С. Петренко, С. Симонов, «Управление информационными рисками».
Рынок информационной безопасности развивается вместе с ростом отрасли ИТ, однако российские компании тратят на нее лишь 2% своего бюджета, тогда как приемлемым уровнем, согласно мировой практике, считается 6%. У многих из них нет четкого понимания того, что именно необходимо для обеспечения защиты данных, каковы реальные риски и угрозы. Как отмечалось на прошедшей в марте конференции «Информационная безопасность предприятия: как противостоять новым угрозам», организованной издательством «Открытые системы» и IDC, компаниям нужна помощь в понимании реальных рисков, с их оценки должна начинаться разработка любого плана реализации системы информационной безопасности (ИБ). Без этого невозможно создать адекватную задачам бизнеса систему, добиться достижения баланса между стоимостью, эффективностью и инвестициями, поскольку атаки становятся все более хитроумными и комбинированными, а информационная инфраструктура постоянно усложняется. Анализ рисков помогает понять, что именно и почему нужно защищать, как организовать наиболее эффективный заслон, к чему может привести отсутствие защиты, каковы приоритеты и сколько все это будет стоить. В книге С. Петренко и С. Симонова не только подробно рассматривается возможная постановка задач анализа информационных рисков и управления ими в отечественных компаниях, но и даются различные советы, а также описывается международная концепция ИБ.
С проблемой оценки степени защищенности корпоративной информационной системы сталкиваются сегодня большинство руководителей. Темпы развития информационных технологий у нас в стране существенно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, поэтому в дополнение к документам Гостехкомиссии и ФАПСИ приходится адаптировать и применять на практике методики международных стандартов, использовать внутрикорпоративные методики количественного анализа информационных рисков и оценки эффективности инвестиций (включая TCO и ROI). Современные технологии анализа рисков позволяют оценить их реальный уровень, что особенно важно, когда к информационной системе предъявляются повышенные требования в области ИБ.
Книга «Управление информационными рисками» является, по утверждению самих авторов, первым полным практическим руководством по вопросам анализа информационных рисков и управления ими, изданном на русском языке. Ее принципиальное отличие от других источников, главным образом зарубежных изданий, заключается в последовательном изложении всех основных идей, методов и способов анализа рисков и управления ими в различных государственных и коммерческих организациях и структурах. Отдельные главы посвящены таким вопросам, как анализ рисков в области защиты информации, управление ими, международные стандарты, технологии и инструментальные средства анализа рисков, аудит безопасности, анализ защищенности информационных систем, выявление атак и управление рисками.
Начав изложение с освещения роли анализа рисков и управления ими при организации режима информационной безопасности российских компаний, авторы подробно рассматривают различные, в том числе международные, концепции ИБ и подходы к ее обеспечению, показывая, как можно воспользоваться мировым опытом. Значительное внимание уделяется практическому анализу защищенности и выявления атак, роли и места активного аудита и обнаружения вторжений. В книге обсуждаются особенности специальных инструментальных средств (COBRA, CRAMM, MethodWare, RiskWatch и «Авангард»), приводятся рекомендации по их использованию, показывается взаимосвязь между задачами по управлению рисками, анализу защищенности и обнаружению вторжений, а также описываются технологии оценки эффективности обеспечения ИБ. Отдельная глава посвящена анализу оценки защищенности информационной системы — от изучения конфигурации средств защиты внешнего периметра сети до применения специального инструментария, сетевых сканеров и средств контроля.
Значительное внимание уделяется основным стандартам в области защиты информации и управления рисками, включая ISO 17799, ISO 15408, BSI, NIST и MITRE, причем отмечаются как достоинства, так и недостатки существующих подходов. В отдельное приложение вынесены результаты международных исследований по вопросам ИБ, каталоги и классификация угроз и контрмер, используемые в зарубежных стандартах. В книге приводятся примеры успешных разработок корпоративных методик анализа рисков, представлен реализованный проект построения корпоративной системы защиты информации на основе решений Symantec.
Руководители отделов информационных систем и служб ИБ смогут воспользоваться приводимыми в ней практическими советами при оценке информационных рисков компании, а внутренние и внешние аудиторы — при анализе текущего состояния информационной безопасности предприятия на соответствие требованиям национальных и международных стандартов.
Книгу (С. А. Петренко, С. В. Симонов, «Управление информационными рисками. Экономически оправданная безопасность». — М.: «Компания АйТи», «ДМИ Пресс», 2004 г. — 384 стр.) можно приобрести в магазинах. Ориентировочная цена — 520 руб.