Страницы

пятница, 9 февраля 2018 г.

Оценка инвестиций в ИБ


Для определения оптимального размера инвестиций в информационную безопасность (ИБ) применяется экономическая модель Гордона—Лоеба (GL Model). Эта модель в настоящее время является основополагающей. Количественная оценка уменьшения уязвимости системы в результате увеличения инвестиций в ИБ или вероятность реализации угрозы с применением защиты актива (с инвестициями в ИБ) определяется функцией

 S(z, v), где z>0 – затраты на обеспечение защиты информационного актива (в денежном выражении), а 0<v<1 – вероятность реализации угрозы.

Вид функции предполагает выполнение следующих условий:
1.   Если информационный актив полностью неуязвимый, то он будет оставаться полностью защищенным независимо от объема инвестиций.
2.   При отсутствии инвестиций в ИБ вероятность реализации угрозы остается неизменной.
3.   Если объем инвестиций в ИБ увеличивается, то информация становится более защищенной, причем вероятность реализации угрозы приближается к нулю.

Если L – величина потенциальных потерь, связанных с информационным активом, то:
  • Ожидаемая прибыль от вложения инвестиций в ИБ (Expected Benefits of an Investment in Information Security, EBIS) рассматривается как уменьшение ожидаемых потерь организации вследствие увеличения инвестиций в ИБ:  EBIS(z)=[v-S(z,v)]*L
  • Ожидаемая чистая прибыль от вложения инвестиций в ИБ (Expected Net Benefits from an Investment in Information Security, ENBIS) равна разности EBIS и стоимости инвестиций:  ENBIS(z)=[v-S(z,v)]*L-z

Математически доказано, что если z’(v) – оптимальный размер инвестиций, то для широкого класса удовлетворяющих условиям (1-3) функций выполняется соотношение:
z’(v) < (1/e) vL

Правило 1/е. Оптимальный уровень инвестиций не превышает 1/е ≈ 36,8% от ожидаемых потерь по причине нарушения ИБ.

GL Model

Доказательство правила 1/e

Комментариев нет:

Отправить комментарий