Introduction
The purpose of information security is to protect an organization’s valuable
resources, such as information, computer hardware, and software. Through
the selection and application of appropriate safeguards, security helps the
organization’s mission by protecting its physical and financial resources,
reputation, legal position, employees, and other tangible and intangible
assets. To many, security is sometimes viewed as thwarting the business
objectives of the organization by imposing poorly selected, bothersome
rules and procedures on users, managers, and systems. Well-chosen security
rules and procedures do not exist for their own sake — they are put
in place to protect important assets and thereby support the overall
business objectives.
This abstract was designed to give the information security professional
a solid understanding of the fundamentals of security and the entire range
of issues the practitioner must address. We hope you will be able to take
the key elements that comprise a successful information security program
and implement the concepts into your own successful program.
Chapter 1
Overview
We will examine the elements
of computer security, employee roles and responsibilities, and common
threats. We will also examine the need for management controls, policies
and procedures, and risk analysis. Finally, we will present a comprehensive
list of tasks, responsibilities, and objectives that make up a typical information
protection program.
1.1 Elements of Information Protection
Information protection should be based on 7 major elements:
1. Information protection should support the business objectives or
mission of the enterprise. This idea cannot be stressed enough
2. Information protection must be cost effective. Implementing controls
based on edicts is counter to the business climate. Before any
control can be proposed, it will be necessary to confirm that a
significant risk exists. Implementing a timely risk analysis process
can complete this. By identifying risks and then proposing appropriate
controls, the mission and business objectives of the enterprise
will be better met.
3. Information protection responsibilities and accountabilities should
be made explicit. For any program to be effective, it will be
necessary to publish an information protection policy. The policy should identify the roles
and responsibilities of all employees. To be completely effective,
the language of the policy must be incorporated into the purchase
agreements for all contract personnel and consultants.
4. System owners have information protection responsibilities outside
their own organization. Access to information will often extend
beyond the business unit or even the enterprise. It is the responsibility
of the information owner (normally the senior level manager
in the business that created the information or is the primary user
of the information). One of the main responsibilities is to monitor
usage to ensure that it complies with the level of authorization
granted to the user.
5 Information protection requires a comprehensive and integrated
approach. To be as effective as possible, it will be necessary for
information protection issues to be part of the system development
life cycle. During the initial or analysis phase, information protection
should receive as its deliverables a risk analysis, a business
impact analysis, and an information classification document. Additionally,
because information is resident in all departments throughout
the enterprise, each business unit should establish an individual
responsible for implementing an information protection program
to meet the specific business needs of the department.
6. Information protection should be periodically reassessed. As with
anything, time changes the needs and objectives. A good information
protection program will examine itself on a regular basis and
make changes wherever and whenever necessary. This is a dynamic
Copyright 2005 by CRC Press, LLC. All Rights Reserved.
and changing process and therefore must be reassessed at least
every 18 months.
8. Information protection is constrained by the culture of the organization.
The ISSO must understand that the basic information protection
program will be implemented throughout the enterprise.
However, each business unit must be given the latitude to make
modifications to meet its specific needs. If your organization is
multinational, it will be necessary to make adjustments for each
of the various countries. These adjustments will have to be examined
throughout the United States. What might work in Des Moines,
Iowa, may not fly in Berkeley, California. Provide for the ability
to find and implement alternatives.
Information protection is a means to an end and not the end in itself.
In business, having an effective information protection program is usually
secondary to the need to make a profit. In the public sector, information
protection is secondary to the agency’s services provided to its constancy.
We, as security professionals, must not lose sight of these goals and objectives.
Computer systems and the information processed on them are often
considered critical assets that support the mission of an organization.
Protecting them can be as important as protecting other organizational
resources such as financial resources, physical assets, and employees. The
cost and benefits of information protection should be carefully examined
in both monetary and nonmonetary terms to ensure that the cost of controls
does not exceed the expected benefits. Information protection controls
should be appropriate and proportionate.
The responsibilities and accountabilities of the information owners,
providers, and users of computer services and other parties concerned
with the protection of information and computer assets should be explicit.
If a system has external users, its owners have a responsibility to share
appropriate knowledge about the existence and general extent of control
measures so that other users can be confident that the system is adequately
secure. As we expand the user base to include suppliers, vendors, clients,
customers, shareholders, and the like, it is incumbent upon the enterprise
to have clear and identifiable controls. For many organizations, the initial
sign-on screen is the first indication that there are controls in place. The
message screen should include three basic elements:
1. The system is for authorized users only
2. That activities are monitored
3. That by completing the sign-on process, the user agrees to the
monitoring
Copyright 2005 by CRC Press, LLC. All Rights Reserved.
