Виды потерь

Информационный ущерб может рассматриваться и с точки зрения потерь, приводящих к какой-либо убыточности, в частности в тех случаях, когда они могут быть оценены.

1. Потери, связанные с материальным ущербом. Речь идет о компенсации или размещении утраченных или похищенных материальных средств. К этой сумме может добавиться целый ряд других, может быть даже более значительных:

• стоимость компенсации, возмещение другого косвенно утраченного имущества;

• стоимость ремонтно-восстановительных работ;

• расходы на анализ и исследование причин и величины ущерба;

• другие различные расходы.

2. Дополнительные расходы, связанные с персоналом, обслуживанием сети и расходы на восстановление информации, связанные с возобновлением работы сети по сбору, хранению, обработке и контролю данных.

К дополнительным расходам относятся также:

• поддержка информационных ресурсов и средств удаленного доступа;

• обслуживающий персонал, не связанный с информацией;

• специальные премии, расходы на перевозку и др.;

• другие виды расходов.

3. Эксплуатационные потери, связанные с ущемлением банковских интересов, или с финансовыми издержками, или с потерей клиентов.

Расходы на эксплуатацию соответствуют снижению общего потенциала предприятия, вызываемого следующими причинами:

• снижением банковского доверия;

• уменьшением размеров прибыли;

• потерей клиентуры;

• снижением доходов предприятия;

• другими причинами.

Естественно, что информационные потери увеличивают дополнительные расходы на их восстановление, что требует определенного времени. Временные задержки вызывают соответствующие претензии пользователей, потери интересов, а иногда и финансовые санкции.

4. Утрата фондов или невосстанавливаемого имущества. Утрата фондов соответствует в общем случае уменьшению финансовых возможностей (деньги, чеки, облигации, вексели, денежные переводы, боны, акции и т. д.).

Преступные действия могут быть предприняты и в отношении счетов третьей стороны (клиенты, поставщики, государство, лица наемного труда), а иногда даже и против капиталов. Потери собственности соответствуют утрате материальных ценностей как складированных, так и закупленных, а также недвижимости.

5. Прочие расходы и потери, в частности, связаны с моральной ответственностью.

Эта категория потерь по своему содержанию довольно разнообразна: травмы, телесные повреждения, моральный ущерб, судебные издержки, штрафы, расходы на обучение и различные эксперименты, другие виды гражданской ответственности. Сюда же можно отнести качественные потери и другие издержки.

Ущерб может быть прямой (расходы, связанные с восстановлением системы) и косвенный (потери информации, клиентуры).

В отдельных монографиях и статьях отечественных и зарубежных ученых излагаются некоторые результаты практических исследований по определению количественных значений различных угроз информационным системам.

Таблица. Размеры ущерба информационным системам от различных видов угроз

Примечания:

А - происшествия. Это угроза материальным средствам информационной системы. Охватывает: 1 - материальный ущерб; 2 - кражи, хищения и другие виды действий; 3 - аварии, поломки, отказы, выход из строя аппаратных и программных средств и баз данных.

Б - ошибки и непредвиденные действия. Охватывает: 4 - ошибки ввода, хранения, обработки и передачи информации; 5 - ошибки функционирования системы; 6 - концептуальные ошибки и ошибки внедрения (реализации).

В - вредительство: 7 - экономический шпионаж; 8 болтливость и разглашение информации; 9 - копирование программ и операционных систем; 10 - саботаж, забастовки, уход (увольнение) сотрудников.

Виды ущерба: Г - материальный ущерб различного характера; Д -дополнительные расходы на возмещение убытков; Е - финансовые убытки; Ж - моральный ущерб и др.

Убытки от злонамеренных действий непрерывно возрастают и являются наиболее значительными.

Приведенные в таблице данные обладают определенной погрешностью (порядка 20 %), что связано в основном со сбором статистических данных.

В общем, 1990 г. отличался некоторым замедлением всех видов потерь, хотя ситуация в зависимости от различных причин довольно разнообразна (происшествия - +4,8 %, ошибки - -2,6 %, злоупотребления -+8,6 %).

Следует отменить, что ущерб, превышающий 10 млн. фр., увеличился (46 против 44), при этом зарегистрирован только один случай, сумма которого превышает 100 млн. франков (против четырех в 1989 г.).

