Сергей Петренко - Политики безопасности компании при работе в Интернет
- Название:Политики безопасности компании при работе в Интернет
- Автор:
- Жанр:
- Издательство:неизвестно
- Год:неизвестен
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Сергей Петренко - Политики безопасности компании при работе в Интернет краткое содержание
Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.
Политики безопасности компании при работе в Интернет - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
Компания Microsoft разработала стратегию безопасности, состоящую из 4 основных компонент:
• миссия корпоративной безопасности,
• принципы операционной безопасности,
• модель принятия решений, основанная на анализе рисков,
• тактическое определение приоритетности действий по уменьшению рисков.
Фундаментом для дизайна, разработки и нормального функционирования защищенных систем являются принципы безопасности, разделенные на несколько категорий (см. табл. 2.3). Таблица 2.3. Принципы безопасности защищенных систем
Для обеспечения информационной безопасности Corporate Security Group использует подход по управлению информационными рисками (рис. 2.4). Под управлением рисками здесь понимается процесс определения, оценки и уменьшения рисков на постоянной основе. Управление рисками безопасности позволяет найти разумный баланс между стоимостью средств и мер защиты и требованиями бизнеса. Модель управления рисками Corporate Security Group представляет собой комбинацию различных подходов, таких, как количественный анализ рисков, анализ возврата инвестиций в безопасность, качественный анализ рисков, а также подходы лучших практик.
Рис. 2.4. Модель управления рисками Corporate Security Group
Инвестирование в процесс управления рисками – с цельной структурой и определенными ролями и обязанностями – готовит организацию к определению приоритетов, планированию уменьшения угрозы и переходу к парированию или нейтрализации следующей угрозы или уязвимости. Для наилучшего управления рисками Corporate Security Group следует традиционному подходу по управлению рисками, состоящему из четырех этапов:
• оценка информационных рисков – выполнение методологии оценки риска для определения его величины;
• разработка политики безопасности – разработка политики безопасности по уменьшению, уклонению и предупреждению рисков;
• внедрение средств защиты – объединение сотрудников, процессов и технологий для уменьшения рисков, связанных с анализом соотношения «цена – качество»;
• аудит безопасности и измерение текущей защищенности – мониторинг, аудит безопасности и измерение защищенности информационных систем компании.
Как видно из рис. 2.5, разработка политики является одним из этапов по управлению информационными рисками.
Методология, используемая при разработке политики, базируется на стандарте ISO 17799:2005 (BS 7799).
Рекомендуемая компанией Microsoft политика безопасности включает в себя:
• определение целей безопасности;
• важность обеспечения безопасности;Рис. 2.5. Этапы управления информационными рисками
• определение требуемого уровня безопасности;
• стандарты безопасности, включая стратегии их мониторинга и аудита;
• роли и ответственность по обеспечению безопасности;
• цели и задачи офицера по безопасности;
• определение процессов по защите индивидуальных компонентов архитектуры;
• определение программ обучения вопросам безопасности.
Примерами декларируемых целей безопасности являются:
• достижение максимально возможного уровня качества, надежности и конфиденциальности информации;
• сохранение репутации компании;
• недопущение повреждения или утери информации, процессов, собственности компании и обеспечение таким образом непрерывной работы компании;
• сохранение ценности информации, интеллектуальной собственности и технологических ресурсов.Для разработки целей безопасности создается комитет по информационной безопасности. Комитет состоит из сотрудников с опытом работы в области безопасности, технических сотрудников и представителей других подразделений под руководством офицера по безопасности. Комитет решает следующие задачи:
• разработка и управление жизненным циклом политики безопасности;
• создание процессов, обеспечивающих достижение целей безопасности;
• создание процессов и планов по реализации стандартов, описанных в политике;
• помощь в организации программ ознакомления с вопросами безопасности;
• консультирование персонала по вопросам безопасности;
• определение бюджета и требуемых ресурсов по обеспечению безопасности.2.5. Подход компании Symantec
Руководящие документы в области безопасности (политики, стандарты, процедуры и метрики безопасности), как полагают в Symatec, являются основой любой успешной программы обеспечения информационной безопасности компании (см. рис. 2.6).
Рис. 2.6. Жизненный цикл обеспечения информационной безопасности организации
Наглядно проявления различий политик, стандартов и процедур безопасности представлены на рис. 2.7.
Рис. 2.7. Различия политики, стандартов и процедур безопасности
Политика информационной безопасности определяет, почему компания защищает свою информацию. Стандарты – что компания намерена предпринимать для реализации и управления безопасностью информации. Процедуры описывают, как компания будет выполнять требования, описанные в высокоуровневых документах (политике и руководствах). Руководства представляют собой рекомендации, которым сотрудникам желательно следовать.
2.5.1. Описание политики безопасности
Основные этапы разработки политики безопасности. Компания Symantec выделяет следующие основные этапы разработки политики безопасности:
• определение и оценка информационных активов – какие активы необходимо защищать и как их защищать с учетом целей и задач бизнеса;
• определение угроз безопасности – выявление потенциальных источников проблем в области безопасности компании. Оценка вероятности реализации угрозы и оценка возможного ущерба. При этом выделяют внешние и внутренние угрозы безопасности;
• оценка информационных рисков – представляет собой один из самых сложных этапов процесса разработки политики безопасности. На этом этапе необходимо определить вероятность реализации угроз и выделить те из них, что нанесут наибольший ущерб. Ущерб выражается не только количественно, например в денежном эквиваленте, но и качественно, для отражения ущерба, вызванного потерей имиджа компании, потерей конфиденциальности взаимоотношений с определенными стратегически важными клиентами и партнерами;
• определение ответственности – выбор команды разработчиков, способной определить потенциальные угрозы во всех областях деятельности компании. В идеале в процессе разработки политики безопасности должны принимать участие представители всех ключевых подразделений компании. Ключевые члены команды – представители руководства, отдела кадров, юридического отдела, отдела по связям с общественностью, сетевые администраторы, эксперты в области информационной безопасности;
Читать дальшеИнтервал:
Закладка:
