Сергей Петренко - Политики безопасности компании при работе в Интернет
- Название:Политики безопасности компании при работе в Интернет
- Автор:
- Жанр:
- Издательство:неизвестно
- Год:неизвестен
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Сергей Петренко - Политики безопасности компании при работе в Интернет краткое содержание
Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.
Политики безопасности компании при работе в Интернет - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
Концепция изложена в документе под названием CobiT 3rd Edition (Control Objectives for Information and Related Technology), который состоит из шести частей:
Часть 1: Резюме для руководителей (Executive Summary);
Часть 2: Определения и основные понятия (Framework). Помимо определений и основных понятий в этой части сформулированы требования к ним;
Часть 3: Цели контроля (Control Objectives);
Часть 4: Принципы аудита (Audit Guidelines);
Часть 5: Набор средств внедрения (Implementation Tool Set);
Часть 6: Принципы управления (Management Guidelines).Третья часть этого документа в некотором смысле аналогична международному стандарту ISO 17799:2005 (BS 7799-1:2002). Примерно так же подробно приведены практические рекомендации по разработке политик безопасности и управлению информационной безопасностью в целом, но модели систем управления в сравниваемых стандартах сильно различаются. Стандарт CobiT (Control Objectives for Information and Related Technology) – пакет открытых документов, первое издание которого было опубликовано в 1996 году. Кратко основная идея стандарта CobiT выражается следующим образом: все ресурсы информационной системы должны управляться набором естественно сгруппированных процессов (рис. 3.10) для обеспечения компании необходимой и надежной информацией.
Рис. 3.10. Процессы управления ресурсами информационной системы
В модели CobiT присутствуют ресурсы информационных технологий, являющиеся источником информации, которая используется в бизнес-процессе. Информационная технология должна удовлетворять требованиям бизнес-процесса, сгруппированным определенным образом (рис. 3.11).
Рис. 3.11. Объекты контроля и управления информационными технологиями
Во-первых, требования к качеству технологии составляют показатели качества и стоимости обработки информации, характеристики ее доставки получателю. Показатели качества подробно описывают возможные негативные аспекты, которые в обобщенном виде входят в понятия целостности и доступности. Кроме того, в эту группу включаются показатели, относящиеся к субъективным аспектам обработки информации, например стиль, удобство интерфейсов. Характеристики доставки информации получателю – показатели, в обобщенном виде входящие в показатели доступности и частично – в показатели конфиденциальности и целостности. Рассмотренная система показателей используется при управлении рисками и оценке эффективности информационной технологии.
Во-вторых, доверие к технологии – группа показателей, описывающих соответствие компьютерной информационной системы принятым стандартам и требованиям, достоверность обрабатываемой в системе информации, ее действенность.
В-третьих, показатели информационной безопасности – конфиденциальность, целостность и доступность обрабатываемой в системе информации.
3.5. Общие рекомендации по созданию политик безопасности
Обобщая изложенное выше, отметим, что в современных стандартах управления информационной безопасностью (см. табл. 3.4) вопросам разработки политик безопасности уделяется достаточное внимание (см. табл. 3.5).
Таблица 3.4. Новые стандарты в области защиты информации
BS 7799 – British Standards Institute
NFPA – National Fire Protection Association
AICPA – Association of Independent Auditors
FIPS – Federal Information Processing Standards
ISO – International Standards Organization
SunTone – Sun Microsystems E-commerce Certification
FIDNet – PDD-63 Guidelines
Таблица 3.5. Роль политик безопасности в новых стандартах безопасности
Например, в стандарте ISO 17799 (BS 7799-1) рекомендуется управление информационной безопасностью компании осуществлять на основе политик безопасности (рис. 3.12).
Рис. 3.12. Роль политики безопасности согласно стандарту ISO 17799 Для детализации требований к политикам безопасности можно воспользоваться специальными справочниками. Вид подобного справочника согласно рекомендациям стандарта ISO 17799 представлен на рис. 3.13.
Рис. 3.13. Справочник «\'ONLINE\' SECURITY POLICIES AND SUPPORT»
Демонстрационные версии (Evaluation version) Information Security Police SOS – Interactive «\'ONLINE\' SECURITY POLICIES AND SUPPORT» Security Professionals Guide можно загрузить с сайта www.rusecure.com. Явным достоинством справочника является гипертекстовая структура и удобная навигация. Еще один аналогичный продукт – «ISO 17799\'TOOLKIT POLICY TEMPLATES» – представляет электронную версию документа с примерными текстами политик безопасности в соответствии с рекомендациями стандарта ISO 17799. Содержание документа представлено ниже.
