Электронная библиотека диссертаций и авторефератов России
dslib.net
Библиотека диссертаций
Навигация
Каталог диссертаций России
Англоязычные диссертации
Диссертации бесплатно
Предстоящие защиты
Рецензии на автореферат
Отчисления авторам
Мой кабинет
Заказы: забрать, оплатить
Мой личный счет
Мой профиль
Мой авторский профиль
Подписки на рассылки



расширенный поиск

Структурирование системы информационной безопасности: методы, модели, инструментальные средства Табаков, Артем Борисович

Структурирование системы информационной безопасности: методы, модели, инструментальные средства
<
Структурирование системы информационной безопасности: методы, модели, инструментальные средства Структурирование системы информационной безопасности: методы, модели, инструментальные средства Структурирование системы информационной безопасности: методы, модели, инструментальные средства Структурирование системы информационной безопасности: методы, модели, инструментальные средства Структурирование системы информационной безопасности: методы, модели, инструментальные средства Структурирование системы информационной безопасности: методы, модели, инструментальные средства Структурирование системы информационной безопасности: методы, модели, инструментальные средства Структурирование системы информационной безопасности: методы, модели, инструментальные средства Структурирование системы информационной безопасности: методы, модели, инструментальные средства
>

Диссертация - 480 руб., доставка 10 минут, круглосуточно, без выходных и праздников

Автореферат - бесплатно, доставка 10 минут, круглосуточно, без выходных и праздников

Табаков, Артем Борисович. Структурирование системы информационной безопасности: методы, модели, инструментальные средства : диссертация ... кандидата экономических наук : 08.00.13. - Москва, 2005. - 130 с. : ил.

Содержание к диссертации

Введение

Глава 1. Проблемы создания системы информационной безопасности 10

1.1. Характеристика угроз информационной системе компании 10

1.2. Методы и средства обеспечения безопасности информационных систем от информационных рисков

1.3. Принципы построения системы информационной безопасности компании

1.4. Анализ комплексов контроля информационных рисков 40

Выводы по главе 1 51

Глава 2. Применение математических моделей при создании оптимальной системы информационной безопасности

2.1. Методика анализа информационных рисков в рамках отдельной компании

2.2. Подходы к обоснованию затрат на информационную безопасность 59

2.3. Методика выбора оптимального набора программно-технических г,. средств защиты 80

2.4. Методы, гарантирующие оптимальный выбор средств информационной безопасности

Выводы по главе 2 84

Глава 3. Оптимизация работы системы информационной безопасности компании

3.1. Модель несанкционированного доступа 85

3.2. Подходы к обоснованию использования механизма страхования в качестве элемента системы информационной безопасности

3.3. Анализ методики определения тарифов при страховании 11ft

информационных рисков

Выводы по главе 3 116

Заключение 117

Список литературы

Введение к работе

Актуальность. В настоящее время успешная деятельность ни одной государственной или частной компании невозможна без применения информационных технологий. Это, с одной стороны, ведет к значительным преимуществам в деятельности предприятий и организаций, а с другой, — заставляет компании столкнуться с совершенно новыми рисками, связанными с порчей, утратой и уничтожением коммерческой конфиденциальной информации. Компьютерным системам доверяют жизнь и благосостояние людей и общества в целом. В настоящее время без компьютерных систем нельзя представить существование таких направлений деятельности, как управление, научные исследования, транспорт, образование, промышленность, деятельность в коммерческой, финансовой и других сферах.

Неправомерное искажение, уничтожение или разглашение определенной части информации, а также дезорганизация процессов ее обработки и передачи наносят серьезный материальный и моральный ущерб как государству в целом, так и юридическим и физическим лицам. В частности, к сожалению, частота этих нарушений увеличивается из года в год, особенно в платежных системах и системах, обслуживающих финансово-кредитные отношения. По некоторым данным, в промышленно развитых странах средний ущерб от одного компьютерного преступления, достигает 450 тыс. долл., а ежегодные потери в США и Западной Европе составляют соответственно 100 и 35 млрд. дол.

