Правовые аспекты системы безопасности. Александр Кришталюк
и внутренним угрозам безопасности, т. е. формированию внешней и внутренней благоприятной атмосферы безопасности коммерческой деятельности в условиях конкуренции.
Прежде чем приступить к созданию СЗ, необходимо определить объекты защиты, чье уничтожение, модификация или несанкционированное использование может привести к уменьшению прибыли. Определив объекты защиты, следует выявить среды их существования и возможные формы. Данный анализ позволяет определить множество угроз безопасности защищаемых объектов. Зная возможные угрозы, можно предположить частоту данных угроз, а затем выбрать адекватные средства и методы защиты. Данный алгоритм показан на рис 1.
Рис. 1. Подход к созданию СБ
Предложенный алгоритм обусловлен тем, что в подавляющем числе случаев в процессе защиты присутствуют два субъекта: нападающий и обороняющийся, причем второй находится в состоянии неопределенности о возможных действиях первого в большей степени, т. к. он не является инициирующей стороной. Кроме того, процесс защиты еще более осложняется наличием "человеческого фактора" с обеих сторон. Конечной целью создания СЗ является разработка защищенных технологий, обеспечивающих заданный уровень защиты при минимальной стоимости средств и методов защиты для всех функциональных подразделений объекта защиты.
1.2. Оценка угроз безопасности
Проведем оценку угроз безопасности.
Для того, чтобы риск деятельности банка из-за внешней и внутренней обстановки был бы минимальным, необходимо выполнить оценку степени возможных преднамеренных и непреднамеренных угроз, которая должна производиться из учета следующих факторов:
1) возможного ущерба, вызванного действием угрозы;
2) использования результатов отечественной и мировой статистики;
3) внешней и внутренней обстановки;
4) результатами собственной статистики. Определенная объективность в оценке степени угроз может быть достигнута путем детального анализа функционирования банка и использования независимых экспертных оценок экспертов, специализированных государственных учреждений (предприятий) или частных экспертных фирм. Существенным моментом является международная практика. Так, например, западноевропейские фирмы-производители оборудования для банковских СЗ придерживаются следующих критериев оценки угроз, согласно которым для сейфовых комнат-хранилищ ценностей и компьютерной информации определены следующие приоритеты:
– защита от чрезвычайных обстоятельств (пожары, аварии, стихийные бедствия, терроризм и т. п.);
– несанкционированное проникновение в сейфовую комнату (кража ценностей или информации).
Однако для операционных залов распределение критериев другое:
– защита от несанкционированной записи или считывания информации;
– защита от чрезвычайных обстоятельств.
Данный подход позволяет дифференцировано и оптимально