<<
>>

Проблемы и затраты

  Проблемы

Следующие аспекты имеют существенное значение для успешной реализации Процесса Управления Информационной Безопасностью: Понимание необходимости процесса (понимание со стороны участников): меры безопасности редко встречают быстрое положительное понимание со стороны персонала; чаще встречается сопротивление, а не одобрение.

Пользователи возмущаются потерей определенных привилегий из-за введения мер безопасности, даже если эти возможности не являются существенными для их работы. Это объясняется тем, чго привилегии дают им определенный статус. Поэтому необходима специальная работа по мотивации пользователей и получению согласия руководства на введение мер безопасности. Особенно в области Управления Информационной Безопасностью руководство должно показать пример («разъяснять курс» и «вести за собой»). При отсутствии инцидентов по безопасности у руководства может возникнуть искушение сократить расходы на Управление Безопасностью. Отношение: информационные системы небезопасны не из-за их технического несовершенства, а из-за ошибок при использовании технологии. Обычно это связано с человеческим отношением и поведением. Это означает, что процедуры безопасности должны быть интегрированы в рутинные операции. Осведомленность: осведомленность или, скорее, коммуникации является ключевым понятием. Между коммуникациями и безопасностью иногда возникает конфликт интересов: коммуникации мостят дорогу, а безопасность создает препятствия. Это означает, что реализация мер безопасности требует использования всех способов коммуникаций для того, чтобы пользователи приняли необходимый стиль поведения. Верификация: должна существовать возможность проверки и верификации безопасности. Это относится как ко вводимым мерам, так и к причинам их введения. Необходима возможность убедиться, что в соответствующих обстоятельствах приняты правильные решения. Например, должна быть возможность проверки полномочий гех, кто принимал решения. Управление Изменениями: часто при проведении изменений ослабевает качество оценки соответствия базовому Уровню Безопасности.
Амбиции: при желании организации делать все сразу часто возникают ошибки. Б случае введения Процесса Управления Информационной Безопасностью реализация технических мер гораздо менее важна по сравнению с организационными мерами. Изменение организации требует поэтапного п од хита и занимает длительное время. Отсутствие систем обнаружения: новые системы, такие, как Интернет, не были рассчитаны на безопасность и необходимость обнаружения взлома. Причина заключается в том, что разработка защищенной системы требует больше времени, чем незащищенной, и находится в конфликте с требованиями бизнеса по невысокой стоимости разработки и скорейшей поставке на рынок. Чрезмерные надежды на технологию «неприступной крепости»: угрозы безопасности систем все чаще возникают в непредсказуемых местах. Сравните первые атаки вирусов ILOVEYOU и Nimda с первым примером атак Denial of Service (DoS). В то время как зашита информации с использованием традиционного подхода «неприступной крепости» сохраняет свое значение, также приобретает важность подхода «встречных атак» при возникновении нарушений безопасности. Организация должна иметь возможность быстро направить ресурсы в место возникновения дефекта до того, как он сможет выйти из-под контроля. Затраты

Защита ИТ-инфрасгруктуры требует привлечения персонала, а следовательно, и денег для принятия, поддержки и проверки мер безопасности. Однако неспособность защитить ИТ-инфраструктуру также стоит денег (стоимость непроизведепной продукции; стоимость замены; ущерб для данных, программного или аппаратного обеспечения; потеря репутации; штрафы или компенсации в связи с невозможностью выполнения договорных обязательств). Как всегда, необходимо соблюдение баланса.

<< | >>
Источник: Ян Ван Бон и др.. ИТ СЕРВИС- МЕНЕДЖМЕНТ. 2003

Еще по теме Проблемы и затраты:

  1. СРЕДА, ЗАТРАТЫ И ТОЧКИ ЗРЕНИЯ НА ПРОБЛЕМЫ ПОВЕДЕНИЯ
  2. § 46. Impensae (затраты)
  3. 3.2.2. Затраты и производство
  4. 14.2. КЛАССИФИКАЦИЯ ЗАТРАТ НА ПРОИЗВОДСТВО
  5. 3.2.1. Динамика затрат
  6. 5.2. МЕТОДЫ ДИФФЕРЕНЦИАЦИИ ЗАТРАТ
  7. 9.3.1. Анализ материальных затрат
  8. 14.15. СУММИРОВАНИЕ ЗАТРАТ ПРОИЗВОДСТВА
  9. 3.2. ОСОБЕННОСТИ УПРАВЛЕНИЯ ЗАТРАТАМИ
  10. Обобщение затрат на производство
  11. 24.2. Виды и классификация затрат на производство
  12. 10.5. Учет затрат на содержание персонала
  13. 24.9.Суммирование затрат на производство
  14. 1. Понятие затрат и их классификация
  15. 9.3. Анализ себестоимости продукции по статьям затрат
  16. 6.5. Состав затрат на рабочую силу
  17. Учет материальных затрат
  18. 14.1. ЗАДАЧИ УЧЕТА ЗАТРАТ НА ПРОИЗВОДСТВО
  19. 5.1. ЗАТРАТЫ: ИХ ПОВЕДЕНИЕ, УЧЕТ И КЛАССИФИКАЦИЯ ДЛЯ УПРАВЛЕНЧЕСКИХ РЕШЕНИЙ И ПЛАНИРОВАНИЯ
  20. 5.3. МЕТОДЫ ПЛАНИРОВАНИЯ ЗАТРАТ НА ПРОИЗВОДСТВО И РЕАЛИЗАЦИЮ ПРОДУКЦИИ