Определение стоимости активов

Следующий тонкий вопрос — определение стоимости активов. Разделим их на осязаемые и неосязаемые активы. К осязаемым отнесем средства обслуживания информационных технологий (ИТ) — аппаратное обеспечение, сетевое обеспечение (среда передачи данных), запасные части, документация и зарплата персонала для поддержки функционирования систем. Стоимостные характеристики этих активов обычно известны либо легко вычисляемы.
Стоимость неосязаемых активов должна учитывать два вида расходов: расходы на замену/восстановление программного обеспечения и данных, расходы при нарушении конфиденциальности/целостности/доступности.
Определение стоимости неосязаемых активов — задача не всегда простая. Существуют отдельные методики такой работы, например, Guideline for Information Valuation (GIV) — Инструкция no Оценке Стоимости Информации, который доступен зарегистрированным членам Information Systems Security Association на сайте http://www.issa.org/. Приведем пример, который поможет понять принципы такого определения.
Предположим, группа специалистов, работает над исследованием, результатом которого должен стать некоторый набор данных (НД), неосязаемую стоимость которого необходимо оценить. Если НД будет утерян на каком-либо из этапов исследования, то это означает, что для его восстановления скорее всего потребуются следующие средства:
1. Если НД сохранился как интеллектуальный продукт (в виде мыслей, идей, возможно, черновиков), то затраты составят расходы на восстановление его на носителях, т. е. труд операторов по вводу данных, сканированию, корректировке и т. д.
2. Если НД не сохранился ни в каком виде, то расходы составят столько же, сколько было потрачено на работу данной группы до того этапа, когда НД был утерян, при условии что актуальность разработки не утрачена. Если сохранилось какое-либо оборудование или материалы, которые можно использовать в повторном исследовании, то их следует вычесть из общих расходов.
Для оценки стоимости по конфиденциальности необходимо исследование ряда дополнительных условий.
1. Если разглашение информации о деталях исследования никак не повлияет на деятельность группы, то НД не имеет стоимости в этом смысле.
2. Если разглашение информации о НД, например, конкурентам, означает крах всего исследования, то расходы в этом случае по порядку величины равны организации новых исследований, т. е. затратам в позиции 2.
3. Если работы группы были сегментированы таким образом, что НД представляет собой отдельные объекты, не связанные друг с другом, то, возможно, нарушение конфиденциальности одного из них не повлияет на состояние конфиденциальности остальных, расходы составят меньшую часть.
Для оценки стоимости нарушения целостности необходимо знать, насколько такое нарушение существенно для проекта или для работ. При этом следует различать смысловые ошибки самого исследования, ошибки персонала при работе с данными, ошибки оборудования, изменения, внесенные злоумышленниками, и т. п. Также следует различать данные по чувствительности к нарушениям целостности. В номере банковского счета или в сумме на этом счете изменение одной цифры может иметь более серьезные последствия, чем изменения 100 записей в базе данных библиотечного каталога в 10 ООО записей.
1. Если изменение данных повлекло собой прямой материальный ущерб (недополучение или перерасход, как в примере с банковским счетом), то максимум такого возможного ущерба — это и есть стоимость нарушения целостности. Но при этом следует учитывать, что иногда максимальный ущерб не может быть нанесен просто потому, что будет моментально обнаружен и предотвращен, а иногда часть или весь размер этого ущерба возможно компенсировать путем возврата утраченных средств.
2. Изменение также может повлечь больший или меньший ущерб, оценить который могут, порой, только специалисты. Например, изменение в химической формуле или пропорциях химической смеси может привести к грандиозной катастрофе.
Нарушение доступности целесообразно различать по времени. Два основных вида недоступно в течение учитываемого периода времени и недоступны навсегда. Последняя ситуация аналогична случаям 1 и 2, а частичную недоступность следует классифицировать по промежуткам времени — какой ущерб последует, если НД не будет доступен (частично доступен) в течение минуты, часа, дня и т. д.
Для того чтобы не упустить из рассмотрения все возможные варианты получения ущерба, необходимо произвести связь между уязвимостью, угрозой и влиянием на актив.

CorelDRAW X5 – отличная программа для работы с векторной графикой, которая была разработана канадской компанией Corel. Программа сама по себе не является бесплатной, но скачать Corel Draw на русском языке с ключом активации можно бесплатно с сайта coreldrawx5.ru