LibCat » Книги » Компьютеры и интернет » Интернет » Сергей Петренко - Политики безопасности компании при работе в Интернет

Сергей Петренко - Политики безопасности компании при работе в Интернет

Здесь есть возможность читать онлайн «Сергей Петренко - Политики безопасности компании при работе в Интернет» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Жанр: Интернет, на русском языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
Политики безопасности компании при работе в Интернет
Автор:
Сергей Александрович Петренко
Жанр:
Интернет / на русском языке
Год:
неизвестен
ISBN:
нет данных
Рейтинг книги:
3 / 5. Голосов: 1
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 60
- 1
- 2
- 3
- 4
- 5

Политики безопасности компании при работе в Интернет: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «Политики безопасности компании при работе в Интернет»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.

Политики безопасности компании при работе в Интернет — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «Политики безопасности компании при работе в Интернет», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

• ответственности – ответственность за обеспечение безопасности информационных систем компании должна быть явно определена;

• ознакомления – собственники информации, пользователи информационных систем, а также клиенты и партнеры по бизнесу должны быть проинформированы о правилах утвержденной политики безопасности компании, а также о степени ответственности при работе с конфиденциальной информацией компании;

• этики – обеспечение информационной безопасности компании должно осуществляться в соответствии со стандартами этики, применимыми к деятельности компании;

• комплексности – политики, стандарты, практики и процедуры безопасности должны охватывать все уровни обеспечения безопасности: нормативно-методический, экономический, технологический, технический и организационно-управленческий;

• экономической оправданности – обеспечение безопасности компании должно быть экономически оправданным;

• интеграции – политики, стандарты, практики и процедуры безопасности должны быть скоординированы и интегрированы между собой;

• своевременности – обеспечение безопасности компании должно позволять своевременно реагировать на угрозы безопасности и парировать их;

• пересмотра – регулирующие документы в области безопасности компании должны периодически пересматриваться и дополняться;

• демократичности – обеспечение безопасности информационных активов компании должно осуществляться в соответствии с принятыми нормами демократии;

• сертификации и аккредитации – информационные системы компании и компания в целом должны быть сертифицированы на соответствие требованиям безопасности. Сотрудники компании, ответственные за организацию режима информационной безопасности, должны быть сертифицированы и внутренними приказами руководства компании допущены к исполнению своих должностных обязанностей;

• парирования злоумышленника – стратегии и тактики обеспечения безопасности, а также соответствующие технические решения должны быть адекватны уровню нападения различного рода злоумышленников;

• наименьших привилегий – сотрудникам компании должны быть предоставлены привилегии, необходимые для выполнения служебных обязанностей, и не более того;

• разделения привилегий – привилегии сотрудников компании должны быть распределены таким образом, чтобы предупредить возможность нанесения ими умышленного или непреднамеренного ущерба критически важным информационным системам компании;

• непрерывности – должна быть обеспечена требуемая непрерывность бизнеса компании в случае чрезвычайных ситуаций;

• простоты – должно быть отдано предпочтение более простым средствам и технологиям обеспечения безопасности.

Простота политики безопасности. Ключ к успеху политики безопасности – ее простота. В связи с тем, что современные информационные технологии, программное обеспечение и оборудование быстро и постоянно совершенствуются и изменяются, политика безопасности должна быть независима от определенных программных и аппаратных решений. В добавление к этому должны быть явно описаны механизмы изменения политики безопасности.

Доведение политики безопасности. После создания политики безопасности она должна быть доведена до сведения сотрудников компании, ее партнеров и клиентов. При этом желательно доводить политику безопасности через подпись, подтверждающую сам факт ознакомления с политикой безопасности, а также означающую, что все требования политики безопасности понятны и их обязуются выполнять.

Пересмотр политики безопасности. Необходимо организовать процесс периодического пересмотра политики безопасности для того, чтобы ее положения не устаревали. В этот процесс должен быть включен механизм внесения изменений. Компания Sun рекомендует создать экспертную группу из сотрудников компании, которые будут нести ответственность за регулярный пересмотр политики безопасности, проверку положений политики безопасности на практике, а также, при необходимости, внесение изменений.

Реализация в информационных системах. После создания политики безопасности, а также соответствующих процедур безопасности эти процедуры могут быть реализованы в информационных системах компании. Например, в системах, основанных на технологии Java, некоторые требования политики безопасности могут обусловить необходимость установки дополнительных криптопровайдеров сторонних производителей, в то время как другие требования политики безопасности могут быть реализованы встроенной в Java библиотекой Security API. Следует подчеркнуть, что выполнение требований политики безопасности в системах обработки данных не является достаточным для поддержки доверия клиентов: нельзя гарантировать безопасность без правильной организации обработки данных.