1.2 More Than Just Computer Security
Providing effective information protection requires a comprehensive
approach that considers a variety of areas both within and outside the
information technology area. An information protection program is more
than establishing controls for the computer-held data. In 1965 the idea of
the “paperless office” was first introduced. The advent of third-generation
computers brought about this concept. However, today the bulk of all of
the information available to employees and others is still found in printed
form. To be an effective program, information protection must move
beyond the narrow scope of IT and address the issues of enterprisewide
information protection. A comprehensive program must touch every stage
of the information asset life cycle from creation to eventual destruction.
1.2.1 Employee Mind-Set toward Controls
Access to information and the environments that process them are
dynamic. Technology and users, data and information in the systems, risks
associated with the system, and security requirements are ever changing.
The ability of information protection to support business objectives or the
mission of the enterprise may be limited by various factors, such as the
current mind-set toward controls.
A highly effective method of measuring the current attitude toward
information protection is to conduct a “walk-about.” After hours or on a
weekend, conduct a review of the workstations throughout a specific area
(usually a department or a floor) and look for just five basic control activities:
1. Offices secured
2. Desk and cabinets secured
3. Workstations secured
4. Information secured
5. Diskettes secured
When conducting an initial “walk-about,” the typical office environment
will have a 90 to 95 percent noncompliance rate with at least one of these
basic control mechanisms. The result of this review should be used to
form the basis for an initial risk analysis to determine the security requirements
for the workstation. When conducting such a review, employee
privacy issues must be remembered.
1.3 Roles and Responsibilities
As discussed, senior management has the ultimate responsibility for protecting
the organization’s information assets. One of these responsibilities
Copyright 2005 by CRC Press, LLC. All Rights Reserved.
is the establishment of the function of Corporate Information Officer (CIO).
The CIO directs the organization’s day-to-day management of information
assets. The ISSO and Security Administrator should report directly to the
CIO and are responsible for the day-to-day administration of the information
protection program.
Supporting roles are performed by the service providers and include
Systems Operations, whose personnel design and operate the computer
systems. They are responsible for implementing technical security on the
systems. Telecommunications is responsible for providing communication
services, including voice, data, video, and fax.
The information protection professional must also establish strong working
relationships with the audit staff. If the only time you see the audit staff
is when they are in for a formal audit, then you probably do not have a
good working relationship. It is vitally important that this liaison be established
and that you meet to discuss common problems at least each quarter.
Other groups include the physical security staff and the contingency
planning group. These groups are responsible for establishing and implementing
controls and can form a peer group to review and discuss controls.
The group responsible for application development methodology will
assist in the implementation of information protection requirements in the
application system development life cycle. Quality Assurance can assist
in ensuring that information protection requirements are included in all
development projects prior to movement to production.
The Procurement group can work to get the language of the information
protection policies included in the purchase agreements for contract
personnel. Education and Training can assist in developing and conducting
information protection awareness programs and in training supervisors in
the responsibility to monitor employee activities. Human Resources will
be the organization responsible for taking appropriate action for any
violations of the organization’s information protection policy.
An example of a typical job description for an information security
professional is as follows:
1.3.1 Director, Design and Strategy
Location:
Anywhere, World
Practice Area:
Corporate Global Security Practice
Grade:
Purpose:
To create an information security design and
strategy practice that defines the technology structure
Copyright 2005 by CRC Press, LLC. All Rights Reserved.
needed to address the security needs of its clients. The
information security design and strategy will complement
security and network services developed by the
other Global Practice areas. The design and strategy
practice will support the clients’ information technology
and architecture and integrate with each enterprise’s
business architecture. This security framework will provide
for the secure operation of computing platforms,
operating systems, and networks, both voice and data,
to ensure the integrity of the clients’ information assets.
To work on corporate initiatives to develop and implement
the highest quality security services and ensure
that industry best practices are followed in their implementation.
Working Relationships:
This position reports in the Global
Security Practice to the Vice President, Global Security.
Internal contacts are primarily Executive Management,
Practice Directors, Regional Management, as well as
mentoring and collaborating with consultants. This position
will directly manage two professional positions:
Manager, Service Provider Security Integration; and
Service Provider Security Specialist. Frequent external
contacts include building relationships with clients,
professional information security organizations, other
information security consultants; vendors of hardware,
software, and security services; and various regulatory
and legal authorities.
Principle Duties and Responsibilities:
The responsibilities
of the Director, Design and Strategy include, but are
not limited to, the following:
_
Develop global information security services that will
provide the security functionality required to protect
clients’ information assets against unauthorized disclosure,
modification, and destruction. Particular focus areas
include:
_
Virtual private networks
– Data privacy
– Virus prevention
– Secure application architecture
– Service provider security solutions
Copyright 2005 by CRC Press, LLC. All Rights Reserved.
_
Develop information security strategy services that can
adapt to clients’ diverse and changing technological
needs.
_
Work with Network and Security practice leaders and
consultants; create sample architectures that communicate
the security requirements that will meet the needs
of all client network implementations.
_
Work with practice teams to aid them from the conception
phase to the deployment of the project solution.
This includes a quality assurance review to ensure that
the details of the project are correctly implemented
according to the service delivery methodology.
