Сергей Петренко - Политики безопасности компании при работе в Интернет
- Название:Политики безопасности компании при работе в Интернет
- Автор:
- Жанр:
- Издательство:неизвестно
- Год:неизвестен
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Сергей Петренко - Политики безопасности компании при работе в Интернет краткое содержание
Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.
Политики безопасности компании при работе в Интернет - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
Рис. 3.14. Пример создания политики безопасности для маршрутизатора Cisco
Среди наиболее общих проблем разработки требуемых политик безопасности следует отметить:
• сложности с поиском шаблонов или примеров подходящих по содержанию политик безопасности;
• недостаток собственных ресурсов или времени на разработку политик безопасности;
Рис. 3.15. Пример доработки шаблона политики безопасности
• сложности с обновлением политик безопасности, особенно в территориально распределенных компаниях, где часто мониторинг соответствия версий политик безопасности на конечных местах не осуществляется;
• слишком дорогие или не достигающие поставленной цели обучение, тестирование и аттестация знаний персонала по безопасности;
• сложности с обучением пользователей требованиям политик безопасности, отслеживанием компетентности сотрудников; потребность в использовании учебных средств с Web-интерфейсом для снижения издержек на поездки сотрудников в центральный офис для обучения и тестирования (аттестации);
• сложности с доведением политик безопасности до конечных пользователей;
• нехватка сотрудников, ответственных за управление политиками безопасности.
Рис. 3.16. Пример трансляции текста политики в технические спецификации
Для решения этих и других проблем можно воспользоваться специальными системами управления политиками безопасности. К основным задачам названных систем относятся:
• эффективное создание текстовых политик безопасности и управление ими;
• осуществление программы ознакомления сотрудников с политиками информационной безопасности, проверка знаний и понимания названных политик;
• обеспечение связи между высокоуровневыми текстовыми политиками безопасности и техническими политиками конфигураций аппаратно-программных средств защиты информации и пр.
3.7. Обзор возможностей современных систем управления политиками безопасности
Как правило, современные системы управления политиками безопасности используют лицензированные библиотеки политик безопасности, разработанные другими компаниями. Так, например, продукт компании NetlQ, использует библиотеку Information Security Policies Made Easy (ISPME), решение компании Bindview ориентировано на применение библиотеки Meta Security Group, а система управления компании Zequel поставляется вместе с библиотекой компаний Protiviti и Bizmanualz. Каждый из названных продуктов включает примеры политик безопасности, разработанные на основе международного стандарта ISO 17799. Ряд компаний, например компания NetlQ, создавая политики безопасности на основе требований стандарта ISO 17799, сортируют их по функционалу и темам – от классификации данных до безопасности Web-серверов (см. рис. 3.17).
Рис. 3.17. Пример библиотеки политик безопасности
Общей особенностью современных систем управления политиками безопасности является возможность оперативно создавать высоуровневые и низкоуровневые политики безопасности, распространять эти политики сотрудникам компании и ослеживать факты ознакомления и согласия с политиками. Далее рассмотрим возможности современных инструментальных систем управления политиками безопасности на примере решений Bindview Policy Operations Center (РОС), NetlQ VigilEnt Policy Center (VPC), Zequel Dynamic Policy. Сводные характеристики указанных систем управления политиками безопасности представлены в табл. 3.6 и 3.7.
Таблица 3.6. Характеристики систем управления политиками безопасности
Таблица 3.7. Оценка возможностей систем управления политиками безопасности
3.7.1 Bindview Policy Operations Center
Основное отличие Policy Operations Center Bindview Corp. (www.bindview.com) от других систем управления политиками безопасности заключается в том, что Bindview РОС по существу является удаленным сервисом компании Bindview. В качестве библиотеки шаблонов политик безопасности используется разработка компании Meta Security Group. Уникальной особенностью системы является встроенная возможность анализа защищенности корпоративной информационной системы (vulnerability reporting). Однако в целом названная система уступает по функциональным возможностям NetlQ, VigilEnt Policy Center (VPC) и DynamicPolicy. Особенно это заметно при создании и внедрении политик безопасности, а также соответствующих тестов для проверки знаний сотрудников компании.
Как сервис Bindview РОС не требует каких-либо затрат на серверное оборудование. Но поскольку продукт работает удаленно, нет возможности подключить к нему корпоративную службу каталога, однако пользователи могут быть импортированы через текстовый файл. Для безопасного удаленного доступа к серверу может использоваться протокол SSL (128-bit encryption). Пользовательский интерфейс РОС наиболее развит из всех продуктов. РОС отображает, в каком статусе находится политика безопасности – в черновом варианте, на согласовании, на утверждении или уже утверждена.
Для создания политики безопасности используется мастер (wizard), который позволяет выбрать подходящий способ создания политики безопасности – наследование примера политики безопасности или загрузка готовой политики.
После подготовки на своем компьютере черновой версии политики безопасности уполномоченное лицо производит загрузку политики на сервер. После импортирования политика безопасности получает новый номер версии, при этом старая версия политики архивируется. При необходимости сотрудники, согласующие политики безопасности, могут обращаться к предыдущим версиям политики безопасности.
3.7.2. Zequel Technologies DynamicPolicy
DynamicPolicy функционирует под управлением Windows 2000 Server (с поддержкой SMTP) на платформе Pentium IV (с минимальным объемом ОЗУ 512 Мб) и поставляется с собственным Web-сервером (Apache 1.3.27 и РНР 4.3.1). После установки DynamicPolicy для запуска и остановки Apache и MySQL используется специальный скрипт.
Текущая версия Zequel Technologies DynamicPolicy (www.zequel.com) по своей функциональности не уступает РОС и VPC. Эта система управления политиками безопасности позволяет импортировать и экспортировать примеры политик безопасности, в частности политики безопасности стандартов ISO 17799 и SOX. Далее становится возможным разрабатывать свои собственные, оригинальные политики безопасности. При этом пользовательский интерфейс DynamicPolicy достаточно сложен и может вызвать определенные трудности на начальном этапе изучения системы.
DynamicPolicy позволяет определить группы пользователей с определенными ролями, например для согласования или утверждения политик безопасности. При согласовании политик безопасности имеется возможность ограничить для отдельных сотрудников просмотр комментариев и замечаний других сотрудников, а также проводить закрытые обсуждения политик безопасности.
Читать дальшеИнтервал:
Закладка:
