Необходимость в защите информации от постороннего вмешательства и наблюдения давно осознана, разработаны и продолжают разрабатываться соответствующие технологии. Однако увлечение отдельными решениями из области информационной безопасности заслоняет сохраняющуюся фундаментальную проблему, а именно достаточность и эффективность систем защиты с точки зрения пользователя. Мерилом потребительских качеств подобных систем может служить соотношение «стоимость/эффективность», т.е., в конечном счете, баланс между возможным ущербом от несанкционированных действий и размером вложений, которые необходимо потратить для обеспечения защищенности информационных ресурсов.
Инвестиции в разработку проектов защиты объекта, закупку необходимых элементов безопасности и эксплуатацию систем защиты для владельца информации есть ни что иное, как материализованный экономический ущерб. Идя на эти траты, пользователь надеется избежать большего ущерба, связанного с возможным нарушением конфиденциальности. Возникает дилемма: внести плату (частично реализовав ущерб) за возможность уклонения с долей вероятности или допустить возможность ущерба в полной мере, не тратя ничего. Разумное решение состоит в определении оптимальных вложений в системы защиты, обеспечивающих минимальные финансовые потери владельца информации при несанкционированных действиях с нею.
Перед пользователем стоит задача создания оптимальной, с экономической точки зрения, системы защиты информации. Эта задача не так характерна для государственных организаций, однако весьма актуальна для хозяйственно самостоятельных субъектов, ориентированных на деятельность в рыночных условиях.
Наиболее надежными системами защиты информации (СЗИ) являются те, в которых комплексно реализованы все возможные и доступные меры — морально-этические, законодательные, организационные, экономические и технические. Однако комплексные решения очень дороги и могут быть реализованы далеко не всегда. Кроме того, ущерб от утраты защищаемой информации или от разного рода несанкционированных действий с ней может быть гораздо меньше стоимости СЗИ. Поэтому уровень финансовых средств, выделяемых на создание и эксплуатацию СЗИ, должен быть сбалансированным и соответствовать масштабу угроз. Если стоимость СЗИ по сравнению с предполагаемым ущербом мала, то основным фактором риска собственника являются экономические потери от несанкционированных действий с принадлежащей ему информацией. В противоположной ситуации основные потери связаны с чрезмерно высокой стоимостью СЗИ. Необходимо при этом отметить, что затраты на СЗИ носят детерминированный характер, поскольку они уже материализованы в конкретные меры, способы и средства защиты, а вот ущерб, который может быть нанесен при несанкционированных действиях, — величина случайная.
Такой качественный анализ позволяет предполагать, что существует область экономически оптимальных СЗИ, обеспечивающих наименьший риск собственника информации. В качестве меры риска понимаются ожидаемые суммарные потери в процессе защиты информации в течение определенного периода времени. Проведенное автором исследование, основанное на количественном моделировании риска, подтвердило это предположение, обеспечив оценку параметров экономически оптимальных СЗИ.
Моделирование риска собственника информации при создании и эксплуатации СЗИ осуществлялось на основе функциональных зависимостей между риском R, стоимостью СЗИ S, вероятностью преодоления СЗИ и нанесения ущерба собственнику p и размером возникающего при этом ущерба U.
Не останавливаясь на конкретных моделях, отметим, что принципиально возможны три случая (p/s<0, p/s=0 и p/s>0), которые во многом предопределяют облик оптимальных решений и соответствующих СЗИ, их реализующих.
Рис. 1. Зависимость уровня риска от стоимости СЗИ (p/S<0) |
Типичная зависимость уровня риска от стоимости СЗИ, полученная при условии того, что вероятность нанесения ущерба p уменьшается с ростом стоимости системы S (т.е. соответствующая производная отрицательна, p/s<0) приведена на рис. 1. Ее анализ показывает, что применение даже недорогих способов и средств защиты информации резко снижает суммарные потери собственника. Таким образом, вложение средств в СЗИ уже в сравнительно небольших размерах является очень эффективным. При некоторой стоимости СЗИ риск имеет наименьшее значение. Эта стоимость является оптимальной. Дальнейший, сверх оптимального значения, рост затрат на СЗИ будет вести к увеличению экономических потерь собственника информации. Его выигрыш в повышении надежности системы защиты и соответствующем снижении вероятности ущерба от несанкционированных действий будет нивелироваться и обесцениваться чрезвычайно высокой стоимостью самой СЗИ. Поэтому наилучшей стратегией собственника информации будет, очевидно, использование СЗИ, обеспечивающих минимум риска. Эффективность такого решения подтверждается результатами численного моделирования, в соответствии с которыми использование экономически оптимальных СЗИ приводит к снижению суммарных ожидаемых потерь примерно на порядок по сравнению с базовыми решениями.
