Защита от проявления той или иной угрозы может быть реализована различными способами. Например, защитить информацию на жестком диске ПЭВМ от ознакомления можно следующими способами :
- организовать контроль за доступом в помещение, в котором установлена ПЭВМ;
- назначить ответственных за использование ПЭВМ;
- шифровать информацию на диске;
- использовать системы разграничения доступа;
- закрывать доступ или демонтировать дисководы и порты ввода-вывода;
- применять средства оповещения администратора о вскрытии корпуса ПЭВМ.
Для каждого из этих способов определяются такие характеристики, как стоимость и эффективность. Стоимость метода защиты имеет абсолютное значение, выраженное в денежных единицах, затраченных на его реализацию и сопровождение. При оценке стоимости метода необходимо учитывать не только прямые (закупка оборудования, обучение персонала и т.д.), но и косвенные затраты (замедление работы системы, нарушение устоявшейся технологии обработки информации и т.д)
Эффективность метода — это его способность противостоять тем или иным угрозам. Получить реальное значение эффективности очень трудно, и в большинстве случаев эта характеристика определяется эмпирически.
Анализ риска также позволяет экспериментировать с некоторой моделью АСОИБ для того, чтобы выяснить, какие из имеющихся методов защиты наиболее эффективны для сохранения работоспособности системы и конфиденциальности обрабатываемой в ней информации.
Анализ риска — хорошо известный инструмент планирования, широко используемый в практике управления. Тем не менее, иногда выдвигаются аргументы против его использования. Рассмотрим основные из них.
1. Неточность. Многие значения, получаемые в процессе анализа (вероятность появления событий, стоимость ущерба) не отличаются высокой точностью. Однако существуют различные методы для получения приемлемых приближений этих значений.
В то же время, анализ риска — это инструмент планирования. Основная его задача — определить уровень возможных потерь. Например, можно ошибиться в частоте появления некоторого события — один раз в год или один раз в три года, но мы по крайней мере будем уверены, что оно вряд ли будет происходить каждую неделю. Анализ риска определяет эффективный уровень затрат на защиту, особенно в условиях ограниченных финансов.
Кроме того, излишняя точность может оказаться ненужной. Например, совершенно неважно, составят ли ожидаемые потери $150.000 или $100.000, важно, что они будут много больше чем $20.000. Стремление к излишней точности в таких случаях только требует увеличения времени анализа и дополнительных затрат.
2. Быстрая изменяемость. Анализ риска актуален лишь в течение определенного промежутка времени. Потом может изменится состав системы, внешние условия и т.д, и придется проводить новый анализ. В идеале анализ риска для собственной АСОИБ рекомендуется проводить ежегодно.
Важный момент в ежегодном исследовании — учет всех имеющих отношение к делу изменений, происшедших за истекший год. При этом некоторые факторы могли не учитываться в прошлом году, а некоторые могли потерять актуальность.
3. Отсутствие научной базы. Почти все методики проведения анализа риска основывается на положениях теории вероятностей и математической статистики, однако их применение не всегда корректно.
Больше по теме:
Организационная структура Банка
России
Банк России образует единую централизованную систему с вертикальной структурой управления.
В систему Банка России входят центральный аппарат, территориальные учреждения, расчетно-кассовые центры, вычислительные центры, полевые учреждени ...
Учреждения
коммерческого кредита
В 1864 - 1873 гг. возникло большинство акционерных коммерческих банков. Их правления находились в Петербурге, Москве и некоторых торгово-промышленных губернских центрах. Для операций в других городах банки открывали свои отделения. Число ...
Оценкафинансового состояния компании
Оценка уровня кредитоспособности компании строится с использованием финансовых коэффициентов. Расчет и анализ финансовых коэффициентов проводится на основании финансовых отчетов компании, ранее полученной информации, содержащейся в досье ...