Политики безопасности компании при работе в Интернет

Политики безопасности 
компании при работе 
в Интернет

С.А. Петренко 

В.А. Курбатов

Москва, 2018

3-е издание (электронное)

УДК 004.056.5 
ББК 32.973.202

П30

П30
     Политики безопасности компании при работе в Интернет [Электронный 
ресурс] / С. А. Петренко, В. А. Курбатов. — 3-е изд. (эл.). — Электрон. текстовые дан. (1 файл pdf : 397 с.). — М. : ДМК Пресс, 2018. — (Информационные 
технологии для инженеров). — Систем. требования: Adobe Reader XI либо 
Adobe Digital Editions 4.5 ; экран 10".

ISBN 978-5-93700-057-6

Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников,
преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов
разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах. 

Книга может быть полезна руководителям служб автоматизации (CIO) и

служб информационной безопасности (CISO), ответственным за утверждение
политик безопасности и организацию режима информационной безопасности;
внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОРменеджерам), которым приходится разрабатывать
и внедрять политики безопасности в компании; администраторам безопасности,
системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических
специальностей.

ISBN 978-5-93700-057-6
©ДМК Пресс, 2011

Петренко, Сергей Анатольевич.

УДК 004.056.5 
ББК 32.973.202

Деривативное электронное издание на основе печатного издания: Политики безопасности компании при работе в Интернет / С. А. Петренко, В. А. Курбатов. — 2-е изд. — М. : ДМК Пресс, 2011. — (Информационные технологии 
для инженеров). — 400 с. — ISBN 978-5-94074-728-4.

В соответствии со ст. 1299 и 1301 ГК РФ при устранении ограничений, установленных техническими средствами защиты авторских прав, правообладатель вправе требовать от нарушителя возмещения убытков или выплаты компенсации.

ОГЛАВЛЕНИЕ

Предисловие  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

Глава 1 
Актуальность политик безопасности компании  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

1.1. Анализ отечественного рынка средств защиты информации  . . . . . . . . . . . . . . .13

1.1.1. Средства управления обновлениями  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
1.1.2. Средства межсетевого экранирования  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
1.1.3. Средства построения VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
1.1.4. Средства контроля доступа  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
1.1.5. Средства обнаружения вторжений и аномалий  . . . . . . . . . . . . . . . . . . . . . . . . . .18
1.1.6. Средства резервного копирования и архивирования  . . . . . . . . . . . . . . . . . . . . .18
1.1.7. Средства централизованного управления безопасностью . . . . . . . . . . . . . . . . .18
1.1.8. Средства предотвращения вторжений на уровне серверов  . . . . . . . . . . . . . . . .19
1.1.9. Средства мониторинга безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19
1.1.10. Средства контроля деятельности сотрудников в Интернете  . . . . . . . . . . . . . .20
1.1.11. Средства анализа содержимого почтовых сообщений  . . . . . . . . . . . . . . . . . . .21
1.1.12. Средства анализа защищенности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
1.1.13. Средства защиты от спама  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
1.1.14. Средства защиты от атак класса «отказ в обслуживании»  . . . . . . . . . . . . . . . .23
1.1.15. Средства контроля целостности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
1.1.16. Средства инфраструктуры открытых ключей  . . . . . . . . . . . . . . . . . . . . . . . . . . .24
1.1.17. Средства усиленной аутентификации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
1.2. Характеристика зрелости технологий защиты информации  . . . . . . . . . . . . . . . .25

1.3. Основные причины создания политик безопасности  . . . . . . . . . . . . . . . . . . . . . . .28

1.4. Как разработать политики безопасности?  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32

1.4.1. Кому и что доверять  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33
1.4.2. Трудности внедрения политик безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . .33
1.4.3. Кто заинтересован в политиках безопасности?  . . . . . . . . . . . . . . . . . . . . . . . . . .34
1.4.4. Состав группы по разработке политик безопасности  . . . . . . . . . . . . . . . . . . . . .34
1.4.5. Процесс разработки политик безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35
1.4.6. Основные требования к политике безопасности  . . . . . . . . . . . . . . . . . . . . . . . . .35
1.4.7. Уровень средств безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35
1.4.8. Примеры политик безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35
1.4.9. Процедуры безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38
1.5. Возможные постановки задачи  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39

1.5.1. Металлургическая компания  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39
1.5.2. Коммерческий банк  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42
1.5.3. Субъект РФ  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48
1.6. Российская специфика разработки политик безопасности  . . . . . . . . . . . . . . . . .50

Глава 2 
Лучшие практики создания политик безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57

2.1. Подход компании IBM  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57

2.1.1. Структура документов безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58
2.1.2. Пример cтандарта безопасности для ОС семейства UNIX  . . . . . . . . . . . . . . . . .61
2.2. Подход компании Sun Microsystems  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67

2.2.1. Структура политики безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67
2.2.2.Пример политики безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .73
2.3. Подход компании Cisco Systems  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .78

2.3.1. Описание политики безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .78
2.3.2. Пример политики сетевой безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .84
2.4. Подход компании Microsoft  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .91

2.5. Подход компании Symantec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95

2.5.1. Описание политики безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .96
2.6. Подход SANS  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99

2.6.1. Описание политики безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99
2.6.2. Пример политики аудита безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100

Глава 3
Рекомендации международных стандартов
по созданию политик безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103

3.1. Стандарты ISO/IEC 17799:2005 (BS 77991:2002) . . . . . . . . . . . . . . . . . . . . . . . . .103

3.2. Международный стандарт ISO 15408  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135

3.3 Германский стандарт BSI  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .141

3.4. Стандарт CobiT  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .143

3.5. Общие рекомендации по созданию политик безопасности  . . . . . . . . . . . . . . . .148

3.6. Проблемы разработки политик безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . .152

3.7. Обзор возможностей современных систем управления 
политиками безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155

3.7.1. Bindview Policy Operations Center  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .157
3.7.2. Zequel Technologies DynamicPolicy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .158
3.7.3. NetIQ VigilEnt Policy Center . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159
3.8. Отечественная специфика разработки политик безопасности  . . . . . . . . . . . . .165

Глава 4
Реализация политик безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169

4.1. Задание общих правил безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169

4.2. Архитектура корпоративной системы защиты информации  . . . . . . . . . . . . . . .171

4.2.1. Зона подключения к Интернету  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .173
4.2.2. Зона доступа к Webприложениям компании  . . . . . . . . . . . . . . . . . . . . . . . . . . .175
4.2.3. Зона выхода в Интернет  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .176
4.2.4. Зона управления ресурсами сети компании  . . . . . . . . . . . . . . . . . . . . . . . . . . . .179
4.2.5.Зона защищаемых данных компании . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185
4.2.6. Зона внутренней сети компании  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .186

4
Политики информационной безопасности

4.3. Настройки основных компонент системы защиты компании . . . . . . . . . . . . . . .188

4.3.1. Настройки пограничных маршрутизаторов  . . . . . . . . . . . . . . . . . . . . . . . . . . . . .188
4.3.2. Сервисы маршрутизатора  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .190
4.3.3. Настройки внешних межсетевых экранов  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197
4.3.4. Настройки VPN  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .212
4.3.5. Настройки внутренних межсетевых экранов  . . . . . . . . . . . . . . . . . . . . . . . . . . . .213
4.3.6. Настройка корпоративной системы защиты от вирусов  . . . . . . . . . . . . . . . . . .228
4.4. Дальнейшие шаги по совершенствованию правил
безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .231

Приложение 1
Оценка состояния информационной безопасности в США . . . . . . . . . . . . . . . . . . . . . . . .233

Приложение 2
Международный опрос 2003 года по информационной безопасности.  
Обзор результатов по странам СНГ  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .249

Приложение 3
Руководство по информационной безопасности предприятия
(Site Security Handbook, RFC 1244)  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .265

Выработка официальной политики предприятия в области
информационной безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .265

Выработка процедур для предупреждения нарушений
безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .277

Типы процедур безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .291

Реакция на нарушение безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .295

Выработка мер, предпринимаемых после нарушения  . . . . . . . . . . . . . . . . . . . . . . . . .305

Приложение 4
Политики безопасности, рекомендуемые SANS  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .309

1.
Политика допустимого шифрования  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .309

2.
Политика допустимого использования  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .310

3.
Руководство по антивирусной защите . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .314

4.
Политика хранения электронной почты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .315

5.
Политика использования электронной почты компании  . . . . . . . . . . . . . . . . . . .317

6.
Политика использования паролей  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .318

7.
Политика оценки рисков  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .321

8.
Политика безопасности маршрутизатора  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .322

9.
Политика обеспечения безопасности серверов  . . . . . . . . . . . . . . . . . . . . . . . . . .323

10. Политика виртуальных частных сетей  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .326

11. Политика беспроводного доступа в сеть компании  . . . . . . . . . . . . . . . . . . . . . . .327

12. Политика автоматического перенаправления
электронной почты компании  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .328

5
Оглавление

13. Политика классификации информации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .329

14. Политика в отношении паролей для доступа к базам данных  . . . . . . . . . . . . . .334

15. Политика безопасности лаборатории
демилитаризованной зоны  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .336

16. Политика безопасности внутренней лаборатории . . . . . . . . . . . . . . . . . . . . . . . . .339

17. Политика экстранета  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .343

18. Политика этики  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .344

19. Политика лаборатории антивирусной защиты  . . . . . . . . . . . . . . . . . . . . . . . . . . . .346

Приложение 5
Оценка экономической эффективности затрат
на защиту информации  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .348

1.
Оценка затрат на защиту информации  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .348

2.
Обоснование инвестиций в информационную безопасность . . . . . . . . . . . . . . .373

Приложение 6
Примеры методических материалов по 
информационной безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .383

Инструкция администратору безопасности сети  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .383

Инструкция администратору Webсервера сети  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .385

Инструкция пользователю Интернет/интранеттехнологий сети  . . . . . . . . . . . . . . .386

Приложение 7
Перечень законодательных актов по защите информации  . . . . . . . . . . . . . . . . . . . . . . .390

Нормативноправовые акты  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .390

Федеральные законы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .390

Указы Президента РФ  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .391

Постановления Правительства РФ  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .391

ГОСТ и Руководящие документы Гостехкомиссии (ФСТЭК)  . . . . . . . . . . . . . . . . . . . .392

6
Политики информационной безопасности

Предисловие

Согласно RFC 2196 под политикой информационной безопасности компании
понимается «формальное изложение правил поведения лиц, получающих доступ к конфиденциальным данным в  корпоративной информационной системе».
При этом различают общую стратегическую политику безопасности компании,
взаимоувязанную со стратегией развития бизнеса и ИTстратегией компании,
а также частные тактические политики безопасности, детально описывающие
правила безопасности при работе с соответствующими ИTсистемами и службами компании. 
В соответствии с этим определением и рекомендациями ведущих международных стандартов в области планирования информационной безопасности
(ИБ) и управления ею (BS 77992:2002, ISO/IEC 17799:2005, ISO/IEC TR 13335,
ISO/IEC 101817:1996, ISO/IEC  15288:2002, ISO/IEC TR 15443, BSI, CobiT,
ITIL, ГОСТ Р ИСО/МЭК 154082002) политики безопасности должны содержать следующее: 

• предмет, основные цели и задачи политики безопасности;
• условия применения политики безопасности и возможные ограничения;
• описание позиции руководства компании в отношении выполнения политики безопасности и организации режима информационной безопасности
компании в целом;
• права и обязанности, а также степень ответственности сотрудников за выполнение политики безопасности компании;
• порядок действия в чрезвычайных ситуациях в случае нарушения политики безопасности.

Актуальность разработки политик безопасности для отечественных компаний
и организаций  объясняется необходимостью формирования основ планирования
информационной безопасности и управления ею на современном этапе. В настоящее время большинством российских компаний определены следующие приоритетные задачи развития и совершенствования своей деятельности:

• минимизация рисков бизнеса путем защиты своих интересов в информационной сфере;
• обеспечение безопасного, доверенного и адекватного управления предприятием;
• планирование и поддержка непрерывности бизнеса;
• повышение качества деятельности по обеспечению информационной безопасности;
• снижение издержек и повышение эффективности инвестиций в информационную безопасность;

• повышение уровня доверия к компании со стороны акционеров, потенциальных инвесторов, деловых партнеров, профессиональных участников
рынка ценных бумаг, уполномоченных государственных органов и других
заинтересованных сторон.

Успешное выполнение перечисленных задач в условиях воздействия внутренних и внешних факторов, а также действий конкурентов и злоумышленников проблематично. Это связано с возрастающей необходимостью повышения
уровня информационной безопасности и недостаточной проработанностью политик информационной безопасности в отечественных компаниях. При разработке политик безопасности важно иметь в виду: 

• в разрабатываемых политиках безопасности отечественных компаний необходимо учитывать в равной мере нормативные, экономические, технологические, технические и организационноуправленческие аспекты планирования информационной безопасности и управления ею. Только в
этом случае можно достигнуть разумного баланса между стоимостью и эффективностью разрабатываемых правил политик безопасности;
• политики безопасности российских компаний не должны противоречить
отечественной нормативной базе в области защиты информации в автоматизированных системах на территории РФ, в том числе нормативноправовым документам (федеральным законам, указам Президента, постановлениям Правительства) и нормативнотехническим документам
(государственным стандартам, руководящим документам Гостехкомиссии (ФСТЭК) России, Министерства обороны РФ и ФСБ РФ); 
• при создании политик безопасности желательно учесть текущие реформы действующей Государственной системы стандартизации (ГСС) согласно Федеральному закону № 184ФЗ «О техническом регулировании», рекомендации  ГОСТ Р ИСО/МЭК 154082002, рекомендации
функционального стандарта ГОСТ Р 515832000, описывающего этапность построения защищенных информационных систем, рекомендации
функционального стандарта — документа ФСТЭК, под названием СТРК,
для выработки требований по технической защите конфиденциальной
информации;   
• при отражении в политиках безопасности нормативного аспекта рекомендуется следовать требованиям новой российской национальной системы стандартизации, основанной на системе технического регулирования в соответствии с рекомендациями Федерального закона № 184ФЗ
«О техническом регулировании». Это отвечает последним веяниям формирования в Российской Федерации технического законодательства,
обеспечивающего выполнение Соглашений Всемирной торговой организации (ВТО) по техническим барьерам в торговле (ТБТ) и санитарным
и фитосанитарным мерам (СФС) с учетом принципов нового подхода к
технической регламентации в Европейском союзе (ЕС). Следование
данным требованиям позволит устранить существующие технические

