6. Wytorar* metody i komputerowe narządza wspomagające
3. Obliczenie kosztów implementacji - uaktywnienia mechanizmów
rozBdSrfnośd:
• Zakupy A zbędne, gdyż mechanizm jest w systemie i wymaga tylko uaktywnienia.
• Obniżenie wydajności lub funkcjonalności systemu - należy spró-bować to oszacować.
• Koszty osobowe związane z realizacją dodatkowych procedur -monitorowania zapisów i ich archiwizowania.
• Koszty szkoleń dotyczących konfigurowania mechanizmów zabezpieczeń i raportowania ich funkcjonowania.
• Koszty utrzymania - przechowywanie zapisów i archiwizowanie (urządzenia, materiały eksploatacyjne).
Koszty te należy oszacować, najlepiej w skali roku.
4. Porównanie kosztów i korzyści i podjęcie decyzji:
Zarząd instytucji powinien określić, jaki jest akceptowalny poziom
ryzyka dla misji instytucji i w tym kontekście odnieść się do kwestii
typu:
— Czy nadal można eksploatować systemy bez uaktywnienia mechanizmów rozliczalności?
— Czy jest to akceptowalne pod względem interesów instytucji?
— Czy ponosząc dodatkowy koszt szacowany na X zl w skali roku, zapewnić rozliczałność użytkowników i z tego tytułu zredukować ryzyko incydentów naruszających realizację misji?
Należy z góry założyć, że tego typu analizy zależą bardzo od realiów instytucji i mają czysto szacunkowy charakter, gdyż nie można do końca precyzyjnie ustalić wielkości wielu występujących tu parametrów ilościowych.
W czwartym kroku analiz kierownictwo instytucji powinno stosować się do następujących reguł:
1. Jeśli zastosowane zabezpieczenie redukuje ryzyko w stopniu większym niż to było oczekiwane, to należy spróbować znaleźć tańszą alternatywę zabezpieczenia.
2. Jeśli zabezpieczenie jest droższe niż wartość zredukowanego ryzyka, to należy poszukać efektywniejszych rozwiązań.
3. Jeśli zabezpieczenie redukuje ryzyko w stopniu niewystarczającym, to należy zastosować dodatkowe lub inne zabezpieczenia.
4. Należy preferować kombinację zabezpieczeń, która zredukuje ryzyko w stopniu wystarczającym i jest efektywna pod względem kosztów.
Dokonując różnych wyborów, należy zwrócić uwagę na zabezpieczenia administracyjne (usprawnienia organizacyjne, uświadomienie, szkolenie, dyscyplinowanie), które często okazują się tańsze od zabezpieczeń technicznych.