Одно из основных правил при организации защиты звучит примерно так: «Затраты на организацию защиты не должны превышать сумму возможного ущерба». Доля правды в этом есть, и немалая! Ну во-первых, чистая экономика: смысл любой защиты - уберечь активы от ущерба, так как ущерб влечет за собой потери, а потери - собственно затраты. Затраты на защиту, превышающие затраты от потерь, есть суть тот же ущерб, только законный и официальный. Ну это, я надеюсь, понятно.
Во-вторых, теория систем. Любая система должна надлежащим образом управляться, а управление обеспечивается наличием сильного руководящего центра и достаточного количества связей. Таким образом, система защиты должна быть управляемым компонентном основной системы, менее сложным. И, как минимум, не подрывать надежность родительской системы. А в случае высокого уровня затрат на организацию защиты, как правило, сложно обеспечить достаточную надежность и простоту системы защиты, что влечет за собой потери для объекта защиты.
Ну и тут в общем-то подключается здравый смысл, и все вроде бы ясно. Однако, есть у этой почти что теоремы, оказывается, еще одно обоснование, на этот раз более наукоемкое. Это так называемое рациональное невежество. Правда, прикладывается это понятие к сильно обобщенной системе защиты, однако, попытаюсь изложить суть кратко и четко.
Итак, в общем виде на сегодняшний момент система защиты представляет собой суть следующее: некий объект подвержен наличию негативных возможностей, читай, рисков, которые могут реализоваться и нанести ущерб. Риски имеют под собой факторы, которые являются множеством угроз, то есть намерений нанести вред, и уязвимостей, то есть недостатков объекта, позволяющих этот вред допустить. Таким образом, задача защиты формируется как ряд действий, направленных на поиск рисков, выявление их факторов, и минимизацию их возможного влияния, то есть компенсация недостатков и защита от намерений. Этот ряд действий, в совокупности со средствами их реализации, можно рассматривать как источник затрат на организацию защиты. Также следует отметить, что задача защиты решается тем точнее и успешнее, чем более точным и объективным было выявление рисков. Сложность и точность анализа рисков - вопрос отдельного обсуждения, которое, наверное, никогда не иссякнет, а сейчас посмотрим на это с другой стороны.
Рациональным называют невежество, когда стоимость самостоятельного изучения предмета достаточно высока и может перевесить любые потенциальные преимущества, которые можно ожидать от тщательно продуманного принятия решения, поэтому было бы иррационально тратить на неё время. В нашем случае предмет - это объект защиты в его нынешнем состоянии с неопределенностью относительно возможных рисков, а изучение - новый уровень анализа, увеличивающий объем и точность знаний об этом объекте. На определенном этапе анализа затраты на его дальнейшее осуществление превысят выгоды от подобного точного и объективного подхода к защите. Следовательно, задача защиты состоит еще и в том, чтобы найти ту степень изучения предмета, при которой объемов полученных знаний достаточно, чтобы обеспечить защиту на должном уровне, но совокупные затраты на получение этих объемов не превысили выгоду от их наличия. Можно также сказать, что нижняя граница отсутствия информации о защищаемом объекте наступает тогда, когда это отсутствие знание (невежество) становится рациональным.
Вообще приложение математических теорий принятия решений, таких как теория игр и теория перспектив, к безопасности является крайней интересным моментом. Возможно, далеко не новым, но моя задача - не описать принципиально новое в профессии, это удается сделать единицам, но изучить, аргументировать и найти применение тому, что есть.
Комментариев нет:
Отправить комментарий