LibCat » Книги » Компьютеры и интернет » Интернет » Сергей Петренко - Политики безопасности компании при работе в Интернет

Сергей Петренко - Политики безопасности компании при работе в Интернет

Здесь есть возможность читать онлайн «Сергей Петренко - Политики безопасности компании при работе в Интернет» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Жанр: Интернет, на русском языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
Политики безопасности компании при работе в Интернет
Автор:
Сергей Александрович Петренко
Жанр:
Интернет / на русском языке
Год:
неизвестен
ISBN:
нет данных
Рейтинг книги:
3 / 5. Голосов: 1
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 60
- 1
- 2
- 3
- 4
- 5

Политики безопасности компании при работе в Интернет: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «Политики безопасности компании при работе в Интернет»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.

Политики безопасности компании при работе в Интернет — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «Политики безопасности компании при работе в Интернет», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Аудит может быть проведен для:

• гарантии целостности, конфиденциальности и доступности информационных ресурсов компании;

• расследования возможных инцидентов в области безопасности компании;

• мониторинга деятельности сотрудников и активности информационной системы в целом.

Область действия. Политика охватывает все компоненты информационных систем компании. Аудиторы не будут проводить атаки класса «отказ в обслуживании».

Политика. Аудиторам предоставляется доступ к информационной системе при выполнении аудита безопасности. Компания, таким образом, позволяет аудиторам проводить поиск уязвимостей в корпоративной сети и на оборудовании компании в соответствии с планом проведения аудита. Компания обеспечивает аудиторов всеми необходимыми документами для проведения аудита безопасности (технические проекты, карта сети, положения и инструкции и пр.).

Доступ к информационной системе включает:

• доступ на уровне пользователя или системный доступ к любому оборудованию системы;

• доступ к данным (в электронном виде, в виде бумажных копий и т. д.), которые создаются, передаются и хранятся в системе;

• доступ в помещения (лаборатории, офисы, серверные и т. д.);

• доступ к сетевому трафику.

Управление сетью. Если в компании доступ из корпоративной сети в Интернет обеспечивается сторонней организацией, то для проведения аудита безопасности требуется ее письменное разрешение. Подписывая такое соглашение, все заинтересованные стороны подтверждают, что они разрешают проведение аудиторами сканирования сети компании в определенный соглашением период времени.

Уменьшение производительности и/или недоступность сервиса. Компания освобождает аудиторов от любой ответственности, связанной с уменьшением сетевой производительности или недоступностью сервисов, вызванных проведением сканирования, если только такие проблемы не возникли из-за некомпетентности аудиторов.

Контактные лица компании при проведении аудита. Компания должна определить и провести приказом список ответственных лиц, консультирующих аудиторов по всем вопросам, возникающим во время проведения аудита безопасности.

Период сканирования. Компания и аудиторы должны в письменном виде зафиксировать даты и время проведения аудита безопасности.

Процесс оценки рисков. Процесс оценки рисков описан в положении об оценивании и управлении информационными рисками компании.

Ответственность. К любому сотруднику компании, нарушившему эту политику, могут быть применены дисциплинарные меры, вплоть до увольнения.

Глава 3 РЕКОМЕНДАЦИИ МЕЖДУНАРОДНЫХ СТАНДАРТОВ ПО СОЗДАНИЮ ПОЛИТИК БЕЗОПАСНОСТИ

В последнее время в разных странах появилось новое поколение стандартов в области информационной безопасности, посвященных практическим вопросам обеспечения информационной безопасности в компаниях и организациях. Это, прежде всего, международные стандарты ISO/IEC 17799:2005 (BS 7799-1:2002), ISO/IEC 15408, ISO/IEC TR 13335, германский стандарт BSI IT Protection Manual, стандарты NIST США серии 800, стандарты и библиотеки CobiT, ITIL, SAC, COSO, SAS 78/94 и некоторые другие, аналогичные им. В соответствии с названными стандартами политики безопасности компании должны явно определять следующее:

• предмет политики безопасности, основные цели и задачи политики безопасности;

• условия применения политики безопасности и возможные ограничения;

• описание позиции руководства компании по отношению к выполнению политики безопасности и организации режима информационной безопасности компании в целом;

• права и обязанности, а также степень ответственности сотрудников за выполнение политики безопасности компании;

• порядок действий в чрезвычайных ситуациях в случае нарушения политики безопасности.

В этой главе нам предстоит рассмотреть, насколько рекомендации перечисленных стандартов безопасности могут быть полезны для разработки политик безопасности в отечественных компаниях.

3.1. Стандарты ISO/IEC 17799:2005 (BS 7799-1:2002)

В настоящее время международный стандарт ISO/IEC 17799:2005 (BS 7799-1:2002) «Управление информационной безопасностью – Информационные технологии» («Information Technology – Information Security Management») является наиболее известным стандартом в области защиты информации (см. рис. 3.1). Алгоритм применения стандарта ISO 17799 представлен на рис. 3.2. Данный стандарт был разработан на основе первой части британского стандарта BS 7799-1:1995 «Практические рекомендации по управлению информационной безопасностью» («Information Security Management – Part 1: Code of Practice for Information Security Management») и относится к новому поколению стандартов информационной безопасности компьютерных информационных систем. Текущая версия стандарта ISO/IEC 17799:2005 (BS 7799-1:2002) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий (см. рис. 3.3):