В данной главе будут изучены вопросы распределения ограниченных ресурсов, имеющихся в распоряжении службы безопасности, в контексте уменьшения риска для объекта, и показано, как система безопасности уменьшает общий риск для объекта. Риск определяется как произведение вероятности ущерба (или убытка) на величину этого ущерба.
Подходы к управлению риском
Управление риском может принимать одну из нескольких форм. Хорошие программы по управлению риском должны включать комбинацию из механизмов финансирования (страхования) рисков и инструментов управления рисками. Используемые подходы включают избежание, уменьшение, передачу и принятие риска. Любой из этих подходов (или их комбинация) может применяться для различных условий и разных объектов. Избежание риска выполняется путем оценки источника риска. Например, компания может не самостоятельно изготавливать, а покупать важный компонент оборудования у другой компании. Это снимает вопрос о защите собственной производственной линии от диверсии. Уменьшение риска достигается проведением некоторых мероприятий, направленных на смягчение риска для предприятия, что уменьшает величину потерь. Это является задачей многих программ безопасности — уменьшение риска путем реализации определенных мер безопасности. Риск может быть распределен по нескольким объектам. Если разместить сходное производство на разных объектах, то ущерб, полученный в результате аварии на одном объекте, может быть возмещен путем увеличения объема выпуска продукции на другом. Еще один пример распределения риска — территориальное распределение объектов информатизации на крупном промышленном объекте. При рассредоточении запасов меньшая часть данных объектов будет подвержена риску во время нападения злоумышленника. Передачей риска является использование страхования для возмещения убытков, связанных с ущербом, нанесенным объекту. Это — важный инструмент во многих системах безопасности. Принятие риска есть признание того факта, что некий остаточный риск присутствует при любых условиях. Важный момент состоит в сознательно определенном уровне риска, допустимом для предприятия, а не принятом произвольно.
Уравнение риска
Одним из базовых предположений в данной главе является требование метода количественной оценки способа, которым реализована система защиты объекта. Поняв, насколько хорошо СФЗ защищает ресурсы объекта от угроз, можно определить количество риска, который останется после ее реализации. Для этого используем следующее уравнение риска:
где R — риск для объекта (или фирмы-посредника) при условии получения злоумышленником доступа к важным ресурсам; диапазон возможных значений от 0 - 1,0, причем R= 0 означает полное отсутствие риска, а R= 1,0 — максимальный риск. Риск оценивается за период времени от года до пяти лет.
рА — вероятность нападения злоумышленника на объект в течение рассматриваемого периода времени. Эта величина определяется достаточно сложно, как правило, при помощи экспертных оценок на основании имеющихся данных о предыдущих нападениях. Значение данного параметра может изменяться от 0 (отсутствуют шансы на проведение противоправных действий) до 1,0 (нападение не подлежит сомнению). Иногда при вычислении риска предполагают, что РА = 1,0. Это означает условный риск, т. е. предполагается нападение злоумышленника на объект.
PI— вероятность того, что действия определенного злоумышленника будут вовремя прерваны силами реагирования. Принцип своевременного обнаружения используют при вычислении этой вероятности в пределах от 0 (атака злоумышленника определена как успешная) до 1,0 (нападение будет вовремя прервано).
С — цена последствий. Эта величина в пределах от 0 до 1,0 устанавливает степень важности происшедшего события. Это нормированный фактор, позволяющий сравнивать величину условного риска со всеми другими видами риска. Таблица последствий событий может быть организована таким образом, что будет охватывать весь спектр убытков — от наиболее ощутимых до незначительных. При использовании таблицы последствий риск может быть нормирован по всем возможным событиям. Затем (с учетом таблицы) ограниченные ресурсы СФЗ могут быть распределены таким образом, что будет обеспечен приемлемый уровень риска по всему спектру угроз.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.