Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.
Сергей Александрович Петренко, Владимир Анатольевич Курбатов
Политики информационной безопасности
Предисловие
Согласно RFC 2196 под политикой информационной безопасности компании понимается «формальное изложение правил поведения лиц, получающих доступ к конфиденциальным данным в корпоративной информационной системе». При этом различают общую стратегическую политику безопасности компании, взаимоувязанную со стратегией развития бизнеса и ИТ-стратегией компании, а также частные тактические политики безопасности, детально описывающие правила безопасности при работе с соответствующими ИТ-системами и службами компании.
В соответствии с этим определением и рекомендациями ведущих международных стандартов в области планирования информационной безопасности (ИБ) и управления ею (BS 7799-2:2002, ISO/IEC 17799:2005, ISO/IEC TR 13335, ISO/IEC 10181-7:1996, ISO/IEC 15288:2002, ISO/IEC TR 15443, BSI, CobiT, ITIL, ГОСТ P ИСО/МЭК 15408-2002) политики безопасности должны содержать следующее:
• предмет, основные цели и задачи политики безопасности;
• условия применения политики безопасности и возможные ограничения;
• описание позиции руководства компании в отношении выполнения политики безопасности и организации режима информационной безопасности компании в целом;
