Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Структурирование затрат на информационную безопасность хозяйствующего субъекта.
Структурирование затрат на информационную безопасность состоит в определении перечня затрат на обеспечение ИБ ХС и распределение их по категориям. Главной задачей сбора данных о затратах и их структурирования является обеспечение руководства ХС эффективным инструментом управления. Типовой перечень затрат на обеспечение ИБ ХС приведен в приложении 3. Особенно важно, чтобы отдельные позиции перечня затрат имели конкретное название и были четко определены для различных категорий, таких как: - структурного подразделения ХС; - защищаемого ресурса (по всем типам ресурсов); - рабочего места пользователя информационной системы ХС; - рисков по каждой категории информации. Требования по формированию перечня затрат должны быть установлены руководством ХС или его службы безопасности для собственного (внутреннего) использования. Система обеспечения информационной безопасности, а следовательно и система учета и анализа затрат на нее должны учитывать особенности функционирования конкретного ХС. Система обеспечения информационной безопасности должна быть встроена в структуру ХС. Еще одна задача состоит в определении затрат на обеспечение ИБ. После того, как создана система классификации и кодирования затрат на безопасность, выявляются источники данных о затратах. Такая информация уже может существовать, часть ее достаточно легко получить, в то время как другие данные определить будет значительно труднее, а некоторые могут быть недоступны. Структурирование затрат на контроль политики ИБ (приложение 3) показывает, что основной объем затрат составляет оплата труда персонала IT-безопасности и персонала предприятия, занятого проверками и испытаниями. Эти затраты могут быть определены весьма точно. Остальные затраты в основном связаны с оплатой некоторых специальных работ и услуг внешних организаций и текущим материально-техническим обеспечением СОИБ. Они могут быть определены непосредственно. Структурирование внутренних затрат на компенсацию нарушений политики ИБ ХС связано с определенными трудностями. Легко устанавливаются затраты на приобретение и обновление программных средств защиты информации, технических средств защиты, восстановление информационных ресурсов, внедрение дополнительных средств защиты и другие подобные категории.
Труднее выявить объемы заработной платы и накладные расходы при проведении дополнительных испытаний и проверок, утилизации скомпрометированных ресурсов, проведении мероприятий по контролю достоверности данных, подвергшихся атаке и расследований нарушений политики безопасности. Относительная сложность при этом связана с тем, что перечисленные затраты связаны с деятельностью различных подразделений: IT, плановым, службой безопасности, бухгалтерией и другими. Кроме этого каждый привлеченный к такой работе сотрудник подразделения, как правило не в течении всего рабочего дня решает проблемы, связанные нарушениями политики безопасности, поэтому оценка потерь должна быть произведена с учетом реально затраченного на эту деятельность времени. Таким образом, основные виды затрат этой категории могут быть определены с достаточной степенью точности. Структурирование внешних затрат на компенсацию нарушений политики ИБ. Часть внешних затрат на компенсацию нарушений политики безопасности связана с тем, что в зависимости от обстоятельств могут быть скомпрометированы (нарушена конфиденциальность) коммерческие данные партнеров, персональные данные потребителей услуг предприятия и другие. Затраты, связанные с компенсацией возможных потерь и заключающиеся в восстановлении делового имиджа и доверия ХС, определяются так же, как и в случае внутренних потерь. Однако существуют и другие затраты, которые определить достаточно сложно. В их числе: затраты на проведение дополнительных стратегических исследований, затраты связанные с наличием «узких мест» в снабжении, производстве и сбыте продукции, потери от компрометации производимой предприятием продукции и некоторые другие. Внешние потери, связанные с подрывом имиджа предприятия и снижением доверия к его продукции и услугам вычислить точно невозможно, в связи с чем руководство многих ХС заинтересовано в сокрытии уязвимостей своих систем, сервисов и ресурсов. Руководство многих предприятий просто не учитывают данный вид затрат на том основании, что их нельзя установить с определенной точностью.
Структурирование затрат на предупредительные мероприятия. Под предупредительными понимаются такие мероприятия, проводимые на предприятии, которые имеют превентивный характер по отношению к угрозам ИБ. К таким мероприятиям можно отнести: моделирование и оценка рисков ИБ, проведение занятий, инструктажей со всеми категориями персонала, проверок режима ИБ и другие. Эти затраты наиболее сложно оценить, поскольку предупредительные мероприятия проводятся в разных отделах, затрагивают многие структурные подразделения ХС и имеют место на всех этапах жизненного цикла ресурсов информационной среды предприятия: планирования, организации, приобретения, ввода в действие и других. Большую часть этих затрат составляет оплата труда персонала IT-безопасности и накладные расходы. Точность определения этих затрат также зависит от точности установления времени, затраченного каждым сотрудником в отдельности на данный вид работ. Некоторые затраты на проведение предупредительных мероприятий достаточно легко выявить напрямую. К таковым относятся: оплата работ сторонних организаций по обслуживанию и настройке программных и программно-аппаратных средств защиты, операционных систем, сетевого оборудования; проведение инженерно-технических работ по установлению сигнализации, оборудованию хранилищ конфиденциальных документов, защите телефонных линий связи, средств вычислительной техники и т. п.; доставку конфиденциальной информации; проведение консультаций, обучение и другие. В процессе структурирования затрат необходимо определить источники сведений о них. Например, затраты на приобретение и ввод в действие технических, программных, программно-аппаратных средств защиты информации могут быть получены из накладных, актов выполненных работ, записей в складской документации и подобных документов. Выплаты персоналу берутся из платежных документов. Классификация затрат на обеспечение информационной безопасность и распределение их по категориям должны стать частью повседневной внутренней работы ХС.
|
||||||
Последнее изменение этой страницы: 2017-01-19; просмотров: 267; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.149.214.32 (0.005 с.) |