Маккарти Л. It-безопасность: стоит ли рисковать корпорацией? Пер с англ
| Вид материала | Книга |
СодержаниеКонтрольный список Процедуры проведения аудита Заключительные слова Глава 10 Незащищенная электронная почта |
- «хм «Триада», 9393.37kb.
- Анастази А. А 64 Дифференциальная психология. Индивидуальные и групповые разли- чия, 11288.93kb.
- Роджер Л. М2Э вирус ответственности.: Пер с англ, 2943.44kb.
- Новые поступления литературы (июль сентябрь 2002) математика инв. 62350 в 161., 125.41kb.
- Указатель произведений литературы зарубежных стран (библиотека кф ат и со), 250.17kb.
- Литература для клинических интернов по специальности «терапия» Кафедра факультетской, 55.33kb.
- Куртц П. К93 Искушение потусторонним: пер с англ, 7904.74kb.
- The guilford press, 6075kb.
- The guilford press, 6075.4kb.
- Жизнь счастливого человека (А. Маслоу), 76.37kb.
Контрольный списокИспользуйте этот список для определения того, подвергается ли ваша компания риску из-за применяемого ей аутсорсинга и/или состояния процедур проведения аудита. Можете ли вы поставить «Да» против каждого его пункта? Аутсорсинг- Проводятся ли аудиты клиентских подключений (экстранет) на регулярной основе? - Существует ли официально оформленная архитектура подключения клиентов (экстранет) к вашей сети? - Существует ли официальная политика, четко определяющая, когда, почему и каким образом должны разрешаться подключения экстранет? - Требуется ли разрешение руководства на перевод экстранет в онлайновый режим? - Требуется ли проведение аудита безопасности перед тем, как перевести экстранет в онлайновый режим? Процедуры проведения аудита- Имеется ли в вашей компании официальная политика проведения аудита? - Имеются ли в вашей компании процедуры проведения аудита для тестирования безопасности в письменной форме? - Находится ли в рабочем состоянии программное обеспечение для проведения аудита, установленное на всех платформах? - Обеспечивается ли необходимое финансирование приобретения необходимых инструментов проведения аудита? - Поддерживает ли руководство проведение аудита безопасности, обеспечивая правильную подготовку аудиторов? Заключительные словаАутсорсинг быстро становится стратегией корпораций нашего десятилетия. Если ваша компания не воспользовалась аутсорсингом для каких-либо своих нужд, то велика вероятность, что она скоро это сделает. Перед тем как проводить какую-либо аутсорсинговую реорганизацию, включающую в себя предоставление совместного доступа к вашей компьютерной сети, убедитесь в том, что вы владеете всеми фактами. Какой тип подключения будет нужен? Как будет защищено такое подключение? Как обеспечивается безопасность стороны подрядчика? Повлияют ли доступ с его стороны и имеющиеся у него процедуры на безопасность вашей информации? Получите ответы, пока подключение не создано. ================== 5. В российской прессе весной-летом 2001 года сообщалось об истории некоего хакера по кличке Вере, которого сотрудники американского посольства уговаривали взломать интернет-сайт www.fsb.ru, чтобы получить доступ к хранящейся там информации. Утверждалось, что бдительный хакер Верс не пошел на поводу у американцев, а доложил о попытках его вербовки владельцам вышеуказанного сайта. - Примеч. пер. В то же время всегда помните, что проблемы безопасности будут время от времени возникать. Это - природное явление. Для лучшей защиты вашей драгоценной информации в этих неизбежных испытаниях положитесь на тщательные, планируемые регулярно аудиты безопасности, проводимые хорошо обученными профессионалами. Не впадайте в благодушное состояние, полагаясь на репутацию вашего партнера по аутсорсингу. Уже скомпрометированы некоторые из величайших и ярчайших компаний. Одной из причин столь длительного выздоровления от вируса Code Red является то, что сайт windowsupdate.Microsoft.com сам был заражен им. Поэтому многие заразились вирусом Code Red, когда «скачивали» те самые обновления для программ, которые должны были защитить их от будущих атак. Разумеется, вирус является зверем, значительно отличающимся от чрезмерно доверяющего сервера. Но я настаиваю на том, что вы должны отвечать за все, что происходит в вашей сети. Нет разницы в том, будет ли эта тварь в диске с демоверсией продукта гиганта индустрии программного обеспечения или в облегченном доступе из компании, которой вы доверили ваши операции по перевозкам. Целостность вашей информации зависит от вашей неусыпной бдительности. Глава 10 Незащищенная электронная почтаТайна личной жизни является основой всех прав и свобод человека - и самой человеческой сущности. Вторжение в личную жизнь больно бьет по человеческому достоинству. Надин Строссен, президент Американского союза гражданских свобод, профессор New York Law School А сейчас вы - президент Соединенных Штатов Америки. Усаживайтесь поудобнее и ощутите вашу власть. Теперь приготовьтесь выслушать плохие новости. Министр обороны сообщает вам, что сегодня в 4.20 утра террорист напал на автоколонну, направлявшуюся в посольство США в Саудовской Аравии, Выживших нет. На данный момент никто не знает, как произошел инцидент. Через несколько дней вы узнаете, как это случилось. По данным вашего министра обороны, брешь в безопасности, облегчившая нападение, была проделана единственным сообщением, посланным по электронной почте. Некий капрал Лен Джонсон, морской пехотинец, служивший в охране посольства в Саудовской Аравии, использовал электронную почту для связи с домом. Вечером, перед нападением, он написал своей жене: «Завтра в 4.00 приезжают командир корпуса и сенатор. Мне придется рано встать, чтобы сопровождать их из аэропорта в посольство, поэтому я не смогу позвонить тебе утром, как мы договаривались. Я сообщу тебе позднее по электронной почте, когда ждать моего звонка. Обнимаю и целую детишек...Лен». К несчастью для друзей и семьи Лена и для других людей, находившихся в этой колонне, его электронное письмо не было зашифровано. Министр обороны твердо убежден, что письмо капрала Джонсона своей жене было перехвачено террористом. Разве может показаться странным, что капрал посылает домой жене незашифрованное электронное письмо. Повсеместно высшие руководители компаний посылают письма по электронной почте по самым секретным вопросам - о предстоящих биржевых сделках, планах выпуска новых продуктов, слияниях, приобретениях и т .д. Нужно ли ожидать от простого солдата, что он увидит риск там, где его должны увидеть, но не делают этого высшие руководители компаний? Рассмотрим следующий случай... |