Сергей Петренко - Политики безопасности компании при работе в Интернет

Тут можно читать онлайн Сергей Петренко - Политики безопасности компании при работе в Интернет - бесплатно ознакомительный отрывок. Жанр: Интернет. Здесь Вы можете читать ознакомительный отрывок из книги онлайн без регистрации и SMS на сайте лучшей интернет библиотеки ЛибКинг или прочесть краткое содержание (суть), предисловие и аннотацию. Так же сможете купить и скачать торрент в электронном формате fb2, найти и слушать аудиокнигу на русском языке или узнать сколько частей в серии и всего страниц в публикации. Читателям доступно смотреть обложку, картинки, описание и отзывы (комментарии) о произведении.

Читать книгу

Название:

Политики безопасности компании при работе в Интернет
Автор:

Сергей Петренко
Жанр:

Интернет
Издательство:

неизвестно
Год:

неизвестен
ISBN:

нет данных
Рейтинг:

3.4/5. Голосов: 101
Избранное:

Добавить в избранное
Отзывы:

Читать комментарии
Ваша оценка:
60

1

2

3

4

5

Сергей Петренко - Политики безопасности компании при работе в Интернет краткое содержание

Политики безопасности компании при работе в Интернет - описание и краткое содержание, автор Сергей Петренко, читайте бесплатно онлайн на сайте электронной библиотеки LibKing.Ru

Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.

Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.

Политики безопасности компании при работе в Интернет - читать онлайн бесплатно ознакомительный отрывок

Политики безопасности компании при работе в Интернет - читать книгу онлайн бесплатно (ознакомительный отрывок), автор Сергей Петренко

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Исходная экономическая стоимость (Economic Value Sourced, EVS). Методика EVS была разработана компанией МЕТА Group Consulting, которая оказывает услуги средним и крупным компаниям, количественно измеряя возврат от инвестиций в технологии безопасности. Методика предполагает точный расчет всех возможных рисков и выгод для бизнеса, связанных с внедрением и функционированием корпоративной системы защиты информации. При этом расширяется использование таких инструментальных средств оценки ИТ, как добавленная экономическая стоимость (EVA), внутренняя норма рентабельности (IRR) и возврат от инвестиций (ROI), за счет определения и вовлечения в оценочный процесс параметров времени и риска.

Управление портфелем активов (Portfolio Management, PM). Методика управления портфелем активов предполагает, что компании управляют технологиями безопасности так же, как управляли бы акционерным инвестиционным фондом с учетом объема, размера, срока, прибыльности и риска каждой инвестиции. Портфель активов технологий безопасности состоит из «статичных» и «динамичных» активов. К «статичным» активам относят: аппаратно-программные средства защиты информации, операционные системы и пакеты прикладных программных продуктов, сетевое оборудование и программное обеспечение, данные и информацию, оказываемые услуги, человеческие ресурсы и пр. В состав «динамичных» активов входят следующие компоненты: различные проекты по расширению и обновлению всего портфеля активов, знания и опыт, интеллектуальный капитал и т. д.

Таким образом, управление портфелем активов технологий безопасности представляет собой непрерывный анализ взаимодействия возникающих возможностей и имеющихся в наличии ресурсов. Непрерывность процесса управления связана с внешними изменениями (например, изменение ситуации на рынке, изменение позиций конкурента) и с внутренними изменениями (например, изменения в стратегии компании, в каналах сбыта, номенклатуре товаров и услуг и т. д.). А директор службы безопасности становится «фондовым менеджером», который управляет инвестициями в технологии безопасности, стремясь к максимизации прибыли.

Оценка действительных возможностей (Real Option Valuation, ROV). Основу методики составляет ключевая концепция построения модели «гибких возможностей компании» в будущем. Методика рассматривает технологии безопасности в качестве набора возможностей с большой степенью их детализации. Правильное решение принимается после тщательного анализа широкого спектра показателей и рассмотрения множества результатов или вариантов будущих сценариев, в терминах методики именующихся «динамическим планом выпуска/гибкости» управляющих решений, который поможет организациям лучше адаптировать или изменять свой курс в области информационной безопасности.

