Политики безопасности компании при работе в Интернет
Шрифт:
Выгоды от оптимизации текущего показателя ТСО вычисляются по формуле:
Чистая приведенная стоимость затрат на проект внедрения и доходов от проекта внедрения рассчитываются по следующим формулам:
В первом случае роль денежного потока играют затраты на внедрение,
Примечание: ставка дисконтирования равна ставке рефинансирования Центрального банка РФ (14 %).
Внутренняя норма рентабельности рассчитывается при NPV, равном нулю. Расчет точки безубыточности проекта внедрения корпоративной системы информационной безопасности выполнен графически (см. рис.), и точка безубыточности равна 1,6 года.
Рис. Расчет точки безубыточности проекта внедрения системы информационной безопасности
Таким образом, проект внедрения корпоративной системы информационной безопасности можно считать экономически выгодным, так как чистая приведенная стоимость доходов от проекта внедрения положительна и больше чистой приведенной стоимости затрат на проект внедрения в 2,9 раза.
Приложение 6 ПРИМЕРЫ МЕТОДИЧЕСКИХ МАТЕРИАЛОВ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Инструкция для администратора безопасности сети
Администратор безопасности сети компании X назначается из числа наиболее подготовленных системных администраторов, владеющих сетевыми технологиями на основе ТСР/IР-протокола.
Он отвечает за корректное функционирование брандмауэров, настройку и поддержание в работоспособном состоянии серверов и клиентов, а также за реализацию политики безопасности сети.
Администратор безопасности сети подчиняется начальнику ИТ-службы и его заместителю, а при организации группы интернет-технологий – руководителю группы.
Администратор безопасности сети обязан:
• администрировать брандмауэр преимущественно с локального терминала;
• использовать усиленную аутентификацию и сквозное шифрование трафика в случае удаленного соединения с брандмауэром;
• не использовать брандмауэр как сервер общего назначения;
• создавать ежедневные, еженедельные и ежемесячные архивные копии системных программ брандмауэра;
• при наличии «зеркального «брандмауэра поддерживать его в «холодном» резерве;
• контролировать все разрешенные соединения с внешними сетями;
• периодически проверять и удалять неиспользуемые логины пользователей;
• вести системный журнал соединений с внешними сетями;
• по указанию руководителя группы удалять все параметры ненужного соединения;
• использовать механизм шифрования при работе с частными виртуальными сетями, VPN;
• контролировать все утвержденные VPN-соединения;
• поддерживать механизмы распределения и администрирования
ключей шифрования при эксплуатации VPN-соединений;• администрировать все основные, вторичные или кэшируемые DNS-серверы;
• ежедневно, еженедельно и ежемесячно обновлять и хранить в установленном месте данные для проверки целостности брандмауэра; документировать параметры конфигурации брандмауэра в рабочих журналах;
• создавать ежедневные, еженедельные и ежемесячные отчеты для анализа сетевой активности;
• каждую неделю анализировать таблицы состояния брандмауэра для выявления следов атак;
• в случае атаки немедленно прибыть к локальному терминалу брандмауэра и предпринять необходимые контрмеры;
• обнаруживать попытки сканирования или зондирования брандмауэра сети; блокировать работу всех типов программ, представляющих угрозу безопасности сети;
• при выявлении факта проникновения поставить в известность руководителя группы и с его разрешения отключить брандмауэр сети от Интернета. Переконфигурировать брандмауэр и подключиться к Интернету; придерживаться рекомендаций производителя брандмауэра в отношении мощности процессора и объема оперативной памяти; производить оценку возможностей каждой новой версии брандмауэра на предмет необходимости установления доработок;
• оперативно модифицировать исполняемый код брандмауэра по рекомендациям его производителя;
• получать модули доработки брандмауэра только у его производителя; подписаться на список рассылки производителя брандмауэра или другим доступным способом получать информацию обо всех требуемых доработках; выявлять недокументированные возможности брандмауэра и уметь их парировать при его эксплуатации;
• запретить использование Интернета в личных целях; запретить доступ в Интернет с использованием нештатных модемов; определить порядок доступа в Интернет через шлюзы сети; регулярно пересматривать политику сетевой безопасности (не реже одного раза в три месяца);
• следить за тем, чтобы структура и параметры сети были скрыты внешним брандмауэром;
• выявлять и наказывать всех нарушителей системной политики безопасности сети;
• тестировать брандмауэр перед началом работы и проверять правильность его конфигурации;
• сконфигурировать брандмауэр так, чтобы он был прозрачен для входящих соединений;
• контролировать трафик на открытый интернет-сервер и закрытый интранет-сервер;
• в случае аварии или сбоя брандмауэра блокировать доступ к любым сетевым службам;
• запретить маршрутизацию источника на всех брандмауэрах и внешних маршрутизаторах;
• блокировать трафик из внешних интерфейсов, выдающих себя за внутренние интерфейсы сети;
• вести журнал нештатных ситуаций брандмауэра;
• вести рабочий журнал работы брандмауэра, в котором отражать: схему сети с IP-адресами всех сетевых устройств, IP-адреса провайдера (внешние серверы новостей, маршрутизаторы, DNS-серверы и др.), параметры конфигурации брандмауэра, правила фильтрации пакетов и т. п.;
• использовать для хранения журналов и системных носителей специальное место хранения с ограниченным доступом;
• по умолчанию запретить все сервисы, которые явно не разрешены;
• проводить регулярный аудит брандмауэра на предмет выявления попыток проникновения или неверного использования Интернета;
• немедленно устранять все ситуации, приводящие к сбою или аварийному завершению брандмауэра;
• обслуживать брандмауэр на выделенном сервере. При этом все системные и прикладные программы, не относящиеся к брандмауэру, удалить или заблокировать;