LibCat » Книги » Компьютеры и интернет » Интернет » Сергей Петренко - Политики безопасности компании при работе в Интернет

Сергей Петренко - Политики безопасности компании при работе в Интернет

Здесь есть возможность читать онлайн «Сергей Петренко - Политики безопасности компании при работе в Интернет» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Жанр: Интернет, на русском языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
Политики безопасности компании при работе в Интернет
Автор:
Сергей Александрович Петренко
Жанр:
Интернет / на русском языке
Год:
неизвестен
ISBN:
нет данных
Рейтинг книги:
3 / 5. Голосов: 1
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 60
- 1
- 2
- 3
- 4
- 5

Политики безопасности компании при работе в Интернет: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «Политики безопасности компании при работе в Интернет»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.

Политики безопасности компании при работе в Интернет — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «Политики безопасности компании при работе в Интернет», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Суть политики

Общие положения. Для поддержания необходимого уровня безопасности доступ посредством программного обеспечения к базе данных должен разрешаться только после соответствующей аутентификации. Атрибуты, используемые для аутентификации, нельзя размещать в коде программы в незашифрованном виде. Атрибуты доступа к базе данных не должны быть доступны через Web-cepeep.

Специфические требования:

хранение учетных записей и паролей:

– учетные записи и пароли для доступа к базе данных должны храниться в файле отдельно от кода программы. Доступ к этому файлу должен быть строго ограничен;

– учетные записи и пароли для доступа к базе данных могут храниться на сервере баз данных. В этом случае хеш от пароля может храниться в выполняемом теле программы;

– учетные записи и пароли для доступа к базе данных могут храниться как часть данных на сервере аутентификации, таком, как LDAP. Аутентификация доступа к базе данных может проходить как часть общей аутентификации в системе;

– учетные записи и пароли для доступа к базе данных нельзя размещать в дереве документов Web-cepeepa;

– прямой доступ через аутентификацию (например, ORACLE OPSS) не должен разрешать работу с базой данных, основываясь только на аутентификации удаленного пользователя на удаленном компьютере;

– пароли и ключевые фразы, используемые для доступа, должны соответствовать требованиям политики использования паролей;

восстановление учетных записей и паролей:

– если учетная запись и пароль хранятся не в исходном коде программы, то они должны быть считаны из файла непосредственно перед использованием. Сразу после аутентификации область памяти, в которой они размещались, должна быть очищена;

– область, в которой хранятся учетная запись и пароль, должна быть физически отделена от других областей кода, то есть размещаться в отдельном файле;

– для языков программирования, которые выполняются непосредственно из исходного кода (интерпретируемые языки), файл, хранящий учетные записи и пароли, не должен размещаться в той же просматриваемой или выполняемой директории, в которой размещается код программы;

доступ к учетным записям и паролям:

– каждая программа или несколько программ, выполняющих одну функциональную задачу, должны иметь уникальную базу учетных записей и паролей. Использование одной и той же базы учетных записей и паролей для нескольких программ запрещено;

– пароли доступа к базам данных в соответствии с политикой использования паролей считаются паролями системного уровня;

– разработчики должны определить процедуру, гарантирующую, что пароли управляются и изменяются в соответствии с политикой использования паролей. Эта процедура должна включать метод ограничения знания паролей для доступа к базе данных на основе правила «необходимо знать»;

• техники кодирования для реализации этой политики (добавьте ссылки к различным языкам кодирования, рекомендованным в вашей компании, таким, как Perl, Java, С и С++).

Ответственность Любой сотрудник, нарушивший эту политику, может быть подвергнут дисциплинарным мерам, вплоть до увольнения.

Термины и определения

Компьютерный язык – язык, используемый для написания программ.

Атрибуты доступа – что-то, что вы знаете (пароль или ключевая фраза), и/или что-то, что определяет вас (учетная запись, отпечатки пальцев, сетчатка глаза).

Роль – уровень привилегий, который может быть аутентифицирован и авторизован. Уровень привилегий, на основе которого осуществляется доступ к ресурсам.

Тело выполнения – серия инструкций компьютеру, которые он выполняет для реализации логики программы.

15. Политика безопасности лаборатории демилитаризованной зоны

Цель

Эта политика устанавливает требования по информационной безопасности для всех сетей и оборудования, расположенных в демилитаризованной зоне. Выполнение этих требований минимизирует потенциальный риск компании от нанесения ущерба путем получения неавторизованного доступа к ресурсам компании, потери конфиденциальной информации и интеллектуальной собственности компании.

Область действия Субъекты действия этой политики – лабораторные сети и устройства компании (например, маршрутизаторы, коммутаторы, компьютеры и т. д.), которые доступны из Интернета и размещающиеся за пределами корпоративного межсетевого экрана. Сюда же входят лаборатории, находящиеся у поставщика услуг Интернета и в удаленных местах расположения. Все существующее и будущее оборудование, которое подпадает под область действия данной политики, должно быть сконфигурировано в соответствии с этим документом. Данная политика неприменима к лабораториям, размещающимся внутри корпоративного межсетевого экрана. Стандарты для такого оборудования описаны в политике безопасности внутренней лаборатории.