обеспечению информационной безопасности в кредитных, организациях являются две причины: • ограничение бюджета; • отсутствие поддержки со стороны руководства. Обе причины возникают из-за непонимания руководством серьезности вопроса и сложности задачи для работников информационного отдела обосновать, зачем необходимо вкладывать деньги » информационную безопасность. Часто считается, что основная проблема заключается в том, •что работники информационной службы и руководители кредитных организаций разговаривают на разных языках: первые на техническом, а вторые на финансовом, но ведь и самим специалистам информационной службы часто трудно оценить, на что в первую очередь следует потратить деньги и сколько их требуется для обеспечения большей защищенности информационной системы кредитных организаций, чтобы эти расходы не оказались напрасными или чрезмерными. Если информационный отдел четко представляет, сколько кредитная организация может потерять денег в случае реализации угроз, какие места в информационной системе наиболее уязвимы, какие меры можно предпринять для повышения уровня защищенности и при этом не потратить лишних денег, и нее эхо подтвердить документально, то убедить руководство в необходимости выделения соответствующих средств на обеспечение информационной безопасности становится значительно более реальным. Определение эффективности организации режима информационной безопасности в кредитных организациях предполагает некую оценку затрат на информационную безопасность, а также достигаемого при этом эффекта. Действительно, сравнение этих оценок дает возможность получить представление о том, как возвращаются инвестиции, а также позволяет экономически корректно планировать бюджет предприятия, расходуемый на информационную безопасность, и управлять им. На основе вышеизложенного можно сделать вывод о том, что одними программными й техническими средствами проблему обеспечения 35 |
рисков, позволяющую оценить существующие в системе риски и выбрать оптимальный по эффективности вариант защиты (по соотношению существующих в системе рисков / затрат на информационную безопасность). По статистике, самым большим препятствием на пути принятия мер по обеспечению информационной безопасности в компании являются две причины: • ограничение бюджета; • отсутствие поддержки со стороны руководства. Обе причины возникают из-за непонимания руководством серьезности вопроса и сложности задачи для работников информационного отдела обосновать, зачем необходимо вкладывать деньги в информационную безопасность. Часто считается, что основная проблема заключается в том, что работники информационной службы и руководители компании разговаривают на разных языках: первые на техническом, а вторые на финансовом, но ведь и самим специалистам информационной службы часто трудно оцепить, на что в первую очередь следует потратить деньги и сколько их требуется для обеспечения большей защищенности информационной системы компании, чтобы эти расходы не оказались напрасными или чрезмерными. Если информационный отдел четко представляет, сколько компания может потерять денег в случае реализации угроз, какие места в информационной системе наиболее уязвимы, какие меры можно предпринять для повышения уровня защищенности и при этом не потратить лишних денег, и все это подтвердить документально, то убедить руководство в необходимости выделения соответствующих средств на обеспечение информационной безопасности становится значительно более реальным, обратить внимание Определение эффективности организации режима информационной безопасности в компании предполагает некую оценку затрат на ИБ, а также 35 36 достигаемого при этом эффекта. Действительно, сравнение этих оценок дает возможность получить представление о том, как возвращаются инвестиции на ИБ, а также позволяют экономически корректно планировать бюджет предприятия, расходуемый на ИБ, и управлять им. Общие затраты на безопасность складываются из затрат на предупредительные мероприятия, на контроль и восполнение потерь (внешних и внутренних). С изменением уровня защищенности информационной среды изменяются величины составляющих общих затрат и соответственно их сумма общие затраты на безопасность. БагьшоЛрис* Р з р Рисютсутстеувт (совершенная зэщитз] Достигнутый уроэень защищенности Рис.1. Взаимосвязь между затратами на безопасность и достигаемым уровнем защищенности Из графика, представленного на рис. 1, видно, что достигаемый уровень защищенности измеряется в категориям «большой риск» и «риск отсутствует (совершенная защита)». Рассматривая левую сторону графика (большой риск) мы видим, что общие затраты на безопасность высоки в основном потому, что велики потери на компенсацию при нарушениях политики безопасности. Расходы же на обслуживание системы безопасности очень малы. |