LibCat » Книги » Компьютеры и интернет » Интернет » Сергей Петренко - Политики безопасности компании при работе в Интернет

Сергей Петренко - Политики безопасности компании при работе в Интернет

Здесь есть возможность читать онлайн «Сергей Петренко - Политики безопасности компании при работе в Интернет» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Жанр: Интернет, на русском языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.

Читать книгу

Название:
Политики безопасности компании при работе в Интернет
Автор:
Сергей Александрович Петренко
Жанр:
Интернет / на русском языке
Год:
неизвестен
ISBN:
нет данных
Рейтинг книги:
3 / 5. Голосов: 1
Избранное:

Добавить в избранное
Отзывы:
Написать комментарий
Ваша оценка:
- 60
- 1
- 2
- 3
- 4
- 5

Политики безопасности компании при работе в Интернет: краткое содержание, описание и аннотация

Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «Политики безопасности компании при работе в Интернет»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.

Книга является первым полным русскоязычным практическим руководством по вопросам разработки политик информационной безопасности в отечественных компаниях и организациях и отличается от других источников, преимущественно изданных за рубежом, тем, что в ней последовательно изложены все основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности в различных российских государственных и коммерческих структурах.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.

Политики безопасности компании при работе в Интернет — читать онлайн ознакомительный отрывок

Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «Политики безопасности компании при работе в Интернет», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Совместно используемые директории и файлы. Если файловая подсистема использует семантику BSD, то файлы и директории, совместно используемые несколькими приложениями и/или группами пользователей, должны принадлежать к определенной дополнительной группе, к которой принадлежат все авторизованные UID. Следует использовать настройки, предупреждающие неавторизованное удаление и кражу файлов. Должны быть использованы списки контроля доступа, если система предлагает расширенные механизмы безопасности из POSIX.

ЦЕЛОСТНОСТЬ СИСТЕМЫ

Сетевые сервисы. Все неиспользуемые сервисы должны быть отключены даже для локальных пользователей. Для «демонов» сетевых сервисов, которые не имеют возможности использовать списки контроля доступа, необходимо использовать TCP-упаковщики (wrappers) или подобные инструменты. Сервисы сетевого тестирования и отладки, включая echo, chargen, spray, должны быть отключены.

Разрешения на доступ к файлам:

• минимальные разрешения на директории пользователей должны быть: read, write, execute – для владельца; read, execute – для группы, в которую входит пользователь; «нет доступа» – для всех остальных пользователей;

• разрешения по умолчанию не должны допускать доступа извне;

• разрешения на специальные файлы (fifos, AF_UNIX sockets, devices, memory) должны строго контролироваться;

• возможность изменять конфигурацию системы должны иметь только администраторы;

• любые файлы, которыми владеет неизвестный пользователь, должны быть удалены после проведения расследования.

Свойства монтирования файловой системы. Везде, где это возможно:

• файловые системы, выделенные для хранения данных и иерархии пользователей, должны быть смонтированы с опциями, эквивалентными nosuid и nodev;

• файловые системы, выделенные для временных областей тестирования, типа /tmp, где создание и запись файлов предоставлены всем, должны быть смонтированы с опциями, эквивалентными nosuid, nodev и nоехес.

Файлы управления заданиями. Доступ к механизмам управления заданиями, таким, как at или cron, должен быть разрешен только системным администраторам или администраторам приложений.

Повышение пользовательских привилегий:

• запрещено использование SUID/SGID-скриптовых shell;

• запрещено использование cheap fork/exec SUID-бинарников в качестве упаковщиков;

• повышение привилегий для упаковщиков должно использовать механизм SGID там, где это возможно;

• запрещены любые команды SUID/SGID, которые могут заканчиваться в shell escape;

• администраторы систем и приложений, обладающие возможностью повышения привилегий до уровня root, должны повышать их только с использованием упаковщиков shell, таких, как sudo, calife, super. Эти упаковщики необходимо устанавливать так, чтобы только администраторы могли выполнять набор разрешенных им команд. Должен быть организован тщательный анализ аргументов командной строки.

Журналирование. Журналы системной активности должны храниться минимум один месяц на локальных или внешних носителях информации. Для критичных журналов необходимо обеспечить маркировку и хранение за пределами предприятия. Синхронизация времени. Синхронизация времени должна происходить из доверенного источника.

КРИТИЧНЫЕ СИСТЕМЫ И СИСТЕМЫ, ДОСТУПНЫЕ ИЗ ИНТЕРНЕТА УЧЕТНЫЕ ЗАПИСИ ГРУПП И ПОЛЬЗОВАТЕЛЕЙ

Глобальные профили пользователей. Все глобальные профили пользователей должны использовать минимальную umask 0 2 7, то есть полный доступ – для владельца, read и execute – для владельца группы, «нет доступа» – для всех остальных пользователей.

Учетные записи конечных пользователей. Учетные записи конечных пользователей запрещены. Должны быть доступны только учетные записи системных администраторов.

Обновление паролей. Все пароли должны обновляться в соответствии с политикой использования паролей.

Профили пользователей. После выхода из системы файлы, содержащие перечень введенных команд, должны быть очищены. Их содержание может быть перед этим скопировано в защищенную от доступа область для дальнейшего анализа.

УДАЛЕННЫЙ ДОСТУП

Использование r-команд BSD. Использование этих команд строго запрещено. Удаленный доступ для привилегированных пользователей и администраторов. Для организации такого доступа необходимо использовать механизмы шифрования. Все другие протоколы, передающие пароли открытым текстом, запрещены.

ПРИЛОЖЕНИЯ

Сетевые приложения. Сетевые приложения должны быть интегрированы и сконфигурированы таким образом, чтобы взлом приложения не привел к взлому самого сервера.