Книга политики безопасности компании при работе в интернет

• Книги
• Интернет
• С. А. Петренко
• 
  📚 Политики безопасности компании при работе в Интернет читать книгу

Эта и ещё 2 книги за 399 ₽

По абонементу вы каждый месяц можете взять из каталога одну книгу до 700 ₽ и две книги из персональной подборки. Узнать больше

Оплачивая абонемент, я принимаю условия оплаты и её автоматического продления, указанные в оферте

Поделиться отзывом на книгу

Политики безопасности 
компании при работе 
в Интернет

С.А. Петренко 

В.А. Курбатов

Москва, 2018

3-е издание (электронное)

УДК 004.056.5 
ББК 32.973.202

П30

П30
     Политики безопасности компании при работе в Интернет [Электронный 
ресурс] / С. А. Петренко, В. А. Курбатов. — 3-е изд. (эл.). — Электрон. текс-
товые дан. (1 файл pdf : 397 с.). — М. : ДМК Пресс, 2018. — (Информационные 
технологии для инженеров). — Систем. требования: Adobe Reader XI либо 
Adobe Digital Editions 4.5 ; экран 10".

ISBN 978-5-93700-057-6

Книга является первым полным русскоязычным практическим руководст-
вом по вопросам разработки политик информационной безопасности в отечест-
венных компаниях и организациях и отличается от других источников,
преимущественно изданных за рубежом, тем, что в ней последовательно изло-
жены все основные идеи, методы и способы практического решения вопросов
разработки, внедрения и поддержки политик безопасности в различных рос-
сийских государственных и коммерческих структурах. 

Книга может быть полезна руководителям служб автоматизации (CIO) и

служб информационной безопасности (CISO), ответственным за утверждение
политик безопасности и организацию режима информационной безопасности;
внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управ-
ления компанией (ТОР-
менеджерам), которым приходится разрабатывать
и внедрять политики безопасности в компании; администраторам безопасности,
системным и сетевым администраторам, администраторам БД, которые отве-
чают за соблюдение правил безопасности в отечественных корпоративных ин-
формационных системах. Книга также может использоваться в качестве учеб-
ного пособия студентами и аспирантами соответствующих технических
специальностей.

ISBN 978-5-93700-057-6
©ДМК Пресс, 2011

Петренко, Сергей Анатольевич.

УДК 004.056.5 
ББК 32.973.202

Деривативное электронное издание на основе печатного издания: Поли-
тики безопасности компании при работе в Интернет / С. А. Петренко, В. А. Кур-
батов. — 2-е изд. — М. : ДМК Пресс, 2011. — (Информационные технологии 
для инженеров). — 400 с. — ISBN 978-5-94074-728-4.

В соответствии со ст. 1299 и 1301 ГК РФ при устранении ограничений, установленных техничес-
кими средствами защиты авторских прав, правообладатель вправе требовать от нарушителя воз-
мещения убытков или выплаты компенсации.

ОГЛАВЛЕНИЕ

Предисловие  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

Глава 1 
Актуальность политик безопасности компании  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

1.1. Анализ отечественного рынка средств защиты информации  . . . . . . . . . . . . . . .13

1.1.1. Средства управления обновлениями  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
1.1.2. Средства межсетевого экранирования  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
1.1.3. Средства построения VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
1.1.4. Средства контроля доступа  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
1.1.5. Средства обнаружения вторжений и аномалий  . . . . . . . . . . . . . . . . . . . . . . . . . .18
1.1.6. Средства резервного копирования и архивирования  . . . . . . . . . . . . . . . . . . . . .18
1.1.7. Средства централизованного управления безопасностью . . . . . . . . . . . . . . . . .18
1.1.8. Средства предотвращения вторжений на уровне серверов  . . . . . . . . . . . . . . . .19
1.1.9. Средства мониторинга безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19
1.1.10. Средства контроля деятельности сотрудников в Интернете  . . . . . . . . . . . . . .20
1.1.11. Средства анализа содержимого почтовых сообщений  . . . . . . . . . . . . . . . . . . .21
1.1.12. Средства анализа защищенности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
1.1.13. Средства защиты от спама  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
1.1.14. Средства защиты от атак класса «отказ в обслуживании»  . . . . . . . . . . . . . . . .23
1.1.15. Средства контроля целостности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
1.1.16. Средства инфраструктуры открытых ключей  . . . . . . . . . . . . . . . . . . . . . . . . . . .24
1.1.17. Средства усиленной аутентификации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
1.2. Характеристика зрелости технологий защиты информации  . . . . . . . . . . . . . . . .25

