IT-безопасность: стоит ли рисковать корпорацией?
IT-безопасность: стоит ли рисковать корпорацией? читать книгу онлайн
Информационные технологии все глубже проникают в нашу жизнь, Не говоря о фирмах, непосредственно занятых разработками или внедрением ИТ, без них уже не могут обойтись банки, крупные торговые фирмы, госпитали, музеи… И этот список легко продолжить. И все чаще объектом грабителей, террористов или просто вандалов становятся информационные системы и сети и хранимая в них информация. Как убедиться, что ваша информация надежно защищена? Что злоумышленник или просто резвящийся тинэйджер, украв или уничтожив данные в вашей сети, не разрушит и вашу личную судьбу, и судьбу всей компании? Этим вопросам и посвящена книга, которую вы держите в руках. Увы, технические проблемы безопасности не всегда очевидны для тех, кто принимает решения о выделении средств и проведении необходимых мероприятий. Но в книге вы и не найдете технических деталей, необходимых системным администраторам и специалистам по безопасности. Автор разбирает конкретные достаточно типичные ситуации, с которыми она сталкивалась как аудитор безопасности, и приводит простые советы, как убедиться в том, что в вашей компании такое невозможно.
Книга даст массу полезных советов для руководителей верхнего уровня и специалистов, отвечающих за информационную безопасность компаний.
Внимание! Книга может содержать контент только для совершеннолетних. Для несовершеннолетних чтение данного контента СТРОГО ЗАПРЕЩЕНО! Если в книге присутствует наличие пропаганды ЛГБТ и другого, запрещенного контента - просьба написать на почту [email protected] для удаления материала
Электронная коммерция
Tripwire, Inc.
www.tripwire.com
Оценка целостности файла
Обнаружение и предупреждение вторжения
TruSecure
www.trusecure.com
Провайдер управляемой защиты
TrustWorks
www.trustworks.com
Частные виртуальные сети
TumbleweedCommunications Corp
www.tumbleweed.com
Управляемые защищенные коммуникации
Ubizen
www.ubizen.com
Приложения
Цифровые подписи и органы сертификации
Фильтрация и мониторинг Интернета
Сетевой мониторинг
Защита веб-серверов
Unisys
www.unisys.eom
Аутентификация пользователей и терминалов
Единая регистрация
Vanguard Integrity Professionals
www.go2vanguard.com
Приложения
Конференция по вопросам безопасности
VeriSign
www.verisign.com
Доступ к данным
Цифровые сертификаты и управление ключами
Единая регистрация
Vasco
www.vasco.com
Продукты для шифрования
Защищенный удаленный доступ
V-ONE Corporation
www.v-one.com
Брандмауэры
Защищенные компьютерные системы и процессоры
Смарт-карты и электронные жетоны
Системы персональной идентификации
Политики и процедуры
WatchGuard Technologies, Inc.
wvvw.watchguard.com
Управление доступом
Брандмауэры
Фильтрация и мониторинг Интернета
Частная виртуальная сеть
Защита веб-серверов
Win Magic Inc.
www.winmagic.com
Продукты для шифрования файлов
Zero Knowledge Systems
www.freedom.net
Защищенные телекоммуникации
Zone Labs, Inc.
www.zonelabs.com
Брандмауэры
Фильтрация и мониторинг Интернета
Политики и процедуры
Сокращения
ASIS (American Society for Industrial Security) — Американское общество по промышленной безопасности.
CERT (Computer Emergency Response Team) — группа реагирования на чрезвычайные ситуации.
CEO (Chief Executive Officer) — генеральный директор,
CFO (Chief Financial Officer) — финансовый директор.
CIO (Chief Information Officer) — директор по информационным технологиям.
CSI (Computer Security Institute) — Институт компьютерной безопасности.
CSIRT (Computer Security Incident Response Team) — группа реагирования на компьютерные инциденты.
СТО (Chief Technology Officer) — технический директор.
DOD (U.S. Department of Defense) — Министерство обороны США.
FAQ (Frequently Asked Questions) — часто задаваемые вопросы.
FIRST (Forum of Incident Response and Security Teams) — Форум групп реагирования на инциденты и групп обеспечения безопасности.
IDS (Intrusion Detection System) — система обнаружения вторжения.
IRT (Incident Response Team) — группа реагирования на инциденты.
ISP (Internet Service Provider) — провайдер Интернет-услуг.
ISS (Internet Security Scanner) — сканер защиты в Интернете.
MIS (Management Information System) — административные информационные системы.
NCSA (National Computer Security Association) — Национальная ассоциация компьютерной безопасности.
NIS (Network Information Service) — сетевая информационная служба.
PGP (Pretty Good Privacy) — «надежная конфиденциальность» (алгоритм шифрования).
РОС (Point of Contact) — точка контакта (контактный телефон).
SATAN (System Administrator Tool for Analyzing Networks) — инструмент системного администратора для анализа сетей.
WWW (World Wide Web) — Всемирная паутина (Интернет).
Глоссарий
Back door
См. «Черный ход».
ISP
См. «Провайдер услуг Интернет».
Logic bomb
См. «Логическая бомба».
Password cracker
См. «Взломщик паролей».
Password sniffer
См. «Анализатор паролей».
РОС
См. «Точка контакта».
Snapshot
См. «Моментальный снимок».
Snooping tool
См. «Инструмент снупинга».
Spoof
См. «Имитация».
Time bomb
См. «Бомба с часовым механизмом».
Trap door
См. «Черный ход».
Авторизация
Предоставление официально одобренных прав доступа пользователю, процессу или программе в соответствии с политикой безопасности компании.
Анализатор паролей («ищейка»)
См. «Инструмент снупинга».
Анализ риска
Процесс определения величины риска для безопасности. При анализе риска определяются элементы защиты, требующие улучшения.
Аудит безопасности
Независимая профессиональная ревизия состояния безопасности, при которой тестируется и исследуется соответствие средств защиты компании существующим нормам. Его результаты позволяют аудитору рекомендовать проведение необходимых изменений в средствах защиты, политиках и процедурах.
Аутентификация
Проверка идентичности пользователя, устройства или другого объекта в системе.
«Бомба с часовым механизмом»
Программа, внедряемая взломщиком в программное обеспечение и срабатывающая при наступлении определенного момента времени или после истечения заданного временного интервала.
Брандмауэр
Система защиты, контролирующая поток трафика между сетями. Существуют несколько его конфигураций: фильтрация (отсеивание), управление приложениями, шифрование, установка «демилитаризованных зон» и т. д.
Взломщик паролей
Программа, содержащая полные словари, которые она использует для подбора паролей пользователя.
Вирус
Код, внедряемый в программу компьютера. Он начинает работать при исполнении программы. «Проснувшись», вирус может размножаться, посылать сообщение, уничтожать информацию или снижать производительность системы.
Внешняя эскалация
Процесс передачи сообщения о бреши в безопасности какому-либо лицу или группе, находящимся вне отдела, отделения или компании, в которой это случилось. После эскалации проблемы ответственность за ее решение полностью или частично берет на себя сторона, в направлении которой была проведена эскалация.
Внутренняя эскалация
Процесс передачи сообщения о бреши в безопасности на вышестоящий командный уровень внутри отдела, отделения или компании, в которой это случилось.
Гарантия
Степень уверенности, означающая, что архитектура информационной системы соответствует политике безопасности организации.
