Для определения оптимального размера инвестиций в
информационную безопасность (ИБ) применяется экономическая модель Гордона—Лоеба
(GL Model). Эта модель в
настоящее время является основополагающей. Количественная оценка уменьшения
уязвимости системы в результате увеличения инвестиций в ИБ или вероятность
реализации угрозы с применением защиты актива (с инвестициями в ИБ)
определяется функцией
S(z, v), где z>0 – затраты на обеспечение защиты информационного
актива (в денежном выражении), а 0<v<1 – вероятность реализации
угрозы.
Вид функции предполагает выполнение следующих условий:
1. Если информационный актив полностью неуязвимый, то он будет
оставаться полностью защищенным независимо от объема инвестиций.
2. При отсутствии инвестиций в
ИБ вероятность реализации угрозы остается неизменной.
3. Если объем инвестиций в ИБ увеличивается, то информация
становится более защищенной, причем вероятность реализации угрозы приближается
к нулю.
Если L – величина потенциальных потерь, связанных с
информационным активом, то:
- Ожидаемая прибыль от вложения инвестиций в ИБ (Expected Benefits of an Investment in Information Security, EBIS) рассматривается как уменьшение ожидаемых потерь организации вследствие увеличения инвестиций в ИБ: EBIS(z)=[v-S(z,v)]*L
- Ожидаемая чистая прибыль от вложения инвестиций в ИБ (Expected Net Benefits from an Investment in Information Security, ENBIS) равна разности EBIS и стоимости инвестиций: ENBIS(z)=[v-S(z,v)]*L-z
Математически доказано, что если z’(v) – оптимальный размер инвестиций, то для широкого класса
удовлетворяющих условиям (1-3) функций выполняется соотношение:
z’(v) < (1/e) vL
z’(v) < (1/e) vL
Правило 1/е.
Оптимальный уровень инвестиций не превышает 1/е ≈ 36,8% от ожидаемых потерь по причине нарушения ИБ.
GL ModelДоказательство правила 1/e
Комментариев нет:
Отправить комментарий