ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ. УПРАВЛЕНИЕ РИСКАМИ

Черней Г.А., доктор экономических наук

В последнее время легко услышать фразы, типа «пользуйтесь нашим продуктом - он обеспечивает гарантированную безопасность» или «система безопасности осуществления переводов через Интернет является абсолютно безопасной». И каждый раз хочется понять что же кроется за подобными заявлениями, кто гарантирует и что означает эта абсолютная величина, которой следует безгранично доверять

В одном из своих выпусков «Криптограммы» Брюс Шнейер отметил, что если мы чему-либо научились за последние пару лет, так это тому, что ошибки в компьютерной безопасности нельзя устранить до конца (http://www.counterpane.com). В прессе постоянно появляются сообщения о проникновения в компьютеры и уязвимостях в программах, но многие люди все еще верят, что следующий продукт, следующая версия программы сделают ее по-настоящему безопасной. «Вот теперь нечего бояться», - говорят они. На самом деле, это не так.

Опыт, полученный миром последние несколько лет свидетельствует, что безопасность не может быть обеспечена ни одним продуктом, и даже целым семейством продуктов. Безопасность - это процесс. Продукты могут выполнить конкретные функции и задачи по безопасности, но если рассматривать вопрос во времени, то легко заметить, что все продукты имеют свойства не быть совершенными (и иметь ошибки по безопасности), соответственно - существуют уязвимости, обуславливающие повышенные риски. Таким образом, проблема всегда сводится только к вопросу о том, известны ли эти ошибки и будет ли кто-то их использовать для нападения на информационную систему (именно из этих соображения термины «гарантируемый» и «абсолютный» неприменимы по отношению к безопасности). В итоге, задача безопасности - внедрение механизмов минимизации рисков в информационной системе.

Именно минимизация, а не их исключение. Это утверждение основывается на простом принципе экономической целесообразности. Рассмотрим пример. В американской индустрии кредитных карт из-за мошенничества ежегодно теряется 10 миллиардов долларов, но ни Visa, ни MasterCard не собираются прекращать свой бизнес - они лишь минимизируют риски до того уровня, когда соотношение потерь к доходам от бизнеса неизмеримо мало. Это и есть случай, когда при решении вопросов информационной безопасности исходят из принципа минимизации рисков.

Исходя из высказанных соображений необходимо пересмотреть существующие подходы к защите информации в информационных системах, переосмыслить процессы и способы их организации в данной области, внедрить их в практику.

В докладе автор рассматривает основные принципы обеспечения безопасности информационных систем во времени, и основные параметры количественной оценки рисков при обеспечении их безопасности.