_
Work with the clients to collect their business requirements
for electronic commerce, while educating them
on the threats, vulnerabilities, and available risk mitigation
strategies.
_
Determine where and how you should use cryptography
to provide public key infrastructure and secure
messaging services for clients.
_
Participate in security industry standards bodies to ensure
that strategic information security needs will be
addressed.
_
Conduct security focus groups with the clients to cultivate
an effective exchange of business plans, product development,
and marketing direction to aid in creating new
and innovative service offerings to meet client needs.
_
Continually evaluate vendors’ product strategies and
future product statements, and advise which will be
most appropriate to pursue for alliances, especially in
the areas of:
– Virtual private networks
– Data privacy
– Virus prevention
– Secure application architecture
– Service provider security solutions
_
Provide direction and oversight of hardware- and software-
based cryptography service development efforts.
Accountability:
Maintain the quality and integrity of the
services offered by the Global Security Practice. Review
and report impartially on the potential viability and profitability
of new security services. Assess the operational
Copyright 2005 by CRC Press, LLC. All Rights Reserved.
efficiency, compliance with industry standards, and
effectiveness of the client network designs and strategies
that are implemented through the company’s professional
service offerings. Exercise professional
judgment in making recommendations that may impact
business operations.
Knowledge and Skills:
_
10 Percent Managerial and Practice Management:
– Ability to supervise a multidisciplinary team and a small
staff; must handle multiple tasks simultaneously; ability to
team with other Practice Directors and Managers to develop
strategic service offerings
– Willingness to manage or to personally execute necessary
tasks, as resources are required
– Excellent oral, written, and presentation skills
_
40 Percent Technical:
– In-depth technical knowledge of information processing
platforms, operating systems, and networks in a global distributed
environment
– Ability to identify and apply security techniques to develop
services to reduce clients’ risk in such an environment
– Technical experience in industrial security, computer systems
architecture, design, and development, physical and
data security, telecommunications networks, auditing techniques,
and risk analysis principles
– Excellent visionary skills that focus on scalability, cost effectiveness,
and implementation ease
_
20 Percent Business:
– Knowledge of business information flow in a multinational,
multiplatform networked environment
– Solid understanding of corporate dynamics and general business
processes; understanding of multiple industries
– Good planning and goal-setting skills
_
20 Percent Interpersonal:
– Must possess strong consulting and communication skills
– Must have the ability to work with all levels of management
to resolve issues
– Must understand and differentiate between tactical and strategic
concepts
– Must be able to weigh business needs with security requirements
– Must be self-motivating
Copyright 2005 by CRC Press, LLC. All Rights Reserved.
Attributes:
Must be mature, self-confident, and performance
oriented. Will clearly demonstrate an ability to
lead technological decisions. Will establish credibility
with personal dedication, attention to detail, and a
hands-on approach. Will have a sense of urgency in
establishing security designs and strategies to address
new technologies to be deployed addressing clients’
business needs. Will also be capable of developing
strong relationships with all levels of management.
Other important characteristics include the ability to
function independently, holding to the highest levels
of personal and professional integrity. Will be an excellent
communicator and team player.
Specific requirements include:
_
Bachelor’s degree (Master’s degree desirable)
_
Advanced degree preferred
_
Fifteen or more years of information technology consulting
or managerial experience, eight of those years
spent in information security positions
_
CISM or CISSP certification preferred (other appropriate
industry or technology certifications desirable)
Potential Career Path Opportunities:
Opportunities for
progression to a VP position within the company.
1.4 Common Threats
Information processing systems are vulnerable to many threats that can
inflict various types of damage that can result in significant losses. This
damage can range from errors harming database integrity to fires destroying
entire complexes. Losses can stem from the actions of supposedly
trusted employees defrauding a system, from outside hackers, or from
careless data entry. Precision in estimating information protection-related
losses is not possible because many losses are never discovered, and
others are hidden to avoid unfavorable publicity.
The typical computer criminal is an authorized, nontechnical user of
the system who has been around long enough to determine what actions
would cause a “red flag” or an audit. The typical computer criminal is an
employee. According to a recent survey in “Current and Future Danger:
A CSI Primer on Computer Crime & Information Warfare,” more than
Copyright 2005 by CRC Press, LLC. All Rights Reserved.
80 percent of the respondents identified employees as a threat or potential
threat to information security. Also included in this survey were the
competition, contract personnel, public interest groups, suppliers, and
foreign governments.
The chief threat to information protection is still errors and omissions.
This concern continues to make up 65 percent of all information protection
problems. Users, data entry personnel, system operators, programmers,
and the like frequently make errors that contribute directly or indirectly
to this problem.
Dishonest employees make up another 13 percent of information
protection problems. Fraud and theft can be committed by insiders and
outsiders, but it more likely to be done by a company’s own employees.
In a related area, disgruntled employees make up another 10 percent of
the problem. Employees are most familiar with the organization’s information
assets and processing systems, including knowing what actions
might cause the most damage, mischief, or sabotage.
Common examples of information protection-related employee sabotage
include destroying hardware or facilities, planting malicious code
(viruses, worms, Trojan horses, etc.) to destroy data or programs, entering
data incorrectly, deleting data, altering data, and holding data “hostage.”
The loss of the physical facility or the supporting infrastructure (power
failures, telecommunications disruptions, water outage and leaks, sewer
problems, lack of transportation, fire, flood, civil unrest, strikes, etc.) can
lead to serious problems and make up 8 percent of information protectionrelated
problems.
The final area comprises malicious hackers or
crackers.
These terms
refer to those who break into computers without authorization or exceed
the level of authorization granted to them. While these problems get the
largest amount of press coverage and movies, they only account for five
to eight percent of the total picture. They are real and they can cause a
great deal of damage. But when attempting to allocate limited information
protection resources, it may be better to concentrate efforts in other areas.
To be certain, conduct a risk analysis to see what the exposure might be.
1.5 Policies and Procedures
An information protection policy is the documentation of enterprisewide
decisions on handling and protecting information. In making these decisions,
managers face difficult choices involving resource allocation, competing
objectives, and organization strategy related to protecting both
technical and information resources as well as guiding employee behavior.
Copyright 2005 by CRC Press, LLC. All Rights Reserved.
When creating an information protection policy, it is best to understand
that information is an asset of the enterprise and is the property of the
organization. As such, information reaches beyond the boundaries of IT
and is present in all areas of the enterprise. To be effective, an information
protection policy must be part of the organization’s asset management
program and be enterprisewide.
There are as many forms, styles, and kinds of policy as there are
organizations, businesses, agencies, and universities. In addition to the
various forms, each organization has a specific culture or mental model
on what and how a policy is to look and who should appr ove the
document. The key point here is that every organization needs an information
protection policy. According to the 2000 CSI report on Computer
Crime, 65 percent of respondents to its survey admitted that they do not
have a written policy. The beginning of an information protection program
is the implementation of a policy. The program policy creates the organization’s
attitude toward information and announces internally and externally
that information is an asset and the property of the organization and is
to be protected from unauthorized access, modification disclosure, and
destruction.
This book leads the policy writer through the key structure elements
and then reviews some typical policy contents. Because policies are not
enough, this book teaches the reader how to develop standards, procedures,
and guidelines. Each section provides advice on the structural
mechanics of the various documents, as well as actual examples.
1.6 Risk Management
Risk is the possibility of something adverse happening. The process of
risk management is to identify those risks, assess the likelihood of their
occurrence, and then taking steps to reduce the risk to an acceptable
level. All risk analysis processes use the same methodology. Determine
the asset to be reviewed. Identify the risk, issues, threats, or vulnerabilities.
Assess the probability of the risk occurring and the impact to the asset
or the organization should the risk be realized. Then identify controls that
would bring the impact to an acceptable level.
The book entitled
Information Security Risk Analysis
(CRC Press, 2001)
discusses effective risk analysis methodologies. It takes the reader through
the theory of risk analysis:
1. Identify the asset.
2. Identify the risks.
Copyright 2005 by CRC Press, LLC. All Rights Reserved.
3. Prioritize the risks.
4. Identify controls and safeguards.
The book will help the reader understand qualitative risk analysis; it
then gives examples of this process. To make certain that the reader gets
a well-rounded exposure to risk analysis, the book presents eight different
methods, concluding with the Facilitated Risk Analysis Process (FRAP).
The primary function of information protection risk management is the
identification of appropriate controls. In every assessment of risk, there
will be many areas for which it will not be obvious what kinds of controls
are appropriate. The goal of controls is not to have 100 percent security;
total security would mean zero productivity. Controls must never lose
sight of the business objectives or mission of the enterprise. Whenever
there is a contest for supremacy, controls lose and productivity wins. This
is not a contest, however. The goal of information protection is to provide
a safe and secure environment for management to meet its duty of care.
When selecting controls, one must consider many factors, including
the organization’s information protection policy. These include the legislation
and regulations that govern your enterprise along with safety,
reliability, and quality requirements. Remember that every control will
require some performance requirements. These performance requirements
may be a reduction in user response time; additional requirements before
applications are moved into production or additional costs.
When considering controls, the initial implementation cost is only the
tip of the “cost iceberg.” The long-term cost for maintenance and monitoring
must be identified. Be sure to examine any and all technical
requirements and cultural constraints. If your organization is multinational,
control measures that work and are accepted in your home country might
not be accepted in other countries.
Accept residual risk; at some point, management will need to decide
if the operation of a specific process or system is acceptable, given the
risk. There can be any number of reasons that a risk must be accepted;
these include but are not limited to the following:
_
The type of risk may be different from previous risks.
_
The risk may be technical and difficult for a layperson to grasp.
_
The current environment may make it difficult to identify the risk.
Information protection professionals sometimes forget that the managers
hired by our organizations have the responsibility to make decisions.
The job of the ISSO is to help information asset owners identify risks to
the assets. Assist them in identifying possible controls and then allow
them to determine their action plan. Sometimes they will choose to accept
the risk, and this is perfectly permissible.
Copyright 2005 by CRC Press, LLC. All Rights Reserved.
1.7 Typical Information Protection Program
Over the years, the computer security group responsible for access control
and disaster recovery planning has evolved into the enterprisewide information
protection group. This group’s ever-expanding roles and responsibilities
include:
_
Firewall control
_
Risk analysis
_
Business Impact Analysis (BIA)
_
Virus control and virus response team
_
Computer Emergency Response Team (CERT)
_
Computer crime investigation
_
Records management
_
Encryption
_
E-mail, voice-mail, Internet, video-mail policy
_
Enterprisewide information protection program
_
Industrial espionage controls
_
Contract personnel nondisclosure agreements
_
Legal issues
_
Internet monitoring
_
Disaster planning
_
Business continuity planning
_
Digital signature
_
Secure single sign-on
_
Information classification
_
Local area networks
_
Modem control
_
Remote access
_
Security awareness programs
In addition to these elements, the security professional now has to ensure
that standards, both in the United States and worldwide, are examined
and acted upon where appropriate. This book discusses these new standards
in detail.
1.8 Summary
The role of the information protection professional has changed over the
past 25 years and will change again and again. Implementing controls to
be in compliance with audit requirements is not the way in which a
program such as this can be run. There are limited resources available
for controls. To be effective, the information owners and users must accept
Copyright 2005 by CRC Press, LLC. All Rights Reserved.
the controls. To meet this end, it will be necessary for the information
protection professionals to establish partnerships with their constituencies.
Work with your owners and users to find the appropriate level of controls.
Understand the needs of the business or the mission of your organization.
And make certain that information protection supports those goals and
objectives.
Copyright 2005
Chapter 2
Threats to Information
Security
FIGURE 2.1 Security Wheel
Security
Policy
Secure
Test
Improve Monitor
Copyright 2005 by CRC Press, LLC. All Rights Reserved.
their Cisco PIX
®
product, the folks at Cisco
®
even refer to the security
policy as the center of security. RFC 2196 “Site Security Handbook” defines
a security policy as “a formal statement of the rules by which people who
are given access to an organization’s technology and information assets
must abide.” Because of the central nature of security policies, you cannot
discuss information security without mentioning security policies.
Another aspect of information security is organizational security. Organizational
security takes the written security policy and develops the
framework for implementing the policy throughout the organization. This
would include tasks such as getting support from senior management,
creating an information security awareness program, reporting to an
information steering committee, and advising the business units of their
role in the overall security process. The role of information security is still
so large that there are many other aspects beyond just the organizational
security and security policy.
Yet another aspect of information security is asset classification. Asset
classification takes all the resources of an organization and breaks them
into groups. This allows for an organization to apply differing levels of
security to each of the groups, as opposed to security settings for each
individual resource. This process can make security administration easier
after it has been implemented, but the implementation can be rather
difficult. However, there is still more to information security.
Another phase of information security is personnel security. This can
be both fun and taxing at the same time. Personnel security, like physical
security, can often be a responsibility of another person and not the sole
responsibility of the information security manager. In small organizations,
if the word “security” is in your job description, you may be responsible
for everything. Personnel security deals with the people who will work
in your organization. Some of the tasks that are necessary for personnel
security are creating job descriptions, performing background checks,
helping in the recruitment process, and user training.
As mentioned in the previous paragraph, physical security is a component
of information security that is often the responsibility of a separate
person from the other facets of information security. Even if physical
security is some other person’s responsibility, the information security
professional must be familiar with how physical security can impact
information security as a whole. Many times when an organization is
thinking of stopping a break-in, the initial thought is to stop people from
coming in over the Internet — when in fact it would be easier to walk
into the building and plug into the network jack in the reception area.
For years I have heard one particular story, which I have never been able
to verify, that illustrates this example very well.
Copyright 2005 by CRC Press, LLC. All Rights Reserved.
Supposedly, the CEO of a large company stands up in the general
session of a hacker conference and announces, “This is a waste of time.
My organization is so secure that if anyone here can break into our
computers, I’ll eat my hat.”
Someone in the audience decides that the CEO needs to learn a lesson.
The attacker decides to break into the organization, not by using the
Internet or their telecommunication connection, but instead decides to
take a physical approach to the attack. The attacker walks in the front
door of the organization, walks to the second floor server room and
proceeds to enter. Supposedly, the server room was having HVAC problems,
so the door had to be propped open to allow the excess heat out.
