Главная

Статьи

Економічний погляд на проблеми інформаційної безпеки

  1. Необхідність в захисті інформації від стороннього втручання і спостереження давно усвідомлена, розроблені...
  2. Мовою КК РФ
  3. Інформація та необхідних для планування тарифи
Необхідність в захисті інформації від стороннього втручання і спостереження давно усвідомлена, розроблені і продовжують розроблятися відповідні технології. Однак захоплення окремими рішеннями з області інформаційної безпеки затуляє зберігається фундаментальну проблему, а саме достатність і ефективність систем захисту з точки зору користувача. Мірилом споживчих якостей подібних систем може служити співвідношення «вартість / ефективність», тобто, в кінцевому рахунку, баланс між можливими збитками від несанкціонованих дій і розміром вкладень, які необхідно витратити для забезпечення захищеності інформаційних ресурсів.

Інвестиції в розробку проектів захисту об'єкта, закупівлю необхідних елементів безпеки і експлуатацію систем захисту для власника інформації є ні що інше, як матеріалізований економічних збитків. Йдучи на ці витрати, користувач сподівається уникнути більшого збитку, пов'язаного з можливим порушенням конфіденційності. Виникає дилема: внести плату (частково реалізувавши збиток) за можливість ухилення з часткою ймовірності або допустити можливість збитку в повній мірі, не витрачаючи нічого. Розумне рішення полягає у визначенні оптимальних вкладень в системи захисту, що забезпечують мінімальні фінансові втрати власника інформації при несанкціонованих діях з нею.

Перед користувачем стоїть завдання створення оптимальної, з економічної точки зору, системи захисту інформації. Це завдання не так характерна для державних організацій, проте вельми актуальна для господарсько самостійних суб'єктів, орієнтованих на діяльність в ринкових умовах.

Найбільш надійними системами захисту інформації (СЗІ) є ті, в яких комплексно реалізовані всі можливі і доступні заходи - морально-етичні, законодавчі, організаційні, економічні та технічні. Однак комплексні рішення дуже дорогі і можуть бути реалізовані далеко не завжди. Крім того, збиток від втрати інформації, що захищається або від різного роду несанкціонованих дій з нею може бути набагато менше вартості СЗІ. Тому рівень фінансових коштів, що виділяються на створення і експлуатацію СЗІ, повинен бути збалансованим і відповідати масштабу загроз. Якщо вартість СЗІ в порівнянні з шкодою, якої нібито мала, то основним фактором ризику власника є економічні втрати від несанкціонованих дій з належної йому інформацією. У протилежній ситуації основні втрати пов'язані з надмірно високою вартістю СЗІ. Необхідно при цьому зазначити, що витрати на СЗІ носять детермінований характер, оскільки вони вже матеріалізовані в конкретні заходи, способи і засоби захисту, а ось шкоди, яка може бути завдана при несанкціонованих діях, - величина випадкова.

Такий якісний аналіз дозволяє припускати, що існує область економічно оптимальних СЗІ, що забезпечують найменший ризик власника інформації. В якості запобіжного ризику розуміються очікувані сумарні втрати в процесі захисту інформації протягом певного періоду часу. Проведене автором дослідження, засноване на кількісному моделюванні ризику, підтвердило це припущення, забезпечивши оцінку параметрів економічно оптимальних СЗІ.

Моделювання ризику власника інформації при створенні та експлуатації СЗІ здійснювалось на основі функціональних залежностей між ризиком R, вартістю СЗІ S, ймовірністю подолання СЗІ та нанесення шкоди власнику p і розміром виникає при цьому шкоди U.

Не зупиняючись на конкретних моделях, відзначимо, що принципово можливі три випадки ( Не зупиняючись на конкретних моделях, відзначимо, що принципово можливі три випадки (   p /   sp /   s = 0 і   p /   s> 0), які багато в чому визначають вигляд оптимальних рішень і відповідних СЗІ, їх реалізують p / sp / s = 0 і p / s> 0), які багато в чому визначають вигляд оптимальних рішень і відповідних СЗІ, їх реалізують.

Типова залежність рівня ризику від вартості СЗІ, отримана за умови того, що ймовірність нанесення шкоди p зменшується з ростом вартості системи S (тобто відповідна похідна негативна, Типова залежність рівня ризику від вартості СЗІ, отримана за умови того, що ймовірність нанесення шкоди p зменшується з ростом вартості системи S (тобто відповідна похідна негативна,   p /   s p / s

Чим більше оцінка розміру ймовірного збитку, тим вище і оптимальна вартість СЗІ, проте ця залежність досить гладка, особливо в діапазоні великих значень очікуваного збитку. Отже, навіть якщо цінність інформації, що захищається зросла, то це аж ніяк не означає необхідності пропорційного нарощування технічних можливостей і відповідного подорожчання СЗІ.

Результати чисельного моделювання підтвердили, що економічно оптимальна СЗІ не є найбезпечнішою. Більш того, ймовірність збитку від несанкціонованих дій при реалізації такої системи може перевищувати в кілька разів мінімально можливі значення показників безпеки захисту інформації. Тому застосування викладеного підходу обмежена областю економічної доцільності. У випадках, коли домінуючим вимогою є забезпечення абсолютної безпеки інформації, реалізація концепції економічно оптимальної СЗІ не може бути застосована. Це відноситься, наприклад, до відомостей, що становлять державну таємницю. Проте, оптимальні СЗІ забезпечують адаптацію вимог безпеки до розміру можливих збитків. На рис. 2 приведена залежність ймовірності несанкціонованих дій з захищається при оптимальній СЗІ від величини збитку.

Викладені результати базуються на цілком логічному припущенні про те, що більш високий рівень безпеки досягається за рахунок збільшення вартості СЗІ. Для додання завершеності, розглянемо і два інших випадки.

1. Рівень універсальної узагальненої характеристики безпеки СЗІ - ймовірності нанесення шкоди не залежить від вартості системи захисту ( 1 p / s = 0). На жаль, такий випадок правдоподібний. Наприклад, якщо організація-підрядник, що здійснює проектування СЗІ, пропонує своєму замовнику більш дороге рішення, хоча такий же рівень безпеки може бути досягнутий і за меншу плату. Виявляється, що таке несумлінне рішення призводить до залежності ризику власника інформації, що захищається від вартості СЗІ, показаної на рис. 3, де р - ймовірність нанесення шкоди, а стрілкою показано напрямок зміни ризику при збільшенні цієї ймовірності. Подібна залежність технічних характеристик СЗІ від її вартості може реалізовуватися і в разі монополізму постачальника, інфляційних процесах, недобросовісної конкуренції і т.д.

Якщо СЗІ фактично володіє високими характеристиками безпеки, то для зниження свого ризику власнику інформаційного ресурсу необхідно домагатися зниження вартості системи. Якщо ж спочатку характеристики безпеки СЗІ незадовільні, то єдино розумним рішенням є відмова від неї.

2. Рівень універсальної характеристики безпеки СЗІ має тенденцію до певної ціновому діапазоні до зниження зі зростанням її вартості ( 2 p / s> 0). Така ситуація також можлива - наприклад, коли елементи захисту містять невиявлені помилки, а СЗІ «удосконалюється» шляхом нарощування з таких елементів. У цьому випадку залежність ризику власника інформації, що захищається від вартості СЗІ показана на рис. 4, де для порівняння пунктиром дан ризик при p / s

Вартість СЗІ можна істотно знизити при використанні страхових інструментів. Ефективність цього методу багато в чому залежить від точності визначення страхової вартості захищаються інформаційних ресурсів, а також ступеня відповідності тарифної ставки ймовірності несанкціонованих дій. Реалізації страхування інформації заважає фундаментальна проблема відсутності досить точних практичних методик по визначенню її вартості та обгрунтування тарифів. Наскільки складний це питання, можна судити хоча б по дискусіям по суміжній темі - концепції загальної вартості володіння інформаційною системою (TCO - total cost of ownership). ІТ-фахівці відзначають безліч проблем при практичному використанні даної концепції, хоча в основі інформаційних систем і лежать цілком матеріальні речі, що мають відому вартість. Тому спроби використання експертного методу або декларованого ринкового підходу, заснованого на оцінці популярності і затребуваності інформаційного ресурсу, в багатьох випадках свідомо неприйнятні. Необхідно додаток додаткових зусиль для розробки практичних методик оцінки вартості інформації.

На закінчення відзначимо, що оптимальні СЗІ найбільш доцільні для економічно самостійних суб'єктів, які в своїй діяльності змушені дотримуватися баланс між витратами на СЗІ і можливим збитком. Реалізація таких систем захисту інформації можлива при ретельному обліку всіх аспектів, включаючи кількісну оцінку безпеки та розміру очікуваних втрат. Оцінка економічно оптимальних параметрів повинна бути основою формування конкретного технічного вигляду СЗІ. На жаль, сьогодні проектування СЗІ зазвичай здійснюється з орієнтацією на довільно виділяється бюджет, який не має об'єктивного обґрунтування по системі критеріїв «вартість інформації - розмір можливого збитку - ризики». При цьому власник інформаційних ресурсів, якщо не проводить ретельного аналізу і не оптимізує розмір виділених на СЗІ засобів, практично завжди виявляється в економічному програші.

