Концепция безопасности: математический анализ эффективности. Статья обновлена в 2023 году.

Концепция безопасности: математический анализ эффективности

.

Концепция безопасности: математический анализ эффективности

В современных условиях постоянными спутниками бизнеса, как ни печально, являются угрозы. Поэтому без надежной защиты его интересов он немыслим. Но как ее правильно организовать? Как выработать оптимальную стратегию и тактику защиты? Единства мнений здесь нет и, вероятно, быть не должно. В сегодняшней рубрике редакция предлагает к обсуждению один из подходов, которого придерживается доктор технических наук профессор Абалмазов Э. И.

Говоря о системе безопасности, первым делом надо выяснить, что она защищает, от чего и каков механизм ее противодействия. Любая система безопасности представляет собой организационно оформленные кадровые и материально-технические ресурсы и действует всегда во времени и пространстве угроз. Пространство угроз образуют объекты защиты - люди, работающие в коммерческой структуре, имущество и денежные средства предприятия, сведения, составляющие коммерческую или служебную тайну. Главная функция системы безопасности - противодействие угрозам с помощью людей и техники. Каждая угроза влечет за собой ущерб, а противодействие призвано снизить его величину, в идеале - полностью. Удается это далеко не всегда.

Эффективность или рентабельность?

Способность системы безопасности выполнять свою главную функцию всегда должна оцениваться количественно. К примеру, можно измерить относительный ущерб, предотвращенный ею (см. рис. 1).

Рис. 1. Типичная зависимость эффективности Q0 и рентабельности r0 защиты от общих ресурсов

Величина Q0 - мера общей эффективности защиты. Чем больше Q0, тем меньший ущерб создадут угрозы. Таким образом, мерой риска является величина(1—Q0). Стремление обеспечить высокоэффективную защиту, когда Q0 близко к 1 (или 100%), вполне естественно, но это потребует значительных расходов на ресурсы. То есть чем выше совокупные ассигнования (B0) на ресурсы, тем на большую эффективность защиты можно рассчитывать. Возникшая при этом зависимость видна на рис. 1. Однако чрезмерные расходы на собственную безопасность не всегда оправданны экономически. Можно столкнуться с ситуацией, когда стоимость защиты (В0) превысит уровень (R0) максимального ущерба от реализации угроз. В этом случае возникает опасность угрозы «саморазорения» от защиты. Ее уровень также можно оценить, к примеру, величиной r разности относительного «защищенного» ущерба Q0 и относительных затрат В0/Р0 на ресурсы. Назовем эту величину рентабельностью защиты. Если она положительная (т. е. В0<=Р0Q0), то защита рентабельна. В отличие от эффективности, чем больше затраты (B0), тем меньше рентабельность. Эта противоположность создает неоднозначную ситуацию в выборе стратегии защиты.

Рис. 2. Зависимость эффективности и рентабельности защиты от максимального ущерба R0

У каждого своя стратегия

Рассмотрим типовую зависимость эффективности защиты (Q0) и ее рентабельности (r0) от максимального ущерба R0 (рис. 2). По сути, это является мерой масштабности бизнеса. Нетрудно увидеть, что сделать защиту одновременно и высокоэффективной, и высокорентабельной под силу лишь крупным коммерческим структурам (область G), для которых характерны большие величины максимального ущерба. Достаточно, например, чтобы B0=R0(1-Q0)- Тогда при r->1,Q0->1. В худшем положении оказываются интересы среднего (область М) и малого (область S) бизнеса, поскольку из-за ограниченности ресурсов выбор стратегии защиты более сложен. Здесь рекомендации просты. Надо обеспечить максимально возможную эффективность при положительном показателе рентабельности защиты. То есть в первую очередь следует противодействовать наиболее вероятным и опасным угрозам. В любом случае нельзя забывать об экономии ресурсов.

Можно ли сэкономить ресурсы?

Совершенно ясно, что выбор стратегии защиты облегчается, если при меньших затратах удастся обеспечить равную или даже большую эффективность защиты. Очевидны и источники экономии затрат: использование более экономичных средств и решений универсального характера; рациональное распределение ресурсов и более совершенные формы управления ими; привлечение кооперативных форм обеспечения безопасности и др. Весь этот перечень присущ крупным коммерческим структурам, однако для среднего и малого бизнеса он, к сожалению, существенно сужается. Идеология их системы безопасности должна строиться на рентабельной защите лишь от отдельных видов угроз. В противном случае защита может себя не оправдать. Поэтому надо иметь в виду, что экономии ресурсов в этих условиях будут способствовать кооперативные формы защиты в рамках единой местной или региональной системы безопасности.

Усилия лучше объединить

Выгоду кооперативных форм противодействия угрозам иллюстрирует рис. 3.

