю. Анализ риска определяет эффективный уровень затрат на защиту, особенно в условиях ограниченных финансов.
Кроме того, излишняя точность может оказаться ненужной. Например, совершенно неважно, составят ли ожидаемые потери $150.000 или $100.000, важно, что они будут много больше чем $20.000. Стремление к излишней точности в таких случаях только требует увеличения времени анализа и дополнительных затрат.
2. Быстрая изменяемость. Анализ риска актуален лишь в течение определенного промежутка времени. Потом может изменится состав системы, внешние условия и т.д, и придется проводить новый анализ. В идеале анализ риска для собственной АСОИБ рекомендуется проводить ежегодно.
Важный момент в ежегодном исследовании — учет всех имеющих отношение к делу изменений, происшедших за истекший год. При этом некоторые факторы могли не учитываться в прошлом году, а некоторые могли потерять актуальность.
3. Отсутствие научной базы. Почти все методики проведения анализа риска основывается на положениях теории вероятностей и математической статистики, однако их применение не всегда корректно.
Больше по теме:
Налогообложение на рынке ценных бумаг
Особенности налогообложения прибыли от операций с ценными бумагами эмитентов, инвесторов, профессиональных участников рынка ценных бумаг. Подоходный налог на доход по ценным бумагам. Доходы профессиональных участников РЦБ как объект облож ...
Порядок лицензирования банковской деятельности вновь созданных кредитных
организаций
Основанием для выдачи кредитной организации лицензии на осуществление банковских операций является подтверждение своевременной и правомерной оплаты 100% уставного капитала, которое учредители кредитной организации должны произвести в тече ...
Учет процентов по депозитным операциям
Важным средством конкурентной борьбы между банками за привлечение ресурсов является разнообразная процентная пластика, ибо получение дохода на вложенные средства служит существенным стимулом к совершению клиентами вкладов. Уровень депозит ...