Сергей Петренко - Политики безопасности компании при работе в Интернет

Тут можно читать онлайн Сергей Петренко - Политики безопасности компании при работе в Интернет - бесплатно ознакомительный отрывок. Жанр: Интернет. Здесь Вы можете читать ознакомительный отрывок из книги онлайн без регистрации и SMS на сайте лучшей интернет библиотеки ЛибКинг или прочесть краткое содержание (суть), предисловие и аннотацию. Так же сможете купить и скачать торрент в электронном формате fb2, найти и слушать аудиокнигу на русском языке или узнать сколько частей в серии и всего страниц в публикации. Читателям доступно смотреть обложку, картинки, описание и отзывы (комментарии) о произведении.

Читать книгу

Название:

Политики безопасности компании при работе в Интернет
Автор:

Сергей Петренко
Жанр:

Интернет
Издательство:

неизвестно
Год:

неизвестен
ISBN:

нет данных
Рейтинг:

3.4/5. Голосов: 101
Избранное:

Добавить в избранное
Отзывы:

Читать комментарии
Ваша оценка:
60

1

2

3

4

5

Сергей Петренко - Политики безопасности компании при работе в Интернет краткое содержание

Политики безопасности компании при работе в Интернет - описание и краткое содержание, автор Сергей Петренко, читайте бесплатно онлайн на сайте электронной библиотеки LibKing.Ru

Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.

Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.

Политики безопасности компании при работе в Интернет - читать онлайн бесплатно ознакомительный отрывок

Политики безопасности компании при работе в Интернет - читать книгу онлайн бесплатно (ознакомительный отрывок), автор Сергей Петренко

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

• безопасность является одним из аспектов управления рисками;

• заказчик имеет право подать на компанию в суд, если она отказывается соблюдать минимальные стандарты безопасности (например, защищать конфиденциальную информацию о клиенте);

• нежелание вкладывать денежные средства в безопасность означает нежелание следовать общим тенденциям развития информационных технологий.

После приведения подобных доводов ни у кого не вызывает сомнений необходимость расходов на требуемый уровень информационной безопасности компании, но вместе с этим появляется потребность количественного расчета для финансового обоснования инвестиций в корпоративную систему защиты информации. Давайте посмотрим, какие способы обоснования инвестиций в корпоративные системы защиты информации существуют и подтверждены практикой.

Метод ожидаемых потерь

Этот подход базируется на том, что вычисляются потери от нарушений политики безопасности, с которыми может столкнуться компания, и эти потери сравниваются с инвестициями в безопасность, направленными на предотвращение нарушений. Метод ожидаемых потерь основан на эмпирическом опыте организаций и сведениях о вторжениях, о потерях от вирусов, об отражении сервисных нападений и т. д. Например, нарушения безопасности коммерческих организаций приводят к следующим финансовым потерям:

• при ведении электронной коммерции – потери, связанные с простоем и выходом из строя сетевого оборудования;

• нанесение ущерба имиджу и репутации компании;

• оплата сверхурочной работы ИТ-персонала и/или оплата работ подрядчиков, которые занимались восстановлением корпоративной информационной системы;

• оплата консультаций внешних специалистов, которые осуществляли восстановление данных, выполняли ремонт и оказывали юридическую помощь;

• оплата ремонта физических повреждений от виртуальных атак;

• судебные издержки при подаче искового заявления о виртуальных преступлениях и нарушениях политики безопасности.

Чтобы «смягчить» ожидаемые потери, компания должна инвестировать средства в безопасность (сетевые экраны, системы обнаружения вторжений, чтобы предотвратить атаку, антивирусы для обнаружения различных форм вирусов). Если компания решает установить систему информационной безопасности, то ее стоимость обобщенно будет складываться из:

единовременных затрат:

– покупка лицензий антивирусного программного обеспечения, средств Firewall, средств AAA;

– приобретение аппаратных средств;

– возможно, оплата консультаций внешнего эксперта в области информационной безопасности;

периодических затрат:

– затраты на техническую поддержку и сопровождение;

– заработная плата ИТ-персонала;

– затраты на наем необходимых специалистов;

– затраты на исследование угроз нарушений политики безопасности.

Следует отметить, что нет совершенной системы информационной безопасности. Чтобы определить эффект от внедрения системы информационной безопасности, мы должны вычислить показатель ожидаемых потерь (Annualized Loss Expectancy, ALE). По оценкам экспертов, правильно установленная и настроенная система защиты дает 85 % эффективности в предупреждении или уменьшении потерь от нарушений политики безопасности. Следовательно, финансовая выгода обеспечивается ежегодной экономией средств компании, достигаемой при внедрении системы информационной безопасности:

AS = ALE × E – AC, где:

AS – ежегодные сбережения (Annual Saving),

ALE – показатель ожидаемых потерь (Annualized Loss Expectancy),

Е – эффективность системы защиты (около 85 %),

АС – ежегодные затраты на безопасность (Annual Cost).

Метод оценки свойств системы безопасности

Метод оценки свойств системы безопасности (Security Attribute Evaluation Method, SAEM) был разработан в Carnegie Melon University, он основан на сравнении различных архитектур систем информационной безопасности для получения стоимостных результатов оценки выгод от внедрения системы информационной безопасности. Методология SAEM заключается в том, чтобы, объединив вероятность события и ранжировав воздействие окружающей среды, предложить различные проекты по информационной безопасности с многовариантным влиянием окружающей среды на относительные затраты.

Недостатком метода является то, что чаще всего безопасность находится вне понимания менеджеров, занимающихся оценкой эффективности, а специалисты по информационной безопасности редко имеют точные данные относительно выгод, приносимых технологией, поэтому приходится полагаться на опыт и интуицию и на их основе принимать решения. Однако этот метод может быть использован для предоставления комплекса разнообразных мер по информационной безопасности и для поддержки принятия решения при выборе тех или иных мероприятий.

Анализ «дерева ошибок»

Нетрадиционным инструментом оценки выгод является метод анализа «дерева ошибок» (Fault Tree Analysis). Цель применения данного метода – показать, в чем заключаются причины нарушений политики безопасности, и какие сглаживающие контрмеры могут быть применены. «Дерево ошибок» – это графическое средство, которое позволяет свести всю систему возможных нарушений к логическим отношениям «и – или» компонентов этой системы. Если доступны данные по нормам отказа критических компонентов системы, то «дерево ошибок» позволяет определить ожидаемую вероятность отказа всей системы.

Применяя этот метод к системам информационной безопасности, мы можем построить «дерево» с причинно-следственными отношениями между атаками на систему и нарушениями системы. Использование контрмер по предотвращению нарушений позволяет уменьшить ответвления «дерева» и, таким образом, может быть определен эффект от внедрения системы информационной безопасности на сравнении «двух деревьев» с использованием контрмер и без.

Важно заметить, что этот метод базируется на двух связанных предположениях: во-первых, что компоненты системы разрушаются случайным образом согласно хорошо известной статистике, во-вторых, на самом нижнем уровне «дерева» составляющие отказа независимы друг от друга. Все-таки отказы программного обеспечения системы информационной безопасности неслучайны и, скорее всего, возникают из-за системных ошибок, что в большинстве случаев влияет на работу других частей системы. Об этом не следует забывать при применении данного метода к системе информационной безопасности.

В настоящее время метод еще недостаточно адаптирован к области информационной безопасности и требует дальнейшего изучения.

Выбор подходящего метода

Принципиальный недостаток приведенных выше методов в том, что они не дают количественной оценки стоимости и выгод от контрмер безопасности, кроме метода ожидаемых потерь, объединяющего выгоду от каждой контрмеры в единый количественный показатель «эффективности». А с точки зрения системы безопасности этот показатель интерпретируется как показатель пригодности всей системы защиты, который обычно указан в договоре с поставщиком системы защиты.