ГОСТ Р ИСО/МЭК 27005—2010
П р и м е р — Типичным ограничением такого рода является необходимость включения правовых обяза
тельств организации в политику безопасности.
Ограничения культурного свойства. В некоторых организациях рабочие традиции или основной бизнес
привели к созданию определенной культуры организации, которая может быть несовместима с мерами и сред
ствами контроля и управления безопасностью. Такая культура является основной эталонной системой персонала
и может определяться многими аспектами, включающими в себя образование, обучение, профессиональный
опыт, работу, на которую распространяется жизненный опыт, мнения, философию, убеждения, чувства, соци
альный статус ит. д.
Бюджетные ограничения. Рекомендуемые меры и средства контроля и управления безопасностью могут
иметь иногда очень высокую стоимость. Несмотря на точто не всегда уместно строить инвестирование безопасно
сти на экономической эффективности, финансовые отделы организации требуют, как правило, экономического
обоснования.
П р и м е р — В организациях частного сектора и некоторых общественных организациях совокупные
расходы на меры и средства контроля и управления безопасностью не должны превышать издержек от возмож
ных последствий рисков. Высшее руководство должно поэтому оценивать и принимать просчитанные риски, если
оно желает избежать чрезмерных расходов, связанных с обеспечением безопасности.
А.З Перечень законодательных и нормативных положений, имеющих отношение кдеятельности орга
низации
Должны определяться нормативные требования, имеющие отношение к видам деятельности организации.
К их числу могут быть отнесены законы, постановления, специальные инструкции, относящиеся к сфере деятель
ности организации или внутренним/внешним нормам. Это касается также договоров и соглашений и. в общем,
любых обязательств юридического свойства.
А.4 Перечень ограничений, влияющих на область применения
При определении ограничений желательно перечислить те из них. которые влияют на область применения,
и определить те. на которые возможно некоторое воздействие. Они добавляются к ограничениям организации,
перечисленным выше. и. возможно, могут изменить их. Далее представляется перечень возможных типов огра
ничений. который не является исчерпывающим.
Ограничения. возникающие из ранее существовавших процессов. Проекты приложений не обязательно
разрабатываются одновременно. Некоторые из них зависят от ранее существовавших процессов. Даже если
процесс может быть разбит на подпроцессы, не обязательно на данный процесс будут влиять все подпроцессы
другого процесса.
Технические ограничения. Технические ограничения, относящиеся к инфраструктуре, в основном возника
ют отустановленных аппаратных и программных средств, а также от помещений или площадок, где осуществляют
ся процессы:
- архивы (файлы) — требования, касающиеся организации, менеджмент носителей, менеджмент правил
доступа и т.д.;
- общая архитектура — требования, касающиеся топологии (централизованная, распределенная, клиент-
сервер). физическая архитектура и т. д.;
- прикладные программы — требования, касающиеся проектирования специфичного программного обес
печения. рыночные стандарты и т. д.;
- пакеты профамм — требования, касающиеся стандартов, уровня оценки, качества, соответствия нормам,
безопасности и т. д.;
- аппаратные средства — требования, касающиеся стандартов, качества, соответствия нормам и т. д.;
- сети связи — требования, касающиеся покрытия, стандартов, емкости, надежности и т. я :
- инфраструктура сооружений и инженерных коммуникаций — требования, касающиеся фажданского стро
ительства. конструкций, высокого напряжения, низкого напряжения и т. д.
Финансовые ограничения. Реализация мер и средств контроля и управления безопасностью часто ограни
чивается тем бюджетом, который может выделить организация. Однако финансовое ограничение должно
по-прежнему оставаться последним, подлежащим рассмотрению, поскольку вопрос о выделении бюджетных
средств на безопасность может быть решен на основе анализа безопасности.
Ограничения, связанные со средой. Они обусловлены геофафической или экономической средой, в кото
рых процессы реализуются: страна, климат, природные риски, территориальное расположение, состояние эконо
мики идр.
Ограничения по времени. Время, необходимое для реализации мер и средств контроля и управления
безопасностью, должно определяться с учетом возможности модернизации информационной системы. Если на
реализацию затрачивается очень много времени, то риски, для которых разрабатывались меры и средства конт
роля и управления, могут измениться. Время является определяющим фактором при принятии решений и выбо ре
приоритетов.
Ограничения, касающиеся методов. Методы, соответствующие ноу-хау организации, должны использовать
ся в отношении планирования проекта, технических условий, разработки и др.
23