 |
Примерный перечень затрат организации на обеспечение ИБ
|
|
|
|
Предположим, что основы политики безопасности на предприятии сформированы. Систематические затраты на ИБ можно разбить на следующие группы.
Управление системой защиты информации:
· Затраты на планирование системы защиты информации предприятия.
· Затраты на изучение возможностей информационной инфраструктуры предприятия по обеспечению безопасности информации ограниченного распространения.
· Затраты на осуществление технической поддержки производственного персонала при внедрении средств защиты и процедур, а также планов по защите информации.
· Проверка сотрудников на лояльность, выявление угроз безопасности.
· Организация системы допуска исполнителей и сотрудников конфиденциального делопроизводства с соответствующими штатами и оргтехникой.
Регламентное обслуживание средств защиты информации:
· Затраты, связанные с обслуживанием и настройкой программно-технических средств защиты, операционных систем и используемого сетевого оборудования.
· Затраты, связанные с организацией сетевого взаимодействия и безопасного использования информационных систем.
· Затраты на поддержание системы резервного копирования и ведение архива данных.
· Проведение инженерно-технических работ по установлению сигнализации, оборудованию хранилищ конфиденциальных документов, защите телефонных линий связи, средств вычислительной техники и т. п.
Аудит системы безопасности:
· Затраты на контроль изменений состояния информационной среды предприятия.
· Затраты на систему контроля за действиями исполнителей.
Обеспечение должного качества информационных технологий:
· Затраты на обеспечение соответствия требованиям качества информационных технологий, в том числе анализ возможных негативных аспектов информационных технологий, которые влияют на целостность и доступность информации.
|
|
|
· Затраты на доставку (обмен) конфиденциальной информации.
· Удовлетворение субъективных требований пользователей: стиль, удобство интерфейсов и др.
Обеспечение требований стандартов:
· Затраты на обеспечение соответствия принятым стандартам и требованиям, достоверности информации, действенности средств защиты.
Обучение персонала:
· Повышение квалификации сотрудников предприятия в вопросах использования имеющихся средств защиты, выявления и предотвращения угроз безопасности.
· Развитие нормативной базы службы безопасности.
Затраты на контроль:
· Плановые проверки и испытания.
· Затраты на проверки и испытания программно-технических средств защиты информации.
· Затраты на проверку навыков эксплуатации средств защиты персоналом предприятия.
· Затраты на обеспечение работы лиц, ответственных за реализацию конкретных процедур безопасности по подразделениям.
· Оплата работ по контролю правильности ввода данных в прикладные системы.
· Оплата инспекторов по контролю требований, предъявляемых к защитным средствам при разработке любых систем (контроль выполняется на стадии проектирования и спецификации требований).
Внеплановые проверки и испытания:
· Оплата работы испытательного персонала специализированных организаций.
· Обеспечение испытательного персонала (внутреннего и внешнего) материально-техническими средствами.
Контроль за соблюдением политики ИБ:
· Затраты на контроль реализации функций, обеспечивающих управление защитой коммерческой тайны.
· Затраты на организацию временного взаимодействия и координации между подразделениями для решения повседневных конкретных задач.
|
|
|
· Затраты на проведение аудита безопасности по каждой автоматизированной информационной системе, выделенной в информационной среде предприятия.
· Материально-техническое обеспечение системы контроля доступа к объектам и ресурсам предприятия.
Затраты на внешний аудит:
· Затраты на контрольно-проверочные мероприятия, связанные с лицензионно-разрешительной деятельностью в сфере защиты информации.
Пересмотр политики информационной безопасности предприятия (проводится периодически):
· Затраты на идентификацию угроз безопасности.
· Затраты на поиск уязвимостей системы защиты информации.
· Оплата работы специалистов, выполняющих работы по определению возможного ущерба и переоценке степени риска.
Затраты на ликвидацию последствий нарушения режима ИБ:
· Восстановление системы безопасности до соответствия требованиям политики безопасности.
· Установка патчей или приобретение последних версий программных средств защиты информации.
· Приобретение технических средств взамен пришедших в негодность.
· Проведение дополнительных испытаний и проверок технологических информационных систем.
· Затраты на утилизацию скомпрометированных ресурсов.
Восстановление информационных ресурсов предприятия:
· Затраты на восстановление баз данных и прочих информационных массивов.
· Затраты на проведение мероприятий по контролю достоверности данных, подвергшихся атаке на целостность.
Затраты на выявление причин нарушения политики безопасности:
· Затраты на проведение расследований нарушений политики безопасности (сбор данных о способах совершения, механизме и способах сокрытия неправомерного деяния. поиск следов, орудий и предметов посягательства; выявление мотивов неправомерных действий и т. д.).
· Затраты на обновление планов обеспечения непрерывности деятельности службы безопасности.
Затраты на переделки:
· Затраты на внедрение дополнительных средств защиты, требующих существенной перестройки системы безопасности.
· Затраты на повторные проверки и испытания системы защиты информации.
Внешние затраты на ликвидацию последствий нарушения политики безопасности:
|
|
|
· Обязательства перед государством и партнерами.
· Затраты на юридические споры и выплаты компенсаций.
· Потери в результате разрыва деловых отношений с партнерами.
Потеря новаторства:
· Затраты на проведение дополнительных исследований и разработки новой рыночной стратегии.
· Отказ от организационных, научно-технических или коммерческих решений, ставших неэффективными в результате утечки сведений и затраты на разработку новых средств ведения конкурентной борьбы.
· Потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно-технические достижения.
Прочие затраты:
· Заработная плата секретарей и служащих, организационные и прочие расходы, которые непосредственно связаны с предупредительными мероприятиями.
· Другие виды возможного ущерба предприятию, в том числе связанные с невозможностью выполнения функциональных задач, определенных его Уставом.
|
|
|
