Рекомендации по применению. Система управления информационной безопасностью. Общие положения (часть 10)

Обеспечение ‎ресурсами

Обеспечение‏ ‎требуемого ‎уровня ‎ОИБВОП ‎неизменно ‎сопряжено‏ ‎с ‎необходимостью‏ ‎выделения‏ ‎финансовых, ‎кадровых ‎и‏ ‎временных ‎ресурсов,‏ ‎которые ‎руководство ‎компании ‎должно‏ ‎предоставлять‏ ‎в ‎достаточном‏ ‎объёме. ‎В‏ ‎ситуации, ‎когда ‎поставленные ‎цели ‎не‏ ‎могут‏ ‎быть ‎достигнуты‏ ‎вследствие ‎нехватки‏ ‎необходимых ‎ресурсов, ‎ответственность ‎за ‎это‏ ‎лежит‏ ‎не‏ ‎на ‎исполнителях,‏ ‎а ‎на‏ ‎руководителях, ‎установивших‏ ‎нереалистичные‏ ‎цели ‎(задачи)‏ ‎или ‎не ‎обеспечивших ‎исполнителей ‎соответствующими‏ ‎ресурсами.

Во ‎избежание‏ ‎срыва‏ ‎намеченных ‎целей ‎крайне‏ ‎важно ‎уже‏ ‎на ‎этапе ‎их ‎планирования‏ ‎провести‏ ‎первичную ‎оценку‏ ‎предполагаемых ‎затрат‏ ‎и ‎ожидаемых ‎результатов. ‎На ‎протяжении‏ ‎всего‏ ‎процесса ‎обеспечения‏ ‎информационной ‎безопасности‏ ‎данный ‎аспект ‎должен ‎оставаться ‎ключевым,‏ ‎с‏ ‎одной‏ ‎стороны, ‎для‏ ‎предотвращения ‎расточительного‏ ‎использования ‎ресурсов,‏ ‎с‏ ‎другой ‎—‏ ‎для ‎гарантии ‎осуществления ‎необходимых ‎инвестиций,‏ ‎направленных ‎на‏ ‎достижение‏ ‎соответствующего ‎уровня ‎ОИБВОП.

Техническое‏ ‎обеспечение ‎информационной‏ ‎безопасности ‎зачастую ‎рассматривается ‎в‏ ‎качестве‏ ‎единственного ‎и‏ ‎достаточного ‎решения.‏ ‎Однако ‎данный ‎подход ‎является ‎чрезмерно‏ ‎упрощённым.‏ ‎Представляется ‎целесообразным‏ ‎использование ‎более‏ ‎широкого ‎понятия ‎«информационная ‎безопасность» ‎вместо‏ ‎узкого‏ ‎термина‏ ‎«ИТ-безопасность ‎(кибербезопасность)».

Особенно‏ ‎важно ‎отметить,‏ ‎что ‎инвестиции‏ ‎в‏ ‎человеческие ‎ресурсы‏ ‎нередко ‎оказываются ‎более ‎эффективными, ‎нежели‏ ‎вложения ‎в‏ ‎технические‏ ‎средства ‎защиты. ‎Сама‏ ‎по ‎себе‏ ‎техника ‎не ‎в ‎состоянии‏ ‎решить‏ ‎проблемы ‎информационной‏ ‎безопасности, ‎она‏ ‎должна ‎быть ‎органично ‎интегрирована ‎в‏ ‎соответствующие‏ ‎организационные ‎процессы‏ ‎и ‎структуры.

Кроме‏ ‎того, ‎оценка ‎результативности ‎и ‎применимости‏ ‎мер‏ ‎информационной‏ ‎безопасности ‎также‏ ‎требует ‎выделения‏ ‎достаточного ‎объёма‏ ‎ресурсов.‏ ‎Таким ‎образом,‏ ‎для ‎обеспечения ‎эффективной ‎информационной ‎безопасности‏ ‎необходим ‎комплексный‏ ‎подход,‏ ‎сочетающий ‎технические, ‎организационные‏ ‎и ‎ресурсные‏ ‎компоненты.

Недостаток ‎временных ‎ресурсов ‎является‏ ‎распространённой‏ ‎проблемой ‎у‏ ‎штатных ‎специалистов‏ ‎по ‎информационной ‎безопасности ‎в ‎компаниях.‏ ‎Зачастую‏ ‎им ‎не‏ ‎хватает ‎времени‏ ‎для ‎всестороннего ‎анализа ‎всех ‎факторов,‏ ‎влияющих‏ ‎на‏ ‎информационную ‎безопасность,‏ ‎включая ‎нормативно-правовые‏ ‎требования ‎и‏ ‎решение‏ ‎технических ‎вопросов.‏ ‎Кроме ‎того, ‎у ‎них ‎могут‏ ‎отсутствовать ‎необходимые‏ ‎фундаментальные‏ ‎знания ‎в ‎данной‏ ‎области. ‎В‏ ‎таких ‎случаях ‎целесообразно ‎привлекать‏ ‎внешних‏ ‎экспертов ‎для‏ ‎решения ‎вопросов‏ ‎и ‎проблем, ‎которые ‎не ‎могут‏ ‎быть‏ ‎разрешены ‎внутренними‏ ‎ресурсами. ‎Данное‏ ‎решение ‎должно ‎быть ‎документировано ‎штатными‏ ‎специалистами,‏ ‎чтобы‏ ‎руководство ‎могло‏ ‎выделить ‎на‏ ‎это ‎соответствующие‏ ‎ресурсы‏ ‎и ‎принять‏ ‎грамотное ‎управленческое ‎решение.

Эффективное ‎функционирование ‎информационных‏ ‎систем ‎является‏ ‎базовым‏ ‎условием ‎для ‎обеспечения‏ ‎их ‎безопасности.‏ ‎Для ‎этого ‎необходимо ‎наличие‏ ‎достаточных‏ ‎ресурсов ‎чтобы‏ ‎грамотно ‎обеспечивать‏ ‎их ‎техническую ‎эксплуатацию. ‎Типичные ‎проблемы‏ ‎эксплуатации,‏ ‎такие ‎как‏ ‎нехватка ‎ресурсов,‏ ‎перегруженность ‎специалистов ‎или ‎неструктурированная ‎и‏ ‎плохо‏ ‎обслуживаемая‏ ‎ИТ-инфраструктура, ‎как‏ ‎правило, ‎должны‏ ‎быть ‎решены‏ ‎в‏ ‎первую ‎очередь,‏ ‎чтобы ‎меры ‎защиты ‎могли ‎быть‏ ‎эффективно ‎и‏ ‎результативно‏ ‎внедрены ‎и ‎полностью‏ ‎исполнили ‎то,‏ ‎ради ‎чего ‎они ‎были‏ ‎задуманы.

Внимание!‏ ‎Материал ‎охраняется‏ ‎авторским ‎правом‏ ‎на ‎основании ‎статьи ‎1259 ‎ГК‏ ‎РФ.