8
Политики информационной безопасности

барьеры для отечественных компаний  в торговле и обеспечении конкурентоспособности продукции; 
• использование в политиках безопасности  современных подходов и принципов обеспечения информационной безопасности, основанных на лучшем мировом и отечественном опыте (BS 77992:2002, ISO/IEC
17799:2005, ISO/IEC TR 13335, ISO/IEC 101817:1996, ISO/IEC
15288:2002, ISO/IEC TR 15443, BSI, CobiT, ITIL, ГОСТ Р ИСО/МЭК
154082002 и пр.), позволит выработать обоснованную парадигму планирования информационной безопасности и управления ею — концептуальную схему обеспечения информационной безопасности, а также требуемые модели постановки проблем в области управления информационной
безопасностью и предложить разумно достаточные решения этих проблем. В частности, сформулировать основные принципы обеспечения информационной безопасности и доверия к ней,  а также разработать требования по обеспечению информационной безопасности, адекватные целям
и задачам развития бизнеса отечественных компаний;
• при отражении в разрабатываемых политиках безопасности отечественных компаний экономического подхода к планированию информационной безопасности и управлению ею на основе концепции управления
рисками рекомендуется обратить внимание на методы: прикладного информационного анализа (Applied Information Economics, AIE); расчета
потребительского индекса (Customer Index, CI); расчета добавленной
экономической стоимости (Economic Value Added, EVA); определения
исходной экономической стоимости (Economic Value Sourced, EVS); управления портфелем активов (Portfolio Management, PM); оценки
действительных возможностей (Real Option Valuation, ROV); поддержки
жизненного цикла искусственных систем (System Life Cycle Analysis,
SLCA); расчета системы сбалансированных показателей (Balanced Scorecard, BSC); расчета совокупной стоимости владения (Total Cost of Ownership, TCO); функциональностоимостного анализа (Activity Based
Costing, ABC). В частности, для расчета расходной части на техническую
архитектуру обеспечения информационной безопасности рекомендуется
использовать метод совокупной стоимости владения (TCO), а для обоснования инвестиций в корпоративную систему защиты информации —
методы ожидаемых потерь, оценки свойств системы безопасности, а также анализа дерева ошибок. При этом следует учитывать, что только метод ожидаемых потерь позволяет получить количественную оценку стоимости и выгод от контрмер безопасности; 
• при разработке детальных технических политик безопасности отечественных компаний целесообразно воспользоваться стандартами BSI IT Protection Manual (www.bsi.de), NIST США серии 800 (www.nist.gov), CIS
(www.cisecurity.org), NSA (www.nsa.gov). Это позволит определить облик
технической архитектуры корпоративных систем защиты конфиденциальной информации российских компаний, в частности:

9
Предисловие

— определить цели создания технической архитектуры корпоративной
системы защиты информации;
— разработать эффективную систему обеспечения информационной
безопасности на основе управления информационными рисками;
— рассчитать совокупности детализированных не только качественных,
но и количественных показателей для оценки соответствия информационной безопасности заявленным целям;
— выбрать и использовать требуемый инструментарий обеспечения информационной безопасности и оценки ее текущего состояния;
— реализовать требуемые методики мониторинга и управления информационной безопасностью с обоснованной системой метрик и мер
обеспечения информационной безопасности. Эти метрики и меры
позволят объективно оценить защищенность информационных активов и управлять информационной безопасностью отечественных компаний;  
• политики безопасности должны представлять собой законченные нормативные документы, содержащие единые нормы и требования по обеспечению информационной безопасности, обязательные для утверждения и
применения соответствующими органами управления, руководством
служб безопасности, руководством служб информационнотехнологического обеспечения отечественных компаний. 

По мнению авторов, книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других
источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения:
разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих организациях и структурах. 
Эта книга может быть полезна следующим основным группам читателей:

• руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности
и организацию режима информационной безопасности, адекватного текущим целям и задачам бизнеса компании;
• внутренним и внешним аудиторам (CISA), которым приходится комплексно оценивать политики безопасности и текущее состояние организации
режима информационной безопасности компании на соответствие некоторым требованиям корпоративных, национальных и международных
стандартов, например ISO 15408, ISO 17799 (BS 77992), BSI, CobiT и пр.;
• менеджерам высшего эшелона управления компанией (ТОРменеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании;
• администраторам безопасности, системным и сетевым администраторам,
администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах.

10
Политики информационной безопасности

Книга также может использоваться в качестве учебного пособия студентами
и аспирантами соответствующих технических специальностей, тем более что
материалы многих глав основаны в том числе и на опыте преподавания авторов
в Московском и СанктПетербургском госуниверситетах.
В книге четыре главы, которые посвящены:

• актуальности политик безопасности компании;
• лучшим практикам создания политик безопасности; 
• рекомендациям международных стандартов по созданию политик безопасности;
• реализации политик безопасности.

В первой главе показано значение разработки политик информационной безопасности для создания эффективного режима информационной безопасности в российских компаниях и организациях. Доказывается, что одного только
технического подхода для эффективной организации режима информационной безопасности компании недостаточно. Проведен анализ современного
рынка средств защиты конфиденциальной информации, показаны «подводные» камни существующих технологий безопасности, а затем обоснована необходимость разработки политик безопасности в отечественных компаниях. Рассмотрены возможные постановки задач по разработке и реализации
корпоративных политик безопасности, а также возможные способы решения
названных задач.
Во второй главе рассмотрена так называемая лучшая практика (best practices) создания  политик безопасности таких признанных технологических лидеров, как IBM, Sun Microsystems, Cisco Systems, Microsoft, Symantec, SANS и
пр. Приводятся соответствующие практики и рекомендации для разработки политик безопасности в отечественных компаниях.  
Третья глава содержит обзор сравнительно новых международных стандартов
в области защиты информации, посвященных практическим вопросам разработки политик безопасности, в частности ISO/IEC 17799:2002 (BS 77991:2005),
ISO/IEC 15408, ISO/IEC TR 13335, германского стандарта BSI, стандартов
NIST США серии 800, стандартов и библиотек CobiT, ITIL, SAC, COSO, SAS
78/94. 
В четвертой главе рассмотрена практика разработки политик безопасности.
Приведены примеры задания детальных технических правил безопасности,
а также настройки соответствующих корпоративных аппаратнопрограммных
средств защиты конфиденциальной информации. 
Книга написана доктором технических наук, CISO С.А. Петренко и CISSP
В.А. Курбатовым, за исключением следующих ее частей:

• параграфа 3.7 — совместно с М. Пышкиным («Крок»);
• приложения 2 — © «Эрнст энд Янг (СНГ) Лимитед», 2003 г.;
• приложения 3 — совместно с доктором физикоматематических наук,
профессором В.А. Галатенко; 
• приложения 5 — совместно с Е.М. Тереховой («АйТи»).

11
Предисловие

Авторы выражают глубокую благодарность докторам технических наук, профессорам А.Д. Хомоненко, Ю.И. Рыжикову, В.Н. Кустову, Б.Н. Соколову,
А.Г. Ломако, кандидату технических наук, профессору В.В. Ковалеву за ценные
советы и сделанные ими замечания по рукописи, устранение которых способствовало улучшению ее качества. 
Благодарим также центр GIAC и институт SANS в лице Стивена Нортката
(Stephen Northcutt) ) и Эрикa Коула (Eric Cole), общество ISC в лице CISSP
Дмитрия Шепелявого, CISSP Чарльза Крессона Вуда (Charles Cresson Wood) и
CISSP Шона Харриса (Shon Harris), ассоциацию ISACA в лице президента лондонского отделения CISA Чарльза Мансура (Charles Mansour), CISA Андрея
Дроздова (KPMG) и CISA Александрa Астаховa, a также компанию Cisco Systems в лице CCIE Максимa Мамаевa, CCIE Михаилa Кадера, CCIE Мерике Кэо
(Merike Kaeo).
Авторы заранее выражают признательность всем читателям, которые готовы
сообщить свое мнение о данной книге.  Вы можете отправлять свои письма в издательство «АйТиПресс» Академии АйТи (itpress@it.ru).

12
Политики информационной безопасности

Глава 1 

Актуальность политик 

безопасности компании 

Как правило, руководители отечественных предприятий рассматривают проблему защиты конфиденциальной информации преимущественно с технической
точки зрения. При этом решение данной проблемы связывается с приобретением и настройкой соответствующих аппаратнопрограммных средств защиты
информации. Однако для эффективной организации режима информационной
безопасности компании этого недостаточно. Для того чтобы убедиться в этом,
давайте сначала проведем анализ современного рынка средств защиты конфиденциальной информации, покажем «подводные» камни существующих технологий безопасности, а затем обоснуем необходимость разработки политик безопасности в отечественных компаниях. И наконец, рассмотрим возможные
постановки задач по разработке и реализации корпоративных политик безопасности, а также способы решения названных задач.

