Сергей Петренко - Политики безопасности компании при работе в Интернет
- Название:Политики безопасности компании при работе в Интернет
- Автор:
- Жанр:
- Издательство:неизвестно
- Год:неизвестен
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Сергей Петренко - Политики безопасности компании при работе в Интернет краткое содержание
Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.
Политики безопасности компании при работе в Интернет - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
– оплата работы специалистов, выполняющих работы по определению возможного ущерба и переоценке степени риска;
• затраты на ликвидацию последствий нарушения режима информационной безопасности:
– восстановление системы безопасности до соответствия требованиям политики безопасности;
– установка патчей или приобретение последних версий программных средств защиты информации;
– приобретение технических средств взамен пришедших в негодность;
– проведение дополнительных испытаний и проверок технологических информационных систем;
– затраты на утилизацию скомпрометированных ресурсов;
• восстановление информационных ресурсов предприятия:
– затраты на восстановление баз данных и прочих информационных массивов;
– затраты на проведение мероприятий по контролю достоверности данных, подвергшихся атаке на целостность;
• затраты на выявление причин нарушения политики безопасности:
– затраты на проведение расследований нарушений политики безопасности (сбор данных о способах совершения, механизме и способах сокрытия неправомерного деяния, поиск следов, орудий, предметов посягательства, выявление мотивов неправомерных действий и т. д.);
– затраты на обновление планов обеспечения непрерывности деятельности службы безопасности;
• затраты на переделки:
– затраты на внедрение дополнительных средств защиты, требующих существенной перестройки системы безопасности;
– затраты на повторные проверки и испытания системы защиты информации.4. Внешние затраты на ликвидацию последствий нарушения политики информационной безопасности:
• внешние затраты на ликвидацию последствий нарушения политики безопасности:
– обязательства перед государством и партнерами;
– затраты на юридические споры и выплаты компенсаций;
– потери в результате разрыва деловых отношений с партнерами;
• потеря новаторства:
– затраты на проведение дополнительных исследований и разработки новой рыночной стратегии;
– отказ от организационных, научно-технических или коммерческих решений, ставших неэффективными в результате утечки сведений, и затраты на разработку новых средств ведения конкурентной борьбы;
– потери от снижения приоритета в научных исследованиях и невозможности патентования и продажи лицензий на научно-технические достижения;
• прочие затраты:
– заработная плата секретарей и служащих, организационные и прочие расходы, которые непосредственно связаны с предупредительными мероприятиями;
– другие виды возможного ущерба предприятию, в том числе связанные с невозможностью выполнения функциональных задач, определенных его уставом.5. Затраты на техническое обслуживание системы защиты информации и мероприятия по предотвращению нарушений политики безопасности предприятия (предупредительные мероприятия):
• затраты на управление системой защиты информации:
– затраты на планирование системы защиты информации предприятия;
– затраты на изучение возможностей информационной инфраструктуры предприятия по обеспечению безопасности информации ограниченного распространения;
– затраты на осуществление технической поддержки производственного персонала при внедрении средств защиты и процедур, а также планов по защите информации;
– проверка сотрудников на лояльность, выявление угроз безопасности;
– организация системы допуска исполнителей и сотрудников конфиденциального делопроизводства с соответствующими штатами и оргтехникой;
• регламентное обслуживание средств защиты информации:
– затраты, связанные с обслуживанием и настройкой программно-технических средств защиты, операционных систем и используемого сетевого оборудования;
– затраты, связанные с организацией сетевого взаимодействия и безопасного использования информационных систем;
– затраты на поддержание системы резервного копирования и ведения архива данных;
– проведение инженерно-технических работ по установлению сигнализации, оборудованию хранилищ конфиденциальных документов, защите телефонных линий связи, вычислительной техники и т. п.;
• аудит системы безопасности:
– затраты на контроль изменений состояния информационной среды предприятия;
– затраты на систему контроля за действиями исполнителей;
• обеспечение должного качества информационных технологий:
– затраты на обеспечение соответствия требованиям качества информационных технологий, в том числе анализ возможных негативных аспектов информационных технологий, которые влияют на целостность и доступность информации;
– затраты на доставку (обмен) конфиденциальной информации;
– удовлетворение субъективных требований пользователей: стиль, удобство интерфейса и др.;
• обеспечение требований стандартов:
– затраты на обеспечение соответствия принятым стандартам и требованиям, достоверности информации, действенности средств защиты;
• обучение персонала:
– повышение квалификации сотрудников предприятия в вопросах использования имеющихся средств защиты, выявления и предотвращения угроз безопасности;
– развитие нормативной базы службы безопасности.Пример использования методики Total Cost of Ownership
Допустим, что объектом исследования является страховая компания ЗАО «Страхование». Название компании вымышленное, возможные совпадения случайны и носят непреднамеренный характер.
Для определения затрат на систему информационной безопасности по методике совокупной стоимости владения воспользуемся программным продуктом ТСО Manager компании Gartner Group. Технология работы с ПП ТСО Manager заключается в следующем: пользователь вводит первоначальные данные об объекте (профайл компании, данные о конечных пользователях, об информационных активах предприятия), исходя из них определяется текущий показатель ТСО и вычисляются ежегодные затраты на поддержание существующего уровня безопасности. Также ТСО Manager позволяет оптимизировать показатель ТСО, сравнив текущий показатель ТСО компании с «лучшим» в отрасли и смоделировав целевой показатель ТСО для данного предприятия.
Теперь обратимся к исходным данным по ЗАО «Страхование» и вычислим текущий показатель ТСО.
Название компании – ЗАО «Страхование».
Период анализа – январь-декабрь 2004 года.
Основной вид деятельности – страхование.
Общий годовой доход – 450 млн. руб.
Количество рабочих часов в год – 1880 час/год.
Средняя годовая зарплата конечных пользователей – 38 тыс. руб.
Средний процент, отчисляемый на налоги, медицинское страхование, страхование от несчастных случаев и т. д. персонала службы безопасности (ЕСН) – 37 %.
Читать дальшеИнтервал:
Закладка:
