Проведение анализа уязвимостей

Этот проект покажет, насколько рассматриваемая организация соответствует авторитетным рекомендациям. Имейте в виду, что это несколько иная задача, нежели оценка угроз. Вы не будете пытаться выявить угрозы, а будете искать вещи, о которых раньше могли и не знать.

Шаг за шагом

  • 1. Начните прорабатывать рекомендации, приводимые в данной лекции или в стандарте ISO 17799, если у вас имеется этот документ.
  • 2. При работе с каждым разделом определите, соответствует ли ваша организация (или последняя проведенная оценка угроз) приводимым рекомендациям.
  • 3. Если рассматриваемая организация не соответствует какой-либо рекомендации, попробуйте понять причину. Возможно, имеются другие меры и средства контроля, или степень угрозы для организации очень мала, вследствие чего неэффективно применять рекомендуемое средство или метод контроля. Кроме того, какая-либо рекомендация могла попросту ранее нигде не приводиться.
  • 4. Для тех рекомендаций, явная причина применения которых в организации отсутствует, разработайте рекомендацию, обеспечивающую соответствующий уровень контроля.

Выводы

Как уже упоминалось выше, этот проект не является повторным проведением оценки угроз, а представляет собой наименее дорогостоящий способ рассмотреть под другим ракурсом имеющуюся программу безопасности. Даже самые опытные сотрудники отдела безопасности могут слишком "зацикливаться" на имеющейся программе, и день ото дня бороться с проблемами, возникающими при поддержке этой программы. Внешний наблюдатель, как правило, может внести "свежую струю" в виде рекомендаций, которые позволят

усовершенствовать программу безопасности лишь потому, что не будут скованы ежедневным функционированием этой программы. Точно таким же образом может использоваться и документ с авторитетными рекомендациями.

Контрольные вопросы

  • 1. Что такое "авторитетные рекомендации"?
  • 2. Назовите четыре необходимых политики безопасности.
  • 3. Назовите шесть навыков, которыми должны обладать сотрудники отделов безопасности.
  • 4. Является ли закономерностью, что приобретение средств обеспечения безопасности снизит затраты на работу персонала отдела безопасности?
  • 5. Кто должен нести ответственность за безопасность внутри организации?
  • 6. Какова длительность занятия по изучению вопросов безопасности?
  • 7. Должны ли планы восстановления после сбоев включать резервные "горячие сайты"?
  • 8. Каким образом необходимо обеспечивать защиту постоянных соединений с внешними организациями?
  • 9. На каких системах должны устанавливаться антивирусные программы?
  • 10. Какой длины должны быть пароли?
  • 11. Если информация очень секретна, какой метод аутентификации следует использовать?
  • 12. Где должны храниться записи аудита в идеальном случае?
  • 13. Должны ли программные обновления немедленно устанавливаться на все системы после их выпуска производителем?
  • 14. Перечислите четыре аспекта защиты компьютерных систем, размещенных в информационном центре.
  • 15. Что представляет собой стандарт ISO, в котором говорится об информационной безопасности?
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >