Сергей Петренко - Политики безопасности компании при работе в Интернет

В частности, для расчета расходной части на техническую архитектуру обеспечения информационной безопасности рекомендуется использовать метод совокупной стоимости владения (ТСО), а для обоснования инвестиций в корпоративную систему защиты информации – методы ожидаемых потерь, оценки свойств системы безопасности, а также анализа дерева ошибок. При этом следует учитывать, что только метод ожидаемых потерь позволяет получить количественную оценку стоимости и выгод от контрмер безопасности;

• при разработке детальных технических политик безопасности отечественных компаний целесообразно воспользоваться стандартами BSI IT Protection Manual (www.bsi.de), NIST США серии 800 (www.nist.gov) CIS (www.cisecurity.org) NSA (www.nsa.gov) Это позволит определить облик технической архитектуры корпоративных систем защиты конфиденциальной информации российских компаний, в частности:

– определить цели создания технической архитектуры корпоративной системы защиты информации;

– разработать эффективную систему обеспечения информационной безопасности на основе управления информационными рисками;

– рассчитать совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия информационной безопасности заявленным целям;

– выбрать и использовать требуемый инструментарий обеспечения информационной безопасности и оценки ее текущего состояния;

– реализовать требуемые методики мониторинга и управления информационной безопасностью с обоснованной системой метрик и мер обеспечения информационной безопасности. Эти метрики и меры позволят объективно оценить защищенность информационных активов и управлять информационной безопасностью отечественных компаний;

• политики безопасности должны представлять собой законченные нормативные документы, содержащие единые нормы и требования по обеспечению информационной безопасности, обязательные для утверждения и применения соответствующими органами управления, руководством служб безопасности, руководством служб информационно-технологического обеспечения отечественных компаний.

По мнению авторов, книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения: разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих организациях и структурах. Эта книга может быть полезна следующим основным группам читателей:

• руководителям служб автоматизации (СЮ) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности, адекватного текущим целям и задачам бизнеса компании;

• внутренним и внешним аудиторам (CISA), которым приходится комплексно оценивать политики безопасности и текущее состояние организации режима информационной безопасности компании на соответствие некоторым требованиям корпоративных, национальных и международных стандартов, например ISO 15408, ISO 17799 (BS 7799-2), BSI, CobiT и пр.;

• менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании;

• администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах.

Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей, тем более что материалы многих глав основаны в том числе и на опыте преподавания авторов в Московском и Санкт-Петербургском госуниверситетах. В книге четыре главы, которые посвящены:

• актуальности политик безопасности компании;

• лучшим практикам создания политик безопасности;

• рекомендациям международных стандартов по созданию политик безопасности;

• реализации политик безопасности.

В первой главе показано значение разработки политик информационной безопасности для создания эффективного режима информационной безопасности в российских компаниях и организациях. Доказывается, что одного только технического подхода для эффективной организации режима информационной безопасности компании недостаточно. Проведен анализ современного рынка средств защиты конфиденциальной информации, показаны «подводные» камни существующих технологий безопасности, а затем обоснована необходимость разработки политик безопасности в отечественных компаниях. Рассмотрены возможные постановки задач по разработке и реализации корпоративных политик безопасности, а также возможные способы решения названных задач.

Во второй главе рассмотрена так называемая лучшая практика (best practices) создания политик безопасности таких признанных технологических лидеров, как IBM, Sun Microsystems, Cisco Systems, Microsoft, Symantec, SANS и пр. Приводятся соответствующие практики и рекомендации для разработки политик безопасности в отечественных компаниях.

Третья глава содержит обзор сравнительно новых международных стандартов в области защиты информации, посвященных практическим вопросам разработки политик безопасности, в частности ISO/IEC 17799:2002 (BS 7799-1:2005), ISO/IEC 15408, ISO/IEC TR 13335, германского стандарта BSI, стандартов NIST США серии 800, стандартов и библиотек CobiT, ITIL, SAC, COSO, SAS 78/94.

В четвертой главе рассмотрена практика разработки политик безопасности. Приведены примеры задания детальных технических правил безопасности, а также настройки соответствующих корпоративных аппаратно-программных средств защиты конфиденциальной информации.

Книга написана доктором технических наук, CISO С.А. Петренко и CISSP В.А. Курбатовым, за исключением следующих ее частей:

• параграфа 3.7 – совместно с М. Пышкиным («Крок»);

• приложения 2 – © «Эрнст энд Янг (СНГ) Лимитед», 2003 г.;

• приложения 3 – совместно с доктором физико-математических наук, профессором В.А. Галатенко;

• приложения 5 – совместно с Е.М. Тереховой («АйТи»).

Авторы выражают глубокую благодарность докторам технических наук, профессорам А.Д. Хомоненко, Ю.И. Рыжикову, В.Н. Кустову, Б.Н. Соколову, А.Г. Ломако, кандидату технических наук, профессору В.В. Ковалеву за ценные советы и сделанные ими замечания по рукописи, устранение которых способствовало улучшению ее качества.

Благодарим также центр GIAC и институт SANS в лице Стивена Нортката (Stephen Northcutt)) и Эрика Коула (Eric Cole), общество ISC в лице CISSP Дмитрия Шепелявого, CISSP Чарльза Крессона Вуда (Charles Cresson Wood) и CISSP Шона Харриса (Shon Harris), ассоциацию ISACA в лице президента лондонского отделения CISA Чарльза Мансура (Charles Mansour), CISA Андрея Дроздова (KPMG) и CISA Александра Астахова, а также компанию Cisco Systems в лице CCIE Максима Мамаева, CCIE Михаила Кадера, CCIE Мерике Кэо (Merike Каео).

Читать дальше