IT-безопасность: стоит ли рисковать корпорацией?

Маккарти Линда

Talos Technology Consulting, Inc., 226

TCP Wrapper, 201

Technical Communications Corporation, 227

TenFour U.S. Inc., 227

Thawte Certification, 227

Thrupoint, 227

Tiger, 201

TippingPoint Technologies, 227

TIS Firewall Toolkit, 201

Titan, 201

Tivoli Software (IBM), 227

T-NETIX, 226

Top Layer, 228

TransWorld Internet Services, исследование проблемы, 21–27

ложное чувство безопасности, 22–23

обнаружение

хакера, 23

сеть под угрозой, 25–26

усиление защиты, 23–25

Trend Micro, Inc., 228

Trintech Group, 228

Tripwire, Inc., 201,228

TruSecure, 228

TrustWorks, 228

TTY Watcher, 201

Tumblewecd Communications Corporation, 228

U

Ubizen, 229

Unisys, 229

USENIX, 80,194

V

Vanguard Integrity Professionals, 229

Vasco, 229

VeriSign, 229

Vogon, 63

V-ONE Corporation, 229

W

WatchGuard Technologies, Inc., 230

WinMagic Inc., 230

Y

Yahoo! 29

Z

Zero Knowledge Systems, 230

Zone Labs, Inc., 230

А

Арчибальд, Мэтью (Archibald, Matthew), 123

Атаки, см. также Взломы

«моментальный снимок» системы, 14

бюджет безопасности, 16

вероятность подвергнуться атаке, 9-10

взломщик, установление, 14

выполнение плана действий, 15

группа реагирования на инцидент (IRT), 12

группа реагирования на компьютерные

инциденты (CSIRT), 14

доверие, 14–15

документирование, 14

завершающие действия, 16

запись информации, 15

изолирование, 13

кошмар реагирования на инцидент, 3–8

личные проверки, 14–15

оповещение вышестоящего руководства, 13,16

определение целей и установление приоритетов, 13–15

предупреждение, 8–9

процедуры реагирования на инцидент,

обучение, 13

распознавание, 11

реагирование, 3-20

системы обнаружения вторжения (IDS), 11

точка контакта (контактный телефон), установка, 13

четкое определение обязанностей, 14

эскалация проблемы, 15

Аудиты, 61–63

проведение, 108

Аутсорсинг, безопасность, 125-34

исследование проблемы S&B Systems, 126-31

контрольный список, 133-34

планирование подрядных работ, 92

подход «плыви или тони» к решению вопросов безопасности,133

проведение оценка безопасности, 132

решение проблем, 132

Б

Безопасность

в стандартной поставке, 21–33

выяснение рисков, 27

необходимость избегать стандартных установок систем, 28

ознакомление с системными специалистами, 28–29

предусмотреть или требовать финансирование безопасности, 29–30

тестирование сети, 28

Безопасность вне плана, 85–96

доверие, 93

извлечение уроков из прошлого, 93

исследование проблемы Rockland General, 86–92

классификация систем, 93

контрольный список, 95

обучение, 94–95

оценка рисков, 92

подсчет очков, 95

сделать подотчетным руководство, 94

сокращение бюджета, 93–94

тестирование безопасности, 94

Безопасность:

«питание» брандмауэров, 107

архивы со сведениями об уязвимых местах, 194-95

аутсорсинг, 125-34

безопасность внутренних сетей, 113-22

будущее безопасности, 145-54

быстрое реагирование на взломы, 108

бюджет, 16

обеспечение средств на шифрование, 141

выполнение политик и процедур, 31

и руководители, 49

использование экспертов со стороны, 31–32

контрольные журналы, 107

незащищенная электронная почта, 137^42

неплановая, см. «Безопасность вне плана»

обеспечение программ обучения, 49

обучение, 32,71–82

определение в качестве общей цели, 48

перекладывание работы по ее обеспечению, 45

планирование или требование финансирования, 29–30

поддержка со стороны руководства, 37–51

поддержка, см. «Поддержка безопасности»

правильное отношение к ней, 44–45

представление отчетов вышестоящему руководству, 46–47

проведение аудитов, 108

программное обеспечение, 198–202

разработка политик и процедур для брандмауэров, 106

расследование компьютерных преступлений, 196— 97

ресурсы по обеспечению, 194

роли и обязанности:

контрольный список, 109

определение, 106

сетевой доступ, 55–67

сокращение до минимума количества уровней руководства, 45–46

списки почтовой рассылки, 195

стандартная поставка, 21–33

тестирование паролей, 30–31

требование подтверждений безопасности, 108

углубление знаний о брандмауэрах, 108-9

удаление старых учетных записей, 30

установка патчей, 31

экспортирование разрешений чтения/записи, 30

Бейс, Ребекка (Васе, Rebecca), 83

«Белые статьи», выпуск. 81

Брандмауэры: