Практическое создание монитора обращений, как видно из приведенного рисунка, предполагает разработку конкретных правил разграничения доступа в виде так называемой модели защиты информации.
Спроектировав модель защиты информации, необходимо проверить ее в действии. Однако реализация такой модели будет стоит заказчику больших затрат, если вдруг при ее реализации одна или несколько защитных функций системы не окажется эффективной. Поэтому целесообразно будет провести математический анализ эффективности защитных мероприятий.
Любая система безопасности представляет собой организационно оформленные кадровые и материально-технические ресурсы и действует всегда во времени и пространстве угроз. Пространство угроз образуют объекты защиты - люди, работающие в коммерческой структуре, имущество и денежные средства предприятия, сведения, составляющие коммерческую или служебную тайну. Главная функция системы безопасности - противодействие угрозам с помощью людей и техники. Каждая угроза влечет за собой ущерб, а противодействие призвано снизить его величину, в идеале - полностью. Удается это далеко не всегда. Способность системы безопасности выполнять свою главную функцию всегда должна оцениваться количественно. К примеру, можно измерить относительный ущерб, предотвращенный ею (рис.2.3).
Рисунок 2.3 – Типичная зависимость эффективности Q0и рентабельности r0 защиты от общих ресурсов
Величина Q0 - мера общей эффективности защиты. Чем больше Q0, тем меньший ущерб создадут угрозы. Таким образом, мерой риска является величина(1—Q0). Стремление обеспечить высокоэффективную защиту, когда Q0 близко к 1 (или 100%), вполне естественно, но это потребует значительных расходов на ресурсы. То есть чем выше совокупные ассигнования (В0) на ресурсы, тем на большую эффективность защиты можно рассчитывать. Возникшая при этом зависимость видна на рис.2.3. Однако чрезмерные расходы на собственную безопасность не всегда оправданны экономически. Можно столкнуться с ситуацией, когда стоимость защиты (В0) превысит уровень (R0) максимального ущерба от реализации угроз. В этом случае возникает опасность угрозы «саморазорения» от защиты. Ее уровень также можно оценить, к примеру, величиной r разности относительного «защищенного» ущерба Q0 и относительных затрат B0/P0 на ресурсы. Назовем эту величину рентабельностью защиты. Если она положительная (т.е. B0<=P0Q0), то защита рентабельна. В отличие от эффективности, чем больше затраты (В0), тем меньше рентабельность. Эта противоположность создает неоднозначную ситуацию в выборе стратегии защиты.
Рассмотрим типовую зависимость эффективности защиты (Q0) и ее рентабельности (r0) от максимального ущерба R0 (рис.2.4). По сути, это является мерой масштабности бизнеса. Нетрудно увидеть, что сделать защиту одновременно и высокоэффективной, и высокорентабельной под силу лишь крупным коммерческим структурам (область G), для которых характерны большие величины максимального ущерба. Достаточно, например, чтобы B0=R0(l-Q0).Тогда при r®l,Q0®l. В худшем положении оказываются интересы среднего (область М) и малого (область S) бизнеса, поскольку из-за ограниченности ресурсов выбор стратегии защиты более сложен. Здесь рекомендации просты. Надо обеспечить максимально возможную эффективность при положительном показателе рентабельности защиты. То есть в первую очередь следует противодействовать наиболее вероятным и опасным угрозам. В любом случае нельзя забывать об экономии ресурсов. Совершенно ясно, что выбор стратегии защиты облегчается, если при меньших затратах удастся обеспечить равную или даже большую эффективность защиты.
Очевидны и источники экономии затрат: использование более экономичных средств и решений универсального характера; рациональное распределение ресурсов и более совершенные формы управления ими; привлечение кооперативных форм обеспечения безопасности и др. Весь этот перечень присущ крупным коммерческим структурам, однако для среднего и малого бизнеса он, к сожалению, существенно сужается. Идеология их системы безопасности должна строиться на рентабельной защите лишь от отдельных видов угроз. В противном случае защита может себя не оправдать. Поэтому надо иметь в виду, что экономии ресурсов в этих условиях будут способствовать кооперативные формы защиты в рамках единой местной или региональной системы безопасности.
Выгоду кооперативных форм противодействия угрозам иллюстрирует рис.2.5.
