Иллюстрированный самоучитель по Development of safety
ВведениеКому предназначена эта книга
Организация книги
Часть I. Начало работы по правилам
Часть II. Разработка правил безопасности
Часть III. Сопровождение правил
Часть IV. Приложения
Условные обозначения
Что собой представляет политика информационной безопасности
Что собой представляет политика информационной безопасностиО политике информационной безопасности
Почему важно работать по правилам информационной безопасности
Когда необходимо иметь разработанные правила безопасности
Уменьшение степени риска
После прорыва защиты
Соответствие документации
Демонстрация усилий по управлению качеством
Каким образом нужно разрабатывать правила безопасности
Определите, какие правила необходимо разработать
Оценка риска/Анализ или аудит
Критическая оценка, утверждение и претворение в жизнь
Резюме
Определение целей политики
Определение целей политикиЧто должно быть защищено
Аппаратные средства и программное обеспечение
Примерный инвентаризационный список
Внекомпьютерные ресурсы
Учет трудовых ресурсов
Определение лиц, от которых необходимо установить защиту
Анализ данных защиты
Обработка данных
Персонал и данные персонала
Лицензирование COTS
Резервирование, архивация и уничтожение информации
Соображения резервирования
Архивное хранение резервных копий
Уничтожение данных
Права интеллектуальной собственности и политика безопасности
Реагирование на инциденты и судебные разбирательства
Стратегия реагирования на инциденты
Компьютерные преступления
Резюме
Обязанности в области информационной безопасности
Обязанности в области информационной безопасностиОбязанности руководства
Комитет по управлению информационной безопасностью
Право на информацию
Распределение прав на информацию
Обязанности ответственных за информацию
Согласование планов информационной безопасности
Роль отдела информационной безопасности
Привлечение консультантов по защите информации
Прочие аспекты защиты информации
Интеграция информационной безопасности в бизнес-процесс организации
Конкретные задачи информационной безопасности
Аудит и контроль
Понятие управления безопасностью и применения закона
Обучение и поддержка в области защиты информации
Резюме
Физическая безопасность
Физическая безопасностьРазмещение компьютеров и монтаж оборудования
Монтаж оборудования
Замки и перегородки
Обеспечение условий в помещении
Инвентаризационный учет
Средства управления доступом
Создание средств управления доступом
Ограничение доступа к компьютерному оборудованию
Посетители
Планирование действий в экстремальных ситуациях
Планы реагирования на непредвиденные обстоятельства
Восстановление после аварии
Предупреждения об опасности и сигналы тревоги
Общая безопасность компьютерных систем
Профилактическое обслуживание
Доступность системы
Периодическая система и контроль конфигурации сети
Анализ кадрового обеспечения
Резюме
Аутентификация и безопасность сети
Аутентификация и безопасность сетиАдресация сети и архитектура
Планирование сети
Адресация сети
Конфигурация службы именования доменов
Преобразование сетевых адресов
Другие проблемы адресации
Правила расширения сети
Управление доступом к сети
Шлюзы
Виртуальные частные сети и экстрасети
Проверка полномочий вспомогательных систем
Безопасность регистрации
Требования к регистрации и процедуры регистрации
Приглашенные и прочие пользователи
Регистрационные баннеры
Средства регистрации
Отчетность при регистрации
Ограничение количества регистрации
Управление пользовательским доступом
Привилегированный режим работы
Пароли
Правила назначения действующих паролей
Хранение паролей
Специальные пароли
Пользовательский интерфейс
Средства управления доступом
Телекоммуникации и удаленный доступ
Руководящие принципы эксплуатации оборудования
Руководящие принципы защиты информации при удаленном доступе
Ответственность служащих
Телекоммуникации и средства удаленного доступа
Безопасность связи по телефонным каналам
Туннелирование через Internet
Резюме
Правила безопасности Internet
Правила безопасности InternetЭлектронная торговля
Резюме
Подход к Internet
Вопросы архитектуры
Правила управления входящим трафиком
Защита шлюза
Преобразование сетевых адресов
Разрешенные вспомогательные процедуры
Сетевые конференции Usenet
Административные обязанности
Профилактическое обслуживание
Соглашения с внешними источниками
Внедрение
Обязанности пользователей
Обучение
Понимание возможностей, предоставляемых Internet
Пересылка важной информации
Надежность загружаемой информации
Правила работы в WWW
Доступ из Web к сети и инфраструктуре
Защита и обслуживание CGI и других сервисных программ
Корректировщики содержимого
Управление содержимым
Правило конфиденциальности
Доступ пользователей к Web
Ответственность за приложения
Пересылка данных и файлов
Аутентификация транзакций Internet
Виртуальные частные сети, экстрасети, внутренние сети и другие туннели
Модемы и прочие лазейки
Применение PKI и других средств контроля
Правила безопасности электронной почты
Правила безопасности электронной почтыПравила использования электронной почты
Администрирование электронной почты
Введение права на контроль электронной почты
Обработка электронной почты
Архивирование электронной почты
Сканирование электронной почты
Ограничение размеров сообщений электронной почты
Использование электронной почты для конфиденциального обмена информацией
Шифрование электронной почты
Цифровая подпись электронной почты
Резюме
Вирусы, "черви" и "троянские кони"
Вирусы, "черви" и "троянские кони"Цель защиты
Определение типа защиты от вирусов
Тестирование на вирусы
Проверка целостности системы
Распределенные и съемные носители
Правила эксплуатации стороннего программного обеспечения
Привлечение пользователей к защите от вирусов
Резюме
Шифрование
ШифрованиеЮридические вопросы
Международные правила применения шифрования
Вопросы обязательств
Управление криптографией
Эксплуатация криптографических систем и обработка зашифрованных данных
Соображения о генерировании ключей
Управление ключами
Раскрытие ключей
Хранение ключей
Пересылка ключей
Резюме
Правила разработки программного обеспечения
Правила разработки программного обеспеченияЭтапы разработки программного обеспечения
Определение обязанностей при разработке программного обеспечения
Утверждение правил разработки программного обеспечения
Управление доступом к программному обеспечению
Дополнительные соображения по поводу правил
Рекомендации по разработке аутентификации
Тестирование и документирование
Генерирование тестовых данных
Тестирование и принятие в эксплуатацию
Требования к документации
Замена версий и управление конфигурацией
Процедуры запросов на замену версий
Управление конфигурацией и настройки защиты
Управление конфигурацией и обновление
Тестирование перед инсталляцией
Процедуры инсталляции
Сторонняя разработка
Правила, гарантирующие целостность программного обеспечения
Ограничение коммерческого распространения
Передача программного обеспечения третьей стороне
Вопросы интеллектуальной собственности
Резюме
Правила надежной работы
Правила надежной работыРазработка AUP
Обязанности пользователей при регистрации в системе
Работа с системами и в сети
Обязанности пользователей Internet
Ответственность организации и предоставление информации
Контроль и исследование сетевых данных
Сбор конфиденциальных данных
Инструкции о речевых оборотах
Резюме
Согласование и внедрение
Согласование и внедрениеТестирование и эффективность правил
Публикация документов правил и требования по уведомлению
Мониторинг, средства управления и меры наказания
Мониторинг
Управление
Меры наказания
Обязанности администраторов
Соображения по регистрации событий
Отчетность о нарушениях безопасности
Работа с отчетностью об инцидентах, затрагивающих информационную безопасность
Требуемые действия
Аудит и сбор данных
Соображения, касающиеся действий после совершения компьютерных преступлений
Работа с правоохранительными органами
Соображения по сохранению улик
Резюме
Процесс пересмотра правил
Процесс пересмотра правилПериодический пересмотр документов правил
Что необходимо включить в правило пересмотра
Комиссия по пересмотру правил
Резюме
Глоссарий
Приложение А. ГлоссарийРесурсы
РесурсыЖивучесть
Криптографические правила и нормативы
Ссылки на правила безопасности
Группы реагирования на инциденты
Дополнительная информация о реагировании на инциденты
Защита от вирусов
Информация поставщиков о средствах защиты
Информационные ресурсы по вопросам безопасности
Публикации по вопросам защиты
Промышленные консорциумы и объединения
Закон о страховании здоровья и медицинской ответственности
Примеры правил
Примеры правилПример правила надежной работы
Информационные системы предназначены для обслуживания бизнеса
Контроль и конфиденциальность
Правило хранения данных
Запрещенная деятельность и судебные процессы
Интеллектуальная собственность и лицензирование
Защита от вирусов
Дисциплинарные взыскания
Обязательство
Пример правил безопасности электронной почты
Администрирование электронной почты
Защита электронной почты от вирусов
Архивирование электронной почты
Обязанности пользователей
Пример правил администрирования
Инструктаж пользователей
Публикация и уведомление
Обязанности руководства
Обязанности администраторов
Правовые санкции и отчетность об инцидентах
Правило увольнений
Дисциплинарные меры
Содержание раздела