В России ущерб от компьютерных преступлений до сих пор интегрально не подсчитывался, но с учетом их возможных масштабов сумма ущерба представляется весьма значительной.

Важность проблемы защиты информации в нашей стране подчеркивает факт создания по инициативе Президента РФ Доктрины информационной безопасности. Методы обеспечения информационной безопасности

Российской Федерации согласно Доктрине разделяются на правовые, организационно-технические и экономические.

Экономические методы обеспечения информационной безопасности включают в себя: разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования, совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

Именно соединение классических (программных и технических) методов защиты информации и механизма страхования могут помочь компании создать наиболее оптимальную с экономической точки зрения систему информационной безопасности (СИБ).

К сожалению, страхование информационных рисков продолжает оставаться в нашей стране эксклюзивным видом страхования. Основная причиной этого заключается в стоимости услуги. Профессиональные андеррайтеры, работающие в страховых компаниях, не могут до беспредела искусственно занижать размер страховых тарифов в погоне за потенциальными клиентами. Необходимо помнить, что именно из собираемых страховщиками премий формируется фонд, который впоследствии идет на компенсацию убытков страхователей. Недобор премий из-за несоответствия величины риска тарифной ставки может привести к тому, что страховые компании не смогут осуществлять выплаты в случае массового наступления страховых случаев.

Однако, учитывая тот факт, что в столь новом виде страхования, как страхование информационных рисков, еще не существует жестких стандартов работы с клиентами, и то, что страховщикам приходится пропагандировать индивидуальный подход к потенциальным клиентам, страхователь может торговаться по поводу стоимости своей страховой

защиты. Причем этот торг это должен происходить на основе математических выкладок, аргументированно доказывающих, что работа по обеспечению информационной безопасности ведется и осуществляется на должном уровне.

Страхователь должен четко представлять, что чем больше он потратил на безопасность своей информационной системы, чем надежней его СИБ, тем ниже вероятность того, что злоумышленнику удастся проникнуть и нарушить целостность хранящейся информации, тем меньше ему придется заплатить страховой компании за полис.

Существующие в настоящее время подходы к разработке структуры системы информационной безопасности во многом основываются на положении о том, что СИБ - это комплекс организационно-технических мероприятий и программно-аппаратных средств, обеспечивающих надежное хранения и безопасную передачу данных. Однако в современном обществе построение защиты от информационных рисков, способной полностью обезопасить компанию от угроз, связанных с причинением вреда хранимой информации, без применения экономических методов, которые также должны рассматриваться в качестве элемента СИБ, является крайне дорогим и практически недостижимым.

Потребность создания структуры СИБ, оптимальной с экономической точки зрения, а также проработка вопроса более активного использования механизма страхования информационных рисков в качестве элемента структуры СИБ и определили выбор темы и цели настоящего исследования.

Цель диссертации заключается в разработке комплекса методов, моделей и инструментальных средств формирования структур систем информационной безопасности предприятия, компании.

В соответствии с данной целью в работе поставлены и решены следующие задачи:

классификация существующих угроз информационным системам и программно-технических средств защиты от них;

обоснование выбора статистической модели для доказательства необходимости вложений в систему информационной безопасности предприятия;

анализ финансовой составляющей системы информационной безопасности компании и выработка рекомендаций по формированию рациональной структуры СИБ для конкретного объекта;

разработка методики выбора средств защиты информации на базе алгоритмов дискретного программирования;

выбор и обоснование эффективной стратегии поиска решения по дереву ветвлений в задаче выбора оптимальной СИБ;

разработка показателей оценки защищенности информационной системы предприятия на примере нанесения ей вреда в случае несанкционированного доступа;

определение подходов к обоснованию оптимального сочетания программно-технических методов защиты информации и механизма страхования.

Объектом исследований являются системы информационной безопасности отечественных компаний.

В качестве предмета исследований выступают способы обеспечения информационная безопасность отечественных компаний.

Теоретическую и методологическую основу исследования составили системный подход к моделированию сложных социально-экономических систем, ключевые положения кибернетики, общей теории систем.

При решении конкретных задач использовались труды отечественных
и зарубежных ученых в области информационной безопасности,
государственного регулирования экономики, математического

программирования, теории вероятностей, математической статистики, теории графов и теории игр.

Базу исследования составили законы и законодательные акты, разработки ведущих научных школ в области информационной безопасности и страхования, а также данные статистических сборников и проектные материалы научной периодики, конференций и семинаров.

Работа выполнена в соответствии с пунктом 2.5. Паспорта специальности 08.00.13 - математические и инструментальные методы экономики: «Разработка концептуальных положений использования новых информационных и коммуникационных технологий с целью повышения эффективности управления в экономических системах».

Научная новизна исследования заключается в формировании методики оптимизации структуры системы информационной безопасности компании, позволяющей параметризировать требования к функциональной технологической архитектуре СИБ конкретного хозяйствующего субъекта в рамках имеющихся материальных ресурсов.

Научную новизну содержат следующие положения.

  1. На основе анализа функционирования информационных систем составлен перечень возможных угроз и указаны средства их нейтрализации (организационные, программно-технические и экономические); обоснована необходимость использования при построении СИБ экономических методов защиты, в частности страхования.

  2. Разработаны формальные постановки задачи выбора оптимальной СИБ по критерию максимизации эффективности нейтрализации информационных угроз при ограничении на объем общих затрат и по критерию минимизации общих затрат на СИБ при ограничении на уровень ее эффективности.

  3. Разработана комплексная методика формирования набора средств защиты информации, в которой эффективный поиск решения достигается

путем совмещения классической стратегии методов «ветвей и границ» и новой рандоминизированной стратегии построения дерева ветвлений.

  1. Представлена модифицированная модель несанкционированного доступа к информационной системе компании, позволяющая выделить ситуации, в которых для эффективного функционирования СИБ необходимо осуществить смену параметров системы защиты и функций распределения времени.

  2. Определены основные принципы формирования структуры СИБ предприятия на основе оптимального сочетания программно-технических методов защиты и механизма страхования.

Практическая ценность работы заключается в том, что основные положения, выводы и рекомендации диссертации ориентированы на широкое применение при построении комплексной методики выбора оптимальной системы информационной безопасности компании.

Проведенные исследования и полученные результаты составляют теоретическую основу моделирования и построения систем комплексной защиты информационной системы компании. Разработанные модели и методы направлены на решение задачи повышения информационной безопасности и эффективности предприятий индустрии информатизации. Результаты исследования доведены до конкретных методик, алгоритмов и программных комплексов.

Самостоятельное практическое значение имеют:

комплекс инструментальных программных средств, реализующих комплексную методику оптимального выбора СИБ компании;

имитационная модели функционирования информационной системы компании при несанкционированном доступе к её информации. Апробация и внедрение результатов исследования. Проведенные в

диссертации исследования непосредственно связаны с планами научно-исследовательских работ ФГУП «Всероссийский НИИ проблем

вычислительной техники и информатизации» Министерства

информационных технологий и связи Российской Федерации «О позиции Администрации связи Российской Федерации по вопросу о вступлении в ВТО в области телекоммуникаций», выполняемых в соответствии с Решением Государственной Комиссии по электросвязи (ГКЭС) № 42 от 18 мая 2002 года. Основные положения диссертации прошли экспериментальную проверку и могут быть в дальнейшем использованы при построении СИБ российских компаний для успешного их функционирования в системе ВТО.

Результаты диссертационной работы были использованы при анализе различных стратегий выбора финансового проекта СИБ в компании ЗАО «КапиталЪ Перестрахования» (акт об использовании результатов дается в Приложении к диссертации).

