Розглядаеться проблема визначення максимального розміру інвестицій в систему захисту інформації.Здійснено аналіз публікацій, що містять матеріали,пов'язані з дослідженням та розвитком підходу Гордона-Лоеба, в якому обґрунтовується граничний обсягінвестицій у безпеку інформації. Показано, що даний підхід не дозволяє отримати однозначну відповідь:суб'єктивний формально-апроксимативних спосіб завдання моделі, на якій базується одержуване рішення, породжує множинність можливих моделей і, як наслідок, - множинність рішень. Запропоновано підхід до вирішення завдання визначення обсягу інвестицій в систему захисту інформації, заснований на дослідженні моделі інформаційних ризиків. Формуванняїї структури і параметрів базується на використаннівідомостей про реальні механізми розвитку та реалізації інформаційних загроз, зокрема, на економіко-вартісній моделі, що використовується для оцінюван-ня ймовірності успішної реалізації атак вразливостей інформаційної системи. За результатами дослідженняотримана оцінка максимального обсягу інвестицій всистему захисту інформації, яка дорівнює 25% вартості інформаційного ресурсу, який підлягає захисту (абовтрат, зумовлених реалізацією загрози щодо цьогоресурсу). Відзначено, що при застосуванні в системі захисту інформації високоефективних рішень рівень інвестування може бути зменшений до 11-13%. Розглянуто перспективи застосування в дослідженнях моделей, які грунтуються на мотиваційних та ресурсних відносинах, характерних для ситуації "атака-захист"вінформаційній сфері.
Рассмотривается проблема определения максимального размера инвестиций в систему защиты информации. Осуществлен анализ публикаций, содержащих материалы, связанные с исследованием и развитием подхода Гордона-Лоеба, в котором обосновывается предельный объем инвестиций в безопасность информации. Показано, что данный подход не позволяет получить однозначный ответ: субъективный формально-аппроксимативных способ задания моде-ли, на которой базируется получаемое решение, порождает множественность возможных моделей и, как следствие, множественность решений. Предложен подход к решению задачи определения объема инвестиций в систему защитыинформации, основанный на исследовании модели информационных рисков. Формирование ее структуры и парамет-ров базируется на использовании сведений о реальных механизмах развития и реализации информационных угроз, вчастности, на экономико-стоимостной модели, используемой для оценивания вероятности успешной реализации атакуязвимостей информационной системы. По результатам исследования получена оценка максимального объема инвестиций в систему защиты информации, составляющая 25% стоимости защищаемого информационного ресурса (или потерь, обусловленных реализацией угрозы относительно этого ресурса). Отмечено, что при применении в системезащиты информации высокоэффективных решений уровень инвестирования может быть уменьшен до 11-13%. Рас-смотрены перспективы применения в исследованиях моделей, основывающихся на мотивационных и ресурсных отношениях, характерныхдля ситуации "атака-защита" в информационной сфере.
The article analyzes the problem of determination of themaximum amount of investment in information security. Itis studied the approach of Gordon-Loeb, which justifiedthe limit investment in information security. It is analyzedthe publications containing materials related to the exposureand the development of this approach. It is shownthat this approach does not ensure univocal answer. Thereason for this is a subjective formal-approximation way ofdefining of a model, which is basis for the solution. Thisway gives multiplicity of possible models and, as the resulting,multiplicity of solutions. It is offered an approach tosolving the problem of determining the amount of investmentin the system of protection of information, which isbased on study of the model of information risks. Formationof its structure and parameters are based on the useof information about the actual mechanisms of the developmentand implementation of information threats. It isapplied economic-cost model, which is used to estimate theprobability of successful implementation of the attack ofinformation system vulnerability. The paper proposes theestimation of the maximum amount of investment in informationsecurity. This investment amounts to 25% of thevalue of the protected information resource (or losses arising from the implementation of the threat to this resource).It is noted that the in the case of application of highperformancetechnology/decisions in the system of informationsecurity level of investmentmay be reduced to 11-13%. It is considered the prospects of application of modelsbased on motivational and resource relations which arecharacteristic to of the situation "attack-defense" in theinformation sphere.
