в лице Стивена Нортката (Stephen Northcutt)) и Эрика Коула (Eric Cole), общество ISC в лице CISSP Дмитрия Шепелявого, CISSP Чарльза Крессона Вуда (Charles Cresson Wood) и CISSP Шона Харриса (Shon Harris), ассоциацию ISACA в лице президента лондонского отделения CISA Чарльза Мансура (Charles Mansour), CISA Андрея Дроздова (KPMG) и CISA Александра Астахова, а также компанию Cisco Systems в лице CCIE Максима Мамаева, CCIE Михаила Кадера, CCIE Мерике Кэо (Merike Каео).
Авторы заранее выражают признательность всем читателям, которые готовы сообщить свое мнение о данной книге. Вы можете отправлять свои письма в издательство «АйТи-Пресс» Академии АйТи ([email protected]).
Глава 1
АКТУАЛЬНОСТЬ ПОЛИТИК БЕЗОПАСНОСТИ КОМПАНИИ
Как правило, руководители отечественных предприятий рассматривают проблему защиты конфиденциальной информации преимущественно с технической точки зрения. При этом решение данной проблемы связывается с приобретением и настройкой соответствующих аппаратно-программных средств защиты информации. Однако для эффективной организации режима информационной безопасности компании этого недостаточно. Для того чтобы убедиться в этом, давайте сначала проведем анализ современного рынка средств защиты конфиденциальной информации, покажем «подводные» камни существующих технологий безопасности, а затем обоснуем необходимость разработки политик безопасности в отечественных компаниях. И наконец, рассмотрим возможные постановки задач по разработке и реализации корпоративных политик безопасности, а также способы решения названных задач.
1.1. Анализ отечественного рынка средств защиты информации
Современный рынок средств защиты информации можно условно разделить на две группы:
• средства защиты для госструктур, позволяющие выполнить требования нормативно-правовых документов (федеральных законов, указов Президента РФ, постановлений Правительства РФ), а также требования нормативно-технических документов (государственных стандартов, руководящих документов Гостехкомиссии (ФСТЭК) России, силовых ведомств РФ;
• средства защиты для коммерческих компаний и структур, позволяющие выполнить требования и рекомендации федеральных законов, указов Президента РФ, постановлений Правительства РФ, а также документа СТР-К Гостехкомиссии России, ГОСТ Р ИСО/МЭК 15408 и некоторых международных стандартов, главным образом ISO 17799: 2005.
Например, к защите конфиденциальной информации в органах исполнительной власти могут предъявляться следующие требования:
1. Выбор конкретного способа подключения к сети Интернет, в совокупности обеспечивающего межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для сокрытия структуры внутренней сети, а также проведение анализа защищенности интернет-узла, использование средств антивирусной защиты и централизованное управление, должен производиться на основании рекомендаций документа Гостехкомиссии РФ СТР-К.
2. Автоматизированные системы (АС) организации должны обеспечивать защиту информации от несанкционированного доступа (НСД) по классу «1Г» в соответствии