Теоретические и практические результаты диссертационного
исследования были использованы кафедрой Математического

моделирования экономических процессов в преподавании учебных дисциплин: «Информационная безопасность финансово-банковской системы», «Введение в страховую математику».

Основные положения диссертации докладывались и получили одобрение на следующих конференциях: 7-й Международной НПК «Комплексная защита информации» (Минск 2003г.) и 9-й Международной НПК «Комплексная защита информации» (Минск 2005г.).

Публикации. Основные положения диссертационного исследования опубликованы в 8 печатных работах (авторский объём 2,5 п.л.).

Структура и объем работы. Диссертация состоит из введения, трех глав, заключения, списка литературы и приложения, содержащего акты о внедрении результатов работы. Общий объем диссертационной работы 129 страниц, содержащих машинописный текст, 21 таблицу и 5 рисунков.

Методы и средства обеспечения безопасности информационных систем от информационных рисков

Важность проблемы защиты информации в нашей стране подчеркивается фактом создания Доктрины информационной безопасности по инициативы президента РФ В.В. Путиным.

Доктрина информационной безопасности Российской Федерации представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности РФ.

Методы обеспечения информационной безопасности Российской Федерации согласно Доктрине разделяются на правовые, организационно-технические и экономические.

Правовые методы предполагают разработку нормативно-правовых актов, регламентирующих отношения в правовой сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации.

Учитывая особую роль информации в бизнес-процессах, в Уголовный кодекс РФ включена глава 28, посвященная компьютерным преступлениям. В ней отражены меры наказания за различного рода преступления, связанные с использованием компьютерной техники - неправомерный доступ к информационным ресурсам, искажение, уничтожение, модификация информации, блокирование, нарушение прав эксплуатации ЭВМ и сетей и др.

Под неправомерным доступом к компьютерной информации понимается несанкционированное собственником информации ознакомление иного лица с данными, содержащимися на машинных носителях или в ЭВМ.

Уничтожение компьютерной информации — это полная физическая ликвидация информации или ликвидация таких ее элементов, которые влияют на изменение существенных для пользователя признаков.

Уничтожение информации, если пользователь не применял приемы дублирования информации, - очень опасное действие, поскольку при этом собственнику информационной системы наносится максимальный ущерб. Конечно, при наличии системы дублирования информации можно восстановить информационные ресурсы, но при этом могут возникнуть значительные экономические потери из-за невыполнения договоров перед клиентами. Практика свидетельствует о том, что уничтожение информации осуществляется самыми различными приемами, в том числе умышленными или неосторожными действиями лиц, у которых есть возможность воздействовать на эту информацию.

Под модификацией информации понимается внесение в нее любых изменений, обусловливающих ее отличие от той, которую включил в систему и которой владеет собственник информационного ресурса.

Блокирование - результат воздействия на ЭВМ и ее элементы, повлекший временную или постоянную невозможность осуществлять какие-либо операции над компьютерной информацией.

Организационно-техническими методами обеспечения информационной безопасности можно считать создание и совершенствование системы обеспечения информационной безопасности, усиление правоприменительной деятельности федеральных органов исполнительной власти, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения, создание систем и средств предотвращения несанкционированного доступа и т.д.

Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя: разработку программ обеспечения информационной безопасности Российской Федерации и определения порядка их финансирования, совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

Страхование — это социальный механизм, позволяющий субъектам компенсировать посредством своих страховых вкладов определенную долю риска возможных потерь, вызванных теми или иными неблагоприятными обстоятельствами.

Страхование информагщонных рисков — один из новейших видов страхования в мире. Предпосылками возникновения и развития страхования информационных рисков стали: начавшееся широкое распространение и использование компьютерной техники и компьютерных сетей; рост числа случайных событий, приносящих значительный материальный и моральный ущерб в результате кражи информации и повреждения информационных систем; возникновение опасений по поводу наступления компьютерных преступлений, желания их недопущения, минимизации и компенсации причиненного ущерба.

