Определение упущенной выгоды в результате ограничений на распространение информации
Определяя отрицательные последствия засекречивания сведений, необходимо оценить факторы, которые обусловливают упущенную предприятием выгоду.
Ценность информации может быть определена как разница между результатами решений, принятых с использованием данной информации, и результатами решений, которые были получены без ее использования. Под результатами подразумеваются экономические и другие последствия управленческих решений, измеряемые в виде прибыли (краткосрочной или долгосрочной), сокращения расходов или другими положительными последствиями.
Выгода от наилучшего использования информации может оцениваться на основе оценки:
• возможной дополнительной прибыли за счет снижения себестоимости материалов и изделий, использующих новые материалы и технологии;
• возможной дополнительной прибыли за счет продажи конкурентоспособных материалов, технологий и изделий;
|
|
• сокращения расходов на разработку, производство и эксплуатацию изделий за счет повышения их надежности, долговечности, сокращения сроков разработки и производства, требуемого количества изделий в результате применения новых материалов и технологий.
Оценка размеров выгоды от свободного использования сведений осуществляется экспертами на основе прогнозирования реализации перечисленных выше возможностей и учета дополнительных экономических эффектов в результате использования информации, например, в других разрабатываемых комплексах и системах. При этом учитывается, что выгода, как и ущерб, может проявляться на различных уровнях государственного управления, что обусловливает необходимость оценки интегральной выгоды.
Реализация прогнозируемой выгоды в различные моменты времени возможна при соответствующем расширении схемы распространения информации, тогда для вариантов ограниченного распространения информации данная выгода определяется как упущенная.
Основными принципами оценки затрат на защиту информации являются:
— учет всех видов затрат на мероприятия по защите сведений, а также сопутствующих (побочных) эффектов, поддающихся стоимостным оценкам;
— оценка затрат на защиту сведений применительно к конкретному защищаемому объекту на расчетный период, определяемый длительностью рассматриваемых этапов жизненного цикла объекта.
При этом должны соблюдаться следующие условия:
1. Если каким-либо техническим средством (существующим или вновь сРезультатами проведенных оценок являются вектор приоритетов важности угроз безопасности предприятия и результирующая матрица суждений экспертов о степени их проявления при преждевременном раскрытии оцениваемых сведений.
|
|
Перед нами стоит задача агрегирования полученных оценок в единую целевую функцию, в результате которого каждому сведению может быть присвоен рейтинг, определяющий не только ранг сведения, но и «расстояние» между ними.
Расчет первичного рейтинга каждого сведения может быть проведен различными способами. Рассмотрим один, наиболее простой способ, который иллюстрирует идею метода количественной обработки данных, полученных на предыдущем этапе. По этому способу полученные оценки для отдельного сведения (категории сведений) определяются по формуле
(20.10)
где k^Tj) — медианное значение степени связи 5, сведения с
угрозой ут\ Wm — значение степени важности угрозы ут\ г,(7}) — рейтинг сведения Sh рассчитанный количественным способом для момента времени пересмотра степени конфиденциальности 7}; М — количество угроз безопасности предприятия.
Таким образом, каждому сведению присваивается его рейтинг, соответствующий расчету ценности данного сведения по величине интегрированного ущерба.
Рейтинг сведения является относительной характеристикой ценности сведения и показывает степень различия одного сведения относительно других по величине ущерба, который может быть нанесен в результате раскрытия сведения. По величине рейтинга сведения может быть установлена степень его конфиденциальности. Для этого множество всех рассматриваемых сведений отображается на соответствующей шкале конфиденциальности, представляющей ранжированное множество значений рейтингов сведений, разбитых на интервалы категорий конфиденциальности.
В конечном итоге наша цель заключается в нахождении глобального упорядочения сведений по величине их первичного рейтинга, характеризующего величину возможного ущерба при раскрытии оцениваемого сведения.
Определение границ перехода категорий конфиденциальности осуществляется на основе рейтингов сведений, определенных для данной степени конфиденциальности как «эталонные». Для этого каждый эксперт на основе качественных характеристик категорий конфиденциальности и имеющегося опыта работы указывает из списка оцениваемых им сведений те, в степени конфиденциальности которых у него нет сомнений.
Степень конфиденциальности информации определяется на основе попадания рейтинга сведения в тот или иной интервал шкалы конфиденциальности.