Сергей Петренко - Политики безопасности компании при работе в Интернет

Тут можно читать онлайн Сергей Петренко - Политики безопасности компании при работе в Интернет - бесплатно ознакомительный отрывок. Жанр: Интернет. Здесь Вы можете читать ознакомительный отрывок из книги онлайн без регистрации и SMS на сайте лучшей интернет библиотеки ЛибКинг или прочесть краткое содержание (суть), предисловие и аннотацию. Так же сможете купить и скачать торрент в электронном формате fb2, найти и слушать аудиокнигу на русском языке или узнать сколько частей в серии и всего страниц в публикации. Читателям доступно смотреть обложку, картинки, описание и отзывы (комментарии) о произведении.

Читать книгу

Название:

Политики безопасности компании при работе в Интернет
Автор:

Сергей Петренко
Жанр:

Интернет
Издательство:

неизвестно
Год:

неизвестен
ISBN:

нет данных
Рейтинг:

3.4/5. Голосов: 101
Избранное:

Добавить в избранное
Отзывы:

Читать комментарии
Ваша оценка:
60

1

2

3

4

5

Сергей Петренко - Политики безопасности компании при работе в Интернет краткое содержание

Политики безопасности компании при работе в Интернет - описание и краткое содержание, автор Сергей Петренко, читайте бесплатно онлайн на сайте электронной библиотеки LibKing.Ru

Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.

Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.

Политики безопасности компании при работе в Интернет - читать онлайн бесплатно ознакомительный отрывок

Политики безопасности компании при работе в Интернет - читать книгу онлайн бесплатно (ознакомительный отрывок), автор Сергей Петренко

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Средний процент, отчисляемый на налоги, медицинское страхование, страхование от несчастных случаев и т. д. конечных пользователей (ЕСН) – 37 %.

Количество конечных пользователей – 2 869 чел.

Классификация конечных пользователей представлена в табл. П5.2-П5.3.

Таблица П5.2. Классификация конечных пользователей по типам Таблица П5.3. Классификация конечных пользователей по местоположению Таблица П5.4. Сравнение текущего и целевого уровней системы защиты

Форма ввода данных «Интервью» в ТСО Manager содержит сведения об информационных активах предприятия (аппаратные средства и программное обеспечение), информацию о конечных пользователях, и на основании этих данных мы получаем следующие отчеты (см. табл. П5.5-П5.7).

Также ТСО Manager, используя практический подход к определению совокупной стоимости владения, позволяет сравнивать текущие затраты с эталонными («лучшими в группе») и строить целевые показатели затрат (см. табл. П5.5-П5.15). В частности, в табл. П5.6-П5.15. приведена детализация и расшифровка укрупненных прямых и косвенных затрат, которые отображены в табл. П5.5.

Таблица П5.5. Анализ затрат по показателям ТСО

Окончание табл. П5.5

Таблица П5.6. Детализация затрат на программное обеспечение и оборудование по категориям

Таблица П5.7. Расшифровка затрат на аппаратные средства Таблица П5.8. Расшифровка затрат на программное обеспечение Таблица П5.9. Детализация операционных затрат Таблица П5.10. Расшифровка затрат на обслуживание клиентских мест и периферийных устройств Таблица П5.11. Расшифровка затрат на обслуживание серверов Таблица П5.12. Расшифровка затрат на планирование и управление процессами Таблица П5.13. Детализация административных затрат Таблица П5.14. Расшифровка финансовых и административных затрат Таблица П5.15. Расшифровка затрат на поддержку конечных пользователей

Целевые показатели моделируются на основании проекта модернизации корпоративной системы антивирусной защиты и системы управления доступом на объекте информатизации (физическая защита).

Условно определяют три возможных состояния системы защиты КИС от вирусов и вредоносного программного обеспечения, а именно: базовое, среднее и высокое. Рассмотрим характеристики этих состояний:

• базовое – стационарные и мобильные рабочие станции обладают локальной защитой от вирусов. Антивирусное программное обеспечение и базы сигнатур регулярно обновляются для успешного распознавания и парирования новых вирусов. Установлена программа автоматического уничтожения наиболее опасных вирусов. Основная цель уровня – организация минимальной защиты от вирусов и враждебного программного обеспечения при небольших затратах;

• среднее – установлена сетевая программа обнаружения вирусов. Управление программными обновлениями на сервере автоматизировано. Системный контроль над событиями оповещает о случаях появления вирусов и предоставляет информацию по предотвращению дальнейшего распространения вирусов. Превентивная защита от вирусов предполагает выработку и следование определенной политике защиты информации, передаваемой по открытым каналам связи Интернета. Дополнительно к техническим мерам активно предлагаются и используются организационные меры защиты информации;

• высокое – антивирусная защита воспринимается как один из основных компонентов корпоративной системы защиты. Система антивирусной защиты тесно интегрирована в комплексную систему централизованного управления информационной безопасностью компании и обладает максимальной степенью автоматизации. При этом организационные меры по защите информации преобладают над техническими мерами. Стратегия защиты информации определяется исключительно стратегией развития бизнеса компании.

Согласно практическому подходу в ТСО Manager формируется отчет (табл. П5.4.) для ЗАО «Страхование», в котором отражаются требования к состоянию корпоративной системы защиты на основании данных о типе предприятия и текущего показателя ТСО.

Таким образом, можно сделать вывод о том, что ЗАО «Страхование» необходимо повышать уровень защиты информационной системы от вирусов, совершенствовать технологию управления активами и проводить обучение конечных пользователей и специалистов отдела информационных технологий.

Теперь обратимся к отчетам по совокупной стоимости владения, приведенным в таблицах, и проанализируем полученные показатели ТСО.

Сопоставляя табл. П5.4 и данные отчетов (табл. П5.5-П5.15), можно сделать следующие выводы: при построении целевой модели ТСО наибольшему снижению подверглись административные затраты на управление (на 44 %) и затраты при простое (на 43 %). Сокращение административных расходов связано в основном с внедрением автоматизированной системы управления активами, а значительное снижение затрат от простоев – с пересмотром уровня знаний конечных пользователей и ИТ-персонала и увеличением затрат на обучение.

Небольшое повышение затрат на аппаратные средства (на 16 %) вызвано закупкой оборудования, необходимого для внедрения корпоративной системы защиты.

Таким образом, целевой показатель ТСО значительно меньше текущего, но вместе с тем поддержание соответствующего уровня защиты требует существенных расходов (5–7% от ежегодного дохода), и для обоснования этих расходов необходимо применять методы оценки эффективности инвестиций в корпоративную систему информационной безопасности.

2. Обоснование инвестиций в информационную безопасность

Впервые термин Return on Investment for Security (ROSI) был введен в употребление специалистами в области IT Security после публикации в начале 2002 года статьи в журнале СЮ Magazine «Finally, a Real Return on Security Spending». Примерно в это же время вышло несколько статьей, посвященных количественным методам оценки затрат на безопасность. Сегодня тема возврата инвестиций (Return on Investment, ROI) в информационные технологии стала темой повышенного интереса для ТОР-менеджмента многих российских компаний. При этом особое внимание уделяется методам расчета возврата инвестиций в безопасность (Return on Investment for Security, ROSI).

Традиционно обоснования расходов на безопасность были в большинстве своем качественными или «стратегическими», доказывающими, что без инвестирования в корпоративную систему защиты информации компания упускает более «осязаемые» выгоды. Обоснование расходов на информационную безопасность включало в себя следующие утверждения:

• расходы на безопасность являются составляющей стоимости ведения бизнеса;

• расходы на безопасность родственны расходам на страхование;

• компания не может заниматься электронной коммерцией без обеспечения определенного уровня защиты электронных денежных потоков;