Технико-экономическое обоснование мероприятий по защите от несанкционированного доступа

При оценке необходимости защиты предприятия от несанкционированного доступа к информации можно считать, что полные затраты (потери) определятся выражением, которое нужно минимизировать [26]:

R_затр = R_пот P_пи P_нпи + R_мер P_опи P_оопи  min,

где: R_пот = R_нез.сд + R _{сорв.сд} – полные потери (Rнез.сд – прибыль от незаключенных сделок; R_{сорв.сд} – прибыль от сорванных сделок);

R_мер = R_апп + R_экс + R_реж – стоимость затрат на информационную защиту (R_апп – затраты на аппаратуру; R_экс – эксплуатационные затраты; R_реж – затраты на организацию режима на предприятии);

P_пи – вероятность потерь информации;

P_нпи – условная вероятность необнаружения потерь информации;

P_опи = (1 – P_нпи ) – вероятность отсутствия потерь информации (P_опи и P_нпи – полная группа событий),

P_оопи – условная вероятность ошибки в обнаружении потерь информации.

При этом надо учитывать, что P_нпи  1 при отсутствии аппаратных средств контроля, а P_ооп  0 при полном охвате контролем.

Учитывая необходимость минимизации выражения полных потерь, целесообразность использования защиты будет при соблюдении условия

R_пот P_пи P_нпи > R_мер P_опи P_оопи .

Практически это можно определить по формуле

R_пот P_пи P_нпи = k R_мер (1 – P_пи) P_оопи .

При этом k = (2 – 5) и он выбирается больше при большем вложении в это предприятие (страховочный подход).

Вероятность необнаружения потерь информации

Учитывая определенный опыт нескольких предприятий, можно считать:

P₁ = 0,1 – при установке аппаратуры по защите от подслушивания в помещении;

P₂ = 0,1 – 0,2 – при установке аппаратуры по защите от подслушивания по телефону;

P₃ = 0,1 – 0,2 – при проведении мероприятий по защите компьютерных сетей;

P₄ = 0,1 – при введении на предприятии режима;

P₅ = 0,1 – при защите от записи на диктофон.

Несмотря на другой (с точки зрения знака и природы) характер зависимости вероятность ошибки в обнаружении потерь информации можно приближенно определить как

Такой подход в оценке необходимости защиты информации, безусловно, правомерен на предварительном этапе решения, поскольку не требует большого количества статистических данных.