Сергей Петренко - Политики безопасности компании при работе в Интернет
- Название:Политики безопасности компании при работе в Интернет
- Автор:
- Жанр:
- Издательство:неизвестно
- Год:неизвестен
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Сергей Петренко - Политики безопасности компании при работе в Интернет краткое содержание
Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.
Политики безопасности компании при работе в Интернет - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
Далее представлен пример задания технической политики безопасности (см. рис, 3.22-3.25).
Рис. 3.22. Пример задания правил безопасностис
Рис. 3.23. Выбор платформы
Пример выбора параметров, которые может контролировать агент NetlQ, Vulnerability Manager на выбранной платформе, представлен на рис. 3.24.
Рис. 3.24. Детализация характеристик платформы
Рис. 3.25. Пример задания политики безопасности
В состав линейки NetlQ, входит также Security Manager, который позволяет централизованно собирать, сохранять, очищать, агрегировать, коррелировать и в удобной для анализа форме отображать события от таких систем, как Cisco IOS, Check Point FW-1, ISS RealSecure и TrendMicro InterScanVirusWall. Другой компонент, VigilEnt User Manager (VUM), автоматизирует процесс управления пользователями – управление учетными записями и паролями, включая самообслуживание пользователей по управлению своими паролями через Web-портал.
VigilEnt Policy Center позволяет не только проверять факт прочтения и понимания политик, но также предоставляет сотрудникам возможность легко регистрировать и документировать факты нарушения политик (см. рис. 3.26).
Рис. 3.26. Пример регистрации инцидента безопасности
3.8. Отечественная специфика разработки политик безопасности
Новое поколение стандартов в области защиты информации отличается как от предыдущего, так и от руководящих документов Гостехкомиссии России 1992–1998 годов большей формализацией политик безопасности и более детальным комплексным учетом качественно и количественно проверяемых и управляемых показателей информационной безопасности компании. Комплексный учет показателей предполагает комплексный же подход к разработке политик безопасности, когда на соответствие определенным правилам безопасности проверяется не только программно-техническая составляющая защиты информации компании, но и организационно-административные меры по ее обеспечению. Вместе с тем необходимо учитывать перспективы и тенденции развития стандартов безопасности (см. рис. 3.27).
Рис. 3.27. Перспективы и тенденции развития стандартов безопасности
В противоположность германскому стандарту BSI, предоставляющему возможность использовать конкретные «частные» политики безопасности, стандарты ISO 15408, ISO 17799 и CobiT позволяют рассмотреть только наиболее общие политики информационной безопасности, характерные для процессов защиты информации в целом. При этом все названные подходы обладают определенными ограничениями. Ограничением германского стандарта BSI является невозможность распространить рекомендации этого стандарта на политики безопасности в российских компаниях, инфраструктура которых отличается от ранее рассмотренных примеров корпоративных систем защиты информации и соответствующих политик безопасности. Ограничением стандартов ISO 17799 и CobiT является трудность перехода от общих политик безопасности к частным политикам информационной безопасности в российских компаниях. Основная причина этого заключается в том, что требуемые политики безопасности любой российской компании дополнительно характеризуются определенными индивидуальными специфическими условиями бизнес-деятельности, в частности ограничениями и регулированием российской нормативной базы в области защиты информации. Так, в России нормативную базу в области защиты информации в автоматизированных системах (АС) составляют нормативно-правовые документы (федеральные законы, указы Президента, постановления Правительства) и нормативно-технические документы (государственные стандарты, руководящие документы Гостехкомиссии (ФСТЭК) России, отраслевые и ведомственные стандарты). В Приложении 7 приведены основные документы, регулирующие вопросы защиты информации на территории РФ. Также надо учитывать, что после принятия и вступления в силу Федерального закона «О техническом регулировании», а также ГОСТ Р ИСО/МЭК 15408 статус ряда нормативных документов (государственных стандартов, отраслевых стандартов, стандартов организаций и др.) изменился. При этом государственные стандарты Российской Федерации из основного инструмента технического регулирования трансформировались в российские национальные стандарты, требования которых стали носить добровольный характер. Обязательные требования стали устанавливаться в технических регламентах.
Другими словами, только совместно используя сильные стороны рассмотренных международных стандартов, а также адаптировав полученные рекомендации в соответствии с требованиями российской нормативной базы в области защиты информации, можно эффективно разработать и внедрить политики безопасности в конкретных отечественных организациях и на предприятиях. И первые положительные примеры не заставили себя долго ждать. Так, например, Банком России с целью повышения уровня информационной безопасности как самого банка, так и организаций банковской системы Российской Федерации в соответствии с Федеральным законом № 184-ФЗ «О техническом регулировании» Распоряжением от 18 ноября 2004 года № Р-609 с 1 декабря 2004 года введен в действие стандарт «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (далее – «стандарт»).
Стандарт был разработан коллективом, в который вошли представители Банка России, Ассоциации российских банков, Ассоциации региональных банков, Национальной валютной ассоциации, Института банковского дела Ассоциации российских банков, Акционерного коммерческого Сберегательного банка Российской Федерации, Альфа-банка, Россельхозбанка, банка «Петрокоммерц», банка «Российский кредит», Московской межбанковской валютной биржи, НПФ «Кристалл», Государственного научно-исследовательского института проблем защиты информации Федеральной службы по техническому и экспортному контролю, аудиторской компании KPMG.
Основные цели и задачи разработки стандарта заключались в следующем:
• повышение доверия к банковской системе Российской Федерации;
• повышение стабильности функционирования организаций банковской системы Российской Федерации и на этой основе – стабильности функционирования банковской системы России в целом;
• достижение адекватности мер по устранению реальных угроз информационной безопасности;
• предотвращение и/или снижение ущерба от инцидентов информационной безопасности;
• установление единых требований по обеспечению информационной безопасности для организаций банковской системы Российской Федерации;
Читать дальшеИнтервал:
Закладка:
