По мнению экспертов, стандарт содержит наиболее важные рекомендации по разработке основополагающих документов по проблеме информационной безопасности, необходимые требования по безопасности информационных и телекоммуникационных технологий. При этом в соответствии с Федеральным законом № 184-ФЗ «О техническом регулировании» стандарт отнесен к категории «стандарт организации», и его положения не носят обязательного характера и рекомендованы к применению кредитными организациями на добровольной основе. Стандарт является открытым документом, предполагающим его регулярную корректировку в соответствии с динамикой изменения угроз информационной безопасности. Новую (уточненную) редакцию стандарта предполагается подготовить к концу 2005 года. Работы по дальнейшему сопровождению и доработке стандарта ведутся специально созданным Подкомитетом 3 «Защита информации в кредитно-финансовой сфере» Технического комитета 362 «Защита информации» Федерального агентства по техническому регулированию и метрологии [12] .

Глава 4 РЕАЛИЗАЦИЯ ПОЛИТИК БЕЗОПАСНОСТИ

В предыдущих главах мы с вами рассмотрели основные понятия и определения политик безопасности. Познакомились с опытом разработки политик безопасности и различными подходами ведущих компаний-производителей в отрасли информационных технологий и информационной безопасности. Подробно рассмотрели этапы жизненного цикла разработки политик безопасности компании. Как реализовать разработанные политики безопасности компании на практике? Как правильно задать правила безопасности? Как настроить аппаратно-программные средства защиты информации? Постараемся ответить на эти вопросы.

4.1. Задание общих правил безопасности

Пусть объектом защиты является информационная система компании ЗАО «XXI век» (далее – «компания»). Название объекта защиты вымышленное, возможные совпадения случайны и носят непреднамеренный характер.

Состав и структура политик безопасности. Общая политика безопасности компании разработана и утверждена руководством организации. В этой политике определены принципы, порядок и правила предоставления доступа к информационным ресурсам компании, а также степень ответственности в случае нарушения правил безопасности. Также существует ряд других политик безопасности, в частности политика допустимого использования, определяющая доступ к сервисам. При приеме на работу каждый новый сотрудник должен подписать соглашение о том, что с политиками безопасности компании ознакомлен и обязуется их выполнять. Партнеры, поставщики и клиенты банка при получении доступа к конфиденциальной информации компании подписывают Соглашение о неразглашении конфиденциальной информации. Политики безопасности компании регулярно пересматриваются (не реже одного раза в год).

Характеристика инфраструктуры компании. Взаимодействие с партнерами, клиентами и поставщиками осуществляется с использованием сервисов Интернета. Для этих целей разработан ряд Web-приложений. Архитектура приложений использует три уровня для реализации разделения ресурсов:

 уровень представления – выполняется на Microsoft IIS 5.0 на Microsoft Windows 2000 Server Service Pack 4 со всеми необходимыми обновлениями. Вся бизнес-логика выполняется на серверах второго уровня архитектуры;

•  промежуточный уровень – содержит все бизнес-компоненты и также выполняется на Microsoft Windows 2000 Server Service Pack 4. К этому уровню нет доступа из Интернета. Страницы Active Server Pages на серверах уровня представления активируют компоненты СОМ+ и позволяют выполнить бизнес-логику. Компоненты запускаются под непривилегированной учетной записью с необходимым минимумом привилегий;

•  уровень баз данных – состоит из базы данных и защищенного хранилища данных. Microsoft SQL Server 2000 Service Pack 3 используется как сервер управления базой данных и выполняется на двухузловом кластере Microsoft Windows 2000 Advanced Server Service Pack 4 Cluster для обеспечения отказоустойчивости. Только серверы промежуточного уровня имеют доступ к этим серверам. Серверы расположены в изолированном сегменте сети, разделенном межсетевыми экранами.