Убытки, связанные с происшествиями (2-я строка), зависят от развития парка, в частности от увеличения техники и рабочих мест, а также от разнообразия причин: пожары - 42 %; задымления, коррозия, неисправности - 11 %; ущерб от подтоплений - 12%; выход из строя машин -8 %; возгорание электросетей и приборов (от грозовых разрядов и перенапряжения) - 9 %; неполадки во внешней среде - 10 %; другие случаи -8%.

Что касается 3-й строки, различие также довольно значительное. Типичные аварии оборудования - 18 %; неполадки во внешней среде - 9 %; специфические неисправности оборудования - 15 %; выход из строя операционной системы - 10 %; неисправности сетей - 11 %; перебои в снабжении водой - 5 %, перебои в электроснабжении - 3 %; перебои различного рода снабжения - 8 %; другие причины - 21 %.

Убытки, связанные с ошибками, несколько уменьшились. Это, в частности, относится к 4-й строке (несмотря на еще многочисленные ошибки маршрутизации потоков и ошибки, связанные с использованием сетей) и к 5-й сроке (здесь за счет увеличения доли автоматизации повысилось качество продукции). Вместе с тем можно отметить, что если увеличение обмена по каналам привело к улучшению показателей 4-й строки, то функциональные ошибки, которые не отражаются в этой таблице, скорее всего имеют тенденцию к росту.

Концептуальные и внедренческие ошибки (6-я строка). Причины носят одновременно структурный (привлечение к разработке сторонних организаций, абонементное обслуживание) и технический характер (физический износ постоянно растущего числа действующих систем, обусловливающий проблемы восстановления или адаптации новых, более сложных систем и т. д.).

Убытки, связанные со злоупотреблениями (7-я строка). Здесь довольно высокие показатели. По состоянию на 1989 г. они составляли: мошенничество - 67 % и саботаж - 33 %. В свою очередь, мошенничество подразделяется: на хищение фондов - 70 %, хищение материальных ценностей - 30 %. Последние могут быть проанализированы по отношению к социально-экономическому сектору: I - банки, страхование, социальное обеспечение, финансы - 38 %; II - промышленность, сельское хозяйство - 28 %; III - транспорт, торговля, другие услуги - 34 %. Саботаж подразделяется, в свою очередь: на фальсификацию данных или программ -20 %; частичный вывод из строя или частичное блокирование - 49 %; полный вывод из строя или полное блокирование - 31 %. Убытки, связанные с вирусами, трудно поддаются оценке. В общем, они меньше 100 млн. фр. Хотя случаи их появления увеличиваются как в сетях мини-ЭВМ, так и в больших системах.

Убытки от разглашения и промышленного шпионажа (8-я строка) весьма значительны. Сегодня шпионаж не ограничивается только областью промышленности, а становится преимущественно экономическим. Особенно прогрессируют секторы торговли и финансов.

Показатели 9-й строки вновь увеличились после их падения в 1988 г. Это объясняется увеличением пиратских действий и в особенности ростом числа случаев подделки.

10-я строка имеет явную тенденцию к уменьшению приносимого ущерба.

Результаты исследований, проведенных Datapro Information Service Group на основе анкетирования 1153 банков, приведены в табл. (В 1991, 1992, и 2001 гг. в опросе участвовало соответственно 1102, 1153 и 1121 респондент.)

Таблица Угрозы автоматизированным информационным системам, %

Анализ крупных убытков особенно тех, которые могут поставить под угрозу само существование предприятия, показывает, что, кроме основных причин, нанесению ущерба способствовали и такие факторы, как:

• отсутствие взаимодействия между ответственными за безопасность лицами;

• несоответствие технических средств реальным потребностям безопасности;

• установка средств безопасности без глубокого изучения конкретных условий и особенностей.

Понять это, кроме технических аспектов, часто второстепенных и не представляющих собой значительных проблем на практике, - значит ОВЛАДЕТЬ основами управления безопасностью.

Основные причины убытков связаны не столько с недостаточностью средств безопасности как таковых, сколько с отсутствием взаимосвязи между ними.

Дата добавления: 2014-01-05; Просмотров: 991; Нарушение авторских прав?; Мы поможем в написании вашей работы!