Обеспечение информационной безопасности бизнеса | страница 11
— при любом вмешательстве в систему в первую очередь страдает ее безопасность.
Оказалось, что для анализа свойств безопасности сложных систем, состоящих из технических компонент людей, взаимодействующих друг с другом, в полной мере могут быть применены некоторые социологические и психологические правила, выведенные на основе наблюдения за развитием процессов и событий:
• Закон Парето (универсальный закон неравенства), сформулированный итальянским экономистом и социологом Вильфредо Парето в 1897 г., более известный как шутливое выражение «20 % немцев выпивает 80 % пива», в соответствии с которым первые 20 % усилий дают 80 % результатов или 80 % всех проблем порождаются человеком (персоналом) и лишь 20 % приходится на долю технического оборудования (по оценкам специалистов, эта доля может доходить до соотношения 94:6 %).
• Методологический принцип, получивший название по имени английского монаха-францисканца, философа-номиналиста Уильяма Оккама (Ockham, ок. 1285–1349), гласящий: «То, что можно объяснить посредством меньшего, не следует выражать посредством большего» (лат. Frustra fit per plura quod potest fieri per pauciora). В соответствии с ним при равной вероятности событий с различной степенью тяжести последствий, как правило, первым случается событие, степень тяжести последствий которого меньше. Из этого также следует, что злоумышленник, планируя атаку на ресурс, из всех возможных будет выбирать наиболее простой способ осуществления своих целей, а вирусы будут попадать в систему наиболее простым способом. Этот принцип следует дополнить следующим наблюдением: степень тяжести последствий растет обратно пропорционально частоте их возникновения.
• Правило связиста: связиста замечают только тогда, когда пропадает связь.
• Парадокс «крысиного короля», хорошо знакомый морякам: можно избавиться от крыс на корабле, заведя крысу — «крысоеда», но через некоторое время он даст потомство, бороться с которым будет еще сложнее. Таким образом, налицо эффект транспонирования проблемы в будущее, через точку инверсии.
Как уже отмечалось, аспектов обеспечения информационной безопасности бизнеса достаточно много, но в целом есть и ряд общих моментов, на которых следует коротко остановиться.
Ведение бизнеса всегда предполагает наличие некого первоначального капитала, актива, который вкладывается в некое «дело» с целью получения прибыли. Все остальное, не имеющее актива, к бизнесу не относится и не рассматривается.