Net Secure
Сетевая безопасность

Статьи раздела

все статьи

  • Безопасность сетей - методы хакерских атак (Часть 3)
    2008-12-02 15:08:33

  • Безопасность сетей - методы хакерских атак (Часть 2)
    2008-12-02 15:09:38

  • Безопасность сетей - категории атак
    2008-12-02 15:10:38

  • Безопасность сетей - методы хакерских атак
    2008-12-09 00:00:00

  • Понятие " Информационная безопасность".
    2010-12-01 12:26:14

  • Роль Политики безопасности
    2011-01-26 11:16:37

  • Службы информационной безопасности
    2011-04-12 11:04:12

  • Политика безопасности Часть 1
    2011-04-12 14:06:24

  • Политика безопасности Часть 2
    2011-04-12 14:18:19

  • Политика безопасности Часть 3
    2011-04-12 14:29:55

  • Управление рисками
    2011-08-16 16:10:41

  • Обеспечение информационной безопасности - Оценка стоимости
    2011-12-08 08:58:42

  • Обеспечение информационной безопасности - Физическая безопасность
    2011-12-08 09:11:31

  • Обеспечение информационной безопасности - Разработка политики и реализация
    2011-12-08 09:30:18

  • Обеспечение информационной безопасности - Проведение аудита
    2011-12-08 09:44:48

  • Рекомендации по обеспечению сетевой безопасности - Административная безопасность
    2011-12-09 10:55:22

  • Рекомендации по обеспечению сетевой безопасности - Техническая безопасность
    2011-12-09 11:57:07

  • Рекомендации по обеспечению сетевой безопасности - Использование стандарта ISO 17799
    2011-12-09 12:04:25

  • Межсетевые экраны
    2011-12-14 12:46:22

  • Виртуальные частные сети
    2011-12-23 11:42:00

  • Развертывание узловых сетей VPN
    2011-12-23 11:54:23

  • Понятие стандартных технологий функционирования VPN
    2011-12-23 12:10:56

  • Типы систем VPN
    2011-12-23 12:22:24

  • Trusteer Rapport на страже безопасности систем ДБО
    2012-08-28 13:05:56

  • Новости


    Все новости

    Aтака WannaCry больше всего затронула Windows 7

    | 2017-05-23 12:09:00 |

    Исследователи безопасности сообщают о том, что большинство компьютеров, пострадавших от эпидемии WannaCry,...


    Эксплоиты для Android используют уязвимость Dirty COW

    | 2016-10-26 09:44:24 |

    Dirty COW – уязвимость ядра Linux, была публично раскрыта на прошлой неделе. Эксперты предупреждают,...


    Что ожидать в 2016 году - Лаборатория Касперского

    | 2015-12-16 13:07:13 |

    В уходящем 2015 году произошло немало значимых киберсобытий, некоторые из которых получили по-настоящему...


    ESET NOD32 защитит информационную систему компании «СТС Медиа»

    | 2015-10-16 13:36:04 |

    Международная компания ESET объявляет о начале сотрудничества с «СТС Медиа», ведущей независимой медиакомпанией...


    Компания SAP оперативно закрыла критичную уязвимость в SAP HANA

    | 2015-10-16 13:27:05 |

    Компания Digital Security, предупреждает о выявлении опасных уязвимостей в SAP HANA, инновационном...


     

    Рекомендации по обеспечению сетевой безопасности - Использование стандарта ISO 17799 | 2011-12-09 12:04:25

    Использование стандарта ISO 17799

    Существует много различных инструкций, в которых приводятся разного рода рекомендации по той или иной тематике (в данном случае их количество слишком велико для отражения в материале этой книги). Подобные документы опубликованы многими ассоциациями и правительственными агентствами. В 2000 г. Международная организация по стандартизации (ISO) издала международный стандарт для методов безопасности информации. Документ называется "Информационные технологии - методы обеспечения информационной безопасности" - ISO/IEC 17799 (доступен на сайте американского Национального института стандартов http://www.ansi.org/; его стоимость - 112 долларов). Документ напрямую базируется на BS (British Standards Institution) 7799.

    Данный документ предназначен для использования в качестве стартовой точки. Несмотря на то, что это очень качественный и полезный документ, каждая организация уникальна и, как правило, требует дополнительных мер контроля или же, наоборот, применения меньшего их количества, нежели указано в стандарте.

    Ключевые концепции стандарта

    ISO 17799 охватывает десять основных областей.

    • Политика безопасности. В данном разделе рассказывается о необходимости политики безопасности и регулярного пересмотра и оценки этого документа.
    • Организационная безопасность. В данном разделе описывается, как следует обеспечивать безопасность информации. Содержится информация о работе со сторонними организациями и управлении безопасностью при этих взаимоотношениях.
    • Классификация и контроль имущества. В данном разделе обсуждается необходимость правильной защиты как физических, так и информационных ресурсов.
    • Безопасность персонала. В данном разделе обсуждается необходимость контроля рисков, связанных с наймом на работу сотрудников, а также обсуждается обучение сотрудников организации. Кроме того, здесь впервые затрагивается тема обработки инцидентов.
    • Физическая безопасность и безопасность среды. Все физическое имущество должно быть надежно защищено от хищения, пожара и других воздействий. Данный раздел посвящен именно этой теме.
    • Управление коммуникациями и операциями. Рассматривается необходимость в документируемых процедурах управления компьютерами и сетями, а также обсуждается вопрос безопасности информации при ее передаче. Здесь также упоминается необходимость защиты компьютеров от вредоносных программ.
    • Контроль доступа. В данном разделе обсуждается контроль доступа к информации, системам, сетям и приложениям, а также говорится об управлении пользователями и о необходимости мониторинга.
    • Разработка и поддержка систем. В данном разделе рассматриваются вопросы безопасности, связанные с разработкой проектов. Кроме того, здесь обсуждаются необходимость в шифровании и управлении ключами, а также контроль конфигурации системных файлов.
    • Поддержка непрерывности деловых процессов. Здесь рассказывается об опасности прерывания деловых процессов и о различных альтернативных способах поддержки их непрерывности.
    • Соответствие политике. В данном разделе говорится о том, каким образом в организации следует соблюдать установленную политику и как должна проводиться проверка на соответствие установленной политике.

    Для каждого раздела четко определены цели тех или иных контролирующих действий. Кроме того, во введении приводится полезная информация о том, как достичь защищенного состояния информации внутри организации.

    Каким образом использовать этот стандарт

    Стандарт ISO 17799 используется как стартовая точка для разработки программ безопасности. При построении программы безопасности необходимо ознакомиться с этим документом и использовать его в качестве руководства при работе в той или иной области. Если уже имеется разработанная программа безопасности, то с помощью стандарта ISO 17799 можно проверить, не упущены ли какие-либо важные вопросы.

    Во введении в документ говорится о том, что некоторые меры контроля могут не понадобиться, и что могут потребоваться некоторые дополнительные меры, не включенные в материал стандарта. Точный набор средств, мер и действий по управлению, включаемый в каждую программу безопасности, определяется в процессе оценки угроз.

    Внимание!

    Не используйте стандарт ISO 17799 или какой-либо другой рекомендательный документ в качестве требований, соответствие которым должно быть полным и безусловным. Всегда проводите оценку угроз и определяйте действительные требования безопасности для вашей конкретной организации.

    Проведение анализа уязвимостей

    Этот проект покажет, насколько рассматриваемая организация соответствует авторитетным рекомендациям. Имейте в виду, что это несколько иная задача, нежели оценка угроз. Вы не будете пытаться выявить угрозы, а будете искать вещи, о которых раньше могли и не знать.

    Шаг за шагом

    1. Начните прорабатывать рекомендации, приводимые в данной лекции или в стандарте ISO 17799, если у вас имеется этот документ.
    2. При работе с каждым разделом определите, соответствует ли ваша организация (или последняя проведенная оценка угроз) приводимым рекомендациям.
    3. Если рассматриваемая организация не соответствует какой-либо рекомендации, попробуйте понять причину. Возможно, имеются другие меры и средства контроля, или степень угрозы для организации очень мала, вследствие чего неэффективно применять рекомендуемое средство или метод контроля. Кроме того, какая-либо рекомендация могла попросту ранее нигде не приводиться.
    4. Для тех рекомендаций, явная причина применения которых в организации отсутствует, разработайте рекомендацию, обеспечивающую соответствующий уровень контроля.

    Выводы

    Как уже упоминалось выше, этот проект не является повторным проведением оценки угроз, а представляет собой наименее дорогостоящий способ рассмотреть под другим ракурсом имеющуюся программу безопасности. Даже самые опытные сотрудники отдела безопасности могут слишком "зацикливаться" на имеющейся программе, и день ото дня бороться с проблемами, возникающими при поддержке этой программы. Внешний наблюдатель, как правило, может внести "свежую струю" в виде рекомендаций, которые позволят усовершенствовать программу безопасности лишь потому, что не будут скованы ежедневным функционированием этой программы. Точно таким же образом может использоваться и документ с авторитетными рекомендациями.

     


    Распечатать данную страницу




    Всего просмотров этой страницы: 3059. Сегодня: 4
    Главная | Cтатистика | | Новости | Ссылки
    © 2011 NSecure.RU All Rights Reserved