Сергей Петренко - Политики безопасности компании при работе в Интернет
- Название:Политики безопасности компании при работе в Интернет
- Автор:
- Жанр:
- Издательство:неизвестно
- Год:неизвестен
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Сергей Петренко - Политики безопасности компании при работе в Интернет краткое содержание
Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.
Политики безопасности компании при работе в Интернет - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
• необходимость обеспечения информационной безопасности;
• основные понятия и определения информационной безопасности;
• политика информационной безопасности компании;
• организация информационной безопасности на предприятии;
• классификация и управление корпоративными информационными ресурсами;
• вопросы безопасности, связанные с персоналом;
Рис. 3.1. Характеристика современных стандартов безопасности
Рис. 3.2. Алгоритм применения стандарта ISO 17799
Рис. 3.3. Основные области применения стандарта ISO 17799
• физическая безопасность;
• администрирование безопасности корпоративных информационных систем;
• управление доступом;
• требования по безопасности к корпоративным информационным системам в ходе их разработки, эксплуатации и сопровождения;
• управление бизнес-процессами компании с точки зрения информационной безопасности;
• внутренний аудит информационной безопасности компании;
• обеспечение непрерывности бизнеса;
• соответствие требованиям.
Вторая часть стандарта BS 7799-2:2002 «Спецификации систем управления информационной безопасностью» («Information Security Management – Part 2: Specification for Information Security Management Systems») определяет возможные функциональные спецификации корпоративных систем управления информационной безопасностью с точки зрения их проверки на соответствие требованиям первой части данного стандарта (см. рис. 3.4).
Рис. 3.4. Состав рабочей документации для сертификации по требованиям стандарта BS 7799-2
В соответствии с положениями этого стандарта также регламентируется процедура аудита безопасности информационных корпоративных систем (рис. 3.5).
Рис. 3.5. Рекомендуемые этапы проверки режима информационной безопасности компании
Стандарт ISO 17799 (BS 7799) позволяет задать правила безопасности и определить политики безопасности компании. Так, например, в табл. 3.1 представлены контрольные вопросы согласно стандарта BS 7799-2, позволяющие оценить систему управления информационной безопасностью компании и задать правила безопасности.
Дополнительные рекомендации по разработке корпоративных политик безопасности содержат руководства Британского института стандартов (British Standards Institution, BSI) (www.bsi-global.com). изданные в период 1995–2005 годов в виде следующей серии:
• «Введение в проблему управления информационной безопасностью» («Information Security Management: An Introduction»);
• «Возможности сертификации на соответствие требованиям стандарта BS 7799» («Preparing for BS 7799 Certification»);
• Подготовка к сертификации по требованиям стандарта BS 7799-2 («Preparing for BS 7799-2 Certification (PD3001:2002)»);
• «Руководство по оценке и управлению рисками в соответствии с требованиями BS 7799» («Guide to BS 7799 Risk Assessment and Risk Management»);
• «Готовы ли вы к аудиту на соответствие требованиям стандарта BS 7799» («Are You Ready for a BS 7799 Audit»);
• «Руководство для проведения аудита на соответствие требованиям стандарта BS 7799» («Guide to BS 7799 Auditing»);
• «Руководство по внедрению средств обеспечения информационной безопасности и их аудиту на соответствие BS 7799», («Guide to the Implementation and Auditing of BS 7799 Controls (PD3004:2002)»);
• «Руководство по выбору средств обеспечения информационной безопасности в соответствии с BS 7799-2» («Guide on the Selection of BS 7799 Part 2 Controls (PD3005:2002)»);
• «Практические рекомендации по управлению безопасностью информационных технологий» («Code of Practice for IT Security Management»).
Таблица 3.1. Примеры контрольных вопросов согласно стандарта BS 7799-2 для задания правил безопасности
Продолжение табл. 3.1
Продолжение табл. 3.1
Продолжение табл. 3.1
Продолжение табл. 3.1
Продолжение табл. 3.1
Продолжение табл. 3.1
Продолжение табл. 3.1
Продолжение табл. 3.1
Продолжение табл. 3.1
Продолжение табл. 3.1
Продолжение табл. 3.1
Продолжение табл. 3.1
Продолжение табл. 3.1
Продолжение табл. 3.1
Продолжение табл. 3.1
Продолжение табл. 3.1
Продолжение табл. 3.1
Продолжение табл. 3.1
Продолжение табл. 3.1
Продолжение табл. 3.1
Продолжение табл. 3.1
Продолжение табл. 3.1
Продолжение табл. 3.1
Продолжение табл. 3.1
Продолжение табл. 3.1
Продолжение табл. 3.1
Продолжение табл. 3.1
Окончание табл. 3.1
В целом вопросами развития стандарта ISO 17799 (BS 7799) занимаются международный комитет Joint Technical Committee ISO/IEC JTC 1 совместно с Британским институтом стандартов и служба UKAS (United Kingdom Accredited Service). Названная служба производит аккредитацию организаций на право аудита информационной безопасности в соответствии со стандартом BS 7799:2002. Сертификаты, выданные этими органами, признаются во многих странах. При этом в случае сертификации компании по стандартам ISO 9001 или ISO 9002 стандарт BS 7799-1:2002 разрешает совместить сертификацию системы информационной безопасности с сертификацией на соответствие стандартам ISO 9001 или 9002 как на первоначальном этапе, так и при контрольных проверках. Для этого необходимо выполнить условие участия в совмещенной сертификации зарегистрированного аудитора по стандарту BS 7799:2002. Кроме того, в планах совместного тестирования должны быть четко указаны процедуры проверки системы информационной безопасности, а сертифицирующие органы должны гарантировать тщательность проверки информационной безопасности. Ниже, в табл. 3.2, рассматриваются различия и сходство вопросов сертификации на соответствие требованиям стандартов ISO 17799 (BS 7799) и ISO 9001.
3.2. Международный стандартISO 15408
Следуя по пути интеграции, в 1990 году Международная организация по стандартизации (ISO) и Международная электротехническая комиссия (ТЕС) разработали специализированную систему мировой стандартизации, a ISO начала создавать международные стандарты по критериям оценки безопасности информационных технологий для общего использования, названные «Common Criteria for Information Technology Security Evaluation» («Общие критерии оценки безопасности информационных технологий») или просто «Common Criteria» («Общие критерии») (см. рис. 3.6). В их разработке участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Нидерланды), Органы исполнения программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция).
Рис. 3.6. Этапы развития ISO/IEC 15408
Интервал:
Закладка:
