Методы проектирования аппаратного обеспечения…
3
Таблица 2
Вероятности угроз и частота событий
Уровень вероятности
Описание, частота (для конкретной разработки)
Незначительный
Вряд ли произойдет
Очень низкий
Событие происходит два-три раза в пять лет
Низкий
Событие происходит не более одного раза в год
Средний
Событие происходит один раз в полгода или реже
Высокий
Событие происходит один раз в месяц или реже
Очень высокий
Событие происходит несколько раз в месяц
Экстремальный
Событие происходит несколько раз в день
Последствия от нарушения политики безопасности также описа-
ны шестью уровнями от «несущественного» к «критическому», и
каждому уровню соответствуют потери в случае ликвидации нару-
шений (табл. 3).
Таблица 3
Степень тяжести и потери
Степень тяжести
нарушения
Описание, потери в руб. (для конкретной разработки)
Несущественная
При осознанной угрозе нарушение не будет иметь
последствий
Низкая
Нарушение не ведет к финансовым потерям, но вы-
яснение характера происшествия потребует незначи-
тельных затрат
Существенная
Происшествие принесет некоторый материальный и
моральный вред
Угрожающая
Потеря репутации, конфиденциальной информа-
ции. Затраты на восстановление данных, проведение
расследований
Серьезная
Восстановление практически всех схем (в т.ч. на
электронных и бумажных носителях)
Критическая
Потеря системы или перевод в другую безопасную
среду
Чтобы определить эффект от внедрения системы защиты, нужно
вычислить показатель ожидаемых потерь (Annualised Loss Expectan-
cy — ALE). По оценкам экспертов [10], правильно установленная и
настроенная система защиты дает 85% эффективности в предупрежде-
нии или уменьшении потерь от нарушений политики безопасности.
Следовательно, финансовая выгода обеспечивается ежегодными сбере-
жениями, которые получает компания при внедрении системы безопас-
ности:
