захисту інформації в умовах конкретного підприємства з урахуванням всіх особливостей його функціонування. І хоча з математичної точки зору всі розрахунки в описаній рамкової моделі оцінки ROI є гранично простими, визначення окремих параметрів може викликати значні труднощі на практиці. Проведення таких розрахунків, так само як і проведення аудитів інформаційної безпеки, може зажадати залучення сторонніх консультантів, однак кваліфікація та професійна спеціалізація таких консультантів може істотно відрізнятися від кваліфікації консультантів, що спеціалізуються, наприклад, на проведенні аудитів та впровадженні технічних засобів захисту інформації. p> Причому якщо оцінку ймовірностей атак, а також оцінку того, наскільки ці атаки можуть бути успішними, переважно довірити зовнішнім консультантам з інформаційної безпеки, то оцінку вартості інформації та економічних наслідків втрати контролю над інформаційними активами, швидше за все, доцільно здійснювати фахівцям, що працюють на підприємстві. Незважаючи на всі труднощі процесу оцінки доцільності впровадження засобів захисту, описана методологія дозволяє отримувати обгрунтовані оцінки і робити формалізовані висновки щодо того, наскільки виправданими є вкладення в певні засоби захисту інформації, а також визначити основні пріоритети витрачання коштів, передбачених у бюджеті на забезпечення інформаційної безпеки. При цьому досить високий рівень достовірності таких оцінок досягається за рахунок того, що вся робота з проведення оцінки і підготовки інвестиційних рішень розкладається на кілька відносно більш простих і В«прозорихВ» завдань, рішення кожної з яких може бути закріплено за фахівцями в певній сфері. У результаті загальна оцінка складається на основі отриманих рішень декількох окремих завдань, кожне з яких може бути проконтрольовано і при необхідності додатково уточнено. У цих умовах загальну якість одержуваної аналітичної оцінки і, відповідно, формульованого рішення залежить від кваліфікації всіх експертів, аналітиків і фахівців, що беруть участь в роботі. p> Отже, одним з основних завдань керівників, відповідальних за прийняття рішень у сфері інформаційної безпеки є підбір найбільш кваліфікованих і досвідчених фахівців, оскільки від якості їх роботи залежатиме не просто безпеку окремих елементів інформаційних активів у визначені моменти часу, а ефективність всієї системи захисту інформації в середньостроковій, а іноді і в довгостроковій перспективі. Управління інформаційною безпекою, так само як і управління в багатьох інших сферах діяльності, передбачає періодичне прийняття різних управлінських рішень, що полягають, як правило, у виборі певних альтернатив (відборі однією з можливих організаційних схем або одного з доступних технічних рішень) або визначенні деяких параметрів окремих організаційних та/або технічних систем і підсистем. Одним з можливих підходів до вибору альтернатив в ситуації прийняття управлінського рішення є т.зв. "Вольовий" підхід, коли рішення з тих чи інших причи...