Определим два основных для каждого вида страхования и в том числе для страхования информационных рисков понятия — объект страхования (что может быть застраховано) и страхуемые риски (от чего может быть произведено страхование).

Анализ комплексов контроля информационных рисков

Анализ угроз безопасности информации, которым подвергаются современные компьютерные системы, показал, что при решении задачи по созданию структуры систем защиты информации необходимо оценивать их возможности с высокой степенью объективности. В настоящее время создано и довольно большое количество систем защиты информации с различными функциями, но на текущий момент нет общепринятой методики оценки защищенности компьютерных систем, как нет и общетеоретического подхода к решению этой проблемы.

Министерство обороны СЩА выработало ряд классификаций для определения различных уровней защищенности ЭВМ. Они изложены в "Оранжевой книге", или "Оценочных критериях защищенности вычислительных систем". Механизм оценивания здесь основан на принципе создания перечня оцененных изделий, в который включены изделия с определенной степенью качества. Защищенные системы оцениваются по запросам их изготовителей и заносятся в перечень оценочных изделий по шести уровням защищенности.

Критерием оценки вычислительных систем является соответствие состава программных и аппаратных средств защиты данной системы составу средств, приведенному в одном из классов оценки. Если состав средств не соответствует более высокому классу, системе присваивается ближний нижний класс. Однако зарубежными специалистами уже отмечались недостатки этой системы оценки. По мнению сотрудников Центра безопасности ЭВМ Министерства обороны США, оценочные критерии защищенности вычислительных систем, хотя и являются мерилом степени безопасности, но не дают ответа на вопрос, в какой степени должна быть защищена та или иная система, т.е. они не обеспечивают привязку классов критериев к требованиям защиты обрабатывающих средств, испытывающих различные степени риска1. Поскольку эти критерии за последнее время принципиально не изменились, можно считать, что данные высказывания остаются в силе.

В "Европейских Критериях" определяется семь возможных уровней — от ЕО до Е6. Общая оценка системы складывается из минимальной мощности механизмов безопасности и уровня гарантированности корректности. Их основной недостаток заключается в том, что при проектировании информационной системы разработчик не имеет четких исходных данных, руководствуясь которыми он должен строить систему. Другими словами, процессы проектирования и оценки не связаны между собой. При проведении такой оценки может оказаться, что она будет иметь отрицательный результат и потребуется большая доработка автоматизированной системы, затраты на которую разработчиком не учтены.

В нашей стране оценка защищенности компьютерных систем производится на основе требований Государственной Технической Комиссии, разработанных в 1992 г., однако они не вполне удовлетворяют современному уровню развитии техники: каждому элементу компьютерной системы присваивается соответствующий класс безопасности, а вся система имеет класс безопасности, равный наименьшему из классов составляющих ее элементов. Это не совсем правильно, так как компьютерные системы одинакового класса могут иметь различные характеристики, а такой подход не обеспечивает возможность исследования всех связей между различными механизмами защиты.

Для решения задачи построения систем информационной безопасности гарантирующих при минимальных затратах высокую надежность сохранности информации, были разработаны целые программные комплексы анализа и контроля информационных рисков: британский CRAMM (компания Insight Consulting1), американский RiskWatch (компания RiskWatch2), Российский ГРИФ и многие другие.

Комплекс CRAMM (The UK Goverment Risk Analysis and Managment Method) был разработан Службой безопасности Великобритании (The UK Security Service) по заданию Британского правительства и взят на вооружение в качестве государственного стандарта. Он используется начиная с 1985г. правительственными и коммерческими организациями Великобритании. За это время CRAMM приобрел популярность во всем мире.

В настоящее время CRAMM - это довольно мощный инструмент, позволяющий, помимо анализа рисков, решать ряд других аудиторских задач, включая: проведение обследования информационной системы с выпуском сопроводительной документации на всех этапах его проведения; проведение аудита в соответствии с требованиями Британского правительства, а также стандарта BS 7799:1995 - Code of Practice for Information Security Management BS7799; разработку политики безопасности и плана обеспечения непрерывности бизнеса.

