Для уменьшения размера ущерба необходимо применение (совершенствование) различных мер защиты АСОИ (организационных, программно-технических и др.).
Защита от проявления той или иной угрозы может быть реализована различными способами. Например, защитить информацию на жестком диске ПЭВМ от ознакомления можно следующими способами:
- • организовать контроль за доступом в помещение, в котором установлена ПЭВМ;
- • назначить ответственных за использование ПЭВМ;
- • шифровать информацию на диске;
- • использовать системы разграничения доступа.
Для каждого из этих способов определяются такие характеристики, как стоимость и эффективность. Стоимость метода защиты имеет абсолютное значение, выраженное в денежных единицах, затраченных на его реализацию и сопровождение. При оценке стоимости метода необходимо учитывать не только прямые (закупка оборудования, обучение персонала и т. д.), но и косвенные затраты (замедление работы системы, нарушение устоявшейся технологии обработки информации и т. д.).
Эффективность метода — это его способность противостоять угрозам определенного класса. Отметим, что получить реальное значение эффективности очень трудно, и в большинстве случаев эта характеристика определяется эмпирически.
Оценка выгоды от применения предполагаемых мер
На последнем этапе анализа риска производится оценка реальных затрат и выигрыша от применения предполагаемых мер защиты. Величина выигрыша может иметь как положительное, так и отрицательное значение. В первом случае это означает, что использование системы защиты приносит очевидный выигрыш, а во втором — лишь дополнительные расходы на обеспечение собственной безопасности.
Сущность этого этапа заключается в анализе различных вариантов построения системы защиты и выборе оптимального из них по некоторому критерию (обычно по наилучшему соотношению «эффективность/стоимость»).
Анализ риска также позволяет вам экспериментировать с некоторой моделью АСОИ для того, чтобы выяснить, какие из имеющихся методов защиты наиболее эффективны для сохранения работоспособности системы и конфиденциальности обрабатываемой в ней информации.