1.3. Основные причины создания политик безопасности  . . . . . . . . . . . . . . . . . . . . . . .28

1.4. Как разработать политики безопасности?  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32

1.4.1. Кому и что доверять  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33
1.4.2. Трудности внедрения политик безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . .33
1.4.3. Кто заинтересован в политиках безопасности?  . . . . . . . . . . . . . . . . . . . . . . . . . .34
1.4.4. Состав группы по разработке политик безопасности  . . . . . . . . . . . . . . . . . . . . .34
1.4.5. Процесс разработки политик безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35
1.4.6. Основные требования к политике безопасности  . . . . . . . . . . . . . . . . . . . . . . . . .35
1.4.7. Уровень средств безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35
1.4.8. Примеры политик безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35
1.4.9. Процедуры безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38
1.5. Возможные постановки задачи  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39

1.5.1. Металлургическая компания  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39
1.5.2. Коммерческий банк  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42
1.5.3. Субъект РФ  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48
1.6. Российская специфика разработки политик безопасности  . . . . . . . . . . . . . . . . .50

Глава 2 
Лучшие практики создания политик безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57

2.1. Подход компании IBM  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57

2.1.1. Структура документов безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58
2.1.2. Пример cтандарта безопасности для ОС семейства UNIX  . . . . . . . . . . . . . . . . .61
2.2. Подход компании Sun Microsystems  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67

2.2.1. Структура политики безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67
2.2.2.Пример политики безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .73
2.3. Подход компании Cisco Systems  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .78

2.3.1. Описание политики безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .78
2.3.2. Пример политики сетевой безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .84
2.4. Подход компании Microsoft  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .91

2.5. Подход компании Symantec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95

2.5.1. Описание политики безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .96
2.6. Подход SANS  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99

2.6.1. Описание политики безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99
2.6.2. Пример политики аудита безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100

Глава 3
Рекомендации международных стандартов
по созданию политик безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103

3.1. Стандарты ISO/IEC 17799:2005 (BS 77991:2002) . . . . . . . . . . . . . . . . . . . . . . . . .103

3.2. Международный стандарт ISO 15408  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135

3.3 Германский стандарт BSI  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .141

3.4. Стандарт CobiT  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .143

3.5. Общие рекомендации по созданию политик безопасности  . . . . . . . . . . . . . . . .148

3.6. Проблемы разработки политик безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . .152

3.7. Обзор возможностей современных систем управления 
политиками безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155

3.7.1. Bindview Policy Operations Center  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .157
3.7.2. Zequel Technologies DynamicPolicy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .158
3.7.3. NetIQ VigilEnt Policy Center . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159
3.8. Отечественная специфика разработки политик безопасности  . . . . . . . . . . . . .165

Глава 4
Реализация политик безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169

4.1. Задание общих правил безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169

4.2. Архитектура корпоративной системы защиты информации  . . . . . . . . . . . . . . .171

4.2.1. Зона подключения к Интернету  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .173
4.2.2. Зона доступа к Webприложениям компании  . . . . . . . . . . . . . . . . . . . . . . . . . . .175
4.2.3. Зона выхода в Интернет  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .176
4.2.4. Зона управления ресурсами сети компании  . . . . . . . . . . . . . . . . . . . . . . . . . . . .179
4.2.5.Зона защищаемых данных компании . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185
4.2.6. Зона внутренней сети компании  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .186

4
Политики информационной безопасности

4.3. Настройки основных компонент системы защиты компании . . . . . . . . . . . . . . .188

4.3.1. Настройки пограничных маршрутизаторов  . . . . . . . . . . . . . . . . . . . . . . . . . . . . .188
4.3.2. Сервисы маршрутизатора  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .190
4.3.3. Настройки внешних межсетевых экранов  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197
4.3.4. Настройки VPN  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .212
4.3.5. Настройки внутренних межсетевых экранов  . . . . . . . . . . . . . . . . . . . . . . . . . . . .213
4.3.6. Настройка корпоративной системы защиты от вирусов  . . . . . . . . . . . . . . . . . .228
4.4. Дальнейшие шаги по совершенствованию правил
безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .231

Приложение 1
Оценка состояния информационной безопасности в США . . . . . . . . . . . . . . . . . . . . . . . .233

Приложение 2
Международный опрос 2003 года по информационной безопасности.  
Обзор результатов по странам СНГ  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .249

Приложение 3
Руководство по информационной безопасности предприятия
(Site Security Handbook, RFC 1244)  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .265

Выработка официальной политики предприятия в области
информационной безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .265

Выработка процедур для предупреждения нарушений
безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .277

Типы процедур безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .291

Реакция на нарушение безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .295

Выработка мер, предпринимаемых после нарушения  . . . . . . . . . . . . . . . . . . . . . . . . .305

Приложение 4
Политики безопасности, рекомендуемые SANS  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .309

1.
Политика допустимого шифрования  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .309

2.
Политика допустимого использования  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .310

3.
Руководство по антивирусной защите . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .314

4.
Политика хранения электронной почты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .315

5.
Политика использования электронной почты компании  . . . . . . . . . . . . . . . . . . .317

6.
Политика использования паролей  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .318

7.
Политика оценки рисков  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .321

8.
Политика безопасности маршрутизатора  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .322

9.
Политика обеспечения безопасности серверов  . . . . . . . . . . . . . . . . . . . . . . . . . .323

10. Политика виртуальных частных сетей  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .326

11. Политика беспроводного доступа в сеть компании  . . . . . . . . . . . . . . . . . . . . . . .327

12. Политика автоматического перенаправления
электронной почты компании  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .328

5
Оглавление

13. Политика классификации информации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .329

14. Политика в отношении паролей для доступа к базам данных  . . . . . . . . . . . . . .334

15. Политика безопасности лаборатории
демилитаризованной зоны  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .336

16. Политика безопасности внутренней лаборатории . . . . . . . . . . . . . . . . . . . . . . . . .339

17. Политика экстранета  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .343

18. Политика этики  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .344

19. Политика лаборатории антивирусной защиты  . . . . . . . . . . . . . . . . . . . . . . . . . . . .346

Приложение 5
Оценка экономической эффективности затрат
на защиту информации  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .348

1.
Оценка затрат на защиту информации  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .348

2.
Обоснование инвестиций в информационную безопасность . . . . . . . . . . . . . . .373

Приложение 6
Примеры методических материалов по 
информационной безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .383

Инструкция администратору безопасности сети  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .383

Инструкция администратору Webсервера сети  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .385

Инструкция пользователю Интернет/интранеттехнологий сети  . . . . . . . . . . . . . . .386

Приложение 7
Перечень законодательных актов по защите информации  . . . . . . . . . . . . . . . . . . . . . . .390

Нормативноправовые акты  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .390

Федеральные законы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .390

Указы Президента РФ  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .391

Постановления Правительства РФ  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .391

ГОСТ и Руководящие документы Гостехкомиссии (ФСТЭК)  . . . . . . . . . . . . . . . . . . . .392

6
Политики информационной безопасности

Предисловие

Согласно RFC 2196 под политикой информационной безопасности компании
понимается «формальное изложение правил поведения лиц, получающих дос-
туп к конфиденциальным данным в  корпоративной информационной системе».
При этом различают общую стратегическую политику безопасности компании,
взаимоувязанную со стратегией развития бизнеса и ИTстратегией компании,
а также частные тактические политики безопасности, детально описывающие
правила безопасности при работе с соответствующими ИTсистемами и служ-
бами компании. 
В соответствии с этим определением и рекомендациями ведущих междуна-
родных стандартов в области планирования информационной безопасности
(ИБ) и управления ею (BS 77992:2002, ISO/IEC 17799:2005, ISO/IEC TR 13335,
ISO/IEC 101817:1996, ISO/IEC  15288:2002, ISO/IEC TR 15443, BSI, CobiT,
ITIL, ГОСТ Р ИСО/МЭК 154082002) политики безопасности должны содер-
жать следующее: 

• предмет, основные цели и задачи политики безопасности;
• условия применения политики безопасности и возможные ограничения;
• описание позиции руководства компании в отношении выполнения поли-
тики безопасности и организации режима информационной безопасности
компании в целом;
• права и обязанности, а также степень ответственности сотрудников за вы-
полнение политики безопасности компании;
• порядок действия в чрезвычайных ситуациях в случае нарушения поли-
тики безопасности.

