Политики безопасности компании при работе в Интернет. Сергей Александрович Петренко
к безопасности информации в АС субъекта РФ, включающие в себя требования к уровню защиты от несанкционированного доступа;
• распределение задач (функций) между встроенными средствами защиты информации операционной системы, СУБД, прикладными программами и специальными средствами защиты информации при их взаимодействии по обеспечению безопасности информации, а также их достаточности и непротиворечивости;
• описание основных путей и этапов реализации Концепции;
• технико-экономическую оценку работ по реализации Концепции;
• описание состава подсистем, обеспечивающих защиту информации от нарушения ее целостности и достоверности, а также штатное функционирование программно-технических средств сбора, обработки, накопления, хранения, поиска и передачи информации в АС субъекта РФ;
• требования по исключению влияния внешней среды на защищаемые ресурсы АС субъекта РФ.
1.6. Российская специфика разработки политик безопасности
Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому решение вопроса о разработке политики информационной безопасности на современном предприятии связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации. Вследствие этого в дополнение к требованиям и рекомендациям стандартов[1], Конституции и федеральным законам[2], руководящим документам Гостехкомиссии (ФСТЭК) России приходится использовать ряд международных рекомендаций. В том числе адаптировать к отечественным условиям и применять на практике в соответствии с рекомендациями Федерального закона № 184-ФЗ «О техническом регулировании» методики международных стандартов, таких, как ISO 17799 (BS 7799), ISO 9001, ISO 15408, ISO 13335, BSI, CobiT, ITIL[3] и др., а также использовать методики управления информационными рисками в совокупности с оценками экономической эффективности инвестиций в обеспечение защиты информации предприятия.
Современные методики управления рисками позволяют в рамках политик безопасности отечественных компаний поставить и решить ряд задач перспективного стратегического развития.
Во-первых, количественно оценить текущий уровень информационной безопасности предприятия, что потребует выявления рисков на правовом, организационно-управленческом, технологическом, а также техническом уровнях обеспечения защиты информации.
Во-вторых, разработать политику безопасности и планы совершенствования корпоративной системы защиты информации с целью достижения приемлемого уровня защищенности информационных активов компании. Для этого необходимо:
• обосновать и произвести расчет финансовых вложений в обеспечение безопасности
1
ГОСТ 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»; ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования».
2
Федеральный закон «Об информации, информатизации и защите информации», № 24-ФЗ, 1995 г., ст. 2; Конституция Российской Федерации, ст. 23; Гражданский кодекс Российской Федерации, часть I, ст. 139, 128.
3
Международные стандарты безопасности ISO разработаны the International Organization for Stan– dartization (ISO) и the International Electrotechnical Commission (IEC). В России стандарты ISO пока не являются общепринятыми, за исключением ISO 15408, адаптированная версия которого была принята Госстандартом и Гостехкомиссией летом 2002 года. ISO не вступают в противоречие с действующими в РФ стандартами и рекомендациями Гостехкомиссии при Президенте РФ, ФАПСИ и рекомендуются к применению ведущими специалистами в области информационной безопасности. Тексты ISO можно найти по адресу: www.iso.org.