Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.
Содержание:
Сергей Александрович Петренко, Владимир Анатольевич Курбатов - Политики информационной безопасности 1
Предисловие 1
Глава 1 АКТУАЛЬНОСТЬ ПОЛИТИК БЕЗОПАСНОСТИ КОМПАНИИ 3
1.1. Анализ отечественного рынка средств защиты информации 3
1.2. Характеристика зрелости технологий защиты информации 5
1.3. Основные причины создания политик безопасности 5
1.4. Как разработать политики безопасности? 7
1.5. Возможные постановки задачи 8
1.6. Российская специфика разработки политик безопасности 10
Глава 2 ЛУЧШИЕ ПРАКТИКИ СОЗДАНИЯ ПОЛИТИК БЕЗОПАСНОСТИ 12
2.1. Подход компании IBM 12
2.2. Подход компании Sun Microsystems 14
2.3. Подход компании Cisco Systems 18
2.4. Подход компании Microsoft 22
2.5. Подход компании Symantec 22
2.6. Подход SANS 23
Глава 3 РЕКОМЕНДАЦИИ МЕЖДУНАРОДНЫХ СТАНДАРТОВ ПО СОЗДАНИЮ ПОЛИТИК БЕЗОПАСНОСТИ 24
3.1. Стандарты ISO/IEC 17799:2005 (BS 7799-1:2002) 24
3.2. Международный стандартISO 15408 26
3.3. Германский стандарт BSI 27
3.4. Стандарт CobiT 27
3.5. Общие рекомендации по созданию политик безопасности 28
3.6. Проблемы разработки политик безопасности 28
3.7. Обзор возможностей современных систем управления политиками безопасности 29
3.8. Отечественная специфика разработки политик безопасности 30
Глава 4 РЕАЛИЗАЦИЯ ПОЛИТИК БЕЗОПАСНОСТИ 31
4.1. Задание общих правил безопасности 31
4.2. Архитектура корпоративной системы защиты информации 32
4.3. Настройки основных компонент системы защиты компании 36
4.4. Дальнейшие шаги по совершенствованию правил безопасности 44
Приложение 1 ОЦЕНКА СОСТОЯНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В США 45
Приложение 2 МЕЖДУНАРОДНЫЙ ОПРОС 2003 ГОДА ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ОБЗОР РЕЗУЛЬТАТОВ ПО СТРАНАМ СНГ 48
Приложение 3 РУКОВОДСТВО ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ (Site Security Handbook, RFC 1244) 52
Приложение 4 ПОЛИТИКИ БЕЗОПАСНОСТИ, РЕКОМЕНДУЕМЫЕSANS 64
Приложение 5 ОЦЕНКА ЭКОНОМИЧЕСКОЙ ЭФФЕКТИВНОСТИ ЗАТРАТ НА ЗАЩИТУ ИНФОРМАЦИИ 74
Приложение 6 ПРИМЕРЫ МЕТОДИЧЕСКИХ МАТЕРИАЛОВ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 81
Приложение 7 ПЕРЕЧЕНЬ ЗАКОНОДАТЕЛЬНЫХ АКТОВ ПО ЗАЩИТЕ ИНФОРМАЦИИ 82
Сергей Александрович Петренко, Владимир Анатольевич Курбатов
Политики информационной безопасности
Предисловие
Согласно RFC 2196 под политикой информационной безопасности компании понимается "формальное изложение правил поведения лиц, получающих доступ к конфиденциальным данным в корпоративной информационной системе". При этом различают общую стратегическую политику безопасности компании, взаимоувязанную со стратегией развития бизнеса и ИТ-стратегией компании, а также частные тактические политики безопасности, детально описывающие правила безопасности при работе с соответствующими ИТ-системами и службами компании.
В соответствии с этим определением и рекомендациями ведущих международных стандартов в области планирования информационной безопасности (ИБ) и управления ею (BS 7799-2:2002, ISO/IEC 17799:2005, ISO/IEC TR 13335, ISO/IEC 10181-7:1996, ISO/IEC 15288:2002, ISO/IEC TR 15443, BSI, CobiT, ITIL, ГОСТ P ИСО/МЭК 15408-2002) политики безопасности должны содержать следующее:
• предмет, основные цели и задачи политики безопасности;
• условия применения политики безопасности и возможные ограничения;
• описание позиции руководства компании в отношении выполнения политики безопасности и организации режима информационной безопасности компании в целом;
• права и обязанности, а также степень ответственности сотрудников за выполнение политики безопасности компании;
• порядок действия в чрезвычайных ситуациях в случае нарушения политики безопасности.
Актуальность разработки политик безопасности для отечественных компаний и организаций объясняется необходимостью формирования основ планирования информационной безопасности и управления ею на современном этапе. В настоящее время большинством российских компаний определены следующие приоритетные задачи развития и совершенствования своей деятельности:
• минимизация рисков бизнеса путем защиты своих интересов в информационной сфере;
• обеспечение безопасного, доверенного и адекватного управления предприятием;
• планирование и поддержка непрерывности бизнеса;
• повышение качества деятельности по обеспечению информационной безопасности;
• снижение издержек и повышение эффективности инвестиций в информационную безопасность;
• повышение уровня доверия к компании со стороны акционеров, потенциальных инвесторов, деловых партнеров, профессиональных участников рынка ценных бумаг, уполномоченных государственных органов и других заинтересованных сторон.
Успешное выполнение перечисленных задач в условиях воздействия внутренних и внешних факторов, а также действий конкурентов и злоумышленников проблематично. Это связано с возрастающей необходимостью повышения уровня информационной безопасности и недостаточной проработанностью политик информационной безопасности в отечественных компаниях. При разработке политик безопасности важно иметь в виду:
• в разрабатываемых политиках безопасности отечественных компаний необходимо учитывать в равной мере нормативные, экономические, технологические, технические и организационно-управленческие аспекты планирования информационной безопасности и управления ею. Только в этом случае можно достигнуть разумного баланса между стоимостью и эффективностью разрабатываемых правил политик безопасности;
• политики безопасности российских компаний не должны противоречить отечественной нормативной базе в области защиты информации в автоматизированных системах на территории РФ, в том числе нормативно-правовым документам (федеральным законам, указам Президента, постановлениям Правительства) и нормативно-техническим документам (государственным стандартам, руководящим документам Гостехкомиссии (ФСТЭК) России, Министерства обороны РФ и ФСБ РФ);
• при создании политик безопасности желательно учесть текущие реформы действующей Государственной системы стандартизации (ГСС) согласно Федеральному закону № 184-ФЗ "О техническом регулировании", рекомендации ГОСТ Р ИСО/МЭК 15408-2002, рекомендации функционального стандарта ГОСТ Р 51583-2000, описывающего этапность построения защищенных информационных систем, рекомендации функционального стандарта – документа ФСТЭК, под названием СТР-К, для выработки требований по технической защите конфиденциальной информации;
• при отражении в политиках безопасности нормативного аспекта рекомендуется следовать требованиям новой российской национальной системы стандартизации, основанной на системе технического регулирования в соответствии с рекомендациями Федерального закона № 184-ФЗ "О техническом регулировании". Это отвечает последним веяниям формирования в Российской Федерации технического законодательства, обеспечивающего выполнение Соглашений Всемирной торговой организации (ВТО) по техническим барьерам в торговле (ТБТ) и санитарным и фитосанитарным мерам (СФС) с учетом принципов нового подхода к технической регламентации в Европейском союзе (ЕС). Следование данным требованиям позволит устранить существующие технические барьеры для отечественных компаний в торговле и обеспечении конкурентоспособности продукции;