Сергей Петренко: Политики безопасности компании при работе в Интернет

Затраты на внедрение комплекса решений Trend Micro приведены в табл. П5.20.

Таблица П5.20. Инвестиции в систему корпоративной защиты для ЗАО «Страхование»

Период окупаемости инвестиционных проектов, связанных с внедрением информационных технологий, не должен превышать трех лет, поэтому период оценки эффективности данного проекта внедрения равен трем годам. Обозначим показатели оценки:

Свн – затраты на внедрение;

Сл – затраты на покупку лицензий;

С пр – затраты на проектные работы;

Ci – затраты на техническую поддержку;

ТСОт – текущий показатель ТСО (из отчетов ТСО Manager);

ТСОц – целевой показатель ТСО (из отчетов ТСО Manager);

ТСОф – фактический показатель ТСО;

AS – ежегодные сбережения;

В – выгоды при оптимизации показателя ТСО;

CF – денежный поток;

r – ставка дисконтирования;

NPV3 – чистая приведенная стоимость затрат на проект внедрения; NPVfl – чистая приведенная стоимость доходов от проекта внедрения.

Выгоды от оптимизации текущего показателя ТСО вычисляются по формуле:

Чистая приведенная стоимость затрат на проект внедрения и доходов от проекта внедрения рассчитываются по следующим формулам:

В первом случае роль денежного потока играют затраты на внедрение, а во втором – это выгоды от оптимизации показателя ТСО и внедрения корпоративной системы защиты. Таблица П5.21. Расчет показателей возврата инвестиций в систему информационной безопасности для ЗАО «Страхование»

Внутренняя норма рентабельности рассчитывается при NPV, равном нулю. Расчет точки безубыточности проекта внедрения корпоративной системы информационной безопасности выполнен графически (см. рис.), и точка безубыточности равна 1,6 года.

Таким образом, проект внедрения корпоративной системы информационной безопасности можно считать экономически выгодным, так как чистая приведенная стоимость доходов от проекта внедрения положительна и больше чистой приведенной стоимости затрат на проект внедрения в 2,9 раза.

Инструкция для администратора безопасности сети

Администратор безопасности сети компании X назначается из числа наиболее подготовленных системных администраторов, владеющих сетевыми технологиями на основе ТСР/IР-протокола.

Он отвечает за корректное функционирование брандмауэров, настройку и поддержание в работоспособном состоянии серверов и клиентов, а также за реализацию политики безопасности сети.

Администратор безопасности сети подчиняется начальнику ИТ-службы и его заместителю, а при организации группы интернет-технологий – руководителю группы.

Администратор безопасности сети обязан:

• администрировать брандмауэр преимущественно с локального терминала;

• использовать усиленную аутентификацию и сквозное шифрование трафика в случае удаленного соединения с брандмауэром;

• не использовать брандмауэр как сервер общего назначения;

• создавать ежедневные, еженедельные и ежемесячные архивные копии системных программ брандмауэра;

• при наличии «зеркального «брандмауэра поддерживать его в «холодном» резерве;

• контролировать все разрешенные соединения с внешними сетями;

• периодически проверять и удалять неиспользуемые логины пользователей;

• вести системный журнал соединений с внешними сетями;

• по указанию руководителя группы удалять все параметры ненужного соединения;

• использовать механизм шифрования при работе с частными виртуальными сетями, VPN;

• контролировать все утвержденные VPN-соединения;

• поддерживать механизмы распределения и администрирования ключей шифрования при эксплуатации VPN-соединений;

• администрировать все основные, вторичные или кэшируемые DNS-серверы;

• ежедневно, еженедельно и ежемесячно обновлять и хранить в установленном месте данные для проверки целостности брандмауэра; документировать параметры конфигурации брандмауэра в рабочих журналах;

• создавать ежедневные, еженедельные и ежемесячные отчеты для анализа сетевой активности;