Сергей Петренко - Политики безопасности компании при работе в Интернет

Тут можно читать онлайн Сергей Петренко - Политики безопасности компании при работе в Интернет - бесплатно ознакомительный отрывок. Жанр: Интернет. Здесь Вы можете читать ознакомительный отрывок из книги онлайн без регистрации и SMS на сайте лучшей интернет библиотеки ЛибКинг или прочесть краткое содержание (суть), предисловие и аннотацию. Так же сможете купить и скачать торрент в электронном формате fb2, найти и слушать аудиокнигу на русском языке или узнать сколько частей в серии и всего страниц в публикации. Читателям доступно смотреть обложку, картинки, описание и отзывы (комментарии) о произведении.

Читать книгу

Название:

Политики безопасности компании при работе в Интернет
Автор:

Сергей Петренко
Жанр:

Интернет
Издательство:

неизвестно
Год:

неизвестен
ISBN:

нет данных
Рейтинг:

3.4/5. Голосов: 101
Избранное:

Добавить в избранное
Отзывы:

Читать комментарии
Ваша оценка:
60

1

2

3

4

5

Сергей Петренко - Политики безопасности компании при работе в Интернет краткое содержание

Политики безопасности компании при работе в Интернет - описание и краткое содержание, автор Сергей Петренко, читайте бесплатно онлайн на сайте электронной библиотеки LibKing.Ru

Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.

Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.

Политики безопасности компании при работе в Интернет - читать онлайн бесплатно ознакомительный отрывок

Политики безопасности компании при работе в Интернет - читать книгу онлайн бесплатно (ознакомительный отрывок), автор Сергей Петренко

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

• больше внимания вопросам персонала и процедур;

Традиционно меры по обеспечению безопасности были направлены на технические аспекты, то есть приобретение и установку антивирусных программ, межсетевых фильтров и систем обнаружения вторжений. Сегодня настало время обратить внимание на обучение персонала и повышение квалификации, на мероприятия по обеспечению информированности персонала в вопросах безопасности, а также на разработку официальных процедур выявления уязвимых мест систем и управления изменениями. Эти факторы имеют огромное значение для минимизации риска в отношении того, что преимущества технических средств обеспечения безопасности могут быть сведены на нет в результате ошибки персонала или его недостаточной подготовки. Жесткая система контроля работы с паролями и правами доступа также весьма важна для предотвращения атаки изнутри компании со стороны недовольных сотрудников или деловых партнеров, имеющих прямой доступ к сетям и системам компании.

• контроль стандартов информационной безопасности третьих сторон.

Информационная технология проникает в каждый аспект ведения бизнеса и совершения операций. За последние годы компании и их деловые партнеры существенно увеличили объем взаимодействия через информационные системы. Сбой в системе безопасности в любой из этих организаций может подвергнуть риску целые отрасли и технологические процессы. Именно поэтому компаниям необходимо следить за тем, чтобы у основных деловых партнеров были внедрены хотя бы минимальные стандарты безопасности.

Компании должны осознать, что сегодня информационная безопасность стала аспектом бизнеса и ее важность нельзя недооценивать. Информационная безопасность – это не роскошь, а необходимость, так как именно она составляет тот фундамент, на котором строится надежная среда, позволяющая компаниям успешно работать и развиваться.

Приложение 3 РУКОВОДСТВО ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ (Site Security Handbook, RFC 1244)

Приводится в сокращенном варианте, с разрешения доктора физико-математических наук, профессора В.А Галатенко (автора перевода оригинального документа). Данное руководство является продуктом деятельности рабочей группы по политике информационной безопасности предприятий (SSPHWG), в которую вошли представители групп безопасности и пользовательских сервисов движения IETF (Internet Engineering Task Force). Авторами руководства являются Dave Curry (Purdue University), Sean Kirkpatrick (Unisys), Tom Longstaff (LLNL), Greg Hollingsworth (Johns Hopkins University), Jeffrey Carpenter (University of Pittsburgh), Barbara Fraser (CERT), Fred Ostapik (SRINISC), Allen Sturtevant (LLNL), Dan Long (BBN),Jim Duncan (Pennsylvania State University), Frank Byrum (DEC). Руководство содержит информацию для интернет-сообщества, оно не является стандартом, его распространение не ограничено.

Выработка официальной политики предприятия в области информационной безопасности

Краткий обзор

Организационные вопросы. Целью разработки официальной политики предприятия в области информационной безопасности является определение правильного (с точки зрения организации) способа использования вычислительных и коммуникационных ресурсов, а также определение процедур, предотвращающих или реагирующих на нарушения режима безопасности. Чтобы достичь данной цели, следует учесть специфику конкретной организации.

Во-первых, необходимо принять во внимание цели и основные направления деятельности организации. Например, на военной базе и в университете существенно разные требования к конфиденциальности.

Во-вторых, разрабатываемая политика должна согласовываться с существующими законами и правилами, относящимися к организации. Значит, эти законы и правила необходимо выявить и принять во внимание при разработке политики.

В-третьих, если локальная сеть организации не является изолированной, вопросы безопасности следует рассматривать в более широком контексте. Политика должна освещать проблемы, возникающие на локальном компьютере из-за действий удаленной стороны, а также проблемы, причиной которых является локальный хост или удаленный пользователь.

Кто разрабатывает политику? Политика безопасности должна стать результатом совместной деятельности технического персонала, понимающего все аспекты политики и ее реализации, а также руководителей, влияющих на проведение политики в жизнь. Нереализуемая или неподдерживаемая политика бесполезна.

Поскольку политика безопасности так или иначе затрагивает всех сотрудников организации, следует позаботиться о том, чтобы у вас было достаточно полномочий для принятия решений по этим вопросам. Хотя некоторой группе (например, группе технического обслуживания) может быть поручено проведение политики в жизнь, возможно, нужна будет и группа более высокого ранга для поддержки и одобрения политики.

Кого затрагивает политика? Политика безопасности потенциально затрагивает всех пользователей компьютеров в организации, причем по нескольким аспектам. Пользователи могут отвечать за администрирование собственных паролей. Системные администраторы обязаны ликвидировать слабые места в защите и надзирать за работой всех систем.

Важно с самого начала работы над политикой безопасности правильно подобрать состав коллектива разработчиков. Возможно, на предприятии уже есть группа информационной безопасности; естественно, люди из этой группы считают безопасность своей вотчиной. Следует привлечь также специалистов по аудиту и управлению, по физической безопасности, по информационным системам и т. п. Тем самым будет подготовлена почва для одобрения политики.

Распределение ответственности. Ключевым элементом политики является доведение до каждого его обязанностей по поддержанию режима безопасности. Политика не может предусмотреть всего, однако она обязана гарантировать, что для каждого вида проблем существует ответственный.

В связи с информационной безопасностью можно выделить несколько уровней ответственности. На первом уровне каждый пользователь компьютерного ресурса обязан заботиться о защите своего счета. Пользователь, допустивший компрометацию своего счета, увеличивает вероятность компрометации других счетов и ресурсов.

Системные администраторы образуют следующий уровень ответственности. Они должны обеспечивать защиту компьютерных систем. Сетевых администраторов можно отнести к еще более высокому уровню.

Оценка рисков

Общие положения. Один из главных побудительных мотивов выработки политики безопасности – обеспечить уверенность в том, что деятельность по защите информации построена экономически оправданным образом. Данное положение кажется очевидным, но, вообще говоря, возможны ситуации, когда усилия прикладываются не там, где нужно. Например, много говорят и пишут о хакерах; в то же время в большинстве обзоров по информационной безопасности утверждается, что в типичной организации ущерб от внутренних, «штатных» злоумышленников значительно больше.