Актуальность разработки политик безопасности для отечественных компаний
и организаций  объясняется необходимостью формирования основ планирования
информационной безопасности и управления ею на современном этапе. В насто-
ящее время большинством российских компаний определены следующие при-
оритетные задачи развития и совершенствования своей деятельности:

• минимизация рисков бизнеса путем защиты своих интересов в информа-
ционной сфере;
• обеспечение безопасного, доверенного и адекватного управления пред-
приятием;
• планирование и поддержка непрерывности бизнеса;
• повышение качества деятельности по обеспечению информационной бе-
зопасности;
• снижение издержек и повышение эффективности инвестиций в инфор-
мационную безопасность;

• повышение уровня доверия к компании со стороны акционеров, потенци-
альных инвесторов, деловых партнеров, профессиональных участников
рынка ценных бумаг, уполномоченных государственных органов и других
заинтересованных сторон.

Успешное выполнение перечисленных задач в условиях воздействия внут-
ренних и внешних факторов, а также действий конкурентов и злоумышленни-
ков проблематично. Это связано с возрастающей необходимостью повышения
уровня информационной безопасности и недостаточной проработанностью по-
литик информационной безопасности в отечественных компаниях. При разра-
ботке политик безопасности важно иметь в виду: 

• в разрабатываемых политиках безопасности отечественных компаний не-
обходимо учитывать в равной мере нормативные, экономические, техно-
логические, технические и организационноуправленческие аспекты пла-
нирования информационной безопасности и управления ею. Только в
этом случае можно достигнуть разумного баланса между стоимостью и эф-
фективностью разрабатываемых правил политик безопасности;
• политики безопасности российских компаний не должны противоречить
отечественной нормативной базе в области защиты информации в авто-
матизированных системах на территории РФ, в том числе нормативно-
правовым документам (федеральным законам, указам Президента, поста-
новлениям Правительства) и нормативнотехническим документам
(государственным стандартам, руководящим документам Гостехкомис-
сии (ФСТЭК) России, Министерства обороны РФ и ФСБ РФ); 
• при создании политик безопасности желательно учесть текущие рефор-
мы действующей Государственной системы стандартизации (ГСС) сог-
ласно Федеральному закону № 184ФЗ «О техническом регулирова-
нии», рекомендации  ГОСТ Р ИСО/МЭК 154082002, рекомендации
функционального стандарта ГОСТ Р 515832000, описывающего этап-
ность построения защищенных информационных систем, рекомендации
функционального стандарта — документа ФСТЭК, под названием СТРК,
для выработки требований по технической защите конфиденциальной
информации;   
• при отражении в политиках безопасности нормативного аспекта реко-
мендуется следовать требованиям новой российской национальной сис-
темы стандартизации, основанной на системе технического регулирова-
ния в соответствии с рекомендациями Федерального закона № 184ФЗ
«О техническом регулировании». Это отвечает последним веяниям фор-
мирования в Российской Федерации технического законодательства,
обеспечивающего выполнение Соглашений Всемирной торговой органи-
зации (ВТО) по техническим барьерам в торговле (ТБТ) и санитарным
и фитосанитарным мерам (СФС) с учетом принципов нового подхода к
технической регламентации в Европейском союзе (ЕС). Следование
данным требованиям позволит устранить существующие технические