література
  1. Бауту А. Н. Програмно-методичне забезпечення "Розрахунок ризиків і обчислення оптимальних витрат на систему захисту інформації від несанкціонованих дій і збереження конфіденційності інформаційних ресурсів". К .: 2001
  2. Бауту А. Н., Козлов В. І. Страхова вартість інформаційних ресурсів. Аналіз нормативної бази. Страхова справа, 2001 № 7
  3. Лук'яненко І. застрахуйте інформацію . "Computerworld Росія" , 2001, № 19
  4. Уитли М. Перерахувати все - до останнього гроша . "ECommerce World", 2001, № 4
  5. Циганов А. Управління ризиками електронної комерції і їх страхування. "ECommerce World", 2001, № 4

З Андрієм Баутовим можна зв'язатися за адресою [email protected] - експерт.

Мовою КК РФ

Необхідність захисту інформації пов'язана в основному з так званими комп'ютерними злочинами. Під цим терміном розуміються злочину в сфері комп'ютерної інформатики. У вітчизняній практиці дані злочини вперше передбачені Кримінальним Кодексом Російської Федерації 1996 року, в якому вони об'єднані в окрему главу. До комп'ютерних злочинів відносяться: неправомірний доступ до комп'ютерної інформації (стаття 272 КК РФ), створення, використання і поширення шкідливих програм для ЕОМ (стаття 273 КК РФ), порушення правил експлуатації ЕОМ, системи ЕОМ або їх мережі (стаття 274 КК РФ). Дані злочини мають загальний об'єкт посягання - нормальне, безпечне функціонування інформаційних систем. У кримінології до комп'ютерних часто відносять також діяння, при вчиненні яких комп'ютерна техніка використовується як засіб (наприклад, шахрайство в банках або на підприємствах).

Інформаційні злочину можуть відбуватися у формі розкрадань і в цілях промислового шпигунства. Розкраданням називається вчинені з корисливою метою протиправні безплатне вилучення і (або) звернення чужого майна на користь винного або інших осіб, завдала збитки власнику чи іншому власникові цього майна (стаття 158 КК РФ).

Промисловим шпигунством називається діяльність по незаконному добуванню відомостей, що становлять комерційну цінність. КК РФ встановлює кримінальну відповідальність за незаконні одержання і розголошення відомостей, що становлять комерційну або банківську таємницю (стаття 183 КК РФ). Об'єктивну сторону даного економічного злочину утворює:

  • збирання відомостей, що становлять комерційну або банківську таємницю, шляхом викрадення документів, підкупу чи погроз, а також іншим незаконним способом з метою розголошення чи незаконного використання цих відомостей;
  • незаконні розголошення або використання відомостей, що становлять комерційну або банківську таємницю, без згоди їх власника, скоєні з корисливої ​​або іншої особистої зацікавленості і завдали великих збитків.

До основних ризиків, пов'язаних з функціонуванням інформаційних систем, можна віднести:

  • ненавмисні помилки користувачів, операторів, адміністраторів, які за деякими даними найбільш численні і небезпечні;
  • крадіжки і підробки інформації, які виходять з боку конкурентів або недобросовісних співробітників;
  • природні катастрофи та технічні аварії;
  • несанкціонований доступ до інформаційних ресурсів.

Цей перелік може бути доповнений і деталізований в залежності від змісту конкретних інформаційних ресурсів, складу і експлуатації інформаційної системи, наявності засобів забезпечення безпеки і багатьох інших факторів. Ризики визначають можливий розмір збитку і є основою оцінки страхової вартості інформаційних ресурсів, а також синтезу комплексних систем захисту інформації.

Відповідно до Закону «Про правову охорону програм для електронних обчислювальних машин і баз даних» передбачено певний механізм компенсації шкоди для деяких видів інформаційних ресурсів. Автор програми або бази даних і інші правовласники вправі вимагати:

  • відшкодування завданих збитків, в розмір яких включається сума доходів, неправомірно отриманих порушником (поняття збитків міститься в статті 15 ЦК України);
  • виплати порушником компенсації в визначається на розсуд суду, арбітражного або третейського суду в сумі від 5000-кратного до 50000-кратного встановленого Законом розміру мінімальної місячної оплати праці, у випадках порушення з метою отримання прибутку, замість відшкодування збитків.

