Выявляя возможные проблемы. Чтобы определить риски, необходимо выявить уязвимые места.
Точки доступа. Точки доступа обычно используются авторизованными пользователями для входя в систему. Связь с внешними сетями открывает доступ к ресурсам организации всем лицам, подключенным к этим внешним сетям. Коммутируемые линии, в зависимости от конфигурации, могут дать доступ только к входному порту одной системы или ко всей сети, если они подключены к терминальному серверу. Терминальные серверы сами по себе могут стать источником проблем, поскольку зачастую они лишены средств проверки подлинности пользователей.
3. Неправильно сконфигурированные системы. Значительная часть "дыр" в защите приходится на неправильно сконфигурированные системы. Отчасти в неправильной конфигурации повинны поставщики, поскольку в целях упрощения процесса установки они выбирают начальные конфигурации, которые при определенных условиях не являются безопасными.
Программные ошибки. Программное обеспечение никогда не станет безошибочным.
Внутренние враги. Штатные сотрудники могут составлять значительную угрозу для информационной безопасности организации.
Выбор регуляторов для практичной защиты активов. После того, как выяснено, что нуждается в защите и оценены риски, грозящие активам, необходимо решить, как реализовать средства защиты.
Выбор подходящего набора регуляторов безопасности. Выбранные Вами регуляторы представляют собой реальное воплощение Вашей политики безопасности.
Доверяйте здравому смыслу. Здравый смысл — лучшее средство формирования политики безопасности.
Используйте несколько стратегий защиты активов. Другой метод защиты активов состоит в использовании нескольких стратегий. При подобном подходе, если одна линия обороны оказывается прорванной, в дело вступает другая стратегия, то есть активы не остаются беззащитными.
Физическая безопасность. Давно известно, что если не обеспечена физическая защита, говорить о других аспектах информационной безопасности не имеет смысла. Критически важные коммуникационные каналы, серверы и другие ключевые элементы должны быть сосредоточены в физически защищенных областях. Если Вы не можете физически обезопасить машины, не следует слепо доверять им. Необходимо строго контролировать доступ к физически защищенным машинам или претендующим на звание таковых.
Процедуры выявления неавторизованной деятельности. Для обнаружения большинства видов неавторизованного использования компьютерных систем существуют несложные процедуры, использующие стандартные средства операционных систем или опирающиеся на инструментарий, свободно доступный из различных источников.
Отслеживание использования систем. Системный мониторинг может выполняться как администратором, так и специально написанными программами. Отслеживание использования систем очень важно выполнять на постоянной основе.
Инструменты для отслеживания использования систем. В данном пункте описываются инструменты и методы, позволяющие выявлять неавторизованное использование систем.
Ведение регистрационных журналов. Большинство операционных систем сохраняют в регистрационных файлах массу информации.
Программы отслеживания. Другие средства мониторинга можно сконструировать, комбинируя различные, на первый взгляд не связанные между собой, стандартные механизмы операционной системы. Дополнительные средства доступны от третьих фирм-поставщиков и от организаций, распространяющих свободное программное обеспечение.
Прочие средства. Для отслеживания работы систем с целью выявления нарушений режима безопасности можно использовать и другие средства, даже если это не является их основным назначением.
Меняйте расписание мониторинга. Задача системного мониторинга — не такая страшная, как могло бы показаться. Несмотря на достоинства, которыми обладает постоянный мониторинг, некоторые злоумышленники могут знать о стандартных регистрационных механизмах атакуемых систем.
18. Что делать при подозрениях на неавторизованную деятельность. Обсуждался характер действий, предпринимаемых организацией при подозрениях на нарушение режима информационной безопасности. В дополнение к политике, необходимо выписать процедуры реагирования на вторжения. Независимо от того, предпочтете ли Вы пресекать действия нарушителя или следить за ним, Вам необходимо держать наготове соответствующие инструменты, предварительно научившись ими пользоваться.