Читайте также:
|
|
[Д. Стенг, С. Мун; 1995]:
“Если люди готовы так напряженно работать, чтобы создавать информацию, то не следует ли приложить хотя бы часть усилий для ее защиты? Когда речь о компьютерной безопасности, следует подавлять естественное желание “не говорить о плохом, не слышать плохого, не думать о плохом и не вспоминать о плохом”. Все предпочитают улыбаться и надеяться, что весь мир делает то же самое”.
Решение проблем безопасности так или иначе связано с определенным риском, который заключается в том, что в обеспечение ЗИ вкладываются слишком малые (или слишком большие) затраты, а возможные последствия (потери) для пользователя (или организации) в результате реализации той или иной угрозы могут оказаться очень большими.
Под риском или степенью риска (risk) понимается величина потерь, которые могут иметь место в случае действия конкретной угрозы или совокупности возможных угроз.
Возможный показатель риска — ожидаемые годовые потери (ALE — Annual Loss Expectancy) — это предполагаемые экономические потери, которые ожидаются от возможных происшествий и включают в себя потери от всех ценностей как материальных, так и нематериальных.
Анализ опасностей (risk analysis), или оценка риска (risk assesment) — определение вероятностей угроз и потенциальных потерь, которые могут произойти вследствие изъянов системы.
[ Дэвид Стенг, президент и исполнительный директор; Сильвия Мун, специалист по информационным технологиям, Norman Data Defense Systems, Inc.: ”Секреты безопасности сетей”, с. 35]:
“Безопасность информации — это наука. В общем случае проблема решается не путем применения того или иного продукта, безопасность обеспечивается людьми, которые соблюдают планы, правила, процедуры”.
“Теория обеспечения безопасности — это царство теории вероятностей и математической статистики”.
3 фундаментальных вопроса:
· ЧТО ЗАЩИЩАТЬ?
· ОТ ЧЕГО ЗАЩИЩАТЬ?
· КАК ЗАЩИЩАТЬ?
[Хоффман Л. Дж. Современные методы ЗИ. — М.:Мир, 1980]:
“Анализ риска не обеспечивает абсолютную безопасность системы. Анализ риска представляет собой просто систематический подход к разбиению на категории угроз безопасности данных и мер противодействия этим угрозам и к принятию решения относительно плана действий, в соответствии с которым большая часть ресурсов (технических и нетехнических) будет затрачиваться на уменьшение наиболее вероятных или приносящих наибольший ущерб угроз (рисков).
Анализ риска — обеспечивает такую степень безопасности, системы, которая соизмерима с характеристиками защищаемой информации и с величиной ресурсов, которые могут быть затрачены”.
Дата добавления: 2015-12-01; просмотров: 20 | Нарушение авторских прав