- •Оцінка загальної вартості витрат на впровадження систем захисту інформації Інструкція до практичної роботи № 3
- •7.17010302 «Адміністративний менеджмент в сфері захисту інформації»,
- •8.17010301 «Управління інформаційною безпекою»,
- •8.17010302 «Адміністративний менеджмент в сфері захисту інформації»
- •Основні відомості
- •1. Оцінювання поточного рівня тсо
- •2. Аудит інформаційної безпеки компанії
- •3. Формування цільової моделі тсо
- •4. Визначення обсягу витрат на безпеку
- •5. Звіт за витратами на інформаційну безпеку
- •6. Прийняття рішень
- •7. Методика оцінки тсо
- •Завдання до практичної роботи
- •Контрольні запитання
- •Рекомендована література
- •Додаток а
- •Додаток б
- •Інструкція до практичної роботи № 3
- •7.17010302 «Адміністративний менеджмент в сфері захисту інформації»,
- •8.17010301 «Управління інформаційною безпекою»,
- •8.17010302 «Адміністративний менеджмент в сфері захисту інформації»
4. Визначення обсягу витрат на безпеку
Перше завдання – визначити перелік витрат, які відносяться до діяльності компанії, та розділити їх за категоріями.
Друге – скласти перелік таким чином, щоб зміст кожної позиції (кожного елемента) був зрозумілим співробітникам компанії.
Третє – призначити кодові символи для кожної позиції переліку. Це може бути, наприклад, цифра, буква або їх комбінація.
Загальний зміст збору даних за витратами на ІБ – надати керівництву компанії інструмент управління.
Особливо важливо, щоб позиції переліку витрат були визначені в тому вигляді, як вони названі і розділені для різних категорій, в тому числі для:
підрозділу або якої-небудь ділянки;
ресурсу, що захищається (за всіма типами ресурсів);
якого-небудь робочого місця користувача інформаційної системи компанії;
ризиків за кожною категорією інформації.
Вимоги встановлюються самою компанією для власного (внутрішнього) користування. Проте, при цьому не слід забувати, що зібраної інформації повинно бути достатньо для проведення подальшого аналізу.
5. Звіт за витратами на інформаційну безпеку
Результати аналізу витрат на ІБ і підсумковий звіт повинні показати об’єктивну картину, яка відображатиме стан інформаційної безпеки.
Аналіз витрат на інформаційну безпеку – інструмент управління, який призначений для визначення досягнутого рівня захищеності інформаційного активу і виявлення проблем при постановці завдань підтримання необхідного рівня ІБ.
Представлений у фінансових термінах і складений простою мовою звіт про витрати на ІБ має значні переваги перед іншими видами звітів щодо дослідження ІБ інформаційного активу компанії та аналізу ризиків.
Зміст такого звіту залежить від того, яку роль відіграє в рамках підприємства та особа, якій він призначений.
Керівництву слід надати звіт у вигляді загальних форм. У звіті повинна бути представлена загальна картина стану ІБ компанії, яка викладена зазвичай у фінансових термінах. Іншими словами, в цьому випадку необхідний доступно написаний звіт, що містить лише об’єктивну інформацію.
Керівники підрозділів ІТ та ІБ потребують детальніших відомостей про досягнутий рівень захищеності тих інформаційних активів компанії, за які вони відповідають. Звіт повинен бути детальним і містити дані про типи ресурсів, види загроз тощо.
Метою проведення аналізу витрат на ІБ є отримання результатів у формі, яка буде корисною і зручною для тих, хто в них зацікавлений.
Особа, що читає звіт, повинна отримати інформацію, яка надасть змогу:
порівняти поточний рівень захищеності з рівнем минулого періоду, тобто визначити тенденції;
порівняти поточний рівень з поставленими цілями;
виявити значні області витрат;
вибрати області для покращення;
оцінити ефективність програм з покращення.
Керівник очікує отримати звіт за витратами на ІБ, який:
проінформує його лише про речі, що належать до сфери його відповідальності, і ні про що більше;
написаний легкою для розуміння мовою, не «напханий» спеціальними термінами;
викладений чітко і коротко і містить всю необхідну інформацію;
надасть змогу визначити першочергові завдання та напрямки діяльності.