Риски проекта. Последним этапом должно стать выявление всевозможных рисков, с которыми мы можем столкнуться во время реализации проекта, а также определение мер минимизации данных рисков 1. Инвестиционные (экономические). Основной риск заключается в нехватке денежных средств, материальных ресурсов на реализацию проекта.
В этом случае все те мероприятия, которые были осуществлены, не будут приносить нужного результата и можно считать эффективность затраченных средств равной 0. Также существует достаточно серьезный риск того, что затраты на построение комплексной системы защиты информации окажутся выше, чем выгода от её внедрения на организации.
В целях предотвращения рисков данной группы следует предпринять следующие меры: • Должна быть произведена профессиональная оценка выгода от внедрения комплексной системы защиты информации • Стоимость проекта должна быть рассчитана максимально детальна с поправкой в большую сторону. • Каждый пункт проекта должен быть согласован с коммерческим директором и утвержден генеральным директорам • Внедряемые меры должны быть экономически оправданы.
Выгода от внедрения мер должна превышать затраты на их внедрение. • Внедряемые меры должны отвечать принципу разумной достаточности. Внедряемые меры должны соответствовать реальным внешним и внутренним угрозам.
Не должны быть излишни. 2. Кадровые Персонал представляет из себя ресурс поведение которого не всегда возможно достаточно точно спрогнозировать даже специалистам.
Внедрение комплексной системы защиты информации, а вместе с ней и определенного набора запретительных мер и правил может привести к определенным негативным последствиям в работе персонала. Данные последствия могут выражаться в следующих формах: • Сознательное невыполнение обязательных мер защиты • Многочисленные задержки в работе, связанные со сложностью мер защиты • Случайные ошибки персонала при работе со средствами защиты В целях исключения данной группы рисков необходимо при построение комплексной системы защиты информации в обязательном порядке учитывать следующие моменты: • Ещё до окончательного внедрения должно производиться обучение персонала работе с программно-аппаратными и техническими средствами защиты информации • Должна быть объяснена необходимость внедрения данных мер с точки зрения, понятной персоналу • Внедряемые меры по защите информации должны быть просты в эксплуатации • Внедряемые меры по защите информации должны быть логичны 3. Технические Та часть рисков, которой зачастую уделяется слишком мало внимания.
Суть данной группы рисков заключается в том, что во-первых текущее состояние информационной системы организации должно удовлетворять требования внедряемых мер, во-вторых внедряемые технические меры должны находиться в гармонии с организационными и программно-аппаратными мерами.
Возможные риски: • Конфликт устанавливаемого программного и аппаратного обеспечения с установленной операционной системой и аппаратной частью • Сложность в эксплуатации технических и программных средств • Наличие закладных устройств в устанавливаемых аппаратных средств • Наличие недекларированных возможностей в инсталлируемых программных средствах Основные меры предотвращения данной группы рисков: • Проверка всех поставляемых программных и аппаратных средств • Выбор надежных поставщиков • Тщательный выбор необходимых программных и аппаратных средств