Захід щодо захисту інформації
Вартість, грн
Система охоронної сигналізації
20 000
Система пожежної сигналізації
15 000
Організація відео спостереження
Закупівля відеокамер
56 000
Закупівля відеореєстраторів
36 000
Закупівля моніторів
18 000
Настроювання й запуск в експлуатацію системи відеоспостереження
5 000
Організація захисту від акустичного знімання інформації
Системи виброакустического зашумления
50 000
Організація тамбура в приміщенні
3 000
Системи блокування стільникових телефонів
22 000
Системи контролю доступу на територію
Монтаж огородження
40 000
Організація поста охорони
Системи контролю доступу в будинок
Двері типу « Сейф-Двері»
Зчитувач магнітних карт
Системи контролю доступу в приміщення
Грати на вікнах
10 000
Системи електромагнітного зашумления
Створення автоматизованої системи документообігу
30 000
Встановлення й настроювання програмно-апаратних засобів контролю доступу
Встановлення й настроювання міжмережевого екрану
100 000
Створення резервних серверів
60 000
Розмежування прав користувачів
2 000
Впровадження парольної політики
1 000
Розробка положення про конфіденційний документообіг
Розробка інструкцій про порядок обігу документів
Розробка положень, що стосуються окремих аспектів забезпечення ІБ
Навчання співробітників
Підсумкова сума на створення ІБ
675 000
Підсумкова сума на створення комплексної системи захисту інформації вийшла рівної 675 000 гривень.
Цінність інформації, оброблюваної в організації, обчислюється декількома мільйонами гривень. Крім прямого фінансового збитку втрата конфіденційності або втрата даної інформації може нанести й непрямий збиток, пов'язаний зі збитком репутації компанії. Даний збиток виражається в ще більшій сумі - порядку 20 мільйонів гривень.
При даних розрахунках ураховувалося щомісячна кількість клієнтів компанії, що підключаються, вартість реалізації рекламної кампанії, а також збиток від блокування роботи інформаційної системи компанії.
8. Ризики проекту
Останнім етапом повинне стати виявлення всіляких ризиків, з якими ми можемо зштовхнутися під час реалізації проекту, а також визначення мер мінімізації даних ризиків
1. Інвестиційні (економічні).
Основний ризик полягає в недостачі коштів, матеріальних ресурсів на реалізацію проекту. У цьому випадку всі ті заходи, які були здійснені, не будуть приносити потрібного результату й можна вважати ефективність витрачених засобів рівної 0.
Також існує досить серйозний ризик того, що витрати на побудову комплексної системи захисту інформації виявляться вище, ніж вигода від її впровадження на організації.
З метою запобігання ризиків даної групи варто вжити наступних заходів:
· Повинна бути зроблена професійна оцінка вигода від впровадження комплексної системи захисту інформації
· Вартість проекту повинна бути розрахована максимально детальна з виправленням у більшу сторону.
· Кожний пункт проекту повинен бути погоджений з комерційним директором і затверджений генеральним директорам
· Впроваджувані міри повинні бути економічно виправдані. Вигода від впровадження мер повинна перевищувати витрати на їхнє впровадження.
· Впроваджувані міри повинні відповідати принципу розумної достатності. Впроваджувані міри повинні відповідати реальним зовнішнім і внутрішнім погрозам. Не повинні бути зайві.
2. Кадрові
Персонал представляє із себе ресурс поводження якого не завжди можливо досить точно спрогнозувати навіть фахівцям. Впровадження комплексної системи захисту інформації, а разом з нею й певного набору заборонних мір і правил може привести до певних негативних наслідків у роботі персоналу.
Дані наслідки можуть виражатися в наступних формах:
· Свідоме невиконання обов'язкових мір захисту
· Численні затримки в роботі, зв'язані зі складністю мерли захисти
· Випадкові помилки персоналу при роботі із засобами захисту
З метою виключення даної групи ризиків необхідно при побудова комплексної системи захисту інформації в обов'язковому порядку враховувати наступні моменти:
· Ще до остаточного впровадження повинне вироблятися навчання персоналу роботі із програмно-апаратними й технічними засобами захисту інформації
· Повинна бути пояснена необхідність впровадження даних мер з погляду, зрозумілої персоналу
· Впроваджувані заходи щодо захисту інформації повинні бути прості в експлуатації
· Впроваджувані заходи щодо захисту інформації повинні бути логічні
3. Технічні
Та частина ризиків, який найчастіше приділяється занадто мало уваги. Суть даної групи ризиків полягає в тім, що по-перше поточний стан інформаційної системи організації повинне задовольняти вимоги впроваджуваних мір, по-друге впроваджувані технічні міри повинні перебувати в гармонії з організаційними й програмно-апаратними мірами.
Можливі ризики:
· Конфлікт установлюваного програмного й апаратного забезпечення із установленою операційною системою й апаратною частиною
· Складність в експлуатації технічних і програмних засобів
· Наявність заставних пристроїв у встановлюваних апаратних засобів
· Наявність недекларованих можливостей в інстальованих програмних засобах
Основні міри запобігання даної групи ризиків:
· Перевірка всіх постачальників програмних і апаратних засобів
· Вибір надійних постачальників
· Ретельний вибір необхідних програмних і апаратних засобів
Завдяки докладному плану заходів можна оцінити загальну підсумкову вартість побудови комплексної системи захисту інформації.
Незважаючи на досить високу вартість створення комплексної системи захисту інформації (~700 000 грн), дані заходи повністю окупають себе у виді високої вартості захисту інформації.
Стандарт ІSO 9001 вимагає, щоб вище керівництво підприємства визначило Політику в області якості (як окремий документ або складову частину загальної політики). Це невеликий документ, що містить основні принципи діяльності підприємства в області якості, зобов'язання перед споживачами, напрямку подальшого удосконалювання. У ньому викладаються основні цілі і задачі діючої системи якості. Політика в області якості повинна розроблятися на основі вивчення потреб споживачів. Періодично вона переглядається й актуалізується. Всі інші документи системи якості розробляються з урахуванням положень Політики в області якості.
Весь персонал підприємства повинний розуміти основні положення Політики, знати свою роль у її реалізації.
Для того щоб конкретизувати Політику в області якості і визначити рівень її виконання, підприємство визначає свої цілі в області якості. Це повинні бути конкретні цілі (обов'язково вимірні ), досягнення яких можна перевірити. Вони визначаються як для підприємства в цілому, так і для основних процесів. Цілі описують, чого хоче досягти підприємство за допомогою системи управління якістю. Періодично вони повинні переглядатися й актуалізуватися.
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12