Рисунок 2.4 – Зависимость эффективности и рентабельности защиты от максимального ущерба R0
На нем представлены характерные зависимости величины риска (R=R0(1-Q0) и общих затрат (В0) на ресурсы от эффективности автономной (I) и кооперативной (II) защиты. Точка пересечения (А0) зависимостей R(Q) и B(Q) для автономной защиты соответствует примерно области минимальных общих потерь
R0(1-Q0)+B0. Экономия ресурсов выразится в том, что исходная зависимость (I) окажется «выше» новой зависимости (II), которая отображает кооперацию в использовании ресурсов. Соответственно новая точка пересечения кривых (А1) окажется правее прежней (А0). Практически это означает, что при сохранении рентабельности защиты увеличивается ее эффективность. Причем выигрыш тем существенней, чем больше экономия. На практике в основном кооперируются по двум формам - материально-техническим и кадровым ресурсам, которые и являются составными частями общего. Что касается первой формы, то она характерна для ситуаций, когда пространство угроз не расширяется. Иными словами, объединяются лишь материально-технические средства одного и того же предприятия, но предназначенные для различных целей.
Рисунок 2.5 – Характерные зависимости риска R и расходов на ресурсы В0 как функций от эффективности защиты Q0
В качестве примера можно назвать комплексную систему имущественной и информационной защиты. К общим средствам можно отнести контрольно-пропускную систему, средства ограничения доступа, телевизионные и другие системы выявления и верификации угроз, средства пожаротушения и др. Эта форма эффективна лишь для крупного бизнеса. Вторую форму, то есть кооперацию по кадровым ресурсам, используют в основном при решении проблемы безопасности на региональном уровне, когда пространство угроз намеренно расширяется (рассматриваются несколько коммерческих предприятий в одном регионе). В этом случае объединение происходит лишь на уровне сил так называемого быстрого реагирования. Именно такие силы противодействуют несанкционированным и силовым проникновениям, терроризму, пожару и т.п. Проблему, как правило, решают и с привлечением сил быстрого реагирования пожарного надзора, органов МВД и др.
Рисунок 2.6 – Зависимость эффективности защиты Q0 от относительного времени Тр/Ту реакции системы с одновременным (I), опережающим (II) и запаздывающим (III) противодействием
Любая угроза и противодействие ей происходят, естественно, во времени и характеризуются определенными его масштабами. Исходя из этого ущерб от реализации угроз будет определяться тем, насколько полно данные события пересекаются во времени. Самый нежелательный вариант - запаздывающее противодействие, когда реакция системы защиты начинается к моменту завершения угрозы или после нее. Он характерен для систем информационной защиты. Несколько лучший вариант - одновременное противодействие, то есть оно начинается с появлением угрозы. И, наконец, наилучший - противодействие, носящее опережающий характер: реакция системы защиты начинается до начала реализации угрозы. Основанием для реакции могут быть оперативные данные, сигналы тревоги раннего оповещения и т.п.
На рис.2.6 представлена характерная зависимость эффективности защиты от относительного времени реакции системы (Тр/Ту) для всех трех вариантов противодействия.
Основные выводы и рекомендации очевидны. Одновременное противодействие будет достаточным для высокоэффективной защиты от угрозы, если реакция на нее будет быстрой. Эта задача вполне реальна для объектов большого бизнеса. Кооперативные же формы противодействия в условиях медленной реакции на угрозы не принесут эффекта, если отсутствуют средства задержки и блокирования угроз. Говоря о тактических вопросах системы безопасности бизнеса в части технических каналов связи, прежде всего имеют в виду скорость ее реакции, надежность решений, блокирование развития угроз и их ликвидацию. Особенно важно обеспечить жесткие требования к надежности всех систем защиты, которая зависит от времени их функционирования и периодичности обновления ресурсов. Если это время превышает 5 лет, то требование надежности реализуется несколькими способами, среди которых - резервирование решений, многорубежность защиты, автоматизация первичных решений, централизованное управление ресурсами в кризисных ситуациях и т.п. Прежде чем определиться в вопросах тактики, надо помнить, что она должна соответствовать стратегии и опираться на точный количественный анализ. Для объектов среднего и малого бизнеса такой анализ вполне реален даже без средств автоматизации. Однако необходимо привлечь специалистов и экспертов, которые бы проанализировали обстановку и свойства защищаемого объекта, разработали модель угроз, изучили рынок существующих средств и методов. Эти данные и помогли бы оценить саму систему и при необходимости модернизировать ее.