The attacker walks through the rows of devices in the server room and
walks up to each of the cabinets and reads the electronically generated
label on each device. When he finds the rack with the device marked
“Firewall,” he realizes he has found what he was seeking. The attacker
then proceeded to turn off the firewall, disconnect the cables, and remove
the firewall from the rack. The attacker followed this by hoisting the
firewall up onto his shoulder and walking into the CEO’s office.
When the attacker entered the CEO’s office, he had only one thing to
say. He asked, “What kind of sauce would you like with your hat?”
Physical security is much like information security in that it can be
immense in its own right. Physical security can encompass everything
from closed-circuit television to security lighting and fencing, to badge
access and heating, ventilation, and air conditioning (HVAC). One area of
physical security that is often the responsibility of the information security
manager is backup power. The use of uninterruptible power supplies
(UPS) are usually recommended even if your organization has other power
backup facilities such as a diesel generator.
However, there is still more to information security. Another area of
information security is communication and operations management. This
area can often be overlooked in smaller organizations because it is often
mistakenly considered “overhead.” Communication and operations management
encompass such tasks as ensuring that no one person in an
organization has the ability to commit and cover up a crime, making sure
that development systems are kept separate from production systems, and
making sure that systems that are being disposed of are being disposed
in a secure manner. While it is easy to overlook some of these tasks,
doing so can create large security holes in an organization.
Access control is another core component of information security.
Following the analogy used previously, if information security is the central
nervous system of information security, access control would be the skin.
Access control is responsible for allowing only authorized users to have
Copyright 2005 by CRC Press, LLC. All Rights Reserved.
access to your organization’s systems and also for limiting what access an
authorized user does have. Access control can be implemented in many
different parts of information systems. Some common places for access
control include:
_
Routers
_
Firewalls
_
Desktop operating system
_
File server
_
Applications
Some organizations create something often referred to as a “candyland.”
A “candyland” is where the organization has moved the access to just one
or two key points, usually on the perimeter. This is called a “candyland”
because the organization has a tough crunchy exterior, followed by a soft
gooey center. In any organization, you want access control to be in as
many locations as your organization’s support staff can adequately manage.
In addition to the previously mentioned components of information
security, system development and maintenance is another component that
must be considered. In many of the organizations that I have worked for,
we never followed either of these principles. One area of system development
and maintenance has been getting a lot of attention lately. Patch
management would be a task from the maintenance part of system
development and maintenance. This is a task that has many information
security professionals referring to themselves as “patch managers.” With
such a large number of software updates coming out so frequently for
every device on the network, it can be difficult — if not impossible —
for support staff to keep everything up-to-date. And all it takes is one
missed patch on any Internet-facing system to provide attackers a potential
entry point into your organization. In addition to keeping systems up-todate
with patches, system development is another area that should be
security-minded. When a custom application is written for your organization,
each component or module of the application must be checked for
security holes and proper coding practices. This is often done quickly or
not at all, and can often lead to large exposure points for the attacker.
In addition to keeping our systems secure from attackers, we also need
to keep our systems running in the event of a disaster — natural or
otherwise. This becomes another facet of information security, and is often
called business continuity planning. Every information security professional
should have some idea of business continuity planning. Consider
what you would do if the hard drive in your primary computer died. Do
you have a plan for restoring all your critical files?
Copyright 2005 by CRC Press, LLC. All Rights Reserved.
If you are like me, you probably never plan for a hard drive failure
until after the first one happens. For me, it actually took many failed hard
drives before I became more diligent in performing home backups of my
critical files. In a large organization, just having an idea what you would
do in the event of a disaster is not enough. A formal plan must be written,
tested, and revised regularly. This will ensure that when something much
worse than a hard drive dying happens to your organization, everyone
will know exactly what to do.
The last aspect of information security discussed here is compliance.
Now you may be thinking that compliance is someone else’s job. And
you might be telling the truth; but if we go back to our analogy that if
information security were a person with security policy being the backbone
and access control being the skin, then compliance would be the
immune system. I know that might be a rather odd comparison, but
compliance is a component of information security and I like to think of
the compliance folks like a partner to the security folks. Many information
security professionals spend some time reviewing and testing an information
system for completeness and adequacy, and that is compliance.
So maybe now you see why information security is so difficult to
define — it is just huge! With all the phases from policy to telecommunications,
there is a lot to it. All the phases are equally important, because
when it comes to threats to an organization, a breakdown in any of the
phases of information security can present a gaping hole to the attacker.
This is why the information security professional must have an understanding
of all the aspects of information security.
2.2 Common Threats
From the hacker sitting up until all hours of the night finding ways to
steal the company’s secrets, to the dedicated employee who accidentally
hits the delete key, there are many foes to information security. Due to
the many different types of threats, it is a very difficult to try to establish
and maintain information security. Our attacks come from many different
sources, so it is much like trying to fight a war on multiple fronts. Our
good policies can help fight the internal threats and our firewall and
intrusion detection system can help fight the external threats. However,
a failure of one component can lead to an overall failure to keep our
information secure. This means that even if we have well secured our
information from external threats, our end users can still create information
security breaches. Recent statistics show that the majority of successful
compromises are still coming from insiders. In fact, the Computer Security
Copyright 2005 by CRC Press, LLC. All Rights Reserved.
