Сергей Петренко - Политики безопасности компании при работе в Интернет
- Название:Политики безопасности компании при работе в Интернет
- Автор:
- Жанр:
- Издательство:неизвестно
- Год:неизвестен
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Сергей Петренко - Политики безопасности компании при работе в Интернет краткое содержание
Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.
Политики безопасности компании при работе в Интернет - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
• миссия – основное предназначение и пути развития ИТ в компании;
• клиенты – цели поддержки основной деятельности компании;
• процессы – показатели эффективности процедур разработки и внедрения;
• технологии – оценка обоснованности и эффективности используемых технологий;
• организация – показатели эффективности внутренних процедур ИТ-подразделения.Эти перспективы могут быть ориентиром при разработке стратегических карт, но в соответствии с ситуацией и видением руководства состав перспектив может меняться. Обязательным условием вносимых изменений является сохранение логики взаимного влияния перспектив друг на друга. Как показывает практика, при освоении идеи ССП формирование стратегических карт не представляет особых затруднений. Но, несмотря на кажущуюся простоту, менеджеры часто допускают ошибки при использовании методологии. Первая типичная ошибка заключается в создании большого набора метрик, отражающих отдельные аспекты деятельности службы безопасности, но никак не связанных друг с другом или со стратегией развития компании в целом. Вторая ошибка – формирование стратегических карт, содержащих большое число причинно-следственных взаимосвязей между целями и показателями. Оба эти варианта приводят к невозможности расстановки приоритетов в развитии корпоративной системы защиты информации, хотя именно методология системы сбалансированных показателей позволяет обеспечить четкое соответствие стратегии развития ИТ целям компании на формальном уровне. Пример соответствия стандартных перспектив ССП набору стратегических целей службы безопасности приведен в табл. П5.1. Таблица П5.1. Перспективы и цели при планировании технологий безопасности
Как и любой инструмент стратегического планирования, система сбалансированных показателей имеет возможности и ограничения в практическом применении. Использование ССП позволяет:
• устранить разрыв между разработкой стратегии безопасности и ее реализацией;
• оперативно реагировать на изменения окружающей среды;
• оценить существующую стратегию безопасности.Однако применение методики ССП не предполагает создания стратегии развития предприятия и не требует отказа от традиционных инструментов планирования и контроля.
Совокупная стоимость владения (Total Cost of Ownership, TCO). Методика ТСО первоначально разрабатывалась как средство расчета стоимости владения компьютером. Но в последнее время, благодаря усилиям компании Gartner Group, эта методика стала основным инструментом подсчета совокупной стоимости владения корпоративных систем защиты информации. Основной целью расчета ТСО является выявление избыточных статей расходов и оценка возможности возврата инвестиций, вложенных в технологии безопасности. Таким образом, полученные данные по совокупной стоимости владения используются для выявления расходной части использования корпоративной системы защиты информации.
Главной проблемой при определении ТСО является проблема выявления составляющих совокупной стоимости владения и их количественная оценка. Все составляющие ТСО условное разделяются на «видимые» пользователю (первоначальные затраты) и «невидимые» (затраты эксплуатации и использования). При этом «видимая» часть ТСО составляет 32 %, а по некоторым оценкам и 21 %, а «невидимая» – 68 % или, соответственно, 79 %.
К группе «видимых» затрат относятся следующие:
• стоимость лицензии,
• стоимость внедрения,
• стоимость обновления,
• стоимость сопровождения.Все эти затраты, за исключением внедрения, имеют фиксированную стоимость и могут быть определены еще до принятия решения о внедрении корпоративной системы защиты информации. Следует отметить, что и в «видимом» секторе поставщиками систем безопасности иногда могут использоваться скрытые механизмы увеличения стоимости для привлечения клиента.
Дополнительные затраты («невидимые») появляются у каждого предприятия, завершившего у себя внедрение корпоративной системы защиты информации. «Невидимые» затраты также разделяются на группы:
• затраты на оборудование – сюда включаются затраты на приобретение или обновление средств защиты информации, на организацию бесперебойного питания и резервного копирования информации, на установку новых устройств безопасности и пр.;
• дополнительное программное обеспечение – системы управления безопасностью, VPN, межсетевые экраны, антивирусы и пр.;
• персонал – например, ошибки и трудности в работе со средствами защиты, неприятие или даже саботаж новых средств защиты и т. д.;
• стоимость возможностей – стоимость возможных альтернатив. Рассматриваются следующие варианты: приобретение или обновление корпоративной системы защиты информации, сделать ли это собственными силами или заказать сторонней организации;
• другие – в этом случае оценивается степень и стоимость риска «выхода из строя» системы.Показатель ТСО корпоративной системы информационной безопасности рассчитывается как сумма всех затрат, «видимых» и «невидимых». Затем этот показатель сравнивается с рекомендуемыми величинами для данного типа предприятия. Существует 17 типов предприятий, которые в свою очередь делятся на малые, средние и крупные.
Если полученная совокупная стоимость владения системы безопасности значительно превышает рекомендованное значение и приближается к предельному, то необходимо принять меры по снижению ТСО. Сокращения совокупной стоимости владения можно достичь следующими способами: максимальной централизацией управления безопасностью, уменьшением числа специализированных элементов, настройкой прикладного программного обеспечения безопасности и пр.
Функционально-стоимостной анализ (Activity Based Costing, ABC). ABC – это процесс распределения затрат с использованием первичных носителей стоимости, ориентированных на производственную и/или логистическую структуру предприятия с конечным распределением затрат по основным носителям (продуктам и услугам). Данный подход позволяет весьма точно и понятно установить связь между элементами себестоимости продукции и производственными процессами.
При оценке эффективности корпоративных систем защиты информации метод ABC используется для построения моделей бизнес-процессов предприятия «как есть» и «как будет». Модель «как будет» отражает изменение технологии реализации основных бизнес-процессов при использовании выбранной корпоративной системы информационной безопасности. На основе показателей стоимости, трудоемкости и производительности определяется наилучшая модель бизнес-процессов «как будет».
Читать дальшеИнтервал:
Закладка:
