Политики безопасности компании при работе в Интернет

Политики безопасности 
компании при работе 
в Интернет

С.А. Петренко 

В.А. Курбатов

Москва, 2018

3-е издание (электронное)

УДК 004.056.5 
ББК 32.973.202

П30

П30
     Политики безопасности компании при работе в Интернет [Электронный 
ресурс] / С. А. Петренко, В. А. Курбатов. — 3-е изд. (эл.). — Электрон. текстовые дан. (1 файл pdf : 397 с.). — М. : ДМК Пресс, 2018. — (Информационные 
технологии для инженеров). — Систем. требования: Adobe Reader XI либо 
Adobe Digital Editions 4.5 ; экран 10".

ISBN 978-5-93700-057-6

Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников,
преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов
разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах. 

Книга может быть полезна руководителям служб автоматизации (CIO) и

служб информационной безопасности (CISO), ответственным за утверждение
политик безопасности и организацию режима информационной безопасности;
внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОРменеджерам), которым приходится разрабатывать
и внедрять политики безопасности в компании; администраторам безопасности,
системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических
специальностей.

ISBN 978-5-93700-057-6
©ДМК Пресс, 2011

Петренко, Сергей Анатольевич.

УДК 004.056.5 
ББК 32.973.202

Деривативное электронное издание на основе печатного издания: Политики безопасности компании при работе в Интернет / С. А. Петренко, В. А. Курбатов. — 2-е изд. — М. : ДМК Пресс, 2011. — (Информационные технологии 
для инженеров). — 400 с. — ISBN 978-5-94074-728-4.

В соответствии со ст. 1299 и 1301 ГК РФ при устранении ограничений, установленных техническими средствами защиты авторских прав, правообладатель вправе требовать от нарушителя возмещения убытков или выплаты компенсации.

ОГЛАВЛЕНИЕ

Предисловие  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7

Глава 1 
Актуальность политик безопасности компании  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

1.1. Анализ отечественного рынка средств защиты информации  . . . . . . . . . . . . . . .13

1.1.1. Средства управления обновлениями  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
1.1.2. Средства межсетевого экранирования  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
1.1.3. Средства построения VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
1.1.4. Средства контроля доступа  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
1.1.5. Средства обнаружения вторжений и аномалий  . . . . . . . . . . . . . . . . . . . . . . . . . .18
1.1.6. Средства резервного копирования и архивирования  . . . . . . . . . . . . . . . . . . . . .18
1.1.7. Средства централизованного управления безопасностью . . . . . . . . . . . . . . . . .18
1.1.8. Средства предотвращения вторжений на уровне серверов  . . . . . . . . . . . . . . . .19
1.1.9. Средства мониторинга безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19
1.1.10. Средства контроля деятельности сотрудников в Интернете  . . . . . . . . . . . . . .20
1.1.11. Средства анализа содержимого почтовых сообщений  . . . . . . . . . . . . . . . . . . .21
1.1.12. Средства анализа защищенности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
1.1.13. Средства защиты от спама  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
1.1.14. Средства защиты от атак класса «отказ в обслуживании»  . . . . . . . . . . . . . . . .23
1.1.15. Средства контроля целостности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
1.1.16. Средства инфраструктуры открытых ключей  . . . . . . . . . . . . . . . . . . . . . . . . . . .24
1.1.17. Средства усиленной аутентификации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
1.2. Характеристика зрелости технологий защиты информации  . . . . . . . . . . . . . . . .25

1.3. Основные причины создания политик безопасности  . . . . . . . . . . . . . . . . . . . . . . .28

1.4. Как разработать политики безопасности?  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32

1.4.1. Кому и что доверять  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33
1.4.2. Трудности внедрения политик безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . .33
1.4.3. Кто заинтересован в политиках безопасности?  . . . . . . . . . . . . . . . . . . . . . . . . . .34
1.4.4. Состав группы по разработке политик безопасности  . . . . . . . . . . . . . . . . . . . . .34
1.4.5. Процесс разработки политик безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35
1.4.6. Основные требования к политике безопасности  . . . . . . . . . . . . . . . . . . . . . . . . .35
1.4.7. Уровень средств безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35
1.4.8. Примеры политик безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .35
1.4.9. Процедуры безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38
1.5. Возможные постановки задачи  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39

1.5.1. Металлургическая компания  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39
1.5.2. Коммерческий банк  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42
1.5.3. Субъект РФ  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .48
1.6. Российская специфика разработки политик безопасности  . . . . . . . . . . . . . . . . .50

Глава 2 
Лучшие практики создания политик безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57

2.1. Подход компании IBM  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57

2.1.1. Структура документов безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .58
2.1.2. Пример cтандарта безопасности для ОС семейства UNIX  . . . . . . . . . . . . . . . . .61
2.2. Подход компании Sun Microsystems  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67

2.2.1. Структура политики безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67
2.2.2.Пример политики безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .73
2.3. Подход компании Cisco Systems  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .78

2.3.1. Описание политики безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .78
2.3.2. Пример политики сетевой безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .84
2.4. Подход компании Microsoft  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .91

2.5. Подход компании Symantec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .95

2.5.1. Описание политики безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .96
2.6. Подход SANS  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99

2.6.1. Описание политики безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99
2.6.2. Пример политики аудита безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100

Глава 3
Рекомендации международных стандартов
по созданию политик безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103

3.1. Стандарты ISO/IEC 17799:2005 (BS 77991:2002) . . . . . . . . . . . . . . . . . . . . . . . . .103

3.2. Международный стандарт ISO 15408  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135

3.3 Германский стандарт BSI  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .141

3.4. Стандарт CobiT  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .143

3.5. Общие рекомендации по созданию политик безопасности  . . . . . . . . . . . . . . . .148

3.6. Проблемы разработки политик безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . .152

3.7. Обзор возможностей современных систем управления 
политиками безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .155

3.7.1. Bindview Policy Operations Center  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .157
3.7.2. Zequel Technologies DynamicPolicy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .158
3.7.3. NetIQ VigilEnt Policy Center . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .159
3.8. Отечественная специфика разработки политик безопасности  . . . . . . . . . . . . .165

Глава 4
Реализация политик безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169

4.1. Задание общих правил безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169

4.2. Архитектура корпоративной системы защиты информации  . . . . . . . . . . . . . . .171

4.2.1. Зона подключения к Интернету  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .173
4.2.2. Зона доступа к Webприложениям компании  . . . . . . . . . . . . . . . . . . . . . . . . . . .175
4.2.3. Зона выхода в Интернет  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .176
4.2.4. Зона управления ресурсами сети компании  . . . . . . . . . . . . . . . . . . . . . . . . . . . .179
4.2.5.Зона защищаемых данных компании . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185
4.2.6. Зона внутренней сети компании  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .186

4
Политики информационной безопасности

4.3. Настройки основных компонент системы защиты компании . . . . . . . . . . . . . . .188

4.3.1. Настройки пограничных маршрутизаторов  . . . . . . . . . . . . . . . . . . . . . . . . . . . . .188
4.3.2. Сервисы маршрутизатора  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .190
4.3.3. Настройки внешних межсетевых экранов  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .197
4.3.4. Настройки VPN  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .212
4.3.5. Настройки внутренних межсетевых экранов  . . . . . . . . . . . . . . . . . . . . . . . . . . . .213
4.3.6. Настройка корпоративной системы защиты от вирусов  . . . . . . . . . . . . . . . . . .228
4.4. Дальнейшие шаги по совершенствованию правил
безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .231

Приложение 1
Оценка состояния информационной безопасности в США . . . . . . . . . . . . . . . . . . . . . . . .233

Приложение 2
Международный опрос 2003 года по информационной безопасности.  
Обзор результатов по странам СНГ  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .249

Приложение 3
Руководство по информационной безопасности предприятия
(Site Security Handbook, RFC 1244)  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .265

Выработка официальной политики предприятия в области
информационной безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .265

Выработка процедур для предупреждения нарушений
безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .277

Типы процедур безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .291

Реакция на нарушение безопасности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .295

Выработка мер, предпринимаемых после нарушения  . . . . . . . . . . . . . . . . . . . . . . . . .305

Приложение 4
Политики безопасности, рекомендуемые SANS  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .309

1.
Политика допустимого шифрования  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .309

2.
Политика допустимого использования  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .310

3.
Руководство по антивирусной защите . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .314

4.
Политика хранения электронной почты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .315

5.
Политика использования электронной почты компании  . . . . . . . . . . . . . . . . . . .317

6.
Политика использования паролей  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .318

7.
Политика оценки рисков  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .321

8.
Политика безопасности маршрутизатора  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .322

9.
Политика обеспечения безопасности серверов  . . . . . . . . . . . . . . . . . . . . . . . . . .323

10. Политика виртуальных частных сетей  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .326

11. Политика беспроводного доступа в сеть компании  . . . . . . . . . . . . . . . . . . . . . . .327

12. Политика автоматического перенаправления
электронной почты компании  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .328

5
Оглавление

13. Политика классификации информации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .329

14. Политика в отношении паролей для доступа к базам данных  . . . . . . . . . . . . . .334

15. Политика безопасности лаборатории
демилитаризованной зоны  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .336

16. Политика безопасности внутренней лаборатории . . . . . . . . . . . . . . . . . . . . . . . . .339

17. Политика экстранета  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .343

18. Политика этики  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .344

19. Политика лаборатории антивирусной защиты  . . . . . . . . . . . . . . . . . . . . . . . . . . . .346

Приложение 5
Оценка экономической эффективности затрат
на защиту информации  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .348

1.
Оценка затрат на защиту информации  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .348

2.
Обоснование инвестиций в информационную безопасность . . . . . . . . . . . . . . .373

Приложение 6
Примеры методических материалов по 
информационной безопасности  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .383

Инструкция администратору безопасности сети  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .383

Инструкция администратору Webсервера сети  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .385

Инструкция пользователю Интернет/интранеттехнологий сети  . . . . . . . . . . . . . . .386

Приложение 7
Перечень законодательных актов по защите информации  . . . . . . . . . . . . . . . . . . . . . . .390

Нормативноправовые акты  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .390

Федеральные законы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .390

Указы Президента РФ  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .391

Постановления Правительства РФ  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .391

ГОСТ и Руководящие документы Гостехкомиссии (ФСТЭК)  . . . . . . . . . . . . . . . . . . . .392

6
Политики информационной безопасности

Предисловие

Согласно RFC 2196 под политикой информационной безопасности компании
понимается «формальное изложение правил поведения лиц, получающих доступ к конфиденциальным данным в  корпоративной информационной системе».
При этом различают общую стратегическую политику безопасности компании,
взаимоувязанную со стратегией развития бизнеса и ИTстратегией компании,
а также частные тактические политики безопасности, детально описывающие
правила безопасности при работе с соответствующими ИTсистемами и службами компании. 
В соответствии с этим определением и рекомендациями ведущих международных стандартов в области планирования информационной безопасности
(ИБ) и управления ею (BS 77992:2002, ISO/IEC 17799:2005, ISO/IEC TR 13335,
ISO/IEC 101817:1996, ISO/IEC  15288:2002, ISO/IEC TR 15443, BSI, CobiT,
ITIL, ГОСТ Р ИСО/МЭК 154082002) политики безопасности должны содержать следующее: 

• предмет, основные цели и задачи политики безопасности;
• условия применения политики безопасности и возможные ограничения;
• описание позиции руководства компании в отношении выполнения политики безопасности и организации режима информационной безопасности
компании в целом;
• права и обязанности, а также степень ответственности сотрудников за выполнение политики безопасности компании;
• порядок действия в чрезвычайных ситуациях в случае нарушения политики безопасности.

Актуальность разработки политик безопасности для отечественных компаний
и организаций  объясняется необходимостью формирования основ планирования
информационной безопасности и управления ею на современном этапе. В настоящее время большинством российских компаний определены следующие приоритетные задачи развития и совершенствования своей деятельности:

• минимизация рисков бизнеса путем защиты своих интересов в информационной сфере;
• обеспечение безопасного, доверенного и адекватного управления предприятием;
• планирование и поддержка непрерывности бизнеса;
• повышение качества деятельности по обеспечению информационной безопасности;
• снижение издержек и повышение эффективности инвестиций в информационную безопасность;

• повышение уровня доверия к компании со стороны акционеров, потенциальных инвесторов, деловых партнеров, профессиональных участников
рынка ценных бумаг, уполномоченных государственных органов и других
заинтересованных сторон.

Успешное выполнение перечисленных задач в условиях воздействия внутренних и внешних факторов, а также действий конкурентов и злоумышленников проблематично. Это связано с возрастающей необходимостью повышения
уровня информационной безопасности и недостаточной проработанностью политик информационной безопасности в отечественных компаниях. При разработке политик безопасности важно иметь в виду: 

• в разрабатываемых политиках безопасности отечественных компаний необходимо учитывать в равной мере нормативные, экономические, технологические, технические и организационноуправленческие аспекты планирования информационной безопасности и управления ею. Только в
этом случае можно достигнуть разумного баланса между стоимостью и эффективностью разрабатываемых правил политик безопасности;
• политики безопасности российских компаний не должны противоречить
отечественной нормативной базе в области защиты информации в автоматизированных системах на территории РФ, в том числе нормативноправовым документам (федеральным законам, указам Президента, постановлениям Правительства) и нормативнотехническим документам
(государственным стандартам, руководящим документам Гостехкомиссии (ФСТЭК) России, Министерства обороны РФ и ФСБ РФ); 
• при создании политик безопасности желательно учесть текущие реформы действующей Государственной системы стандартизации (ГСС) согласно Федеральному закону № 184ФЗ «О техническом регулировании», рекомендации  ГОСТ Р ИСО/МЭК 154082002, рекомендации
функционального стандарта ГОСТ Р 515832000, описывающего этапность построения защищенных информационных систем, рекомендации
функционального стандарта — документа ФСТЭК, под названием СТРК,
для выработки требований по технической защите конфиденциальной
информации;   
• при отражении в политиках безопасности нормативного аспекта рекомендуется следовать требованиям новой российской национальной системы стандартизации, основанной на системе технического регулирования в соответствии с рекомендациями Федерального закона № 184ФЗ
«О техническом регулировании». Это отвечает последним веяниям формирования в Российской Федерации технического законодательства,
обеспечивающего выполнение Соглашений Всемирной торговой организации (ВТО) по техническим барьерам в торговле (ТБТ) и санитарным
и фитосанитарным мерам (СФС) с учетом принципов нового подхода к
технической регламентации в Европейском союзе (ЕС). Следование
данным требованиям позволит устранить существующие технические

8
Политики информационной безопасности

барьеры для отечественных компаний  в торговле и обеспечении конкурентоспособности продукции; 
• использование в политиках безопасности  современных подходов и принципов обеспечения информационной безопасности, основанных на лучшем мировом и отечественном опыте (BS 77992:2002, ISO/IEC
17799:2005, ISO/IEC TR 13335, ISO/IEC 101817:1996, ISO/IEC
15288:2002, ISO/IEC TR 15443, BSI, CobiT, ITIL, ГОСТ Р ИСО/МЭК
154082002 и пр.), позволит выработать обоснованную парадигму планирования информационной безопасности и управления ею — концептуальную схему обеспечения информационной безопасности, а также требуемые модели постановки проблем в области управления информационной
безопасностью и предложить разумно достаточные решения этих проблем. В частности, сформулировать основные принципы обеспечения информационной безопасности и доверия к ней,  а также разработать требования по обеспечению информационной безопасности, адекватные целям
и задачам развития бизнеса отечественных компаний;
• при отражении в разрабатываемых политиках безопасности отечественных компаний экономического подхода к планированию информационной безопасности и управлению ею на основе концепции управления
рисками рекомендуется обратить внимание на методы: прикладного информационного анализа (Applied Information Economics, AIE); расчета
потребительского индекса (Customer Index, CI); расчета добавленной
экономической стоимости (Economic Value Added, EVA); определения
исходной экономической стоимости (Economic Value Sourced, EVS); управления портфелем активов (Portfolio Management, PM); оценки
действительных возможностей (Real Option Valuation, ROV); поддержки
жизненного цикла искусственных систем (System Life Cycle Analysis,
SLCA); расчета системы сбалансированных показателей (Balanced Scorecard, BSC); расчета совокупной стоимости владения (Total Cost of Ownership, TCO); функциональностоимостного анализа (Activity Based
Costing, ABC). В частности, для расчета расходной части на техническую
архитектуру обеспечения информационной безопасности рекомендуется
использовать метод совокупной стоимости владения (TCO), а для обоснования инвестиций в корпоративную систему защиты информации —
методы ожидаемых потерь, оценки свойств системы безопасности, а также анализа дерева ошибок. При этом следует учитывать, что только метод ожидаемых потерь позволяет получить количественную оценку стоимости и выгод от контрмер безопасности; 
• при разработке детальных технических политик безопасности отечественных компаний целесообразно воспользоваться стандартами BSI IT Protection Manual (www.bsi.de), NIST США серии 800 (www.nist.gov), CIS
(www.cisecurity.org), NSA (www.nsa.gov). Это позволит определить облик
технической архитектуры корпоративных систем защиты конфиденциальной информации российских компаний, в частности:

9
Предисловие

— определить цели создания технической архитектуры корпоративной
системы защиты информации;
— разработать эффективную систему обеспечения информационной
безопасности на основе управления информационными рисками;
— рассчитать совокупности детализированных не только качественных,
но и количественных показателей для оценки соответствия информационной безопасности заявленным целям;
— выбрать и использовать требуемый инструментарий обеспечения информационной безопасности и оценки ее текущего состояния;
— реализовать требуемые методики мониторинга и управления информационной безопасностью с обоснованной системой метрик и мер
обеспечения информационной безопасности. Эти метрики и меры
позволят объективно оценить защищенность информационных активов и управлять информационной безопасностью отечественных компаний;  
• политики безопасности должны представлять собой законченные нормативные документы, содержащие единые нормы и требования по обеспечению информационной безопасности, обязательные для утверждения и
применения соответствующими органами управления, руководством
служб безопасности, руководством служб информационнотехнологического обеспечения отечественных компаний. 

По мнению авторов, книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других
источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения:
разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих организациях и структурах. 
Эта книга может быть полезна следующим основным группам читателей:

• руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности
и организацию режима информационной безопасности, адекватного текущим целям и задачам бизнеса компании;
• внутренним и внешним аудиторам (CISA), которым приходится комплексно оценивать политики безопасности и текущее состояние организации
режима информационной безопасности компании на соответствие некоторым требованиям корпоративных, национальных и международных
стандартов, например ISO 15408, ISO 17799 (BS 77992), BSI, CobiT и пр.;
• менеджерам высшего эшелона управления компанией (ТОРменеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании;
• администраторам безопасности, системным и сетевым администраторам,
администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах.

10
Политики информационной безопасности