IT-безопасность - Стоит ли рисковать корпорацией? - Маккарти Л.

IT-безопасность - Стоит ли рисковать корпорацией? - Маккарти Л. - 2004.
    Информационные технологии все глубже проникают в нашу жизнь, Не говоря о фирмах, непосредственно занятых разработками или внедрением ИТ, без них уже не могут обойтись банки, крупные торговые фирмы, госпитали, музеи И этот список легко продолжить. И все чаще объектом грабителей, террористов или просто вандалов становятся информационные системы и сети и хранимая в них информация. Как убедиться, что ваша информация надежно защищена? Что злоумышленник или просто резвящийся тинэйджер, украв или уничтожив данные в вашей сети, не разрушит и вашу личную судьбу, и судьбу всей компании? Этим вопросам и посвящена книга, которую вы держите в руках. Увы, технические проблемы безопасности не всегда очевидны для тех, кто принимает решения о выделении средств и проведении необходимых мероприятий. Но в книге вы и не найдете технических деталей, необходимых системным администраторам и специалистам по безопасности. Автор разбирает конкретные достаточно типичные ситуации, с которыми она сталкивалась как аудитор безопасности, и приводит простые советы, как убедиться в том, что в вашей компании такое невозможно.
   Книга даст массу полезных советов для руководителей верхнего уровня и специалистов, отвечающих за информационную безопасность компаний.


Оглавление
Благодарности
Введение  16
Глава 1 Отражение атак . 18
Кошмар реагирования на инцидент 18
День 1-й: Неавторизованный доступ 19
День 2-й: Проблема решена 20
День 3-й: Защита взломана снова 20
Дни с 4-й по 7-й: Эскалация инцидента 21
День 8-й: Слишком поздно собирать улики 21
День 9-й: Кто был этим плохим парнем?  21
Резюме: Атаки изнутри . . 22
Мы пойдем другой дорогой 23
Сосредоточиться на упреждающих мерах 23
Готовиться к худшему  26
Реагировать быстро и решительно  29
Завершающие действия  30
Контрольный список 31
Заключительные слова . 31
Глава 2 Безопасность в стандартной поставке . 33
Безопасностью займемся позднее 34
День 1-й: Ложное чувство безопасности 34
Два года спустя: Замечена атака 35
+Две недели: Хакер возвращается . 35
+Три недели: Усиление защиты . 35
Продолжение саги: Сеть остается под угрозой 37
Резюме: Будете ли вы подключаться через такого провайдера? 38
Мы пойдем другой дорогой 38
Знать. каким рискам вы подвергаетесь 39
Избегать стандартных установок систем 39
Протестировать вашу сеть 40
Изучить людей. которые знают вашу информацию 40
Предусмотреть или потребовать необходимое финансирование
безопасности 41
Не экспортировать глобальные разрешения чтения/записи 42
Стереть старые учетные записи 42
Тестировать пароли 42
Сделать исправления программ (патчи), повышающие безопасность 43
Выполнять политики и процедуры 43
Использовать экспертов 43
Обучать использованию 44
Контрольный список 44
Заключительные слова 45
Глава 3 Поддержка со стороны руководства 46
Участие руководителей 47
День 1-й: Незащищенные системы 48
Год спустя: Неавторизованный доступ продолжается 49
Резюме: Займите активную позицию 52
Мы пойдем другой дорогой 53
Правильно относиться к безопасности на любом уровне сотрудников 53
Не перекладывать работу на другие плечи 53
Уменьшать количество уровней руководства до минимума 54
Предоставлять отчеты вышестоящему руководству 55
Сделать безопасность общей целью 55
Учить или учиться самому сколько нужно 55
Обеспечить понимание вопросов безопасности всеми руководителями 56
Поддерживать прямую связь с руководством 57
Контрольный список 57
Заключительные слова 58
Глава 4 Сетевой доступ 59
Соединение с партнерами 60
День 1-й: Архитектура безопасности 60
Несколько недель спустя: Политика установки средств безопасности . 60
На следующий день: Кто отвечает за безопасность 60
Еще через 29 дней: Хакер захватывает контроль 6!