Institute (CSI) in San Francisco estimates that between 60 and 80 percent
of network misuse comes from inside the enterprise.
In addition to the multiple sources of information security attacks, there
are also many types of information security attacks. In Figure 2.2, a wellknown
model helps illustrate this point. The information security triad
shows the three primary goals of information security: integrity, confidentiality,
and availability. When these three tenets are put together, our
information will be well protected.
The first tenet of the information security triad is integrity. Integrity is
defined by ISO-17799 as “the action of safeguarding the accuracy and
completeness of information and processing methods.” This can be interpreted
to mean that when a user requests any type of information from
the system, the information will be correct. A great example of a lack of
information integrity is commonly seen in large home improvement warehouses.
One day, I ventured to the local home improvement mega-mart
looking for a hose to fix my sprinkler system. I spent quite some time looking
for the hose before I happened upon a salesperson. Once I had the
salesperson’s attention, I asked about the location and availability of the
hoses for which I was looking. The salesperson went to his trusty computer
terminal and pulled up information about the hose I needed. The salesperson
then let me know that I was in luck and they had 87 of the
particular type of hose I needed in stock. So I inquired as to where these
hoses could be found in the store and was told that just because the
computer listed 87 in the store, this did not mean that there really were
any of the hoses. While this example really just ruined my Sunday, the
integrity of information can have much more serious implications. Take
your credit rating; it is just information that is stored by the credit reporting
agencies. If this information is inaccurate, or does not have integrity, it
can stop you from getting a new home, a car, or a job. The integrity of
this type of information is incredibly important, but is just as susceptible
to integrity errors as any other type of electronic information.
FIGURE 2.2 CIA Triad
Availability
Integrity Confidentiality
Copyright 2005 by CRC Press, LLC. All Rights Reserved.
The second tenet of the information security triad is confidentiality.
Confidentiality is defined by ISO-17799 as “ensuring that information is
accessible only to those authorized to have access to it.” This can be one
of the most difficult tasks to ever undertake. To attain confidentiality, you
have to keep secret information secret. It seems easy enough, but remember
the discussion on threat sources above. People from both inside and outside
your organization will be threatening to reveal your secret information.
The last tenet of the information security triad is availability. Once
again, ISO-17799 defines availability as ensuring that authorized users have
access to information and associated assets when required. This means
that when a user needs a file or system, the file or system is there to be
accessed. This seems simple enough, but there are so many factors working
against your system availability. You have hardware failures, natural disasters,
malicious users, and outside attackers all fighting to remove the
availability from your systems. Some common mechanisms to fight against
this downtime include fault-tolerant systems, load balancing, and system
failover.
Fault-tolerant systems incorporate technology that allows the system
to stay available even when a hardware fault has occurred. One of the
most common examples of this is RAID. According to the folks over at
linux.org, the acronym RAID means redundant array of inexpensive disks.
I have heard much debate as to what those letters actually stand for, but
for our purposes, let us just use that definition. RAID allows the system
to maintain the data on the system even in the event of a hard drive
crash. Some of the simplest mechanisms to accomplish this include disk
mirroring and disk duplexing. With disk mirroring, the system would have
two hard drives attached to the same interface or controller. All data would
be written to both drives simultaneously. With disk duplexing, the two
hard drives are attached to two different controllers. Duplexing allows for
one of the controllers to fail without the system losing any availability of
the data. However, the RAID configuration can get significantly more
complex than disk mirroring or disk duplexing. One of the more common
advanced RAID solutions is RAID level 5. With level 5, RAID data is striped
across a series of disks, usually three or more, so that when any one drive
is lost, no information is destroyed. The disadvantage with using any of
the systems mentioned above is that you lose some of the storage space
from the devices. For example, a RAID 5 system with five 80-gigabyte
hard drives would only have 320 gigabytes of actual storage. For more
information on RAID, see Table 2.1.
The technologies just mentioned provide system tolerance but do not
provide improved performance under heavy utilization conditions. To
improve system performance with heavy utilization, we need load balancing.
Load balancing allows the information requests to be spread across
Copyright 2005 by CRC Press, LLC. All Rights Reserved.
a large number of servers or other devices. Usually a front-end component
is necessary to direct requests to all of the back-end servers. This also
provides tolerance, due to the fact that the front-end processor can just
redirect the requests to the remaining servers or devices.
