Сергей Петренко - Политики безопасности компании при работе в Интернет

Тут можно читать онлайн Сергей Петренко - Политики безопасности компании при работе в Интернет - бесплатно ознакомительный отрывок. Жанр: Интернет. Здесь Вы можете читать ознакомительный отрывок из книги онлайн без регистрации и SMS на сайте лучшей интернет библиотеки ЛибКинг или прочесть краткое содержание (суть), предисловие и аннотацию. Так же сможете купить и скачать торрент в электронном формате fb2, найти и слушать аудиокнигу на русском языке или узнать сколько частей в серии и всего страниц в публикации. Читателям доступно смотреть обложку, картинки, описание и отзывы (комментарии) о произведении.

Читать книгу

Название:

Политики безопасности компании при работе в Интернет
Автор:

Сергей Петренко
Жанр:

Интернет
Издательство:

неизвестно
Год:

неизвестен
ISBN:

нет данных
Рейтинг:

3.4/5. Голосов: 101
Избранное:

Добавить в избранное
Отзывы:

Читать комментарии
Ваша оценка:
60

1

2

3

4

5

Сергей Петренко - Политики безопасности компании при работе в Интернет краткое содержание

Политики безопасности компании при работе в Интернет - описание и краткое содержание, автор Сергей Петренко, читайте бесплатно онлайн на сайте электронной библиотеки LibKing.Ru

Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.

Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.

Политики безопасности компании при работе в Интернет - читать онлайн бесплатно ознакомительный отрывок

Политики безопасности компании при работе в Интернет - читать книгу онлайн бесплатно (ознакомительный отрывок), автор Сергей Петренко

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

• любые изменения в информационных системах и сетях приведут к появлению новых уязвимых мест. Даже при отсутствии изменений в существующем программном и аппаратном обеспечении постоянно обнаруживаются все новые уязвимые места. Этим часто пользуются хакеры для проникновения в информационные системы, поэтому компаниям необходимо научиться оперативно распознавать такие места и разрабатывать контрмеры по защите;

• успех многих компаний зависит исключительно от их репутации. Однажды случившееся нарушение в области безопасности может подорвать доверие к компании со стороны клиентов и инвесторов. Вот почему профилактические меры должны приниматься заблаговременно.

Многие компании в СНГ не уверены в достаточности принимаемых ими мер по обеспечению информационной безопасности.

Сегодня большинство компаний принимают меры для защиты своих информационных систем. В ходе предыдущего опроса, проведенного «Эрнст энд Янг» в 2001 году, нами было выявлено, что многие компании стран СНГ внедрили антивирусную защиту, межсетевые экраны и системы обнаружения вторжения. Тем не менее эти меры не обеспечивают стопроцентной защиты, и в ходе опроса 2003 года было установлено, что в целом по СНГ не хватает уверенности в уровне обеспечения безопасности:

• выявление уязвимых мест в системах;

По сравнению с 66 % участников опроса во всем мире только 48 % участников опроса в странах СНГ заявили, что их компании могут с достаточной степенью уверенности выявить уязвимые места в своих информационных системах. Такая ситуация говорит о недостаточном внимании к этому вопросу со стороны руководства, недостаточности имеющихся средств, квалификации и опыта, а также об отсутствии правил и процедур обнаружения уязвимых мест и принятия мер по их устранению.

защита важнейшей деловой информации;

Лишь 48 % участников опроса в СНГ (по сравнению с 70 % участников опроса по всему миру) оценили свой уровень защиты важнейшей деловой информации, как соответствующий мировому уровню или достаточный. Можно сделать вывод, что многие компании в СНГ чувствуют себя уязвимыми из-за отсутствия целостного подхода к вопросам информационной безопасности.

выявление вторжений и атак на информационные системы;

Уверенность в способности своей компании обнаруживать хакерские атаки выразили 59 % участников опроса в СНГ (66 % участников опроса в мире).

обеспечение непрерывной деятельности в случае атаки.

