С помощью уравнения риска могут быть оценены различные способы улучшения безопасности системы путем сопряжения эффективности системы, а следовательно, и снижения риска со стоимостными характеристиками. В этом случае служба безопасности представляет свои предложения таким образом чтобы руководители могли использовать знакомые им принципы и понять как служба безопасности помогает предприятию и какие улучшения могут быть достигнуты в обмен на инвестиции.
Эти величины рисков основываются на существовании меры эффективности системы, или PI. Если используется качественный анализ, то измерение PIне следует считать основной оценкой, поскольку это может привести к неверным выводам. Это приемлемо для случая, объект информатизации попадает в допустимую категорию риска.
Проведение испытаний системы
В дополнение к использованию модели EASI для вычисления PIиспытания представленной системы, ее отдельных элементов и подтверждение исходных данных должны быть доведены до приемлемого риска, который имеет окончательный вариант проекта СФЗ. Необходимо, чтобы полученные при испытаниях системы фактические результаты учитывались при проведении вычислений общего риска. Даже после того как система принята к эксплуатации и одобрена, испытания следует продолжить. Некоторые из этих видов испытаний представлены ниже:
• эксплуатационные — проводятся ежедневно при помощи сотрудников службы безопасности, чтобы гарантировать, что оборудование СФЗ работает в штатном режиме;
• контроль функционирования — выполняется периодически для того, чтобы обеспечить высокую чувствительность оборудования СФЗ для поддержания допустимой величины вероятности обнаружения нарушителя PD , используемой в аналитических моделях;
• послеэксплуатационные — проводятся после эксплуатации оборудования СФЗ, чтобы гарантировать правильность работы и заданный уровень чувствительности всей системы и ее отдельных элементов;
• полные и частичные — эти испытания должны обеспечить совместную работу основных частей системы, а также взаимодействие элементов системы при выполнении функций реагирования и обнаружения с задержкой;
• оценочные — периодические независимые испытания СФЗ, которые гарантируют, что данная оценка уязвимости еще действует, а ожидаемый уровень эффективности системы сохраняется.
Проведение эксплуатационных и послеэксплуатационных испытаний требуется для базового анализа вне зависимости от того, будет он качественным или количественным. В действительности все пять типов испытаний могут применяться при проведении качественного анализа рисков.
Процесс проектирования и анализа системы физической защиты был описан в предыдущих главах. Его кульминация — определение величин С, РА и PI . Когда эти параметры известны, риск от угроз может быть подсчитан. Благодаря использованию уравнения риска стало возможным сравнивать различные предлагаемые варианты физической защиты объекта. Могут быть реализованы наиболее оптимальные варианты построения системы защиты. Этот процесс позволяет распределить ограниченные ресурсы таким образом, чтобы обезопасить наиболее ценные объекты информатизации. Кроме того, возможна количественная оценка выгод, которые может получить компания в результате вложения денежных средств в систему безопасности; с нею необходимо ознакомить руководство объекта. Величина риска нормируется к величине возможных последствий в результате нанесенного ущерба, и таким образом оптимизируется распределение ограниченных ресурсов физической защиты для сохранения всех рисков на допустимом уровне.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.