Знание конкретных угроз защищаемой информации создает возможность постановки задач по определению рациональных мер защиты информации, предотвращающих угрозы или снижающих до допустимых значений вероятность их реализации. Меры по защите информации с позиции системного подхода рассматриваются как результаты функционирования системы защиты. Они могут представлять собой конкретные действия персонала, предложения по приобретению и установке технических и программных средств, требования к сотрудникам, определенные в соответствующих правовых документах, и т. д. В принципе для предотвращения или, по крайней мере, существенного снижения уровня конкретной угрозы безопасности информации можно предложить несколько мер по ее защите. Однако их эффективность может существенно отличаться. Выбор любой меры защиты информации, так же как в иной любой сфере, производится по показателям оценки эффективности, которые учитывают степень выполнения задачи и затраты ресурса на ее решение. Многообразие угроз безопасности информации порождает многообразие мер ее защиты. Эффективность каждой меры защиты безопасности информации оценивается своими локальными (частными) показателями эффективности. Их можно разделить на функциональные (оперативные) и экономические. Функциональные показатели характеризуют уровень безопасности информации, экономические — расходы на ее обеспечение. Так как уровень безопасности информации определяется величиной потенциального ущерба от реализации угроз, то в качестве локальных функциональных показателей эффективности защиты информации используются как показатели количества и качества информации, которая может попасть к злоумышленнику, так и характеристики реально возникающих угроз безопасности информации.
Эффективность системы защиты информации в целом определяется глобальными функциональным и экономическим критериями или показателями. В качестве функционального глобального критерия часто используется «взвешенная» сумма функциональных локальных показателей. Если обозначить через значение i-ого локального показателя, то глобальный показатель определяется как
, (10.1)
где- вес локального показателя,
Глобальный экономический показатель представляет собой меру суммарных расходов на информацию.
Эффективность тем выше, чем ниже расходы при одинаковом уровне безопасности информации или чем больше уровень ее безопасности при одинаковых расходах. Первый подход к оценке эффективности используется при отсутствии жестких ограничений на ресурс, выделяемый для защиты информации, второй — при заданном ресурсе.