Сергей Курбатов, Владимир Петренко, «Политики информационной безопасности».
Вплоть до прошлого года российский рынок информационной безопасности (ИБ) развивался быстрее рынка ИТ. В 2004 г. он увеличился, по разным оценкам, на 39-45%, а в прошлом — на 23-30%, причем наилучшая динамика наблюдается в сфере предложения услуг обеспечения информационной безопасности. Хотя период стремительного роста этого сегмента заканчивается, пределы его пока не просматриваются: по оценкам IDC, затраты на ИБ в России составляют 150 млн долларов в год, и в ближайшие пять лет по этому показателю вряд ли удастся дос-тичь мирового уровня.
По мере созревания рынка акценты заметно смещаются: сегодня специалисты предпочитают говорить не об информационной безопасности, а об управлении рисками. C этой точки зрения должны рассматриваться и технические аспекты ИБ. Именно такой подход, а не сложные и подчас неприменимые на практике «концепции безопасности», понятнее любому руководителю. Кроме того, средства обеспечения ИБ должны учитывать бизнес-процессы и обеспечивать поддержку решений разных поставщиков, в результате чего требования ИБ приходится увязывать с задачами бизнеса. Атаки с технологического, сетевого уровня переходят на уровень приложений и бизнес-процессов, и при разработке политики безопасности это обстоятельство нужно принимать во внимание, к тому же сложные и дорогостоящие технологические средства сами по себе проблем безопасности не решают.
Среди многочисленных изданий последних лет, посвященных ИБ, книга «Политики информационной безопасности» выделяется своей практической направленностью. В ней последователь-но изложены основные идеи и методы разработки, внедрения и поддержки политики безопасности в государственных и коммерческих структурах. Актуальность разработки политики безопасности для отечественных организаций авторы объясняют необходимостью планирования и управления ИБ с целью минимизации рисков бизнеса. В числе наиболее приоритетных задач чаще всего называются минимизация деловых рисков путем защиты информации, обеспечение безопасного, доверенного и адекватного управления предприятием, планирование и поддержка непрерывности бизнеса, повышение действенности мер по обеспечению ИБ, снижение издержек и повышение ее эффективности. Кроме того, соблюдение рекомендаций ведущих международных стандартов в области ИБ сегодня рассматривается как фактор, повышающий уровень доверия к компании со стороны акционеров и потенциальных инвесторов.
Как утверждается, книга является первым полным практическим руководством по разработке политики ИБ, изданным на русском языке. Принятая политика должна быть отражена в законченном своде нормативных документов, где содержатся единые требования по обеспечению ИБ. В первой главе рассказывается о ее значении для создания эффективного режима безопасности в российских компаниях и организациях, приводится анализ современного рынка средств защиты информации, раскрываются особенности существующих технологий, обосновывается необходимость внедрения политики безопасности. При этом в качестве иллюстрации рассматриваются варианты постановки задач по разработке и реализации политик для различных организаций (на примере металлургической компании, коммерческого банка и субъекта РФ), а также способы их решения. Тема второй главы — «лучшая практика» создания политик безопасности признанных лидеров в этой области (IBM, Sun, Cisco, Microsoft, Symantec, SANS). В третьей представлен обзор новых международных стандартов, где затрагиваются вопросы разработки политики безопасности.
В следующей главе авторы переходят к практике формирования политик безопасности и настройке программно-аппаратных средств защиты конфиденциальной информации (включая настройки пограничных маршрутизаторов, VPN, внешних и внутренних межсетевых экранов, корпоративной антивирусной системы), а в завершение приводят примеры задания детальных технических правил безопасности.
Заинтересованных читателей наверняка привлекут разделы, посвященные средствам централизованного управления безопасностью, управления обновлениями, резервному копированию и архивированию, построению VPN, обнаружению вторжений и аномалий, мониторингу безопасности. В многочисленных приложениях приводятся оценка состояния ИБ в США, результаты международного опроса по ИБ, руководство по ИБ предприятия (RFC 1244), политики безопасности, рекомендуемые SANS, примеры методических материалов по ИБ и перечень законодательных актов по защите информации, а также оценка экономической эффективности затрат на ИБ.
Книга может быть полезна руководителям отделов информационных систем и служб ИБ; внутренним и внешним аудиторам, оценивающим политики безопасности и общее состояние ИБ в организациях; администраторам безопасности, системным и сетевым администраторам, отвечающим за соблюдение правил безопасности в корпоративных системах. Кроме того, она может служить в качестве учебного пособия студентам и аспирантам соответствующих технических специальностей, ведь многие ее главы основаны на преподавательском опыте авторов, полученном в Московском и Санкт-Петербургском университетах.
Книгу (Петренко С. А., Курбатов В. А. «Политики информационной безопасности». — Изд-во «ДМК Пресс» и компания «АйТи», 2006 г. — 394 стр.) можно приобрести в магазинах Internet. Ориентиро-вочная цена — 500 руб.