Проблемы и затраты
Следующие аспекты имеют существенное значение для успешной реализации Процесса Управления Информационной Безопасностью: Понимание необходимости процесса (понимание со стороны участников): меры безопасности редко встречают быстрое положительное понимание со стороны персонала; чаще встречается сопротивление, а не одобрение.
Пользователи возмущаются потерей определенных привилегий из-за введения мер безопасности, даже если эти возможности не являются существенными для их работы. Это объясняется тем, чго привилегии дают им определенный статус. Поэтому необходима специальная работа по мотивации пользователей и получению согласия руководства на введение мер безопасности. Особенно в области Управления Информационной Безопасностью руководство должно показать пример («разъяснять курс» и «вести за собой»). При отсутствии инцидентов по безопасности у руководства может возникнуть искушение сократить расходы на Управление Безопасностью. Отношение: информационные системы небезопасны не из-за их технического несовершенства, а из-за ошибок при использовании технологии. Обычно это связано с человеческим отношением и поведением. Это означает, что процедуры безопасности должны быть интегрированы в рутинные операции. Осведомленность: осведомленность или, скорее, коммуникации является ключевым понятием. Между коммуникациями и безопасностью иногда возникает конфликт интересов: коммуникации мостят дорогу, а безопасность создает препятствия. Это означает, что реализация мер безопасности требует использования всех способов коммуникаций для того, чтобы пользователи приняли необходимый стиль поведения. Верификация: должна существовать возможность проверки и верификации безопасности. Это относится как ко вводимым мерам, так и к причинам их введения. Необходима возможность убедиться, что в соответствующих обстоятельствах приняты правильные решения. Например, должна быть возможность проверки полномочий гех, кто принимал решения. Управление Изменениями: часто при проведении изменений ослабевает качество оценки соответствия базовому Уровню Безопасности. Амбиции: при желании организации делать все сразу часто возникают ошибки. Б случае введения Процесса Управления Информационной Безопасностью реализация технических мер гораздо менее важна по сравнению с организационными мерами. Изменение организации требует поэтапного п од хита и занимает длительное время. Отсутствие систем обнаружения: новые системы, такие, как Интернет, не были рассчитаны на безопасность и необходимость обнаружения взлома. Причина заключается в том, что разработка защищенной системы требует больше времени, чем незащищенной, и находится в конфликте с требованиями бизнеса по невысокой стоимости разработки и скорейшей поставке на рынок. Чрезмерные надежды на технологию «неприступной крепости»: угрозы безопасности систем все чаще возникают в непредсказуемых местах. Сравните первые атаки вирусов ILOVEYOU и Nimda с первым примером атак Denial of Service (DoS). В то время как зашита информации с использованием традиционного подхода «неприступной крепости» сохраняет свое значение, также приобретает важность подхода «встречных атак» при возникновении нарушений безопасности. Организация должна иметь возможность быстро направить ресурсы в место возникновения дефекта до того, как он сможет выйти из-под контроля. ЗатратыЗащита ИТ-инфрасгруктуры требует привлечения персонала, а следовательно, и денег для принятия, поддержки и проверки мер безопасности. Однако неспособность защитить ИТ-инфраструктуру также стоит денег (стоимость непроизведепной продукции; стоимость замены; ущерб для данных, программного или аппаратного обеспечения; потеря репутации; штрафы или компенсации в связи с невозможностью выполнения договорных обязательств). Как всегда, необходимо соблюдение баланса.
Еще по теме Проблемы и затраты:
- СРЕДА, ЗАТРАТЫ И ТОЧКИ ЗРЕНИЯ НА ПРОБЛЕМЫ ПОВЕДЕНИЯ
- § 46. Impensae (затраты)
- 3.2.2. Затраты и производство
- 14.2. КЛАССИФИКАЦИЯ ЗАТРАТ НА ПРОИЗВОДСТВО
- 3.2.1. Динамика затрат
- 5.2. МЕТОДЫ ДИФФЕРЕНЦИАЦИИ ЗАТРАТ
- 9.3.1. Анализ материальных затрат
- 14.15. СУММИРОВАНИЕ ЗАТРАТ ПРОИЗВОДСТВА
- 3.2. ОСОБЕННОСТИ УПРАВЛЕНИЯ ЗАТРАТАМИ
- Обобщение затрат на производство
- 24.2. Виды и классификация затрат на производство
- 10.5. Учет затрат на содержание персонала
- 24.9.Суммирование затрат на производство
- 1. Понятие затрат и их классификация
- 9.3. Анализ себестоимости продукции по статьям затрат
- 6.5. Состав затрат на рабочую силу
- Учет материальных затрат
- 14.1. ЗАДАЧИ УЧЕТА ЗАТРАТ НА ПРОИЗВОДСТВО
- 5.1. ЗАТРАТЫ: ИХ ПОВЕДЕНИЕ, УЧЕТ И КЛАССИФИКАЦИЯ ДЛЯ УПРАВЛЕНЧЕСКИХ РЕШЕНИЙ И ПЛАНИРОВАНИЯ
- 5.3. МЕТОДЫ ПЛАНИРОВАНИЯ ЗАТРАТ НА ПРОИЗВОДСТВО И РЕАЛИЗАЦИЮ ПРОДУКЦИИ