+ Один месяц: Незапланированное тестирование безопасности 61
Аудит, день 1-й: Схемы сети говорят о многом 61
Аудит, день 2-й: Ничем не подкрепленные политики 63
Последний день аудита: Кто несет ответственность за безопасность  64 Резюме: Не подпускать к себе конкурентов 66
Мы пойдем другой дорогой 66
Использовать типовые архитектурные схемы 67
Отслеживать внешние подключения 67
Отвечать за свою территорию 68
Требовать утверждения внешних подключении 68
Следить за выполнением политик и процедур 69
Выключать ненужные службы 69
Подчеркивать важность обучения 69
Проследить весь процесс настройки 69
Не подключать незащищенные системы к Интернету 70
Контрольный список 70
Заключительные слова 70
Глава 5 Обучение безопасности 72
Пробелы в обучении 73
Первый контакт: Тестирование безопасности 74
День 1-й: Сбор фактов 74
День 2-й: Тестирование систем 75
День 3-й: Обучение безопасности оставлено за рамками бюджета .77 Резюме: Обеспечьте финансирование обучения 79
Мы пойдем другой дорогой 80
Просвещать высшее руководство 80
Отстаивать бюджет обучения безопасности 80
Включать вопросы безопасности в обязанности руководства 80
Делать обязательным обучение системных администраторов 81
Посещать семинары по безопасности 81
Организовывать деловые ланчи 81
Распространять информацию по безопасности 81
Присоединиться к спискам рассылки по вопросам безопасности .82
Выпускать «белые статьи» 82
Писать в периодические издания 82
Превращать инструменты в продукты 82
Контрольный список 82
Заключительные слова . 83
Глава 6 Безопасность вне плана 84
План перехода 85
День 1-й: Тестирование безопасности 86
Выяснение риска 87
Первая фаза: Физическая безопасность 87
Вторая фаза: Прохождение через систему физического контроля 87
Третья фаза: Неавторизованный доступ 88
День 2-й: Риск для персональной информации 89
Резюме: Тщательнее планируйте выполнение подрядных работ 90
Мы пойдем другой дорогой 91
Оценить риски 91
Классифицировать системы 91
Запретить стандартные установки систем   92
Не быть слишком доверчивым   92
Извлекать уроки из прошлого .  92
Выбирать цели при сокращении бюджета 92
Проводить тестирование безопасности . 92
Сделать руководителей подотчетными 93
Не расплачиваться за других 93
Включать обучение в бюджет . 93
Подсчитывать очки 93
Контрольный список . 94
Заключительные слова 94
Глава 7 Поддержка безопасности   95
Кто отвечает за безопасность 96
День 1-й: Как выгоняли плохих парней 96
День 2-й: Администратор брандмауэра 97
Временная безопасность 98
Руководители и безопасность . . 98
Серьезное отношение к поддержке безопасности  99
Мой последний день: Отношение к работе может говорить о многом 100
Резюме: Нe спрашивайте у сотрудников компании. отвечающих
за безопасность. что они могут для вас сделать . 101
Мы пойдем другой дорогой 102
Определить роли и обязанности 102
Разработать политики и процедуры для брандмауэра . . 102
«Кормить» свой брандмауэр 102
Читать своп контрольные журналы  102
Использовать программы обнаружения взлома . . 103
Реагировать быстро! 103
Требовать подтверждении безопасности 103
Проводить аудиты . 104
Углублять знания 104
Контрольный список 104
Заключительные слова . 105
Глава 8 Безопасность внутренней сети106
Незащищенная сеть107
Начало событий; В обход корпоративной сети 107
День 1-й: Сбор доказательств 108
День 2-й: Системные администраторы против группы обеспечения
безопасности . 109
В чьих руках безопасность 110
Перекладывание ответственности . 111
Резюме: Безопасность - жертва войны . 111
Мы пойдем другой дорогой 112
Возложить на кого-либо из сотрудников ответственность за политики
и процедуры . 112
Разграничить обязанности по поддержке безопасности между
группами . 112
Не надеяться на чудо 112
Пересматривать процессы 113
Иногда - просто сдаться 113
Выполнять свои обязанности 113
Контрольный список 113
Заключительные слова 114
Глава 9 Безопасность аутсорсинга   115
Забыли о безопасности?  116
День 1-й: Осмотр средств обеспечения безопасности  116
День 2-й: Сетевые соединения 117
Поразительные ошибки в защите 118
Техническая поддержка при отсутствии обучения и опыта 120
Дни 3-й и 4-й: Понимает ли проблему руководство? 120
Резюме: Аутсорсинговые системы должны быть защищены 121
Мы пойдем другой дорогой 121
Проводить оценку безопасности 121
Проводить ее правильно . . 121
Проводить ее регулярно  122
Решать обнаруженные вами проблемы 122
Не использовать подход «плыви или тони» !22
Контрольный список . 123
Заключительные слова . 123
Глава 10 Незащищенная электронная почта. 125
Есть ли у электронной почты конверт?  125
Доступ к персональной информации получен 126
Резюме: Вы имеете право отказаться от вашего права на тайну переписки .  127
Мы пойдем другой дорогой 128
Использовать шифрование! 128
Убедить компанию в необходимое!!! шифрования . 129
Предусмотреть в бюджете средства па шифрование 129
Отслеживать возникновение других угроз электронной почте 129
Заключительные слова  130
10 Оглавление
Глава 11 Оглядываясь назад: что будет дальше? 131
Риск для всей корпорации 132
Юридические обязанности по защите информации и сетей 134
Деловые инициативы и корпоративные цели 139
Угрозы требуют действий 140
Глава 12 Прогулка хакера по сети 142
Краткая характеристика хакеров 143
Реальные хакеры 143
О применяемых инструментах 144
Прогулка с хакером 144
Что делал хакер 145
Заключение 160
Приложение А Люди и продукты, о которых следует знать 161
Сокращения 197
Глоссарий 198
Предметный указатель 202