Маккарти Л. It-безопасность: стоит ли рисковать корпорацией? Пер с англ

Вид материала

Книга

Содержание Контрольный список Заключительные слова Глава 8 Безопасность внутренней сети

Подобный материал:

• «хм «Триада», 9393.37kb.
• Анастази А. А 64 Дифференциальная психология. Индивидуальные и групповые разли- чия, 11288.93kb.
• Роджер Л. М2Э вирус ответственности.: Пер с англ, 2943.44kb.
• Новые поступления литературы (июль сентябрь 2002) математика инв. 62350 в 161., 125.41kb.
• Указатель произведений литературы зарубежных стран (библиотека кф ат и со), 250.17kb.
• Литература для клинических интернов по специальности «терапия» Кафедра факультетской, 55.33kb.
• Куртц П. К93 Искушение потусторонним: пер с англ, 7904.74kb.
• The guilford press, 6075kb.
• The guilford press, 6075.4kb.
• Жизнь счастливого человека (А. Маслоу), 76.37kb.

Контрольный список

Используйте этот список, чтобы выяснить, правильно ли в вашей компании определены роли и обязанности по обеспечению безопасности. Можете ли вы поставить «Да» против каждого пункта?


- Четко ли определены роли и обязанности по обеспечению безопасности?

- Поручено ли кому-либо регулярно проводить аудит брандмауэра?

- Поручено ли кому-либо при необходимости проводить модернизацию брандмауэра?

- Все ли руководители понимают роли и обязанности по обеспечению безопасности - как свои, так и своих подчиненных?

- Есть ли у персонала технической поддержки конкретные предупредительные процедуры, которые он выполняет? (Обеспечьте, чтобы работа вашего персонала не сводилась к одному только реагированию.)

=====================

5. См. первую главу книги. - Примеч. пер.


- Поручено ли кому-либо регулярно проводить тестирование брандмауэра на проникновение из Интернета? (После каждых существенных изменений или модернизации брандмауэра необходимо проводить новое тестирование.)

- Достаточно ли финансируется администрирование брандмауэра?

- Достаточно ли финансируется модернизация и плановая техническая поддержка брандмауэра?

- Установлены ли программы по обнаружению вторжения в сетях и системах?

- Установлены ли программы контроля в особо критичных системах?

- Определены ли ясно и официально роли и обязанности по реагированию на чрезвычайные ситуации?

- Распространяется и используется ли опыт, полученный при взломах, для создания лучших процессов? (Изживайте сокрытие информации среди вашего персонала.)

- Установлена ли защита от вирусов в каждой точке входа?

Заключительные слова

Когда дело касается обеспечения безопасности, то роли и обязанности должны быть четко определены. Так как каждая компания имеет свою структуру технической поддержки, то эти роли и обязанности могут быть различными (даже в соседних подразделениях) в разных компаниях. Важным здесь является то, что роли должны закрепляться документально и что каждый сотрудник должен знать, каких действий от него или от нее ожидают.


Когда вы определите роли ваших сотрудников на бумаге, то вы сможете увидеть, имеются ли участки работы, как, например, процедуры для брандмауэра, за которые никто не отвечает. Если бы в Global Chips сделали хотя бы это, то Джозеф и Карл потратили бы меньше времени, реагируя на взломы. Работа в Global Chips отличалась особой тщетностью, так как обыкновенный просчет поставил их сеть в поле зрения упорного (и упорно-надоедливого) хакера.


Ни одна сеть не должна становиться заложницей хакера. Именно это произошло в случае с CloudNine Communications. После непрекращающихся атак по типу «отказа от обслуживания» один из старейших Интернет-провайдеров Британии закрыл свои двери и отдал своих клиентов конкуренту. Возможно, самой досадной стороной этой истории является то, что преступник по-прежнему остается на свободе, - это следует помнить, когда вы станете решать, стоит ли модернизировать ваш брандмауэр.


Общее назначение брандмауэра - это не впускать хакера. Но брандмауэр - это лишь один кирпичик в хорошо построенной структуре безопасности. Оставленный в одиночестве, не подкрепленный четко определенными ролями и обязанностями, эффективными политиками и процедурами и технической поддержкой, он долго не продержится.

Глава 8 Безопасность внутренней сети

Когда вы в очередной раз предстанете перед судом из-за плохой защиты вашей сети, то вы, должно быть, подумаете о том, прочитал ли принимающий у вас присягу судья книгу Линды, и о том, что он, скорее всего, спросит, читали ли вы ее тоже.

Фред Крис СМИТ, юрист и соавтор книги "A Guide to Forensic Testimony"


Поздравляю! Вы - директор знаменитого музея. Долгие месяцы вы деловито готовили важную выставку. Сегодня к вам поступила первая партия изящных и представляющих историческую ценность шедевров из государственных и частных коллекций, и их будет бесконечное число. Сотрудники музея суетятся вокруг этих скульптур. Уже составлен план, предусматривающий прием и электронный учет сотен фарфоровых статуэток, которые будут поступать волна за волной в течение следующих недель. Множество стран принимают участие в этой выставке и присылают наиболее достойные из своих коллекций!


Из-за широкого размаха этой экспозиции были заключены договоры с рядом компаний-перевозчиков, которые должны справиться с потоком поставок со всего мира. Координация такого проекта должна быть непрерывной и продуманной. И как директор, отцом этого проекта являетесь вы.


Разве не удача, что в наши дни есть компьютеры? Двадцать лет назад координация такого проекта оказалась бы кошмаром.


Но действительно ли это удача? В нашем компьютеризованном мире высоких технологий можно забыть о том, что сервер базы данных, хранящий критичную для выставки информацию, широко открыт. В результате этого любой может получить доступ к архиву, содержащему подробные сведения о приливах и течениях в море бесценных произведений. Ищете нового Ремингтона1 для пополнения вашей подпольной коллекции? Посмотрите, вот он прибывает в следующий вторник в 4.00 дня из аэропорта имени Кеннеди по наземному маршруту на грузовике компании Joe's Family Tracking. Это вовсе не та информация, которую бы вы хотели представить широкой публике.


Несомненно, директор известного музея должен проявлять исключительную заботу

о безопасности. Но сомнительно, что он видит возможный риск для безопасности в компьютерной базе данных. Люди, не связанные непосредственно с информационной безопасностью, редко это видят.


Представим себе, что вы как раз перед проведением большой выставки узнаете о том, что ваша сеть не защищена. Этот факт заставит вас остерегаться ввода конфиденциальной информации в вашу собственную сеть.


Нелепо? Может быть. Но в точности с такой ситуацией столкнулся Джеральд Пушман в музее Chambersburg Museum of Art2. Давайте посмотрим...

=================

1. Фредерик Ремингтон-американский художник и скульптор (1861-1909гг.). -Примеч. пер.

2. В г. Чамберсбург, штат Пенсильвания. - Примеч. пер.