В статье авторы рассматривают меры безопасности и принятие решений на угрозы.
Ключевые слова: информация, меры безопасности, принятие решений .
Гудхью и Штрауб выделили четыре компонента мер безопасности: сдерживание, предотвращение, обнаружение и средства правовой защиты. Сдерживающие контрмеры, как правило, не основаны на технологиях и направлены на предотвращение инцидентов информационной безопасности. Сдерживающие контрмеры включают в себя политику безопасности и обучение навыкам безопасности. Напротив, цель превентивных контрмер безопасности состоит в том, чтобы фактически предотвратить возникновение инцидента информационной безопасности [1].
Превентивные контрмеры включают межсетевые экраны, антивирусное программное обеспечение, системы обнаружения вторжений, шифрование передаваемых данных, инфраструктуру открытых ключей, системы предотвращения вторжений и контроль доступа. Меры противодействия обнаружению включают в себя такие действия, как наблюдение за камерами безопасности, журналы электронной почты, журналы брандмауэра, отчеты об обнаружении вторжений и аудит для выявления уязвимостей информационной безопасности. Наконец, средства правовой защиты состоят из действий, предпринятых после обнаружения инцидента безопасности.
Меры противодействия включают исправление уязвимостей системы безопасности, обновление политик и процедур, а также наказание виновных в инцидентах. Чтобы снизить риск информационной безопасности организации, необходимо принять меры безопасности. В конечном итоге ответственность за определение типов контрмер, которые необходимо принять для минимизации рисков информационной безопасности в своих организациях, лежит на руководстве [3].
Однако введение контрмер безопасности требует высокой степени бдительности со стороны руководства. Само по себе наличие контрмер безопасности не гарантирует снижения риска информационной безопасности. Даже с учетом контрмер шансы на нарушение безопасности все еще остаются высокими. Политики информационной безопасности могут существовать, но будут неэффективными, если сотрудники не прочитают и не поймут политики. Могут быть введены средства контроля доступа, требующие паролей для доступа к компьютерным системам. Однако, если разрешены слабые пароли или повторяющиеся пароли, то контроль доступа может оказаться неэффективным методом защиты компьютерных систем. То же самое относится и к другим мерам безопасности, включая брандмауэры, антивирусное программное обеспечение и т. Д. Эти контрмеры могут быть эффективными для защиты информации организации; однако они устанавливаются людьми и настраиваются людьми, что добавляет к их эффективности компонент ошибки.
Межсетевые экраны и системы обнаружения вторжений должны быть должным образом связаны с другими компонентами компьютерной системы, а средства управления должны быть настроены так, чтобы обеспечить надлежащий баланс между безопасностью и операциями. То же самое и с антивирусным программным обеспечением. Новые вирусы создаются почти ежедневно. Если описания вирусов в программном обеспечении защиты от вирусов не обновляются постоянно, организация останется незащищенной от этих новых штаммов вирусов. Становится важным не только наблюдать за наличием контрмер безопасности, но и исследовать их эффективность.
Само по себе наличие контрмер безопасности не гарантирует снижения риска информационной безопасности. Даже с учетом контрмер шансы на нарушение безопасности все еще остаются высокими. Политики информационной безопасности могут существовать, но будут неэффективными, если сотрудники не прочитают и не поймут политики. Могут быть введены средства контроля доступа, требующие паролей для доступа к компьютерным системам. Однако, если разрешены слабые пароли или повторяющиеся пароли, то контроль доступа может оказаться неэффективным методом защиты компьютерных систем
Было проведено исследование принятия решений, которое носит как нормативный, так и описательный характер. «Нормативный анализ касается природы рациональности и логики принятия решений. Описательный анализ, напротив, касается убеждений и предпочтений людей такими, какие они есть, а не такими, какими они должны быть» [2].
В процессе анализа рисков генерируется информация, которая будет использоваться при принятии решений. То, как используется информация, определяется тем, кто ее получает, целями учреждения и окружающей средой. Выбор того или иного варианта лицом, принимающим решение, основан на различии преимуществ и недостатков этого варианта. Оптимальными считаются те варианты, преимущества которых превышают их недостатки. Эти решения должны приниматься расчетным и вероятностным образом, позволяя лицу, принимающему решение, выбрать вариант, который максимизирует полезность. «Решения проблемы преодоления опасностей обычно оправдывались расчетом выгод и затрат, который предполагал, что вовлеченные люди будут вести себя так, как разработчик политики считает экономически рациональным» [2].
Управление рисками информационной безопасности — наука неточная. Управление рисками требует точной оценки безопасности, что в конечном итоге может оказаться трудным процессом из-за многих практических неопределенностей. Решения часто принимаются без необходимой информации и вместо этого основываются на предположениях руководства. Неспособность правильно идентифицировать и оценить необходимые переменные может в конечном итоге оказать критическое негативное влияние на организацию.
Литература:
- Slovic, P. (1987). Perception of risk. Science, 236, 280–285.
- Kahneman, D., & Tversky, A. (1979). Prospect theory: An analysis of decision under risk. Econometrica, 47, 263–291
- Энсон С. Реагирование на компьютерные инциденты. Прикладной курс // ДМК Пресс, 2021. — С. 95–102.