1.1. Анализ отечественного рынка средств 
защиты информации

Современный рынок средств защиты информации можно условно разделить на
две группы:

• средства защиты для госструктур, позволяющие выполнить требования
нормативноправовых документов (федеральных законов, указов Президента РФ, постановлений Правительства РФ), а также требования нормативнотехнических документов (государственных стандартов, руководящих
документов Гостехкомиссии (ФСТЭК) России, силовых ведомств РФ;
• средства защиты для коммерческих компаний и структур, позволяющие
выполнить требования и рекомендации федеральных законов, указов
Президента РФ, постановлений Правительства РФ, а также документа
СТРК Гостехкомиссии России, ГОСТ Р ИСО/МЭК 15408 и некоторых
международных стандартов, главным образом ISO 17799: 2005.

Например, к защите конфиденциальной информации в органах исполнительной власти могут предъявляться следующие требования:

1. Выбор конкретного способа подключения к сети Интернет, в совокупности
обеспечивающего межсетевое экранирование с целью управления доступом,
фильтрации сетевых пакетов и трансляции сетевых адресов для сокрытия
структуры внутренней сети, а также проведение анализа защищенности

интернетузла, использование средств антивирусной защиты и централизованное управление, должен производиться на основании рекомендаций документа Гостехкомиссии РФ СТРК.
2. Автоматизированные системы (АС) организации должны обеспечивать защиту
информации от несанкционированного доступа (НСД) по классу «1Г» в соответствии с Руководящим документом Гостехкомиссии РФ «РД. Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования
по защите информации».
3. Средства вычислительной техники и программные средства АС должны
удовлетворять требованиям четвертого класса РД Гостехкомиссии России
«РД. Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации».
4. Программноаппаратные средства межсетевого экранирования, применяемые для изоляции корпоративной сети от сетей общего пользования, должны
удовлетворять требованиям «РД. Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности
от НСД к информации» по третьему классу защиты.
5. Информационные системы должны удовлетворять требованиям ГОСТ
ИСО/ МЭК 15408 по защищенности информационых систем в рамках заданных профилей защиты.
6. Программноаппаратные средства криптографической защиты конфиденциальной информации, в том числе используемые для создания виртуальных
защищенных сетей (Virtual Privat Network, VPN), должны быть легитимны.
7. Обязательным является использование средств электронноцифровой
подписи (ЭЦП) для подтверждения подлинности документов.
8. Для использования персональных цифровых сертификатов и поддержки
инфраструктуры открытых ключей, средств ЭЦП и шифрования необходимо
создать легитимный удостоверяющий центр (систему удостоверяющих центров).
9. Политика информационной безопасности должна предусматривать обязательное включение в технические задания на создание коммуникационных и
информационных систем требований информационной безопасности. 
10.Должен быть регламентирован порядок ввода в эксплуатацию новых информационных систем, их аттестации по требованиям информационной безопасности. 

Для выполнения перечисленных требований и надлежащей защиты конфиденциальной информации в госструктурах принято использовать сертифицированные
средства, например средства защиты от несанкционированного доступа, межсетевые
экраны и средства построения VPN, средства защиты информации от утечки за счет
ПЭМИН и пр. В частности, для защиты информации от несанкционированного доступа рекомендуется использовать аппаратнопрограммные средства семейства Secret
Net («Информзащита»), семейства Dallas Lock («Конфидент»), семейства «Аккорд»
(ОКБ САПР), электронные замки «Соболь» («Информзащита»), USBтокены 
(Aladdin) и пр. Для защиты информации, передаваемой по открытым каналам связи,

14
ГЛАВА 1. Актуальность политик безопасности компании