Чем больше оценка размера вероятного ущерба, тем выше и оптимальная стоимость СЗИ, однако эта зависимость достаточно гладкая, особенно в диапазоне больших значений ожидаемого ущерба. Следовательно, даже если ценность защищаемой информации возросла, то это отнюдь не означает необходимости пропорционального наращивания технических возможностей и соответствующего удорожания СЗИ.
Результаты численного моделирования подтвердили, что экономически оптимальная СЗИ не является самой безопасной. Более того, вероятность ущерба от несанкционированных действий при реализации такой системы может превышать в несколько раз минимально возможные значения показателей безопасности защиты информации. Поэтому применение изложенного подхода ограничено областью экономической целесообразности. В случаях, когда доминирующим требованием является обеспечение абсолютной безопасности информации, реализация концепции экономически оптимальной СЗИ не применима. Это относится, например, к сведениям, составляющим государственную тайну. Тем не менее, оптимальные СЗИ обеспечивают адаптацию требований безопасности к размеру возможного ущерба. На рис. 2 приведена зависимость вероятности несанкционированных действий с защищаемой информацией при оптимальной СЗИ от величины ущерба.
Рис. 2. Зависимость вероятности несанкционированных действий в оптимальной СЗИ от размера возможного ущерба |
Изложенные результаты базируются на вполне логичном предположении о том, что более высокий уровень безопасности достигается за счет увеличения стоимости СЗИ. Для придания завершенности, рассмотрим и два других случая.
1. Уровень универсальной обобщенной характеристики безопасности СЗИ — вероятности нанесения ущерба не зависит от стоимости системы защиты (p/s=0). К сожалению, такой случай правдоподобен. Например, если организация-подрядчик, осуществляющая проектирование СЗИ, предлагает своему заказчику более дорогое решение, хотя такой же уровень безопасности может быть достигнут и за меньшую плату. Оказывается, что такое недобросовестное решение приводит к зависимости риска владельца защищаемой информации от стоимости СЗИ, показанной на рис. 3, где р — вероятность нанесения ущерба, а стрелкой показано направление изменения риска при увеличении этой вероятности. Подобная зависимость технических характеристик СЗИ от ее стоимости может реализовываться и в случае монополизма поставщика, инфляционных процессах, недобросовестной конкуренции и т.д.
Рис. 3. Зависимость уровня риска от стоимости СЗИ (p/S=0) |
Если СЗИ фактически обладает высокими характеристиками безопасности, то для снижения своего риска владельцу информационного ресурса необходимо добиваться снижения стоимости системы. Если же изначально характеристики безопасности СЗИ неудовлетворительны, то единственно разумным решением является отказ от нее.
2. Уровень универсальной характеристики безопасности СЗИ имеет тенденцию в некотором ценовом диапазоне к снижению с ростом ее стоимости (p/s>0). Такая ситуация также возможна — например, когда элементы защиты содержат невыявленные ошибки, а СЗИ «совершенствуется» путем наращивания из таких элементов. В этом случае зависимость риска владельца защищаемой информации от стоимости СЗИ показана на рис. 4, где для сравнения пунктиром дан риск при p/s<0. В связи с тем, что общий уровень риска возрастает во всем стоимостном диапазоне, необходимо провести тщательный анализ и поиск оптимального решения.
Рис. 4. Зависимость вероятности нанесения ущерба от стоимости СЗИ (p/S>0) |
Стоимость СЗИ можно существенно снизить при использовании страховых инструментов. Эффективность этого метода во многом зависит от точности определения страховой стоимости защищаемых информационных ресурсов, а также степени соответствия тарифной ставки вероятности несанкционированных действий. Реализации страхования информации мешает фундаментальная проблема отсутствия достаточно точных практических методик по определению ее стоимости и обоснованию тарифов. Сколь сложен этот вопрос, можно судить хотя бы по дискуссиям по смежной теме — концепции общей стоимости владения информационной системой (TCO — total cost of ownership). ИТ-специалисты отмечают множество проблем при практическом использовании данной концепции, хотя в основе информационных систем и лежат вполне материальные вещи, имеющие известную стоимость. Поэтому попытки использования экспертного метода или декларируемого рыночного подхода, основанного на оценке популярности и востребованности информационного ресурса, во многих случаях заведомо неприемлемы. Необходимо приложение дополнительных усилий для разработки практических методик оценки стоимости информации.
В заключение отметим, что оптимальные СЗИ наиболее целесообразны для экономически самостоятельных субъектов, которые в своей деятельности вынуждены соблюдать баланс между затратами на СЗИ и возможным ущербом. Реализация таких систем защиты информации возможна при тщательном учете всех аспектов, включая количественную оценку безопасности и размера ожидаемых потерь. Оценка экономически оптимальных параметров должна являться основой формирования конкретного технического облика СЗИ. К сожалению, сегодня проектирование СЗИ обычно осуществляется с ориентацией на произвольно выделяемый бюджет, не имеющий объективного обоснования по системе критериев «стоимость информации — размер возможного ущерба — риски». При этом владелец информационных ресурсов, если не проводит тщательного анализа и не оптимизирует размер выделяемых на СЗИ средств, практически всегда оказывается в экономическом проигрыше.
Литература
- Баутов А. Н. Программно-методическое обеспечение "Расчет рисков и вычисление оптимальных затрат на систему защиты информации от несанкционированных действий и сохранения конфиденциальности информационных ресурсов". М.: 2001
- Баутов А. Н., Козлов В. И. Страховая стоимость информационных ресурсов. Анализ нормативной базы. Страховое дело, 2001, № 7
- Лукьяненко И. Застрахуйте информацию. "Computerworld Россия", 2001, № 19
- Уитли М. Пересчитать все - до последнего гроша. "eCommerce World", 2001, № 4
- Цыганов А. Управление рисками электронной коммерции и их страхование. "eCommerce World", 2001, № 4
С Андреем Баутовым можно связаться по адресу anb_main@mail.ru — эксперт.
Языком УК РФ
Необходимость защиты информации связана в основном с так называемыми компьютерными преступлениями. Под этим термином понимаются преступления в сфере компьютерной информатики. В отечественной практике данные преступления впервые предусмотрены Уголовным Кодексом Российской Федерации 1996 года, в котором они объединены в отдельную главу. К компьютерным преступлениям относятся: неправомерный доступ к компьютерной информации (статья 272 УК РФ), создание, использование и распространение вредоносных программ для ЭВМ (статья 273 УК РФ), нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (статья 274 УК РФ). Данные преступления имеют общий объект посягательства — нормальное, безопасное функционирование информационных систем. В криминологии к компьютерным часто относят также деяния, при совершении которых компьютерная техника используется как средство (например, мошенничество в банках или на предприятиях).
Информационные преступления могут совершаться в форме хищений и в целях промышленного шпионажа. Хищением называется совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившее ущерб собственнику или иному владельцу этого имущества (статья 158 УК РФ).
Промышленным шпионажем называется деятельность по незаконному добыванию сведений, представляющих коммерческую ценность. УК РФ устанавливает уголовную ответственность за незаконные получение и разглашение сведений, составляющих коммерческую или банковскую тайну (статья 183 УК РФ). Объективную сторону данного экономического преступления образует:
- собирание сведений, составляющих коммерческую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом в целях разглашения либо незаконного использования этих сведений;
- незаконные разглашение или использование сведений, составляющих коммерческую или банковскую тайну, без согласия их владельца, совершенные из корыстной или иной личной заинтересованности и причинившие крупный ущерб.
К основным рискам, связанным с функционированием информационных систем, можно отнести:
- непреднамеренные ошибки пользователей, операторов, администраторов, которые по некоторым данным наиболее многочисленны и опасны;
- кражи и подлоги информации, исходящие со стороны конкурентов или недобросовестных сотрудников;
- природные катастрофы и технические аварии;
- несанкционированный доступ к информационным ресурсам.
Этот перечень может быть дополнен и детализирован в зависимости от содержания конкретных информационных ресурсов, состава и эксплуатации информационной системы, наличия средств обеспечения безопасности и многих иных факторов. Риски определяют возможный размер ущерба и служат основой оценки страховой стоимости информационных ресурсов, а также синтеза комплексных систем защиты информации.
