Сергей Петренко - Политики безопасности компании при работе в Интернет
Здесь есть возможность читать онлайн «Сергей Петренко - Политики безопасности компании при работе в Интернет» — ознакомительный отрывок электронной книги совершенно бесплатно, а после прочтения отрывка купить полную версию. В некоторых случаях можно слушать аудио, скачать через торрент в формате fb2 и присутствует краткое содержание. Жанр: Интернет, на русском языке. Описание произведения, (предисловие) а так же отзывы посетителей доступны на портале библиотеки ЛибКат.
- Название:Политики безопасности компании при работе в Интернет
- Автор:
- Жанр:
- Год:неизвестен
- ISBN:нет данных
- Рейтинг книги:3 / 5. Голосов: 1
-
Избранное:Добавить в избранное
- Отзывы:
-
Ваша оценка:
Политики безопасности компании при работе в Интернет: краткое содержание, описание и аннотация
Предлагаем к чтению аннотацию, описание, краткое содержание или предисловие (зависит от того, что написал сам автор книги «Политики безопасности компании при работе в Интернет»). Если вы не нашли необходимую информацию о книге — напишите в комментариях, мы постараемся отыскать её.
Книга может быть полезна руководителям служб автоматизации (CIO) и служб информационной безопасности (CISO), ответственным за утверждение политик безопасности и организацию режима информационной безопасности; внутренним и внешним аудиторам (CISA); менеджерам высшего эшелона управления компанией (ТОР-менеджерам), которым приходится разрабатывать и внедрять политики безопасности в компании; администраторам безопасности, системным и сетевым администраторам, администраторам БД, которые отвечают за соблюдение правил безопасности в отечественных корпоративных информационных системах. Книга также может использоваться в качестве учебного пособия студентами и аспирантами соответствующих технических специальностей.
Политики безопасности компании при работе в Интернет — читать онлайн ознакомительный отрывок
Ниже представлен текст книги, разбитый по страницам. Система сохранения места последней прочитанной страницы, позволяет с удобством читать онлайн бесплатно книгу «Политики безопасности компании при работе в Интернет», без необходимости каждый раз заново искать на чём Вы остановились. Поставьте закладку, и сможете в любой момент перейти на страницу, на которой закончили чтение.
Интервал:
Закладка:
Целесообразно провести собрания, чтобы выслушать пожелания пользователей и заодно убедиться в правильном понимании ими предложенной политики. (Творцы политики порой бывают несколько косноязычны.) В собраниях должны участвовать все – от высшего руководства до младших специалистов. Безопасность – забота общая.
Помимо усилий по оглашению политики на начальном этапе, необходимо постоянно напоминать о ней. Опытные пользователи нуждаются в периодических напоминаниях, новичкам ее нужно разъяснять, вводя в курс дела. Прежде чем допускать сотрудника к работе, разумно получить его подпись под свидетельством о том, что он прочитал и понял политику безопасности. В ситуациях, чреватых судебным разбирательством после нарушения политики, бумага с подписью может оказаться весьма кстати.
Выработка процедур для предупреждения нарушений безопасности Политика безопасности определяет, что нуждается в защите. В данной главе обсуждаются процедуры безопасности, специфицирующие, каким образом политика будет проводиться в жизнь.Политика безопасности определяет, что следует защищать
Политика безопасности отвечает на вопрос что: что следует защищать, что является самым важным, что за свойства у защищаемых объектов, что за подход к проблемам безопасности избран.
Сама по себе политика безопасности не говорит, как защищаются объекты. Ответы на вопросы как дают процедуры безопасности, рассматриваемые в данной главе. Политика безопасности оформляется в виде высокоуровневого документа, описывающего общую стратегию. Процедуры безопасности должны в деталях специфицировать шаги, предпринимаемые организацией для собственной защиты.
Политика безопасности должна включать в себя общую оценку рисков по отношению к наиболее вероятным угрозам и оценку возможных последствий осуществления этих угроз Частью процесса оценки рисков является составление списка активов, нуждающихся в защите. Данная информация необходима для выработки экономически эффективных (практичных) процедур.
Заманчиво начать разработку процедур безопасности, отправляясь от защитных механизмов: «На всех компьютерах нашей организации должны вестись регистрационные журналы, модемы обязаны выполнять обратный дозвон, а всем пользователям необходимо выдать интеллектуальные карточки». Однако подобный подход может повести к массированной защите областей с небольшим риском и к недостаточной защите действительно уязвимых участков. Если же начать с политики и описанных ею рисков, можно быть уверенным, что процедуры обеспечивают достаточный уровень защиты для всех активов.Выявляя возможные проблемы
Чтобы определить риски, необходимо выявить уязвимые места. Одна из целей политики безопасности состоит в том, чтобы прикрыть слабости и тем самым уменьшить риск для максимально возможного числа активов. В последующих пунктах представлены наиболее типичные слабости. Данный перечень ни в коей мере нельзя считать исчерпывающим. Кроме того, следует учитывать, что обычно у каждой организации имеется несколько уникальных, присущих только ей уязвимых мест.
Точки доступа. Точки доступа обычно используются авторизованными пользователями для входа в систему. Наличие большого числа точек доступа увеличивает риск нелегального доступа к компьютерам организации и другим сетевым ресурсам.
Связь с внешними сетями открывает доступ к ресурсам организации всем лицам, подключенным к этим внешним сетям. Обычно сетевое соединение обеспечивает доступ к большому числу сервисов, каждый из которых может быть скомпрометирован.
Коммутируемые линии, в зависимости от конфигурации, могут дать доступ только к входному порту одной системы или ко всей сети, если они подключены к терминальному серверу.
Терминальные серверы сами по себе могут стать источником проблем, поскольку зачастую они лишены средств проверки подлинности пользователей. Нередко злоумышленники для сокрытия своих действий используют именно терминальные серверы, соединяясь с ними по местному телефону и уже через них выходя в локальную сеть. Некоторые терминальные серверы сконфигурированы таким образом, что к ним можно получить доступ по Telnet, находясь вне локальной сети, и затем выполнить Telnet во внешний мир, что существенно затрудняет отслеживание злоумышленников.
Неправильно сконфигурированные системы. Значительная часть «дыр» в защите приходится на неправильно сконфигурированные системы. Современные операционные системы и сопутствующее им программное обеспечение стали настолько сложными, что для досконального изучения деталей их работы нужно брать отдельного специалиста на полную ставку. Зачастую системные администраторы не являются такими специалистами, поскольку просто выбираются из числа имеющихся сотрудников.
Читать дальшеИнтервал:
Закладка:
Похожие книги на «Политики безопасности компании при работе в Интернет»
Представляем Вашему вниманию похожие книги на «Политики безопасности компании при работе в Интернет» списком для выбора. Мы отобрали схожую по названию и смыслу литературу в надежде предоставить читателям больше вариантов отыскать новые, интересные, ещё непрочитанные произведения.
![Сергей Петренко - Снимите розовые очки [litres]](/books/391741/sergej-petrenko-snimite-rozovye-ochki-litres-thumb.webp)
Обсуждение, отзывы о книге «Политики безопасности компании при работе в Интернет» и просто собственные мнения читателей. Оставьте ваши комментарии, напишите, что Вы думаете о произведении, его смысле или главных героях. Укажите что конкретно понравилось, а что нет, и почему Вы так считаете.