Подходы к обоснованию затрат на информационную безопасность

В обосновании затрат на систему информационной безопасности предприятия существует два основных подхода1.

Первый подход заключается в том, чтобы освоить, а затем и применить на практике необходимый инструментарий измерения уровня информационной безопасности. Для этого необходимо привлечь руководство компании (как ее собственника) к оценке стоимости информационных ресурсов, определению оценки потенциального ущерба от нарушений в области информационной безопасности. От результатов этих оценок будет во многом зависеть дальнейшая деятельность руководителей в области информационной безопасности. Если информация ничего не стоит, существенных угроз для информационных активов компании нет, а потенциальный ущерб минимален, то проблемой обеспечения информационной безопасности можно не заниматься.

Если информация обладает определенной стоимостью, угрозы и потенциальный ущерб ясны, тогда встает вопрос о внесении в бюджет компании расходов на систему ИБ. В этом случае становится необходимым заручиться поддержкой руководства компании в осознании проблем информационной безопасности и построении корпоративной системы защиты информации.

Второй подход — назовем его практическим — состоит в следующем: можно попытаться найти инвариант разумной стоимости корпоративной системы защиты информации. Ведь существуют аналогичные инварианты в других областях, где значимые для бизнеса события носят вероятностный характер.

Информационной безопасностью в компании можно вообще не заниматься, и не исключен такой вариант, что принятый риск себя вполне оправдает. А можно потратить на создание корпоративной системы защиты информации немало денег, и при этом останется некоторая уязвимость, которая рано или поздно приведет к утечке или хищению конфиденциальной информации.

Эксперты-практики в области защиты информации нашли некое оптимальное решение, при котором можно чувствовать себя относительно уверенно - стоимость системы ИБ должна составлять примерно 10-20% от стоимости расходов на информационную систему компании, в зависимости от конкретных требований к режиму информационной безопасности. Это и есть та самая оценка на основе практического опыта (best practice), которой можно уверенно оперировать, если не производить детальные расчеты.

Этот подход, не лишен недостатков. В данном случае, скорее всего, не удастся вовлечь руководство в глубокое осознание проблем ИБ. Но зато можно обосновать объем бюджета на ИБ путем ссылки на понятные большинству владельцев информационных ресурсов общепринятые требования к обеспечению режима информационной безопасности "best practice", формализованные в ряде стандартов, например ISO 17799.

Применение конкретных методов оценки эффективности системы ИБ на практике зависит от ряда факторов, среди которых основными являются степень зрелости организации и специфика ее деятельности.

Независимая исследовательская фирма Computer Economics за несколько лет собрала данные, которые помогут нам провести хорошо структурированный общий анализ окупаемости вложений в ИБ в соответствии с особенностями компании, степенью развитости ее информационной системы. Далее приводятся расчеты на основе собранной статистической информации по одному из наиболее опасных видов рисков для информационной системы - несанкционированному доступу. Рассмотрение данной методики особенно интересно в связи с тем, что на практике фактически невозможно найти каких-либо статистичесих материалов по рискам, которым подвержены ИС компаний, а также по причиняемому ими ущербу.

Предприятиям, согласно данным исследовательской фирмы Computer Economics, приходится сталкиваться с тремя типами экономического ущерба (табл. 2) от несанкционированных вторжений. Немедленный экономический ущерб включает стоимость восстановления или замены систем, нарушение хода бизнес-деятельности и движения денежной наличности. Краткосрочный экономический ущерб включает срыв договорных отношений и потерю клиентов из-за неспособности поставить товары или услуги, а также отрицательное воздействие на репутацию предприятия. К долгосрочному экономическому ущербу относятся снижение рыночных цен на продукцию предприятия и падение курса его акций.

Подходы к обоснованию использования механизма страхования в качестве элемента системы информационной безопасности

Как показано на Графике (см. Приложение 1), при покупке страхового покрытия на сумму s мы передвигаемся из точки Е в точку F, т.е. при уплате страховой премии в размере ys дол. в случае наступления страхового случая страховая компания максимально может выплатить 5 дол. Таким образом, видны неоспоримые преимущества от покупки страховой защиты: на графике это подтверждается перемещением из точки Е в точку F, находящуюся на более высокой кривой безразличия. Передвижение из точки Е (полис страхования отсутствует) происходит либо в точку F, когда премия за страхования действительно соответствует вероятности наступления страхового случая (у=р), либо в точку Р, когда стоимость страховки является завышенной (у р)

Следует отметить, что последнее происходит в связи с отсутствием четкой статистики в этой области: страховщики стремятся максимально завысить страховые тарифы в страхе перед возможной высокой убыточностью по данному виду страхования.

Фактически компания может выбрать один из трех путей защиты от информационных рисков: развитие классические средства защиты информации; создание специальных резервов или самострахование и, наконец, задействование механизма страхования. Как самострахование, так и страхование выполняют функцию по минимизации последствий наступления ущерба, связанного с причинением вреда информации. Основная разница между ними состоит в том, что в случае страхования ущерб будет распределяться между целой группой страхователей, а в случае образования специальных резервов (самострахование) возмещение будет происходить целиком из собственных средств. Вложение же денег в классические средства защиты информации - попытка уменьшить не размер, а вероятность наступления убытков.

В этой связи можно сделать два утверждения:

1) классические средства защиты информации (программные, технические) должны совмещаться с применением механизма страхования (страхование повышает защищенность ИС компании),

2) страхование может с успехом заменять самострахование (увеличение расходов на страхование позволяет сократить расходы на образование специальных резервов).

Новые продукты, предлагаемые страховыми компаниями, все в большей и большей степени отвечают потребностям потенциальных страхователей. С накоплением статистической информации по страховым случаям размер страховых тарифов все в большей и большей степени отражает величину принимаемого компанией риска. В дополнение к этому стоит подчеркнуть тот факт, что именно страховые компании тратят большие средства на разработку технологий, позволяющих снизить объем убытков в совершенно разных отраслях экономики. Так, например, именно с подачи страховщиков столь массовое распространение приобрела установка на автомобилях подушек безопасности, что в конечном итоге значительно уменьшило число смертельных случаев в автомобильных катастрофах.

Самострахование может заменять страхование, но имеет существенный недостаток, так как при его использовании компания все равно остается наедине с информационными рисками, кроме того, использование механизма страхования заставляет компанию изымать из оборота достаточно большие средства, которые принесли бы намного больше пользы, не будучи зарезервированными для возможных будущих убытков.

Польза от применения механизма страхования огромна, основная проблема в данном случае заключается в определении того, как наиболее эффективным образом сочетать классические методы защиты и механизм страхования информационных рисков. Как определить ту грань, когда дальнейшее наращивание системы защиты компании на базе классических методов теряет свою эффективность и когда необходимо перераспределить имеющиеся средства уже в пользу информационного страхования.

Ответ на этот вопрос представляет большую трудность, так как требует точной оценки рисков.

Фактически определение необходимого минимального уровня защиты от информационных рисков на основе программно-технических средств может осуществляться специально созданными для этих целей государственными органами. Тем не менее в данной ситуации нельзя забывать о той опасности, что в случае неправильной оценки рисков, т.е. при установлении стандартов безопасности на уровне, выше необходимого обществу, подобные решения могут стать причиной замедления развития экономики страны. И наоборот, установление стандартов безопасности на слишком низком уровне не позволит обеспечить необходимый уровень информационной безопасности в компаниях.

Государственные органы по причине оторванности от рынка не обладают достаточной информацией, необходимой для оценки рисков и средств защиты от них, в связи с чем определение необходимого экономически оправданного уровня безопасности для различных групп компаний становится фактически невыполнимой задачей.

Похожие диссертации на Структурирование системы информационной безопасности: методы, модели, инструментальные средства