В соответствии с Законом «О правовой охране программ для электронных вычислительных машин и баз данных» предусмотрен определенный механизм компенсации ущерба для некоторых видов информационных ресурсов. Автор программы или базы данных и иные правообладатели вправе требовать:
- возмещения причиненных убытков, в размер которых включается сумма доходов, неправомерно полученных нарушителем (понятие убытков содержится в статье 15 ГК РФ);
- выплаты нарушителем компенсации в определяемой по усмотрению суда, арбитражного или третейского суда в сумме от 5000-кратного до 50000-кратного установленного Законом размера минимальной месячной оплаты труда, в случаях нарушения с целью извлечения прибыли, вместо возмещения убытков.
При реализации последнего нормативного положения следует, как показывает юридический анализ, применять нормы пункта 1 статьи 49 Закона «Об авторском праве и смежных правах». Данный вывод основан на том, что в случае, когда положения Закона «О правовой охране программ для ЭВМ и баз данных» изменены Законом «Об авторском праве и смежных правах» и противоречат ему, следует применять правило, установленное Законом «Об авторском праве и смежных правах». Согласно ему, обладатели исключительных авторских и смежных прав вправе требовать от нарушителя:
- возмещения убытков, включая упущенную выгоду;
- взыскания дохода, полученного нарушителем вследствие нарушения авторских и смежных прав, вместо возмещения убытков;
- выплаты компенсации в сумме от 10 до 50000 минимальных размеров оплаты труда, определяемой по усмотрению суда или арбитражного суда, вместо возмещения убытков или взыскания дохода.
Указанные выше меры применяются по выбору обладателя авторских и смежных прав.
Необходимо напомнить, что под возмещением убытков понимается правовой механизм, по которому в соответствии с гражданским законодательством лицо, право которого нарушено, может требовать полного возмещения причиненных ему убытков, если законом или договором не предусмотрено возмещение убытков в меньшем размере. Под убытками понимаются:
- расходы, которые лицо, чье право нарушено, произвело или должно будет произвести для восстановления нарушенного права;
- утрата или повреждение его имущества (реальный ущерб);
- неполученные доходы, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено (упущенная выгода).
Если лицо, нарушившее право, получило вследствие этого доходы, лицо, право которого нарушено, вправе требовать возмещения наряду с другими убытками упущенной выгоды в размере не меньшем, чем такие доходы. Убытки, причиненные гражданину или юридическому лицу в результате незаконных действий (бездействия) государственных органов, органов местного самоуправления или должностных лиц, в том числе издания не соответствующего закону или иному правовому акту государственного органа или органа местного самоуправления, подлежат возмещению из средств РФ, соответствующего субъекта РФ или муниципального образования.
Помимо возмещения убытков, взыскания дохода или выплаты компенсации в твердой сумме суд или арбитражный суд за нарушение авторских или смежных прав взыскивает штраф в размере 10% от суммы, присужденной судом в пользу истца. Сумма штрафов направляется в соответствующие бюджеты.
Таким образом, механизм компенсации ущерба, предусмотренный Законом «О правовой охране программ для электронных вычислительных машин и баз данных», необходимо рассматривать в непосредственной взаимосвязи с Законом «Об авторском праве и смежных правах», так как целый ряд норм последнего непосредственно затрагивает вопросы правовой охраны программ и баз данных.
Информация и страховые тарифы
Правильное и обоснованное определение страховых тарифов при защите информации с помощью этого экономического инструмента исключительно важно. Владелец информационных ресурсов, в зависимости от соотношения величины тарифа k и вероятности нанесения ущерба — события p, от которого предусматривается введение страховой защиты, окажется в одной из трех принципиально различных ситуациях и должен принимать соответствующие решения.
Рис. Зависимость риска от размера страховой стоимости при различных тарифах |
- Величина тарифа меньше вероятности страхового события (k
- Величина тарифа равна вероятности страхового события (k=p). В этом случае, который практически не может быть реализован из-за отсутствия методик оценки вероятности страхового события с необходимой точностью, ущерб перекладывается поровну на обе стороны. Страхователю безразлична величина страховой суммы, поскольку она не оказывает влияния на уровень его риска.
- Величина тарифа больше вероятности страхового события (k>p). В этом случае ущерб перекладывается в основном на страхователя, а его риск растет пропорционально увеличению размера страховой стоимости информации. Единственно разумным решением, обеспечивающим уменьшение экономического ущерба, является отказ собственника информации от использования механизма ее страховой защиты.
Следовательно, практически существуют два принципиально разных решения при оценке возможности использования механизмов страховой защиты информации, которые должен принимать ее собственник. Поскольку решения зависят от сколь угодно малых отклонений страхового тарифа от величины вероятности страхового события, оценка этой вероятности должна проводиться с максимально возможной точностью.