Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.

Предисловие......7Глава 1. Актуальность политик безопасности компании......131.1. Анализ отечественного рынка средств защиты информации......131.1.1. Средства управления обновлениями......151.1.2. Средства межсетевого экранирования......151.1.3. Средства построения VPN......161.1.4. Средства контроля доступа......161.1.5. Средства обнаружения вторжений и аномалий......181.1.6. Средства резервного копирования и архивирования......181.1.7. Средства централизованного управления безопасностью......181.1.8. Средства предотвращения вторжений на уровне серверов......191.1.9. Средства мониторинга безопасности......191.1.10. Средства контроля деятельности сотрудников в Интернете......201.1.11. Средства анализа содержимого почтовых сообщений......211.1.12. Средства анализа защищенности......211.1.13. Средства защиты от спама......231.1.14. Средства защиты от атак класса «отказ в обслуживании»......231.1.15. Средства контроля целостности......241.1.16. Средства инфраструктуры открытых ключей......241.1.17. Средства усиленной аутентификации......241.2. Характеристика зрелости технологий защиты информации......251.3. Основные причины создания политик безопасности......281.4. Как разработать политики безопасности?......321.4.1. Кому и что доверять......331.4.2. Трудности внедрения политик безопасности......331.4.3. Кто заинтересован в политиках безопасности?......341.4.4. Состав группы по разработке политик безопасности......341.4.5. Процесс разработки политик безопасности......351.4.6. Основные требования к политике безопасности......351.4.7. Уровень средств безопасности......351.4.8. Примеры политик безопасности......351.4.9. Процедуры безопасности......381.5. Возможные постановки задачи......391.5.1. Металлургическая компания......391.5.2. Коммерческий банк......421.5.3. Субъект РФ......481.6. Российская специфика разработки политик безопасности......50Глава 2. Лучшие практики создания политик безопасности......572.1. Подход компании IBM......572.1.1. Структура документов безопасности......582.1.2. Пример cтандарта безопасности для ОС семейства UNIX......612.2. Подход компании Sun Microsystems......672.2.1. Структура политики безопасности......672.2.2.Пример политики безопасности......732.3. Подход компании Cisco Systems......782.3.1. Описание политики безопасности......782.3.2. Пример политики сетевой безопасности......842.4. Подход компании Microsoft......912.5. Подход компании Symantec......952.5.1. Описание политики безопасности......962.6. Подход SANS......992.6.1. Описание политики безопасности......992.6.2. Пример политики аудита безопасности......100Глава 3. Рекомендации международных стандартов по созданию политик безопасности......1033.1. Стандарты ISO/IEC 17799:2005 (BS 779981:2002)......1033.2. Международный стандарт ISO 15408......1353.3 Германский стандарт BSI......1413.4. Стандарт CobiT......1433.5. Общие рекомендации по созданию политик безопасности......1483.6. Проблемы разработки политик безопасности......1523.7. Обзор возможностей современных систем управления политиками безопасности......1553.7.1. Bindview Policy Operations Center......1573.7.2. Zequel Technologies DynamicPolicy......1583.7.3. NetIQ VigilEnt Policy Center......1593.8. Отечественная специфика разработки политик безопасности......165Глава 4. Реализация политик безопасности......1694.1. Задание общих правил безопасности......1694.2. Архитектура корпоративной системы защиты информации......1714.2.1. Зона подключения к Интернету......1734.2.2. Зона доступа к Web
приложениям компании......1754.2.3. Зона выхода в Интернет......1764.2.4. Зона управления ресурсами сети компании......1794.2.5.Зона защищаемых данных компании......1854.2.6. Зона внутренней сети компании......1864.3. Настройки основных компонент системы защиты компании......1884.3.1. Настройки пограничных маршрутизаторов......1884.3.2. Сервисы маршрутизатора......1904.3.3. Настройки внешних межсетевых экранов......1974.3.4. Настройки VPN......2124.3.5. Настройки внутренних межсетевых экранов......2134.3.6. Настройка корпоративной системы защиты от вирусов......2284.4. Дальнейшие шаги по совершенствованию правил безопасности......231Приложение 1. Оценка состояния информационной безопасности в США......233Приложение 2. Международный опрос 2003 года по информационной безопасности. Обзор результатов по странам СНГ......249Приложение 3. Руководство по информационной безопасности предприятия (Site Security Handbook
RFC 1244)......265Выработка официальной политики предприятия в области информационной безопасности......265Выработка процедур для предупреждения нарушений безопасности......277Типы процедур безопасности......291Реакция на нарушение безопасности......295Выработка мер
предпринимаемых после нарушения......305Приложение 4. Политики безопасности
рекомендуемые SANS......3091. Политика допустимого шифрования......3092. Политика допустимого использования......3103. Руководство по антивирусной защите......3144. Политика хранения электронной почты......3155. Политика использования электронной почты компании......3176. Политика использования паролей......3187. Политика оценки рисков......3218. Политика безопасности маршрутизатора......3229. Политика обеспечения безопасности серверов......32310. Политика виртуальных частных сетей......32611. Политика беспроводного доступа в сеть компании......32712. Политика автоматического перенаправления электронной почты компании......32813. Политика классификации информации......32914. Политика в отношении паролей для доступа к базам данных......33415. Политика безопасности лаборатории демилитаризованной зоны......33616. Политика безопасности внутренней лаборатории......33917. Политика экстранета......34318. Политика этики......34419. Политика лаборатории антивирусной защиты......346Приложение 5. Оценка экономической эффективности затрат на защиту информации......3481. Оценка затрат на защиту информации......3482. Обоснование инвестиций в информационную безопасность......373Приложение 6. Примеры методических материалов по информационной безопасности......383Инструкция администратору безопасности сети......383Инструкция администратору Web8сервера сети......385Инструкция пользователю Интернет/интранет8технологий сети......386Приложение 7. Перечень законодательных актов по защите информации......390Нормативно-правовые акты......390Федеральные законы......390Указы Президента РФ......391Постановления Правительства РФ......391ГОСТ и Руководящие документы Гостехкомиссии (ФСТЭК)......392