ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности

Приложение F
(справочное)

     
Ограничения, относящиеся к снижению риска

При рассмотрении ограничений, относящихся к снижению риска, нужно принимать в расчет следующие ограничения.

Временные ограничения

Может существовать много видов временных ограничений. Например, меры и средства контроля и управления должны быть реализованы в течение временного периода, приемлемого для руководства организации. Еще один вид временного ограничения - могут ли мера и средство контроля и управления быть реализованы в течение срока службы системы или информации? Третьим видом временного ограничения может быть период времени, который руководство организации считает приемлемым для подверженности определенному риску.

Финансовые ограничения

Реализация или поддержка мер и средств контроля и управления не должна быть более дорогостоящей, чем ценность активов, которые они предназначены защищать, за исключением случаев, когда обеспечение соответствия является обязательным (например, по законодательству). Должны прилагаться все усилия, чтобы не превысить установленный бюджет и достичь финансовой выгоды благодаря использованию мер и средств контроля и управления. Однако в некоторых случаях может не быть возможности достичь желаемой безопасности и уровня принятия риска вследствие бюджетных ограничений. Поэтому для разрешения такой ситуации потребуется решение руководства организации.

Следует проявлять большую осторожность, если из-за сокращения бюджета сокращается количество или качество мер и средств контроля и управления, подлежащих реализации, так как это может приводить к неявному сохранению более высокого риска, чем планировалось. Бюджет, установленный для мер и средств контроля и управления, должен использоваться как ограничивающий фактор, но со значительной осторожностью.

Технические ограничения

Технических проблем, таких, как совместимость программ или аппаратных средств, легко можно избежать, если учитывать их во время выбора мер и средств контроля и управления. Кроме того, реализация использующихся ранее мер и средств контроля и управления для существующего процесса или системы часто затрудняется техническими ограничениями. Эти трудности могут сдвигать баланс мер и средств контроля и управления в сторону процедурных и физических аспектов обеспечения безопасности. Может возникнуть необходимость в пересмотре программы обеспечения ИБ для достижения целей безопасности. Это может происходить, когда меры и средства контроля и управления не соответствуют ожидаемым результатам снижения риска без уменьшения производительности.

Операционные ограничения

Операционные ограничения, такие, как необходимость работать в режиме 24x7, выполняя, кроме того, резервное копирование, могут приводить к сложной и дорогостоящей реализации мер и средств контроля и управления, если они не были заложены в проект с самого начала.

Культурные ограничения

Культурные ограничения, касающиеся выбора мер и средств контроля и управления, могут быть характерны для страны, сектора, организации или даже отдела в организации. Не все меры и средства контроля и управления могут применяться во всех странах. Например, возможно реализовать досмотр сумок в странах Европы, но не в ряде стран Ближнего Востока. Культурные аспекты нельзя игнорировать, потому что многие меры и средства контроля и управления зависят от активной поддержки персонала. Если сотрудники не понимают необходимости применения мер и средств контроля и управления или не считают их приемлемыми с точки зрения культурных традиций, с течением времени эти меры и средства контроля и управления станут неэффективными.

Этические ограничения

Этические ограничения могут иметь серьезные последствия для мер и средств контроля и управления, поскольку этические принципы меняются на основе норм морали. Это может препятствовать реализации таких мер и средств контроля и управления, как, например сканирование сообщений электронной почты в некоторых странах. Секретность информации может также меняться в зависимости от региональных или государственных этических принципов. Они могут в большей степени касаться одних отраслей экономики и в меньшей степени - других, например, правительственного сектора и отрасли здравоохранения.

Ограничения, связанные с окружающей средой

Факторы окружающей среды, такие, как доступное пространство, экстремальные климатические условия, окружающая природная и городская среда, могут влиять на выбор мер и средств контроля и управления. Например, обеспечение сейсмостойкости может быть необходимым в некоторых странах, но ненужным в других.

Юридические ограничения

Правовые факторы, такие, как обеспечение защиты личных данных или положения уголовного кодекса, касающиеся обработки информации, могут оказывать влияние на выбор мер и средств контроля и управления. Обеспечение соответствия законодательным и нормативным требованиям может предписывать использование определенных видов мер и средств контроля и управления, включая обеспечение защиты данных и финансовый аудит, но может также не допускать использования некоторых мер и средств контроля и управления, например шифрования. Другие законы и нормы, такие, как трудовое право, предписания пожарного отдела, правила техники безопасности и охраны здоровья и нормы экономического сектора и др., тоже могут влиять на выбор мер и средств контроля и управления.

Простота использования

Неудовлетворительное взаимодействие "человек-технология" будет вызывать ошибки персонала и может приводить к бесполезности мер и средств контроля и управления. Меры и средства контроля и управления должны выбираться с целью обеспечения оптимальной простоты использования наряду с достижением приемлемого уровня остаточного риска для бизнеса. Применение трудно используемых мер и средств контроля и управления будет влиять на их эффективность, так как пользователи могут пытаться обходить или игнорировать их, насколько это возможно. Сложные средства управления доступом, применяемые в организации, могут способствовать использованию альтернативных несанкционированных методов доступа.

Кадровые ограничения

Следует учитывать доступность и затраты на оплату совокупности специализированных навыков для реализации мер и средств контроля и управления, а также возможность перемещения персонала между подразделениями организации при неблагоприятных условиях работы. У персонала может отсутствовать требуемая квалификация для реализации планируемых мер и средств контроля и управления или ее получение может быть крайне затратным для организации. Другие аспекты, например, тенденция к дискриминации одних сотрудников другими, не проходившими проверку надежности, могут иметь серьезные последствия для политик безопасности и практических приемов обеспечения безопасности. Кроме того, необходимость найма на работу специалистов соответствующей квалификации и нахождение таких кандидатур может приводить к найму до завершения проверки надежности. Требование завершения проверки надежности до оформления найма является обычной и наиболее безопасной практикой.

Ограничения, касающиеся интеграции новых и существующих мер и средств контроля и управления

На интеграцию новых мер и средств контроля и управления в существующей инфраструктуре и взаимозависимость мер и средств контроля и управления часто не обращают внимания. Новые меры и средства контроля и управления могут быть трудно реализуемыми при наличии несочетаемости или несовместимости с существующими мерами и средствами контроля и управления. Например, план по использованию биометрических признаков для осуществления физического контроля доступа может вступать в противоречие с существующей системой управления доступом, основанной на наборе PIN-кода. Стоимость изменения мер и средств контроля и управления с существующих на запланированные должна быть добавлена к общим расходам на обработку риска. Возможно, что реализация выбранных мер и средств контроля и управления будет невозможна из-за несочетаемости или несовместимости с существующими мерами и средствами контроля и управления.