Всего 54 % участников нашего опроса (67 % участников опроса в мире) вполне уверены в способности своей компании продолжать деятельность в случае хакерской атаки или иной экстренной ситуации. Хотя в результате прошлого опроса мы выяснили, что в большинстве компаний СНГ имеются планы обеспечения деятельности в экстренной ситуации, но они, очевидно, не являются полными, не протестированы и, соответственно, неэффективны для предотвращения сбоев в деятельности компании. В СНГ наибольшую уверенность относительно принятых мер информационной безопасности выражают компании, занимающиеся банковской деятельностью, информационными технологиями и операциями с ценными бумагами, а также работающие в нефтегазовой отрасли. Что касается общего мнения, то участники опроса и в СНГ, и во всем мире сочли, что информационная безопасность лучше всего обеспечивается в банковском секторе.

Комментарий «Эрнст энд Янг»:

• лучшая защита от вторжений в информационные системы – профилактические меры. В компаниях должна присутствовать официальная процедура непрерывного анализа выявленных уязвимых мест. Необходимо регулярно проводить оценку рисков по информационной безопасности, обеспечивая комплексный и своевременный анализ уязвимости сети по отношению к внешним или внутренним вторжениям;

• после обнаружения уязвимых мест в системе следует принять меры, чтобы не допустить использования этих мест хакерами. Выбор верного решения по обеспечению безопасности может оказаться сложной задачей. Здесь важно отдавать себе отчет в том, что решение, оптимальное для одной компании, может оказаться абсолютно непригодным для другой. Выбранное решение должно обеспечивать защиту от комплекса угроз и уязвимых мест, характерных для данной компании;

• бессистемная, выборочная реализация средств безопасности не обеспечивает необходимого уровня защиты. Чтобы надежно защитить важнейшую деловую информацию, компаниям необходимо интегрировать вопросы физической и информационной безопасности в единый для всей организации свод правил, стандартов и инструкций. Стратегия безопасности проверяется на прочность в своем самом слабом звене;

• системы обнаружения вторжений (IDS) обеспечивают раннее обнаружение атак на информационные системы, давая специалистам по безопасности возможность отследить нарушителя, представить себе возможные последствия инцидента, оценить его значение, а затем принять меры, необходимые для минимизации ущерба и предотвращения атак в будущем;

• компаниям необходимо составлять планы мероприятий по обеспечению непрерывности и восстановлению своей деятельности в экстренных ситуациях, особенно если такая деятельность в значительной степени зависит от информационных систем. Этот план должен быть полным и предусматривать действия в самых различных экстренных ситуациях, он также должен регулярно проходить тестирование на предмет своей эффективности;

• компаниям необходимо проводить оценку достаточности собственных ресурсов, требуемых для выполнения всех мероприятий в области безопасности – от выявления угроз и уязвимых мест до выбора и внедрения верных решений. Независимые фирмы, основной деятельностью которых является оказание услуг в области информационных технологий и информационной безопасности, могут стать самым экономически оправданным вариантом, учитывая объем их знаний, квалификацию, опыт и объективность.

Опрос показал, что многие компании не интересуются вопросами соблюдения стандартов информационной безопасности третьими сторонами.

Те компании, которые обмениваются конфиденциальной информацией по компьютерным сетям с ключевыми деловыми партнерами (независимыми подрядчиками, филиалами, поставщиками, клиентами), ожидают, что их контрагенты обеспечат их данным такой же уровень защиты, который поддерживают они сами. Точно так же компании, постоянно осуществляющие торговые сделки через компьютерные сети, ожидают, что третьи стороны обеспечат постоянный доступ и функционирование своих информационных систем.

По оценкам значительной части участников нашего опроса в СНГ, их коллеги и деловые партнеры в состоянии гарантировать примерно такой же уровень обнаружения атак и обеспечения деятельности в случае вторжения, как и они сами. Тем не менее создается впечатление, что многие компании как в СНГ, так и во всем мире не уделяют внимания вопросу о достаточности информационной безопасности третьих сторон. Иногда этот вопрос действительно не имеет значения, например, если клиент – частное лицо или если в деловых отношениях практически не используются информационные системы. В других случаях компании, возможно, не обращают внимания на соблюдение стандартов безопасности третьими лицами просто потому, что не задумываются о последствиях, которые для них может иметь инцидент в области безопасности.

Комментарий «Эрнст энд Янг»: