Аудит информационной безопасности предприятия. Основные угрозы и этапы внедрения системы обеспечения информационной безопасности
А.
Н. ЛазуткинБиблиографическое описание статьи для цитирования:
Лазуткин
А.
Н. Аудит информационной безопасности предприятия. Основные угрозы и этапы внедрения системы обеспечения информационной безопасности // Научно-методический электронный журнал «Концепт». –
2016. – Т. 11. – С.
3211–3215. – URL:
http://e-koncept.ru/2016/86678.htm.
Аннотация. В данной статье информация рассмотрена как ценный ресурс, на который опираются бизнес-процессы в любой компании. Представлены основные виды угроз информационной безопасности. Также приведен алгоритм внедрения системы обеспечения информационной безопасности, состав расходов, включающий оценку затрат на содержание этой системы. В конце статьи дана оценка внедрению СИБ в организации.
Текст статьи
ЛазуткинАнтон Николаевич,магистрант 1 курса,ФГБОУ ВПО «Брянскийгосударственныйтехнический университет», г.Брянскlazutkin93@mail.ru
Аудит информационной безопасности предприятия.Основные угрозы и этапы внедрения системы обеспеченияинформационной безопасности
Аннотация.В данной статье информация рассмотрена как ценный ресурс, на который опираются бизнеспроцессы в любой компании. Представлены основные виды угроз информационной безопасности. Также приведен алгоритм внедрения системы обеспечения информационной безопасности, а также состав расходов, включающий оценку затрат на содержание этой системы. В конце статьи дана оценка внедрению СИБ в организации.Ключевые слова:Информация, информационная безопасность, ресурсы, система, аудит.
Информация –самый ценный ресурс в компании, а в некоторых случаях является и производственным ресурсом, от сохранности которого зависят важные технологические процессы. Развитие информационных систем ведет к тому, что рано или поздно может обозначиться критический порог, когда система еще работает, но неизвестно, как отреагирует на возникновение угроз безопасности.Под угрозой информационной безопасности принято понимать потенциально возможные действия, явления или процессы, способные оказать нежелательное воздействиена систему или на хранящуюся в ней информацию. Такие угрозы, воздействуя на ресурсы, могут привести к искажению данных, копированию, несанкционированному распространению, ограничению или блокированию к ним доступа.Сегодня информационные системы (ИС) играют ключевую роль в обеспечении эффективности работы коммерческих и государственных предприятий. Повсеместное использование ИС для хранения, обработки и передачи информации делает актуальными проблемы их защиты, особенно учитывая глобальную тенденцию к росту числа информационных атак, приводящих к значительным финансовым и материальным потерям. Для эффективной защиты от атак компаниям необходима объективная оценка уровня безопасности ИС именно для этих целей и применяется аудит безопасности[1].В России и мире разработана обширная законодательная база в области защиты информации. Нормативные акты, которыми руководствуются при проведении аудита ИБ:Законы РФРуководящие документы ФСБ и ФСТЭКМеждународные стандарты и рекомендации (ISO/IEC);Государственные стандарты РФОтраслевые стандарты и рекомендации (СТО БР ИББС, NIST, NERC, PCI DSS);Рекомендации (Best Practice) на основе мирового опыта;Нормативные акты и стандарты предприятия.В последнее время в разных странах появилось новое поколение стандартов в области ИБ, посвященных практическим аспектам организации и управления ИБ. Особого внимания заслуживает британский стандарт BS7799 и ассоциированные документы, как наиболее проработанные и апробированные.Многие организации, желающие пройти сертификацию насоответствие требованиям британского стандарта BS7799, уже имеют системы управления качеством, сертифицированные по стандартам ISO 9001 или 9002. Аудит системы ИБ можно совместить с сертификацией на соответствие этим стандартам как на первоначальном этапе, так и при контрольных проверках.Отечественные и зарубежные стандарты вполне совместимы, зарубежные отличаются, в основном, большей детализацией многих аспектов.Как правило, для проведения аудита привлекаются внешние компании, которые предоставляют консалтинговые услуги в области информационной безопасности. Инициатором процедуры аудита может стать руководство предприятия, служба автоматизации или служба информационной безопасности. В ряде случаев аудит также проводится по требованию страховых компаний или регулирующих органов. Аудит безопасности выполняется группой экспертов, численность и состав которой зависит от целей и задач обследования, а также от сложности объекта оценки.Можно выделить следующие основные виды аудита информационной безопасности:экспертный аудит безопасности, в ходе которого выявляются недостатки в системе мер защиты информации на основе опыта экспертов, участвующих в процедуре обследования;оценка соответствия рекомендациям международного стандарта ISO 17799, а также требованиям руководящих документов ФСТЭК (Гостехкомиссии)[3];инструментальный анализ защищенности ИС, направленный на выявление и устранение уязвимостей программноаппаратного обеспечения системы;комплексный аудит, включающий в себя все вышеперечисленные формы проведения обследования.Любой из перечисленных видов аудита может проводиться по отдельности или в комплексе, в зависимости от тех задач, которые решает предприятие. В качестве объекта аудита может выступать как ИС компании в целом, так и ее отдельные сегменты,в которых обрабатывается информация, подлежащая защите[4].Информация –самый ценный ресурс в компании, а в некоторых случаях является и производственным ресурсом, от сохранности которого зависят важные технологические процессы. Развитие информационных систем ведет к тому, что рано или поздно может обозначиться критический порог, когда система еще работает, но неизвестно, как отреагирует навозникновениеугроз безопасности.Любой из перечисленных видов аудита может проводиться по отдельности или в комплексе, в зависимости от тех задач, которые решает предприятие. В качестве объекта аудита может выступать как ИС компании в целом, так и ее отдельные сегменты, в которых обрабатывается информация, подлежащая защите[4].В общем случае аудит безопасности, вне зависимости от формы его проведения, состоит из четырех основных этапов, на каждом из которых выполняется определенный круг работ (Рис. 1).
Рис. 1Основные этапы работ при проведении аудита безопасности
На первом этапе совместно с заказчиком разрабатывается регламент, устанавливающий состав и порядок проведения работ. Основная задача регламента определить границы, в рамках которых будет проводиться обследование. Регламент позволяет избежать взаимных претензий по завершении аудита, поскольку четко определяет обязанности сторон. Как правило, регламент содержит следующую основную информацию:состав рабочих групп от исполнителя и заказчика;список и местоположение объектов заказчика, подлежащих аудиту;перечень информации, которая будет предоставлена исполнителю;перечень ресурсов, выступающие в качестве объектов защиты;модель угроз информационной безопасности, на основе которой проводится аудит;На втором этапе собирается исходная информация. Методы сбора информации включают интервьюирование сотрудников заказчика, заполнение опросных листов, анализ предоставленной организационнораспорядительной и технической документации, использование специализированных инструментальных средств.Третий этап работ предполагает анализ собранной информации с целью оценки текущего уровня защищенности ИС предприятия. По результатам проведенного анализа на четвертом этапе разрабатываются рекомендации по повышению уровня защищенности ИС от угроз информационной безопасности.На последнем этапе аудита информационной безопасности разрабатываются рекомендации по совершенствованию организационнотехнического обеспечения защиты на предприятии. Такие рекомендации могут включать в себяразличные типы действий, направленных на минимизацию выявленных рисков.В завершение процедуры аудита его результаты оформляются в виде отчетного документа, который предоставляется заказчику. В общем случае этот документ состоит из следующих основных разделов:описание границ, в рамках которых проводился аудит безопасности;описание структуры ИС заказчика;методы и средства, которые использовались в процессе проведения аудита;описание выявленных уязвимостей и недостатков, включая уровень их риска;рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности;предложения к плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.Под угрозой информационной безопасности принято понимать потенциально возможные действия, явления или процессы, способные оказать нежелательное воздействие на систему или на хранящуюся в ней информацию. Такие угрозы, воздействуя на ресурсы, могут привести к искажению данных, копированию, несанкционированному распространению,ограничению или блокированию к ним доступа[3]. Основнымивидамиугроз информационной безопасности являются:хищение (копирование) информации;уничтожение информации;модификация (искажение) информации;нарушение доступности (блокирование) информации;отрицание подлинности информации;навязывание ложной информации.В качестве источников угроз могут выступать как субъекты (личность) так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации внутренние источники, так и вне ее внешние источники. Деление источников на субъективные и объективные оправдано исходя из предыдущих рассуждений по поводу вины или риска ущерба информации. А деление на внутренние и внешние источники оправдано потому, что для одной и той же угрозы методы парирования для внешних и внутреннихисточников могу быть разными. Все источники угроз безопасности информации можно разделить на три основные группы:1.Обусловленные действиями субъекта (антропогенные источники угроз).2.Обусловленные техническими средствами (техногенные источники угрозы).3.Обусловленные стихийными источниками.Аудит информационной безопасности позволяет получить объективную и независимую оценку текущего состояния защищенности информационных ресурсов и автоматизированной системы. Результаты проведения аудита являются основой для формирования дальнейшей стратегии развития информационной безопасности, а также аспекты создания системы защиты информации[1].
Алгоритм разработки такой системыразделен на следующие этапы:1.Обследование и аудит.2.Формирование требований к системе обеспечения информационной безопасности и разработка технического задания на ее создание.3.Проектирование системы обеспечения информационной безопасности.4.Внедрение системы обеспечения информационной безопасности.Невозможно полностью исключить затраты на безопасность. Некоторые виды затрат на безопасность являются абсолютно необходимыми(обслуживание технических средств информационной безопасности, обучение персонала методам информационной безопасностии т.д.), а некоторые могут быть существенно уменьшены или исключены. Последние –это те, которые могут исчезнуть при отсутствии нарушений политики безопасности или сократятся, если количество и разрушающее воздействие нарушений уменьшатсязатраты на восстановление системы, восстановление ресурсов информационной среды, выявление причин нарушения политики информационной безопасности и т.д..Разработкапроектов защиты объекта, закупканеобходимых элементов безопасности и эксплуатациясистем защиты для владельца информации есть нечто иное, как материализованный экономический ущерб. Идя на эти траты, пользователь надеется избежать большего ущерба, связанного с возможным нарушением конфиденциальности. Возникает дилемма: внести плату (частично реализовав ущерб) за возможность уклонения с долей вероятности или допустить возможность ущерба в полной мере, не тратя ничего. Разумное решение состоит в определении оптимальных вложений в системы защиты, обеспечивающих минимальные финансовые потери владельца информации при несанкционированных действиях с нею[2].Оценивая стоимость проекта, необходимо учитывать затраты на покупку лицензии, услуги консультантов по внедрению, а также затраты на возможную перестройку бизнеспроцессов[4].Опишемтакже и другие категории расходов на внедрение и эксплуатацию системы обеспечения информационной безопасности (Табл.1).
Таблица 1Расходы на внедрение и эксплуатацию СОИБ
Тип затрат на внедрение СОИБОписание состава затратРасходы на аппаратные средства и программное обеспечениеСерверы, компьютеры, периферийные устройства и сетевые компоненты, аппаратнопрограммные средства.Расходы на операции СОИБСодержание персонала, стоимость работ и аутсорсинг, поддержание инфраструктуры.Административные расходыПерсонал, обеспечение деятельности и расходы внешних/внутренних поставщиков на поддержку операций (управление, финансирование, приобретение СИБ и обучение)Расходы на операции конечных пользователейСамостоятельная поддержка пользователей, официальное обучение, самостоятельныеприкладные разработки в связи с ростом потребностей компании, поддержка локальной файловой системы.Расходы на простоиЕжегодные потери производительности пользователей от запланированных и незапланированных отключений сетевых ресурсов, включая клиентские компьютеры, серверы, ПО для связи и т.д. Рассматриваются только те простои, которые ведут к потерям в основной деятельности организации.
Сокращения затрат можно добиться путем предупредительных действий–курсы, консультации и т.д. На этой стадии затраты на потери падают. При этом изменения объема затрат на контроль незначительны.Таким образом, можно сделать вывод о том, что наиболее надежными системами обеспечения информационной безопасности(СОИБ) являются те, в которых комплексно реализованы все возможные и доступные меры —моральноэтические, законодательные, организационные, экономические и технические. Однако комплексные решения очень дороги и могут быть реализованы далеко не всегда. Кроме того,ущерб от утраты защищаемой информации или от разного рода несанкционированных действий с ней может быть гораздо меньше стоимости СОИБ. Поэтому уровень финансовых средств, выделяемых на создание и эксплуатацию СОИБ, должен быть сбалансированным и соответствовать масштабу угроз. Необходимо при этом отметить, что затраты на СОИБносят детерминированный характер, поскольку они уже материализованы в конкретные меры, способы и средства защиты, а вот ущерб, который может быть нанесен при несанкционированных действиях, —величина случайная.
Ссылки на источники1.Петренко С.А., Симонов С.В. Экономически оправданная безопасность. Управление информационными рисками. –Изд. ДМК, Москва, 2010. 2.Семененко В.А. Информационная безопасность: Учебное пособие. М.: МГИУ, 2004
215 с.3.О.А. Цуканова, С.Б.Смирнов Экономика защиты информации: Учебное пособие. –СПб.: СПб ГУИТМО, 2013 –59с.4.А.И.Войтик, В.Г.Прожерин Экономика информационной безопасности: Учебное пособие. –СПб.: НИУ ИТМО, 2012 –120с.
Аудит информационной безопасности предприятия.Основные угрозы и этапы внедрения системы обеспеченияинформационной безопасности
Аннотация.В данной статье информация рассмотрена как ценный ресурс, на который опираются бизнеспроцессы в любой компании. Представлены основные виды угроз информационной безопасности. Также приведен алгоритм внедрения системы обеспечения информационной безопасности, а также состав расходов, включающий оценку затрат на содержание этой системы. В конце статьи дана оценка внедрению СИБ в организации.Ключевые слова:Информация, информационная безопасность, ресурсы, система, аудит.
Информация –самый ценный ресурс в компании, а в некоторых случаях является и производственным ресурсом, от сохранности которого зависят важные технологические процессы. Развитие информационных систем ведет к тому, что рано или поздно может обозначиться критический порог, когда система еще работает, но неизвестно, как отреагирует на возникновение угроз безопасности.Под угрозой информационной безопасности принято понимать потенциально возможные действия, явления или процессы, способные оказать нежелательное воздействиена систему или на хранящуюся в ней информацию. Такие угрозы, воздействуя на ресурсы, могут привести к искажению данных, копированию, несанкционированному распространению, ограничению или блокированию к ним доступа.Сегодня информационные системы (ИС) играют ключевую роль в обеспечении эффективности работы коммерческих и государственных предприятий. Повсеместное использование ИС для хранения, обработки и передачи информации делает актуальными проблемы их защиты, особенно учитывая глобальную тенденцию к росту числа информационных атак, приводящих к значительным финансовым и материальным потерям. Для эффективной защиты от атак компаниям необходима объективная оценка уровня безопасности ИС именно для этих целей и применяется аудит безопасности[1].В России и мире разработана обширная законодательная база в области защиты информации. Нормативные акты, которыми руководствуются при проведении аудита ИБ:Законы РФРуководящие документы ФСБ и ФСТЭКМеждународные стандарты и рекомендации (ISO/IEC);Государственные стандарты РФОтраслевые стандарты и рекомендации (СТО БР ИББС, NIST, NERC, PCI DSS);Рекомендации (Best Practice) на основе мирового опыта;Нормативные акты и стандарты предприятия.В последнее время в разных странах появилось новое поколение стандартов в области ИБ, посвященных практическим аспектам организации и управления ИБ. Особого внимания заслуживает британский стандарт BS7799 и ассоциированные документы, как наиболее проработанные и апробированные.Многие организации, желающие пройти сертификацию насоответствие требованиям британского стандарта BS7799, уже имеют системы управления качеством, сертифицированные по стандартам ISO 9001 или 9002. Аудит системы ИБ можно совместить с сертификацией на соответствие этим стандартам как на первоначальном этапе, так и при контрольных проверках.Отечественные и зарубежные стандарты вполне совместимы, зарубежные отличаются, в основном, большей детализацией многих аспектов.Как правило, для проведения аудита привлекаются внешние компании, которые предоставляют консалтинговые услуги в области информационной безопасности. Инициатором процедуры аудита может стать руководство предприятия, служба автоматизации или служба информационной безопасности. В ряде случаев аудит также проводится по требованию страховых компаний или регулирующих органов. Аудит безопасности выполняется группой экспертов, численность и состав которой зависит от целей и задач обследования, а также от сложности объекта оценки.Можно выделить следующие основные виды аудита информационной безопасности:экспертный аудит безопасности, в ходе которого выявляются недостатки в системе мер защиты информации на основе опыта экспертов, участвующих в процедуре обследования;оценка соответствия рекомендациям международного стандарта ISO 17799, а также требованиям руководящих документов ФСТЭК (Гостехкомиссии)[3];инструментальный анализ защищенности ИС, направленный на выявление и устранение уязвимостей программноаппаратного обеспечения системы;комплексный аудит, включающий в себя все вышеперечисленные формы проведения обследования.Любой из перечисленных видов аудита может проводиться по отдельности или в комплексе, в зависимости от тех задач, которые решает предприятие. В качестве объекта аудита может выступать как ИС компании в целом, так и ее отдельные сегменты,в которых обрабатывается информация, подлежащая защите[4].Информация –самый ценный ресурс в компании, а в некоторых случаях является и производственным ресурсом, от сохранности которого зависят важные технологические процессы. Развитие информационных систем ведет к тому, что рано или поздно может обозначиться критический порог, когда система еще работает, но неизвестно, как отреагирует навозникновениеугроз безопасности.Любой из перечисленных видов аудита может проводиться по отдельности или в комплексе, в зависимости от тех задач, которые решает предприятие. В качестве объекта аудита может выступать как ИС компании в целом, так и ее отдельные сегменты, в которых обрабатывается информация, подлежащая защите[4].В общем случае аудит безопасности, вне зависимости от формы его проведения, состоит из четырех основных этапов, на каждом из которых выполняется определенный круг работ (Рис. 1).
Рис. 1Основные этапы работ при проведении аудита безопасности
На первом этапе совместно с заказчиком разрабатывается регламент, устанавливающий состав и порядок проведения работ. Основная задача регламента определить границы, в рамках которых будет проводиться обследование. Регламент позволяет избежать взаимных претензий по завершении аудита, поскольку четко определяет обязанности сторон. Как правило, регламент содержит следующую основную информацию:состав рабочих групп от исполнителя и заказчика;список и местоположение объектов заказчика, подлежащих аудиту;перечень информации, которая будет предоставлена исполнителю;перечень ресурсов, выступающие в качестве объектов защиты;модель угроз информационной безопасности, на основе которой проводится аудит;На втором этапе собирается исходная информация. Методы сбора информации включают интервьюирование сотрудников заказчика, заполнение опросных листов, анализ предоставленной организационнораспорядительной и технической документации, использование специализированных инструментальных средств.Третий этап работ предполагает анализ собранной информации с целью оценки текущего уровня защищенности ИС предприятия. По результатам проведенного анализа на четвертом этапе разрабатываются рекомендации по повышению уровня защищенности ИС от угроз информационной безопасности.На последнем этапе аудита информационной безопасности разрабатываются рекомендации по совершенствованию организационнотехнического обеспечения защиты на предприятии. Такие рекомендации могут включать в себяразличные типы действий, направленных на минимизацию выявленных рисков.В завершение процедуры аудита его результаты оформляются в виде отчетного документа, который предоставляется заказчику. В общем случае этот документ состоит из следующих основных разделов:описание границ, в рамках которых проводился аудит безопасности;описание структуры ИС заказчика;методы и средства, которые использовались в процессе проведения аудита;описание выявленных уязвимостей и недостатков, включая уровень их риска;рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности;предложения к плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.Под угрозой информационной безопасности принято понимать потенциально возможные действия, явления или процессы, способные оказать нежелательное воздействие на систему или на хранящуюся в ней информацию. Такие угрозы, воздействуя на ресурсы, могут привести к искажению данных, копированию, несанкционированному распространению,ограничению или блокированию к ним доступа[3]. Основнымивидамиугроз информационной безопасности являются:хищение (копирование) информации;уничтожение информации;модификация (искажение) информации;нарушение доступности (блокирование) информации;отрицание подлинности информации;навязывание ложной информации.В качестве источников угроз могут выступать как субъекты (личность) так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации внутренние источники, так и вне ее внешние источники. Деление источников на субъективные и объективные оправдано исходя из предыдущих рассуждений по поводу вины или риска ущерба информации. А деление на внутренние и внешние источники оправдано потому, что для одной и той же угрозы методы парирования для внешних и внутреннихисточников могу быть разными. Все источники угроз безопасности информации можно разделить на три основные группы:1.Обусловленные действиями субъекта (антропогенные источники угроз).2.Обусловленные техническими средствами (техногенные источники угрозы).3.Обусловленные стихийными источниками.Аудит информационной безопасности позволяет получить объективную и независимую оценку текущего состояния защищенности информационных ресурсов и автоматизированной системы. Результаты проведения аудита являются основой для формирования дальнейшей стратегии развития информационной безопасности, а также аспекты создания системы защиты информации[1].
Алгоритм разработки такой системыразделен на следующие этапы:1.Обследование и аудит.2.Формирование требований к системе обеспечения информационной безопасности и разработка технического задания на ее создание.3.Проектирование системы обеспечения информационной безопасности.4.Внедрение системы обеспечения информационной безопасности.Невозможно полностью исключить затраты на безопасность. Некоторые виды затрат на безопасность являются абсолютно необходимыми(обслуживание технических средств информационной безопасности, обучение персонала методам информационной безопасностии т.д.), а некоторые могут быть существенно уменьшены или исключены. Последние –это те, которые могут исчезнуть при отсутствии нарушений политики безопасности или сократятся, если количество и разрушающее воздействие нарушений уменьшатсязатраты на восстановление системы, восстановление ресурсов информационной среды, выявление причин нарушения политики информационной безопасности и т.д..Разработкапроектов защиты объекта, закупканеобходимых элементов безопасности и эксплуатациясистем защиты для владельца информации есть нечто иное, как материализованный экономический ущерб. Идя на эти траты, пользователь надеется избежать большего ущерба, связанного с возможным нарушением конфиденциальности. Возникает дилемма: внести плату (частично реализовав ущерб) за возможность уклонения с долей вероятности или допустить возможность ущерба в полной мере, не тратя ничего. Разумное решение состоит в определении оптимальных вложений в системы защиты, обеспечивающих минимальные финансовые потери владельца информации при несанкционированных действиях с нею[2].Оценивая стоимость проекта, необходимо учитывать затраты на покупку лицензии, услуги консультантов по внедрению, а также затраты на возможную перестройку бизнеспроцессов[4].Опишемтакже и другие категории расходов на внедрение и эксплуатацию системы обеспечения информационной безопасности (Табл.1).
Таблица 1Расходы на внедрение и эксплуатацию СОИБ
Тип затрат на внедрение СОИБОписание состава затратРасходы на аппаратные средства и программное обеспечениеСерверы, компьютеры, периферийные устройства и сетевые компоненты, аппаратнопрограммные средства.Расходы на операции СОИБСодержание персонала, стоимость работ и аутсорсинг, поддержание инфраструктуры.Административные расходыПерсонал, обеспечение деятельности и расходы внешних/внутренних поставщиков на поддержку операций (управление, финансирование, приобретение СИБ и обучение)Расходы на операции конечных пользователейСамостоятельная поддержка пользователей, официальное обучение, самостоятельныеприкладные разработки в связи с ростом потребностей компании, поддержка локальной файловой системы.Расходы на простоиЕжегодные потери производительности пользователей от запланированных и незапланированных отключений сетевых ресурсов, включая клиентские компьютеры, серверы, ПО для связи и т.д. Рассматриваются только те простои, которые ведут к потерям в основной деятельности организации.
Сокращения затрат можно добиться путем предупредительных действий–курсы, консультации и т.д. На этой стадии затраты на потери падают. При этом изменения объема затрат на контроль незначительны.Таким образом, можно сделать вывод о том, что наиболее надежными системами обеспечения информационной безопасности(СОИБ) являются те, в которых комплексно реализованы все возможные и доступные меры —моральноэтические, законодательные, организационные, экономические и технические. Однако комплексные решения очень дороги и могут быть реализованы далеко не всегда. Кроме того,ущерб от утраты защищаемой информации или от разного рода несанкционированных действий с ней может быть гораздо меньше стоимости СОИБ. Поэтому уровень финансовых средств, выделяемых на создание и эксплуатацию СОИБ, должен быть сбалансированным и соответствовать масштабу угроз. Необходимо при этом отметить, что затраты на СОИБносят детерминированный характер, поскольку они уже материализованы в конкретные меры, способы и средства защиты, а вот ущерб, который может быть нанесен при несанкционированных действиях, —величина случайная.
Ссылки на источники1.Петренко С.А., Симонов С.В. Экономически оправданная безопасность. Управление информационными рисками. –Изд. ДМК, Москва, 2010. 2.Семененко В.А. Информационная безопасность: Учебное пособие. М.: МГИУ, 2004
215 с.3.О.А. Цуканова, С.Б.Смирнов Экономика защиты информации: Учебное пособие. –СПб.: СПб ГУИТМО, 2013 –59с.4.А.И.Войтик, В.Г.Прожерин Экономика информационной безопасности: Учебное пособие. –СПб.: НИУ ИТМО, 2012 –120с.
