Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Некоторые аспекты методологии количественной оценки финансового ущерба от реализации угроз безопасности информации

  • Печать
Обновлено 08.06.2025 08:19

 

Рассмотрим некоторые аспекты методологии количественной оценки финансового ущерба на примере гипотетического варианта оценки финансового ущерба и пересчитываемых в него ущербов от нарушений безопасности пользовательской и системной информации в ИС, когда несанкционированные действия связаны с финансовыми потерями. 

Пусть относительно і -го блока информации возможно выполнение g -го несанкционированного действия в результате реализации угрозы с ущербом, составляющим величину Ф,,. Это может привести к тому, что будет нарушен доступ пользователя к некоторым другим блокам информации или станет невозможным использование другой прикладной программы. Такая взаимосвязь блоков информации может быть описана формально в виде матрицы Ag =|сг|,(г,у) = и, для каждого g-ro несанкционированного действия, где 8Ц единичная функция, равная единице, если нарушение безопасности і -го блока при g -м несанкционированном действии приводит к нарушению безопасности j -го блока информации, J - общее количество блоков защищаемой информации. Возможные финансовые затраты и потери, которые в данном случае определяют суммарный ущерб от выполнения g -го несанкционированного действия в ходе реализации угроз безопасности информации.

Тогда суммарный ущерб относительно і -го блока информации составит величину - затраты, которые могут иметь место за время t при нарушении безопасности і -го блока информации, используемого при выполнении автоматизируемой функции zh, от которой зависит показатель функционирования предприятия.

Аналогичным образом оцениваются затраты, вызванные нарушениями безопасности информации других блоков, обусловленными несанкционированным действием относительно і -го блока информации.

Использование данного подхода связано с разработкой комплекса методик оценки затрат по всем указанным составляющим суммарного ущерба.

По некоторым составляющим сегодня существуют экономические методы оценки (например, по расчету затрат на повторное формирование или восстановление пользовательских данных, разработку и/или инсталляцию, возможно с закупкой, прикладного программного обеспечения, на восстановление, ремонт или замену аппаратного обеспечения, штрафы за нарушения установленных договоров или правовых норм, на закупку, установку, конфигурирование и сопровождение эксплуатации средств защиты и т.п.) или предложены подходы к оценке (например, потерь, вызванных утечкой информации). Однако при этом отсутствует увязка потерь с содержанием блоков информации, относительно которых проводится деструктивное действие.

Сегодня фактически отсутствуют методы оценки потерь, связанных с простоем и невозможностью использования ИС или ее элементов, несмотря на то, что предпосылки для развития таких методов имеются. В частности, в этих целях могут быть использованы так называемые «производственные функции» [43]. Основные из них, наиболее широко применяемые в практике «экономического моделирования», приведены в таблице 3.1.

Анализ этих функций показывает, что используемые в них коэффициенты влияния разнообразных факторов и условий, во-первых, оказываются для каждой ИС уникальными и, во-вторых, подбираются экспертным путем.

Кроме того, сегодня достаточно сложно, в силу огромного разнообразия вариантов, оценить количественно последствия, вызываемые преднамеренной несанкционированной модификацией данных или прикладных программ.

Все это обусловливает то, что вид функционала (3.6) даже только для оценки финансового ущерба остается неопределенным. Тем более данный подход не позволяет непосредственно решить основную проблему – проблему количественной оценки совокупного ущерба в зависимости от параметров нарушения безопасности информации в ИС (с учетом всех видов ущерба, в том числе тех, которые пока не могут быть перечислены в финансовый ущерб).

Необходимо подчеркнуть, что сложность решения проблемы количественной оценки совокупного ущерба от реализации угроз обусловлена и целым рядом других факторов, таких как:

- отсутствие шкал для количественной оценки некоторых видов ущерба от реализации угроз;

- различие в оценках негативных последствий от реализации одних и тех же угроз на разных предприятиях (в разных организациях), то есть в разных ИС;

- наличие целого ряда так называемых "НЕ-факторов" - неточности, неопределенности, неизвестности и (или) неполноты данных об исследуемых процессах, незамкнутости множества условий, способствующих реализации угроз, нелинейности исследуемых процессов реализации угроз и защиты от них [44].

Все это обусловливает необходимость изыскания такого подхода к определению процедуры оценки ущерба, а затем и риска реализации угроз для информации в ИС, который позволил бы парировать указанные сложности.

При этом важным условием является то, что в случае, если будут построены приемлемые математические модели количественной оценки ущерба от нарушения безопасности информациив типовых ИС или найдены приемлемые альтернативные методы такой оценки, не должны меняться не только базовые показатели риска реализации угроз, но и методы их расчета при возможном изменении алгоритмов расчета частных показателей оценки ущербов.

 

 

 

 

 
Юридические услуги
Яндекс.Метрика
Представительство в суде и защита прав, досудебное урегулирование споров, медиация, абонентское сопровождение организаций, кадровое делопроизводство, трудовое право, восстановление на работе и выплата заработной платы, регистрация и ликвидация предприятий, земельные споры, споры связанные с недвижимостью, сопровождение сделок с недвижимостью, бесплатная юридическая консультация. Квалифицированный юрист Вологда. Квалифицированный адвокат Вологда. Квалифицированный юрист Москва. Квалифицированный адвокат Москва. Квалифицированный юрист Санкт-Петербург. Квалифицированный адвокат Санкт-Петербург. Суд по интеллектуальным правам. Европейский суд по правам человека. Апелляционная жалоба. Апелляционная жалоба в Московский городской суд. Апелляционная жалоба в Санкт-Петербургский городской суд. Санкт-Петербургский городской суд. Московский городской суд. Верховный суд. Кассационная жалоба. Кассационная жалоба в Верховный суд. Оценка перспектив обращения в Европейский суд по правам человека. Подготовка жалоб в Европейский суд по правам человека. ЕСПЧ. Оценка перспектив обращения в ЕСПЧ. Подготовка жалоб в ЕСПЧ. Жалоба ЕСПЧ. Жалоба в ЕСПЧ. Адвокат ЕСПЧ. Юрист ЕСПЧ. Адвокат Европейский суд по правам человека. Юрист Европейский суд по правам человека. Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Оценка перспектив обращения в Комитет ООН по правам человека. Жалоба Комитет ООН по правам человека. Адвокат Комитет ООН по правам человека. Юрист Комитет ООН по правам человека. Арбитражный суд города Москвы. Арбитражный суд Московской области. Арбитражный суд города Санкт-Петербурга и Ленинградской области. Арбитражный суд Вологодской области. Девятый апелляционный арбитражный суд. Десятый апелляционный арбитражный суд. Тринадцатый апелляционный арбитражный суд. Четырнадцатый арбитражный апелляционный суд. Арбитражный суд Московского округа. Арбитражный суд Северо-Западного округа. Юрист Верховный Суд. Адвокат Верховный Суд. Юрист Верховный Суд Российской Федерации. Адвокат Верховный Суд Российской Федерации. Юрист Верховный Суд РФ. Адвокат Верховный Суд РФ. Юрист Вологодский областной суд. Адвокат Вологодский областной суд. Юрист Ленинградский областной суд. Адвокат Ленинградский областной суд. Юрист Сантк-Петербургский городской суд. Адвокат Санкт-Петербургский городской суд. Юрист Московский областной суд. Адвокат Московский областной суд. Юрист Московский городской суд. Адвокат Московский городской суд. Реновация Москва. Реновация в Москве. Юрист реновация Москва. Юрист реновация в Москве. Адвокат реновация Москва. Адвокат реновация в Москве.