LibCat » Книги » Компьютеры и интернет » Интернет » Сергей Петренко - Политики безопасности компании при работе в Интернет

Сергей Петренко - Политики безопасности компании при работе в Интернет

Здесь есть возможность читать онлайн «Сергей Петренко - Политики безопасности компании при работе в Интернет» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Жанр: Интернет, на русском языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
Политики безопасности компании при работе в Интернет
Автор:
Сергей Александрович Петренко
Жанр:
Интернет / на русском языке
Год:
неизвестен
ISBN:
нет данных
Рейтинг книги:
3 / 5. Голосов: 1
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 60
- 1
- 2
- 3
- 4
- 5

Политики безопасности компании при работе в Интернет: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «Политики безопасности компании при работе в Интернет»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.

Политики безопасности компании при работе в Интернет — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «Политики безопасности компании при работе в Интернет», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Привилегированные учетные записи. Эти учетные записи имеют право повышать свои привилегии до уровня root. Совместное их использование строго запрещается. Обязательно журналирование таких учетных записей, и выданы они могут быть только системным администраторам и администраторам приложений.

Приветственное приглашение. При регистрации пользователя в системе должно появляться приветственное приглашение. Это сообщение должно иметь следующее содержание:

• эта система предназначена для использования только авторизованными пользователями;

• пользователи, использующие систему без авторизации или превысившие свои полномочия, являются нарушителями режима информационной безопасности, их действия в системе будут записаны и проанализированы системными администраторами;

• регистрация действий пользователей в системе может осуществляться при ненадлежащем использовании ими системы или при проведении регламентных работ;

• любое использование системы пользователями подтверждает правомерность мониторинга действий пользователей в системе, и, в случае нарушения режима информационной безопасности, системные администраторы вправе предоставлять записи действий пользователей в правоохранительные органы для проведения расследований.

СЕТЕВОЙ ДОСТУП УДАЛЕННЫЙ ДОСТУП

Команды удаленного управления. Удаленный доступ к системе с использованием r-команд семейства BSD для удаленного управления (rlogin, rexec) должен быть отключен, если только не существует другого способа управлять приложениями и системой. Если такой доступ необходим для выгрузки/загрузки файлов, то должна быть создана специальная учетная запись таким образом, чтобы нельзя было с ее помощью получить shell. Использование r-команд для удаленного управления запрещено.

Устройства удаленного доступа. Установка и использование любых устройств удаленного доступа, за исключением специально предназначенных для этих целей систем, запрещены. Для указанных систем все действия регистрируются.

Удаленный доступ под учетной записью root. Непосредственный доступ в систему под учетной записью root запрещен. Администраторы должны регистрироваться в системе под своей персональной учетной записью и использовать команду su для повышения привилегий.

Удаленный доступ для привилегированных пользователей и администраторов. Все сетевые протоколы, передающие пароли в незашифрованном виде, запрещены для подключения. Такие протоколы могут быть подключены только в случае использования криптозащищенного туннеля.

Цепочка доверия. Цепочки доверия между компьютерами не должны включать системы, которые не удовлетворяют требованиям этого стандарта.

Сервис TFTP. Сервис TFTP не должен разрешать выгрузку файлов.

Сервис FTP. Запрещено использование скриптов для автоматической регистрации в FTP. Для анонимного доступа по FTP должна быть использована непривилегированная учетная запись. Разрешения на доступ к дереву каталога, используемого сервисом FTP, должны гарантировать целостность системы и запрещать неконтролируемую загрузку файлов. Если сервис доступен из Интернета, то для выгрузки файлов необходимо использовать отдельную файловую систему.

Сервис HTTP. Перед установкой Web-cepeepa обязательным является получение разрешения у владельца системы. Web-приложения не должны нуждаться в административных привилегиях ни для администрирования, ни для функционирования.

Приветственное приглашение. При попытке пользователей войти в систему должно появляться приветственное приглашение. Приглашение должно отображать сообщение в формате, описанном выше. Там, где возможно, приглашение должно скрывать название операционной системы и ее версию.

ПРИЛОЖЕНИЯ

Учетные записи. Необходимо создавать учетные записи владельцев информационных ресурсов. Администраторы приложений должны иметь возможность повышения привилегий. При этом для таких учетных записей повышение привилегий до уровня root недопустимо, если только без этого приложение не будет работать.

Владение процессом сетевого сервиса. Процессы, которые обеспечивают удаленный доступ к некоторым приложениям, не должны выполняться под привилегированными учетными записями и иметь возможность повышать привилегии учетной записи. Приложения, которые используют привилегированные порты, должны убрать такие привилегии до инициализации сетевого уровня.