8
Политики информационной безопасности

барьеры для отечественных компаний  в торговле и обеспечении конку-
рентоспособности продукции; 
• использование в политиках безопасности  современных подходов и прин-
ципов обеспечения информационной безопасности, основанных на луч-
шем мировом и отечественном опыте (BS 77992:2002, ISO/IEC
17799:2005, ISO/IEC TR 13335, ISO/IEC 101817:1996, ISO/IEC
15288:2002, ISO/IEC TR 15443, BSI, CobiT, ITIL, ГОСТ Р ИСО/МЭК
154082002 и пр.), позволит выработать обоснованную парадигму плани-
рования информационной безопасности и управления ею — концептуаль-
ную схему обеспечения информационной безопасности, а также требуе-
мые модели постановки проблем в области управления информационной
безопасностью и предложить разумно достаточные решения этих проб-
лем. В частности, сформулировать основные принципы обеспечения ин-
формационной безопасности и доверия к ней,  а также разработать требо-
вания по обеспечению информационной безопасности, адекватные целям
и задачам развития бизнеса отечественных компаний;
• при отражении в разрабатываемых политиках безопасности отечествен-
ных компаний экономического подхода к планированию информацион-
ной безопасности и управлению ею на основе концепции управления
рисками рекомендуется обратить внимание на методы: прикладного ин-
формационного анализа (Applied Information Economics, AIE); расчета
потребительского индекса (Customer Index, CI); расчета добавленной
экономической стоимости (Economic Value Added, EVA); определения
исходной экономической стоимости (Economic Value Sourced, EVS); уп-
равления портфелем активов (Portfolio Management, PM); оценки
действительных возможностей (Real Option Valuation, ROV); поддержки
жизненного цикла искусственных систем (System Life Cycle Analysis,
SLCA); расчета системы сбалансированных показателей (Balanced Score-
card, BSC); расчета совокупной стоимости владения (Total Cost of Own-
ership, TCO); функциональностоимостного анализа (Activity Based
Costing, ABC). В частности, для расчета расходной части на техническую
архитектуру обеспечения информационной безопасности рекомендуется
использовать метод совокупной стоимости владения (TCO), а для обос-
нования инвестиций в корпоративную систему защиты информации —
методы ожидаемых потерь, оценки свойств системы безопасности, а так-
же анализа дерева ошибок. При этом следует учитывать, что только ме-
тод ожидаемых потерь позволяет получить количественную оценку сто-
имости и выгод от контрмер безопасности; 
• при разработке детальных технических политик безопасности отечествен-
ных компаний целесообразно воспользоваться стандартами BSI IT Protec-
tion Manual (www.bsi.de), NIST США серии 800 (www.nist.gov), CIS
(www.cisecurity.org), NSA (www.nsa.gov). Это позволит определить облик
технической архитектуры корпоративных систем защиты конфиденци-
альной информации российских компаний, в частности:

9
Предисловие

— определить цели создания технической архитектуры корпоративной
системы защиты информации;
— разработать эффективную систему обеспечения информационной
безопасности на основе управления информационными рисками;
— рассчитать совокупности детализированных не только качественных,
но и количественных показателей для оценки соответствия информа-
ционной безопасности заявленным целям;
— выбрать и использовать требуемый инструментарий обеспечения ин-
формационной безопасности и оценки ее текущего состояния;
— реализовать требуемые методики мониторинга и управления инфор-
мационной безопасностью с обоснованной системой метрик и мер
обеспечения информационной безопасности. Эти метрики и меры
позволят объективно оценить защищенность информационных акти-
вов и управлять информационной безопасностью отечественных ком-
паний;  
• политики безопасности должны представлять собой законченные норма-
тивные документы, содержащие единые нормы и требования по обеспече-
нию информационной безопасности, обязательные для утверждения и
применения соответствующими органами управления, руководством
служб безопасности, руководством служб информационнотехнологичес-
кого обеспечения отечественных компаний. 

По мнению авторов, книга является первым полным русскоязычным практи-
ческим руководством по вопросам разработки политик информационной безо-
пасности в отечественных компаниях и организациях и отличается от других
источников, преимущественно изданных за рубежом, тем, что в ней последова-
тельно изложены все основные идеи, методы и способы практического решения:
разработки, внедрения и поддержки политик безопасности в различных рос-
сийских государственных и коммерческих организациях и структурах. 
Эта книга может быть полезна следующим основным группам читателей:

• руководителям служб автоматизации (CIO) и служб информационной бе-
зопасности (CISO), ответственным за утверждение политик безопасности
и организацию режима информационной безопасности, адекватного теку-
щим целям и задачам бизнеса компании;
• внутренним и внешним аудиторам (CISA), которым приходится компле-
ксно оценивать политики безопасности и текущее состояние организации
режима информационной безопасности компании на соответствие неко-
торым требованиям корпоративных, национальных и международных
стандартов, например ISO 15408, ISO 17799 (BS 77992), BSI, CobiT и пр.;
• менеджерам высшего эшелона управления компанией (ТОРменедже-
рам), которым приходится разрабатывать и внедрять политики безопас-
ности в компании;
• администраторам безопасности, системным и сетевым администраторам,
администраторам БД, которые отвечают за соблюдение правил безопас-
ности в отечественных корпоративных информационных системах.

