Внутренние затраты на компенсацию нарушений политики безопасности

Определение элементов затрат этой группы намного сложнее, но большую часть установить достаточно легко:

Установка патчей или приобретение последних версий программных средств защиты информации.

Приобретение технических средств взамен пришедших в негодность.

Затраты на восстановление баз данных и прочих информационных массивов.

Затраты на обновление планов обеспечения непрерывности деятельности службы безопасности.

Затраты на внедрение дополнительных средств защиты, требующих существенной перестройки системы безопасности.

Труднее выявить объемы заработной платы и накладных расходов:

По проведению дополнительных испытаний и проверок технологических информационных систем.

По утилизации скомпрометированных ресурсов.

По проведению повторных проверок и испытаний системы защиты информации.

По проведению мероприятий по контролю достоверности данных, подвергшихся атаке на целостность.

По проведению расследований нарушений политики безопасности.

Выяснение затрат на эти виды деятельности связаны с различными отделами:

Отделом информационных технологий.

Контрольно-ревизионным и финансовым отделами.

Службой безопасности.

Поскольку каждый вовлеченный сотрудник вряд ли в течении всего рабочего дня решает проблемы, связанные только лишь с внутренними потерями от нарушений политики безопасности, оценка потерь должна быть произведена с учетом реально затраченного на эту деятельность времени. Таким образом, мы опять видим, что основные виды затрат в этой категории могут быть определены с достаточной степенью точности.

Содержание раздела