Комплексні системи захисту інформації. Проектування, впровадження, супровід. Вадим Гребенніков
Чтение книги онлайн.
Читать онлайн книгу Комплексні системи захисту інформації. Проектування, впровадження, супровід - Вадим Гребенніков страница 26
Існують обмеження, які можуть впливати на вибирання засобів ТЗІ. Наприклад, вони можуть понизити продуктивність роботи системи. Тому необхідно приймати таке рішення, яке задовольняє вимогам продуктивності і в той же час гарантує достатній рівень захисту. Результатом цього кроку є складання переліку можливих засобів ТЗІ з порівняльним аналазом їх вартості, недоліків, переваг та пріоритетів реалізації.
Збереження ризику
Ризик може бути збережений, якщо його рівень відповідає критеріям прийняття ризику. У такому разі немає необхідності реалізовувати додаткові засоби захисту.
Уникнення ризику
Якщо витрати на обробку ризику перевищують бюджет, може бути прийняте рішення про уникнення цього ризику, що може бути реалізоване як відмова від діяльності, пов’язаної з цим ризиком, або зміна її умов. Наприклад, відносно ризиків, що викликаються стихійними лихами, найбільш вигідною альтернативою може бути фізичне переміщення засобів обробки інформації туди, де ймовірність таких ризиків дуже мала.
Перенесення ризику
Якщо витрати на обробку ризику перевищують бюджет, може бути прийняте рішення про перенесення ризику, що може бути реалізоване за допомогою систем аутсорсингу та/або страхування. Вибір цих систем залежить від вартості їх використання.
Аутсорсинг – це передача компанією частини її завдань або процесів стороннім більш професійним виконавцям на умовах субпідряду. Для цього необхідно укласти договір із сторонньою організацією для проведення зовнішнього моніторингу системи та запобігання загрозам, перш ніж вони приведуть до збитків.
Страхування – це можливість відшкодування збитків, що можуть виникнути у наслідок реалізації загроз, для чого також необхідно укласти договір із страховою організацією.
2.4. Прийняття ризиків
Керівництвом організації повинно бути прийнято та задокументовано рішення про прийняття ризиків і відповідальності за це рішення.
В деяких випадках рівень залишкового ризику може не відповідати критеріям прийняття ризику, оскільки вживані критерії не враховують усіх обставин. У таких випадках керівництво може прийняти ризики, але зобов'язано їх прокоментувати та включити обгрунтування для рішення, пов’язаного з перевищенням стандартного критерію прийняття ризику.
Рішення щодо прийняття ризику можуть внести поправки до вибору заходів і засобів захисту. Коли властивості запропонованих заходів і засобів захисту відомі, можна повторно провести перевірку залишкового ризику та визначити, чи досягнуто рівень прийнятності ризику або необхідно змінити рішення щодо його прийнятності, щоб відобразити інформацію про властивості запропонованих заходів і засобів захисту.
Після того, як всі заходи і засоби захисту реалізовані,