10
Политики информационной безопасности

Книга также может использоваться в качестве учебного пособия студентами
и аспирантами соответствующих технических специальностей, тем более что
материалы многих глав основаны в том числе и на опыте преподавания авторов
в Московском и СанктПетербургском госуниверситетах.
В книге четыре главы, которые посвящены:

• актуальности политик безопасности компании;
• лучшим практикам создания политик безопасности; 
• рекомендациям международных стандартов по созданию политик безо-
пасности;
• реализации политик безопасности.

В первой главе показано значение разработки политик информационной бе-
зопасности для создания эффективного режима информационной безопаснос-
ти в российских компаниях и организациях. Доказывается, что одного только
технического подхода для эффективной организации режима информацион-
ной безопасности компании недостаточно. Проведен анализ современного
рынка средств защиты конфиденциальной информации, показаны «подвод-
ные» камни существующих технологий безопасности, а затем обоснована необ-
ходимость разработки политик безопасности в отечественных компаниях. Рас-
смотрены возможные постановки задач по разработке и реализации
корпоративных политик безопасности, а также возможные способы решения
названных задач.
Во второй главе рассмотрена так называемая лучшая практика (best prac-
tices) создания  политик безопасности таких признанных технологических ли-
деров, как IBM, Sun Microsystems, Cisco Systems, Microsoft, Symantec, SANS и
пр. Приводятся соответствующие практики и рекомендации для разработки по-
литик безопасности в отечественных компаниях.  
Третья глава содержит обзор сравнительно новых международных стандартов
в области защиты информации, посвященных практическим вопросам разработ-
ки политик безопасности, в частности ISO/IEC 17799:2002 (BS 77991:2005),
ISO/IEC 15408, ISO/IEC TR 13335, германского стандарта BSI, стандартов
NIST США серии 800, стандартов и библиотек CobiT, ITIL, SAC, COSO, SAS
78/94. 
В четвертой главе рассмотрена практика разработки политик безопасности.
Приведены примеры задания детальных технических правил безопасности,
а также настройки соответствующих корпоративных аппаратнопрограммных
средств защиты конфиденциальной информации. 
Книга написана доктором технических наук, CISO С.А. Петренко и CISSP
В.А. Курбатовым, за исключением следующих ее частей:

• параграфа 3.7 — совместно с М. Пышкиным («Крок»);
• приложения 2 — © «Эрнст энд Янг (СНГ) Лимитед», 2003 г.;
• приложения 3 — совместно с доктором физикоматематических наук,
профессором В.А. Галатенко; 
• приложения 5 — совместно с Е.М. Тереховой («АйТи»).

11
Предисловие

Авторы выражают глубокую благодарность докторам технических наук, про-
фессорам А.Д. Хомоненко, Ю.И. Рыжикову, В.Н. Кустову, Б.Н. Соколову,
А.Г. Ломако, кандидату технических наук, профессору В.В. Ковалеву за ценные
советы и сделанные ими замечания по рукописи, устранение которых способ-
ствовало улучшению ее качества. 
Благодарим также центр GIAC и институт SANS в лице Стивена Нортката
(Stephen Northcutt) ) и Эрикa Коула (Eric Cole), общество ISC в лице CISSP
Дмитрия Шепелявого, CISSP Чарльза Крессона Вуда (Charles Cresson Wood) и
CISSP Шона Харриса (Shon Harris), ассоциацию ISACA в лице президента лон-
донского отделения CISA Чарльза Мансура (Charles Mansour), CISA Андрея
Дроздова (KPMG) и CISA Александрa Астаховa, a также компанию Cisco Sys-
tems в лице CCIE Максимa Мамаевa, CCIE Михаилa Кадера, CCIE Мерике Кэо
(Merike Kaeo).
Авторы заранее выражают признательность всем читателям, которые готовы
сообщить свое мнение о данной книге.  Вы можете отправлять свои письма в из-
дательство «АйТиПресс» Академии АйТи (itpress@it.ru).

12
Политики информационной безопасности

Глава 1 

Актуальность политик 

безопасности компании 

Как правило, руководители отечественных предприятий рассматривают проб-
лему защиты конфиденциальной информации преимущественно с технической
точки зрения. При этом решение данной проблемы связывается с приобретени-
ем и настройкой соответствующих аппаратнопрограммных средств защиты
информации. Однако для эффективной организации режима информационной
безопасности компании этого недостаточно. Для того чтобы убедиться в этом,
давайте сначала проведем анализ современного рынка средств защиты конфи-
денциальной информации, покажем «подводные» камни существующих техноло-
гий безопасности, а затем обоснуем необходимость разработки политик безо-
пасности в отечественных компаниях. И наконец, рассмотрим возможные
постановки задач по разработке и реализации корпоративных политик безопас-
ности, а также способы решения названных задач.

1.1. Анализ отечественного рынка средств 
защиты информации

Современный рынок средств защиты информации можно условно разделить на
две группы:

• средства защиты для госструктур, позволяющие выполнить требования
нормативноправовых документов (федеральных законов, указов Прези-
дента РФ, постановлений Правительства РФ), а также требования норма-
тивнотехнических документов (государственных стандартов, руководящих
документов Гостехкомиссии (ФСТЭК) России, силовых ведомств РФ;
• средства защиты для коммерческих компаний и структур, позволяющие
выполнить требования и рекомендации федеральных законов, указов
Президента РФ, постановлений Правительства РФ, а также документа
СТРК Гостехкомиссии России, ГОСТ Р ИСО/МЭК 15408 и некоторых
международных стандартов, главным образом ISO 17799: 2005.

Например, к защите конфиденциальной информации в органах исполни-
тельной власти могут предъявляться следующие требования:

1. Выбор конкретного способа подключения к сети Интернет, в совокупности
обеспечивающего межсетевое экранирование с целью управления доступом,
фильтрации сетевых пакетов и трансляции сетевых адресов для сокрытия
структуры внутренней сети, а также проведение анализа защищенности

Сергей Александрович Петренко, Владимир Анатольевич Курбатов

Политики информационной безопасности

Сергей Александрович Петренко, Владимир Анатольевич Курбатов

Политики информационной безопасности

4.64

Книгу просматривали 256 раз, оценку поставили 53 читателя

Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.

Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.

Скачать или читать онлайн книгу Политики безопасности компании при работе в Интернет

На этой странице свободной электронной библиотеки fb2.top вы можете ознакомиться
с описанием книги «Политики безопасности компании при работе в Интернет» и другой информацией о ней, а затем начать
читать книгу онлайн с помощью читалок, предлагаемых по ссылкам под постером, или
скачать книгу в формате fb2 на свой смартфон, если вам больше по вкусу сторонние
читалки. Книга написана авторами Сергей Александрович Петренко,
Владимир Анатольевич Курбатов,
относится к жанру ОС и Сети, интернет,
добавлена в библиотеку 17.04.2013.

С произведением «Политики безопасности компании при работе в Интернет» , занимающим объем 329 печатных страниц,
вы наверняка проведете не один увлекательный вечер. В онлайн читалках,
которые мы предлагаем посетителям библиотеки fb2.top, предусмотрен ночной режим
чтения, который отлично подойдет для тёмного времени суток и чтения перед сном.
Помимо этого, конечно же, можно читать «Политики безопасности компании при работе в Интернет» полностью в
классическом дневном режиме или же скачать книгу на свой смартфон в удобном
формате fb2. Желаем увлекательного чтения!

С этой книгой читают:

• Сценарии командной оболочки. Linux, OS X и Unix. 2-е издание
  — Брендон Перри, Дейв Тейлор
• Сеть. Как устроен и как работает Интернет
  — Эндрю Блам
• Искусство обмана
  — Кристофер Хэднеги
• Это ваше Fido
  — Дмитрий Игнатов
• Прорваться сквозь шум
  — Джош Янг, Тим Стейплс
• Вторжение. Краткая история русских хакеров
  — Даниил Туровский
• Кто контролирует интернет? Иллюзии безграничного мира.
  — Джек Голдсмит, Тим Ву
• Работа копирайтером: как зарабатывать от 300$ в месяц дома на копирайтинге
  — Tony Montana
• Работа копирайтером: плюсы и минусы
  — Dimoni4e
• Что такое копирайтинг и рерайтинг: виды копирайтинга
  — Troffair

Сергей Александрович Петренко, Владимир Анатольевич Курбатов

Политики информационной безопасности