Рис. 3. Характерные зависимости риска R и расходов на ресурсы В0 как функций от эффективности защиты Q0

На нем представлены характерные зависимости величины риска (R=R0(1-Q0) и общих затрат (B0) на ресурсы от эффективности автономной (I) и кооперативной (II) защиты. Точка пересечения (А0) зависимостей R(Q) и B(Q) для автономной защиты соответствует примерно области минимальных общих потерь R0(1-Q0)+B0. Экономия ресурсов выразится в том, что исходная зависимость (I) окажется «выше» новой зависимости (II), которая отображает кооперацию в использовании ресурсов. Соответственно новая точка пересечения кривых (А1) окажется правее прежней (А0). Практически это означает, что при сохранении рентабельности защиты увеличивается ее эффективность. Причем выигрыш тем существенней, чем больше экономия. На практике в основном кооперируются по двум формам - материально-техническим и кадровым ресурсам, которые и являются составными частями общего.

Что касается первой формы, то она характерна для ситуаций, когда пространство угроз не расширяется. Иными словами, объединяются лишь материально-технические средства одного и того же предприятия, но предназначенные для различных целей. В качестве примера можно назвать комплексную систему имущественной и информационной защиты. К общим средствам можно отнести контрольно-пропускную систему, средства ограничения доступа, телевизионные и другие системы выявления и верификации угроз, средства пожаротушения и др. Эта форма эффективна лишь для крупного бизнеса.

Вторую форму, то есть кооперацию по кадровым ресурсам, используют в основном при решении проблемы безопасности на региональном уровне, когда пространство угроз намеренно расширяется (рассматриваются несколько коммерческих предприятий в одном регионе). В этом случае объединение происходит лишь на уровне сил так называемого быстрого реагирования. Именно такие силы противодействуют несанкционированным и силовым проникновениям, терроризму, пожару и т.п. Проблему, как правило, решают и с привлечением сил быстрого реагирования пожарного надзора и органов МВД.

Что значит «своевременно»?

Любая угроза и противодействие ей происходят, естественно, во времени и характеризуются определенными его масштабами. Исходя из этого ущерб от нанесения угроз будет определяться тем, насколько полно данные события пересекаются во времени.

Самый нежелательный вариант - запаздывающее противодействие, когда реакция системы защиты начинается к моменту завершения угрозы или после нее. Он характерен для систем информационной защиты. Несколько лучший вариант - одновременное противодействие, то есть оно начинается с появлением угрозы. И наконец, наилучший - противодействие, носящее опережающий характер: реакция системы защиты начинается до начала реализации угрозы. Основанием для реакции могут быть оперативные данные, сигналы тревоги раннего оповещения и т.п.

Рис. 4. Зависимость эффективности защиты Q0 от относительного времени Тр/Ty реакции системы с одновременным (I), опережающим (II) и запаздывающим (III) противодействием

На рис.4 представлена характерная зависимость эффективности защиты от относительного времени реакции системы (Тр/Ту) для всех трех вариантов противодействия.

Основные выводы и рекомендации очевидны. Одновременное противодействие будет достаточным для высокоэффективной защиты от угрозы, если реакция на нее будет быстрой. Эта задача вполне реальна для объектов большого бизнеса. Кооперативные же формы противодействия в условиях медленной реакции на угрозы не принесут эффекта, если отсутствуют средства задержки и блокирования угроз.

Надежность и тактика

Говоря о тактических вопросах системы безопасности бизнеса, прежде всего имеют в виду скорость ее реакции, надежность решений, блокирование развития угроз и их ликвидацию.

Особенно высоки должны быть требования к надежности всех систем защиты, которая зависит от времени их функционирования и периодичности обновления ресурсов. Если это время превышает 5 лет, то требование надежности реализуется несколькими способами, среди которых - резервирование решений, многорубежность защиты, автоматизация первичных решений, централизованное управление ресурсами в кризисных ситуациях и т.п.

Некоторые рекомендации

Прежде чем определиться в вопросах тактики, надо помнить, что она должна соответствовать стратегии и опираться на точный количественный анализ. Для объектов среднего и малого бизнеса такой анализ вполне реален даже без средств автоматизации. Однако необходимо привлечь специалистов и экспертов, которые бы проанализировали обстановку и свойства защищаемого объекта, разработали модель угроз, изучили рынок существующих средств и методов. Эти данные и помогли бы оценить саму систему и при необходимости модернизировать ее.

Для крупных коммерческих структур нужен несколько иной подход с более высокими требованиями к эффективности и рентабельности защиты. Гораздо шире должны быть представлены и необходимые данные. Однако осмыслить, построить на их основе моделирование, структурную и видовую оптимизацию практически невозможно без современных ЭВМ.

И в конечном итоге выиграет тот, кто воспользуется компьютерной технологией.