Contents
INTRODUCTION
Chapter 01 Classifying Information and DataSECTION 01 SETTING CLASSIFICATION STANDARDS
Chapter 02 Controlling Access to Information and SystemsSECTION 01 CONTROLLING ACCESS TO INFORMATION AND SYSTEMS
Chapter 03 Processing Information and Documents
SECTION 01 NETWORKS
SECTION 02 SYSTEM OPERATIONS AND ADMINISTRATION
SECTION 04 TELEPHONES & FAX
SECTION 05 DATA MANAGEMENT
SECTION 06 BACKUP, RECOVERY AND ARCHIVING
SECTION 07 DOCUMENT HANDLING
SECTION 08 SECURING DATA
SECTION 09 OTHER INFORMATION HANDLING AND PROCESSINGChapter 04 Purchasing and Maintaining commercial Software
SECTION 01 PURCHASING AND INSTALLING SOFTWARE
SECTION 02 SOFTWARE MAINTENANCE & UPGRADE
SECTION 03 OTHER SOFTWARE ISSUESChapter 05 Securing Hardware, Peripherals and Other Equipment
SECTION 01 PURCHASING AND INSTALLING HARDWARE
SECTION 02 CABLING, UPS, PRINTERS AND MODEMS
SECTION 03 CONSUMABLES
SECTION 04 WORKING OFF PREMISES OR USING OUTSOURCED PROCESSING
SECTION 05 USING SECURE STORAGE
SECTION 06 DOCUMENTING HARDWARE
SECTION 07 OTHER HARDWARE ISSUESChapter 06 Combating Cyber CrimeSECTION 01 COMBATING CYBER CRIME
Chapter 07 Controlling e?Commerce Information SecuritySECTION 01 E COMMERCE ISSUES
Chapter 08 Developing and Maintaining In?House Software
SECTION 01 CONTROLLING SOFTWARE CODE
SECTION 02 SOFTWARE DEVELOPMENT
SECTION 03 TESTING & TRAINING
SECTION 04 DOCUMENTATION
SECTION 05 OTHER SOFTWARE DEVELOPMENTChapter 09 Dealing with Premises related Considerations
SECTION 01 PREMISES SECURITY
SECTION 02 DATA STORES
SECTION 03 OTHER PREMISES ISSUESChapter 10 Addressing Personnel Issues relating to Security
SECTION 01 CONTRACTUAL DOCUMENTATION
SECTION 02 CONFIDENTIAL PERSONNEL DATA
SECTION 03 PERSONNEL INFORMATION SECURITY RESPONSIBILITIES
SECTION 04 HR MANAGEMENT
SECTION 05 STAFF LEAVING EMPLOYMENT
SECTION 06 HR ISSUES OTHERChapter 11 Delivering Training and Staff Awareness
SECTION 01 AWARENESS
SECTION 02 TRAININGChapter 12 Complying with Legal and Policy Requirements
SECTION 01 COMPLYING WITH LEGAL OBLIGATIONS
SECTION 02 COMPLYING WITH POLICIES
SECTION 03 AVOIDING LITIGATION
SECTION 04 OTHER LEGAL ISSUESChapter 13 Detecting and Responding to IS Incidents
SECTION 01 REPORTING INFORMATION SECURITY INCIDENTS
SECTION 02 INVESTIGATING INFORMATION SECURITY INCIDENTS
SECTION 03 CORRECTIVE ACTIVITY
SECTION 04 OTHER INFORMATION SECURITY INCIDENT ISSUESChapter 14 Planning for Business ContinuitySECTION 01 BUSINESS CONTINUITY MANAGEMENT (BCP)
3.6. Проблемы разработки политик безопасности
Сегодня отечественные предприятия остро нуждаются в политиках безопасности. Например, 44 % предприятий финансового и государственного сектора вынуждены пересматривать политики безопасности два или более раз в год. К тому же здесь часто возникают проблемы, которые заключаются в том, что высокоуровневые политики безопасности, как правило, далеки от практики и никак не связаны с низкоуровневыми техническими политиками безопасности. В свою очередь технические политики безопасности не учитывают цели и задачи организации режима информационной безопасности компании в должной мере. При этом одни технические политики безопасности задают требуемые настройки маршрутизаторов и межсетевых экранов, другие определяют правила создания паролей и порядок использования Интернета, но, как правило, они рассматриваются разрозненно и не позволяют отладить целостную интегрированную систему управления политиками безопасности. В результате если спросить у ИТ-специалистов, что такое управление политиками безопасности, то можно получить более десяти различных ответов: управление правилами и конфигурациями, управление паролями, управление уязвимостями, управление критичными обновлениями, управление пользователями и пр. В действительности, эти определения, а также многие другие верны. Именно поэтому создание, внедрение и отслеживание политик безопасности – одна из самых важных и трудных задач для специалистов в области информационных технологий и защиты информации (см. рис 3.14-3.16).
Читать дальшеИнтервал:
Закладка:
