Политики безопасности компании при работе в Интернет
Шрифт:
Пусть вероятность происшествия описана семью уровнями – от «незначительного» до «экстремального». Определим эти уровни в следующей таблице (табл. П5.17). Таблица П5.17. Преобразованные вероятности угроз к ежегодной частоте
Последствия от нарушения политики безопасности также описаны шестью уровнями – от «несущественного» к «критическому», и каждому уровню соответствуют потери в случае ликвидации нарушений, которые определены экспертами Gartner Group (см. табл. П5.18). Таблица П5.18. Последствия, преобразованные в стоимость ликвидации нарушений
Теперь
ALE = f × L, где:
f – частота возникновения потенциальной угрозы, уровень которой определяется на основании вероятности (см. табл. П5.17).
L – величина потерь в рублях, которая определяется на основании степени тяжести нарушения (см. табл. П5.18).
Таблица П5.19. Расчет показателя ожидаемых потерь для ЗАО «Страхование»Примечание: потенциальные угрозы, указанные в табл. для ЗАО «Страхование», определены согласно рекомендациям эксперта в области информационной безопасности.
Следующим шагом обоснования инвестиций в систему информационной безопасности является проведение анализа возврата инвестиций (см. табл. П5.21). Для этого сначала определим затраты на внедрение системы информационной безопасности.
Чтобы обеспечить должный уровень безопасности, в ЗАО «Страхование» необходимо внедрить следующие элементы системы информационной безопасности: систему защиты шлюзов Интернета, систему антивирусной защиты файловых серверов и рабочих станций и систему защиты корпоративной электронной почты. Руководством в качестве поставщика решений была выбрана компания Trend Micro, которая предоставляет широкий спектр решений в области информационной безопасности для предприятий различного масштаба.
Затраты на внедрение комплекса решений Trend Micro приведены в табл. П5.20.
Таблица П5.20. Инвестиции в систему корпоративной защиты для ЗАО «Страхование»
Период окупаемости инвестиционных проектов, связанных с внедрением информационных технологий, не должен превышать трех лет, поэтому период оценки эффективности данного проекта внедрения равен трем годам. Обозначим показатели оценки:
Свн – затраты на внедрение;
Сл – затраты на покупку лицензий;
С пр – затраты на проектные работы;
Ci – затраты на техническую поддержку;
ТСОт – текущий показатель ТСО (из отчетов ТСО Manager);
ТСОц – целевой показатель ТСО (из отчетов ТСО Manager);
ТСОф – фактический показатель ТСО;
AS – ежегодные сбережения;
В – выгоды при оптимизации показателя ТСО;
CF – денежный поток;
r – ставка дисконтирования;
NPV3 – чистая приведенная стоимость затрат на проект внедрения; NPVfl – чистая приведенная стоимость доходов от проекта внедрения.
Затраты на внедрение системы защиты информации рассчитываются по следующей формуле:Выгоды от оптимизации текущего показателя ТСО вычисляются по формуле:
Чистая приведенная стоимость затрат на проект внедрения и доходов от проекта внедрения
В первом случае роль денежного потока играют затраты на внедрение, а во втором – это выгоды от оптимизации показателя ТСО и внедрения корпоративной системы защиты. Таблица П5.21. Расчет показателей возврата инвестиций в систему информационной безопасности для ЗАО «Страхование»
Примечание: ставка дисконтирования равна ставке рефинансирования Центрального банка РФ (14 %).
Внутренняя норма рентабельности рассчитывается при NPV, равном нулю. Расчет точки безубыточности проекта внедрения корпоративной системы информационной безопасности выполнен графически (см. рис.), и точка безубыточности равна 1,6 года.
Рис. Расчет точки безубыточности проекта внедрения системы информационной безопасности
Таким образом, проект внедрения корпоративной системы информационной безопасности можно считать экономически выгодным, так как чистая приведенная стоимость доходов от проекта внедрения положительна и больше чистой приведенной стоимости затрат на проект внедрения в 2,9 раза.
Приложение 6 ПРИМЕРЫ МЕТОДИЧЕСКИХ МАТЕРИАЛОВ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Инструкция для администратора безопасности сети
Администратор безопасности сети компании X назначается из числа наиболее подготовленных системных администраторов, владеющих сетевыми технологиями на основе ТСР/IР-протокола.
Он отвечает за корректное функционирование брандмауэров, настройку и поддержание в работоспособном состоянии серверов и клиентов, а также за реализацию политики безопасности сети.
Администратор безопасности сети подчиняется начальнику ИТ-службы и его заместителю, а при организации группы интернет-технологий – руководителю группы.
Администратор безопасности сети обязан:
• администрировать брандмауэр преимущественно с локального терминала;
• использовать усиленную аутентификацию и сквозное шифрование трафика в случае удаленного соединения с брандмауэром;
• не использовать брандмауэр как сервер общего назначения;
• создавать ежедневные, еженедельные и ежемесячные архивные копии системных программ брандмауэра;
• при наличии «зеркального «брандмауэра поддерживать его в «холодном» резерве;
• контролировать все разрешенные соединения с внешними сетями;
• периодически проверять и удалять неиспользуемые логины пользователей;
• вести системный журнал соединений с внешними сетями;
• по указанию руководителя группы удалять все параметры ненужного соединения;
• использовать механизм шифрования при работе с частными виртуальными сетями, VPN;
• контролировать все утвержденные VPN-соединения;
• поддерживать механизмы распределения и администрирования ключей шифрования при эксплуатации VPN-соединений;
• администрировать все основные, вторичные или кэшируемые DNS-серверы;
• ежедневно, еженедельно и ежемесячно обновлять и хранить в установленном месте данные для проверки целостности брандмауэра; документировать параметры конфигурации брандмауэра в рабочих журналах;
• создавать ежедневные, еженедельные и ежемесячные отчеты для анализа сетевой активности;
• каждую неделю анализировать таблицы состояния брандмауэра для выявления следов атак;