При реалізації останнього нормативного положення слід, як показує юридичний аналіз, застосовувати норми пункту 1 статті 49 Закону «Про авторське право і суміжні права». Даний висновок грунтується на тому, що в разі, коли положення Закону «Про правову охорону програм для ЕОМ і баз даних» змінені Законом «Про авторське право і суміжні права» та суперечать йому, слід застосовувати правило, встановлене Законом «Про авторське право і суміжні правах ». Згідно з ним, власники виняткових авторських і суміжних прав вправі вимагати від порушника:

  • відшкодування збитків, включаючи упущену вигоду;
  • стягнення доходу, отриманого порушником внаслідок порушення авторських і суміжних прав, замість відшкодування збитків;
  • виплати компенсації в сумі від 10 до 50000 мінімальних розмірів оплати праці, яка визначається на розсуд суду або арбітражного суду, замість відшкодування збитків або стягнення доходу.

Зазначені вище заходи застосовуються за вибором власника авторських і суміжних прав.

Необхідно нагадати, що під відшкодуванням збитків розуміється правовий механізм, за яким відповідно до цивільного законодавства особа, право якої порушено, може вимагати повного відшкодування заподіяних йому збитків, якщо законом або договором не передбачено відшкодування збитків у меншому розмірі. Під збитками розуміються:

  • витрати, які особа, чиє право порушене, зробило або повинне буде зробити для відновлення порушеного права;
  • втрата або пошкодження його майна (реальний збиток);
  • неодержані доходи, які ця особа одержала б при звичайних умовах цивільного обороту, якби його право не було порушене (упущена вигода).

Якщо особа, яка порушила право, одержало внаслідок цього доходи, особа, право якої порушено, має право вимагати відшкодування поряд з іншими збитками упущеної вигоди в розмірі не меншому, ніж такі доходи. Збитки, заподіяні громадянинові або юридичній особі в результаті незаконних дій (бездіяльності) державних органів, органів місцевого самоврядування або посадових осіб, в тому числі видання не відповідному закону чи іншому правовому акту державного органу або органу місцевого самоврядування, підлягають відшкодуванню за рахунок коштів РФ, відповідного суб'єкта РФ або муніципального освіти.

Крім відшкодування збитків, стягнення доходу або виплати компенсації у твердій сумі суд або арбітражний суд за порушення авторських або суміжних прав стягує штраф у розмірі 10% від суми, присудженої судом на користь позивача. Сума штрафів направляється до відповідних бюджетів.

Таким чином, механізм компенсації шкоди, передбачену Законом «Про правову охорону програм для електронних обчислювальних машин і баз даних», необхідно розглядати в безпосередньому взаємозв'язку з Законом «Про авторське право і суміжні права», так як цілий ряд норм останнього безпосередньо торкається питань правової охорони програм і баз даних.

Інформація та необхідних для планування тарифи

Правильне и обгрунтоване визначення страхових тарифів при захісті информации с помощью цього економічного інструменту Виключно важліво. Власник інформаційних ресурсів, в залежності від співвідношення величини тарифу k і ймовірності нанесення збитку - події p, від якого передбачається запровадження страхової захисту, виявиться в одній з трьох принципово різних ситуаціях і повинен приймати відповідні рішення.

  1. Величина тарифу менше ймовірності страхового випадку (k
  2. Величина тарифу дорівнює ймовірності страхового випадку (k = p). В цьому випадку, який практично не може бути реалізований через відсутність методик оцінки ймовірності страхового випадку з необхідною точністю, збиток перекладається порівну на обидві сторони. Страхувальнику байдужа величина страхової суми, оскільки вона не впливає на рівень його ризику.
  3. Величина тарифу більше ймовірності страхового випадку (k> p). В цьому випадку збиток перекладається в основному на страхувальника, а його ризик зростає пропорційно збільшенню розміру страхової вартості інформації. Єдино розумним рішенням, що забезпечує зменшення економічного збитку, є відмова власника інформації від використання механізму її страхового захисту.

Отже, практично існують два принципово різних рішення при оцінці можливості використання механізмів страхового захисту інформації, які повинен приймати її власник. Оскільки рішення залежать від як завгодно малих відхилень страхового тарифу від величини ймовірності страхового випадку, оцінка цієї ймовірності повинна проводитися з максимально можливою точністю.

Новости