Метод жизненного цикла искусственных систем (System Life Cycle Analysis, SLCA). В основе российского метода SLCA лежит измерение «идеальности» корпоративной системы защиты информации – соотношение ее полезных факторов и суммы вредных факторов и факторов расплаты за выполнение полезных функций. Оценку предваряет совместная работа аналитика и ведущих специалистов обследуемой компании по выработке реестра полезных, негативных и затратных факторов бизнес-системы без использования системы безопасности и по присвоению им определенных весовых коэффициентов. Результатом работы является расчетная модель, описывающая состояние без системы безопасности. После этого в модель вводятся описанные факторы ожидаемых изменений и производится расчет уровня развития компании с корпоративной системой защиты информации. Таким образом, строятся традиционные модели «как есть» и «как будет» с учетом реестра полезных, негативных и затратных факторов бизнес-системы.

Метод SLCA применяется:

• на этапе предпроектной подготовки, для предварительной оценки эффекта от внедрения новой системы безопасности или от модернизации существующей;

• на этапе разработки технического задания на ИС в защищенном исполнении;

• на этапе проведения аудита информационной безопасности ИС предприятия, для проектной оценки ожидаемого эффекта;

• на этапе приемки ИС в защищенном исполнении в эксплуатацию или по окончании периода опытной эксплуатации для подтверждения расчетного эффекта, его уточнения и получения новой «точки отсчета» (нового уровня организационно-технологического развития компании) для последующих оценок эффекта от внедрения технологий безопасности.

Система сбалансированных показателей (Balanced Scorecard, BSC). Система сбалансированных показателей (ССП) – это методика, в рамках которой традиционные показатели финансовых отчетов объединяются с операционными параметрами, что создает достаточно общую схему, позволяющую оценить нематериальные активы: уровень корпоративных инноваций, степень удовлетворенности сотрудников, эффективность приложений и т. д.

Концепция системы сбалансированных показателей впервые была представлена в 1990 году Дэвидом Нортоном, на сегодняшний день руководителем Balanced Scorecard Collaborative, и Робертом Капланом, профессором Harvard Business School. Традиционная концепция ССП предполагает формирование так называемых стратегических карт, группирующих цели и показатели по четырем категориям (перспективам):

• финансы – финансовые цели развития и результаты работы компании (прибыль, рентабельность и т. д.);

• клиенты и рынки – цели присутствия на рынке и показатели качества обслуживания клиентов (освоение рынков и территорий продаж, время выполнения заказа и т. д.);

• процессы – требования к эффективности процессов (стоимость, время, количество ошибок, риски и т. д.);

• развитие – цели поиска новых технологий и повышения квалификации персонала и т. д.

Между всеми показателями существуют причинно-следственные связи. Например, чем выше квалификация персонала и лучше технология ведения бизнеса, тем проще поддерживать бизнес-процессы, что, в свою очередь, способствует более качественному обслуживанию клиентов и реализации конкурентных преимуществ, а следовательно, помогает достичь запланированных финансовых показателей. Таким образом, для компании в целом финансовые показатели – это конечная цель функционирования, тогда как прочие перспективы определяют будущий потенциал компании.

Подобным образом можно определить ключевые показатели функционирования службы информационной безопасности компании и задать перспективы развития корпоративных систем защиты информации. При этом следует помнить, что, поскольку технологии безопасности оказывают косвенное воздействие на финансовые показатели компании, их надо рассматривать с точки зрения вклада в развитие бизнеса. На уровне клиентской перспективы оценка технологий безопасности отражает эффективность взаимодействия соответствующего подразделения с основным бизнесом компании. Стратегия развития технологий безопасности на базе методов ССП формулируется в виде взаимосвязанного набора целей и показателей, сгруппированных по следующим перспективам: