В данном топике я попытаюсь составить манул по разработке нормативной документации в области информационной безопасности для коммерческой структуры, опираясь на личный опыт и материалы из сети.
Этот пост будет более всего интересен для:
С появлением первых средств защиты информации возникли первые насущные вопросы: как узнать, что возведенные баррикады работают и защищают? как быстрее реагировать на оповещения? как понять, какие угрозы удалось предотвратить? Работает ли наш файерволл, можно узнать, выполнив ICMP ping: если правила в ACL (access control list) работают, то ответов, содержащих echo request, быть не должно. Можно через консоль устройства просмотреть журнал событий, разбирая сотни или тысячи строк вручную и пытаясь увидеть отраженную или выявленную угрозу.Читать полностью »
Английский термин compliance означает соответствие одному из высокоуровневых стандартов (таким как SOX, PCI DSS, Basel II, GLBA). Проводить проверку на соответствие этим документам необходимо для того, чтобы определить, насколько хорошо в вашей организации соблюдаются требования, описанные данными стандартами (разрешенная длина паролей, наличие внутренних регламентов и политик, время устранения уязвимостей и т. п.).
Помимо международных стандартов существуют их отечественные аналоги, корпоративные политики и требования NIST.Проводить оценку соответствия этим документам также необходимо. Стандарты содержат наборы требований: выполнение всех требований стандарта фактически означает соответствие ему. Пример отдельного требования: «Должен иметься дисциплинарный процесс для служащих, которые произвели нарушение защиты» (ИСО/МЭК 2005 A.8.2.3).Читать полностью »
Европейский союз уже достаточно давно выказывает недовольство политикой безопасности корпорации Google. Но официальные требования смены политики безопасности «Корпорации добра», со всеми вытекающими, начали выдвигаться не так давно. Дело в том, что с марта этого года корпорация приняла решение объединить 60 отдельных политик безопасности в единое целое. Это решение позволило компании передавать пользовательские данные из одного своего сервиса в другой. К примеру, с YouTube в Google+, с Google+ в Gmail и т.п. Но ясного понимания того, как компания использует пользовательские данные, у ЕС нет.
Сегодня стало известно о том, что в Европе не очень довольны новой политикой корпорации Google по работе с пользовательскими данными. Европейские регуляторы даже обратились к компании за разъяснениями. Было направлено официальное письмо в Google, адресованное нынешнему генеральному директору Ларри Пейджу, в котором регуляторы высказывают сожаление по поводу быстрой смены политики корпорации.
