Цитаты из книги «Политики безопасности компании при работе в Интернет»

1.4.8. Примеры политик безопасности В настоящее время ряд ведущих компаний в области безопасности выделяют следующие политики: • допустимого шифрования, • допустимого использования, • аудита безопасности, • оценки рисков, • классификации данных, • управления паролями, • использования ноутбуков, • построения демилитаризованной зоны (DMZ), • построения экстранет, • безопасности рабочих станций и серверов, • антивирусной защиты, • безопасности маршрутизаторов и коммутаторов,

При разработке политики безопасности можно использовать следующую модель (рис. 1.20), основанную на адаптации Общих критериев (ISO 15408) и проведении анализа риска (ISO 17799). Эта модель соответствует специальным нормативным документам по обеспечению информационной безопасности, принятым в Российской Федерации, международному стандарту ISO/IEC 15408 «Информационная технология – методы защиты – критерии оценки информационной безопасности», стандарту ISO/IEC 17799 «Управление информационной безопасностью» и учитывает тенденции развития отечественной нормативной базы (в частности, документов Гостехкомиссии РФ) по вопросам защиты информации.

1.1. Анализ отечественного рынка средств защиты информации Современный рынок средств защиты информации можно условно разделить на две группы: • средства защиты для госструктур, позволяющие выполнить требования нормативно-правовых документов (федеральных законов, указов Президента РФ, постановлений Правительства РФ), а также требования нормативно-технических документов (государственных стандартов, руководящих документов Гостехкомиссии (ФСТЭК) России, силовых ведомств РФ; • средства защиты для коммерческих компаний и структур, позволяющие выполнить требования и рекомендации федеральных законов, указов Президента РФ, постановлений Правительства РФ, а также документа СТР-К Гостехкомиссии России, ГОСТ Р ИСО/МЭК 15408 и некоторых международных стандартов, главным образом ISO 17799: 2005.