A technology that would lie between load balancing and RAID in terms
of most availability would be system failover. With a failover environment,
when the primary processing device has a hardware failure, a secondary
device begins processing. This is a common technology to use with
firewalls. In most organizations, to avoid having the firewall be a single
point of failure on the network, the organization implements two firewalls
Вступ
Метою інформаційної безпеки є захист цінних ресурсів організації , таких, як інформація, комп'ютерне обладнання та програмне забезпечення. Через вибір та застосування відповідних засобів захисту, служба безпеки допомагає організації здійснювати місію зі захисту своїх матеріальних і фінансових ресурсів, репутації, юридичного статусу, співробітників та інших матеріальних і нематеріальних цінностей. Для багатьох, безпека іноді розглядається як те, що заважає виконанню бізнес-цілей організації шляхом введення погано вибраних, набридливих правил і процедур для користувачів, менеджерів і систем. Добре підібрані правила безпеки та процедури не існують самі по собі - вони встановлюються для захисту важливого майна і тим самим підтримують загальні бізнес-цілі.
Цей реферат був розроблений, щоб надати інформаційній безпеці професійне глибоке розуміння основ безпеки у всьому діапазоні питань, на які спрямований практикуючий фахіваець. Ми сподіваємося, ви зможете зрозуміти ключові елементи, які складають успішну програму інформаційної безпеки і реалізувати цю концепцію у власних успішних програмах.
Глава 1
Огляд
Розглянемо елементи комп'ютерної безпеки, ролі та обов’язки співробітників, а також загальні загрози. Також розглянемо необхідність управлінського контролю, політику та методику проведення аналізу ризиків. Нарешті, ми представимо вичерпні списки завдань, обов'язків і цілей, які складають типову програму захисту інформації.
1.1 Елементи захисту інформації
Захист інформації повинен бути оснований на 7 основних елементах:
1. Захист інформації повинен підтримувати бізнес-цілі або місію підприємства. Ця ідея не може бути переоціненою.
2. Захист інформації повинен бути економічно ефективним. Реалізація управління на основі вказівок псує хороший бізнес-клімат. Перед будь-якими запропонованими врегулюваннями, необхідно підтвердити, що існує значний ризик. Своєчасна реалізація процесу аналізу ризиків може попередити їх здійснення. Завдяки виявленню ризиків, а потім внесенню відповідних управлінських рішень, задачі та бізнес-цілі підприємства будуть краще виконуватись.
3. Обов'язки захисту інформації та звітності повинні бути чіткими. Для будь-якої програми, щоб вона була ефективною, необхідно опублікувати політику захисту інформації. Політика повинна визначити роль і обов'язків всіх співробітників. Щоб політика була повністю ефективною, її умови повинні бути вказані при укладанні угод для всіх контрактних співробітників і консультантів.
4. Власники системи мають обов'язки по захисту інформації за межами їх власної організації. Доступ до інформації часто може поширюватись поза бізнес-одиниці або навіть підприємство. Це відповідальність власника інформації (як правило, менеджер старшого рівня в бізнесі, яким створена інформація або первинного користувача інформації). Одним з основних завдань є моніторинг для забезпечення того, щоб користувачі використовували ту інформацію, яка відповідає наданому їм рівню доступу.
5. Захист інформації вимагає всеосяжного і комплексного підходу. Щоб він був якнайбільш ефективним, необхідно, щоб питання захисту інформації було частиною системи розвитку
життєвого циклу. На початковому етапі аналізу або, захист інформації
повинні отримати в якості результатів аналізу ризиків, бізнес
аналіз впливу, і документ класифікації інформації. Крім того,
тому що інформація є резидентом у всіх відділень по всій
підприємства, кожної бізнес-одиниці повинні створити окремі
відповідає за здійснення програми захисту інформації
для задоволення конкретних потреб бізнесу відділу.
6. Захист інформації повинна періодично переоцінюються. Як і в
нічого, час зміни потреб і цілей. Гарна інформація
Програма захисту буде розглядати себе на регулярній основі і
внести зміни там, де і коли це необхідно. Це динамічний
Copyright 2005 по CRC Press, LLC. Всі права захищені.
і зміна процесу і, отже, повинні бути переглянуті принаймні
кожні 18 місяців.
7. Захист інформації обмежений культури організації.
МССО повинні розуміти, що основний захисту інформації
Програма буде здійснюватися в масштабах всього підприємства.
Проте, кожна бізнес-одиниця повинна бути надана свобода робити
модифікації з урахуванням конкретних потреб. Якщо ваша організація
багатонаціональні, необхідно буде внести зміни для кожного
з різних країн. Ці поправки повинні бути розглянуті
на всій території Сполучених Штатів. Що могло б працювати в Де-Мойні,
Айова, не можуть літати в Берклі, штат Каліфорнія. Забезпечення здатності
для пошуку та впровадження альтернатив.
Захист інформації є засобом для досягнення мети, а не самоціль.
У бізнесі, маючи ефективної програми захисту інформації, як правило,
вторинними по відношенню до необхідності, щоб отримати прибуток. У державному секторі, інформації
Захист вторинних до послуг агентства, що надаються своїм сталістю.
Ми, як професіонали в галузі безпеки, не повинні випустити з уваги ці цілі і завдання.
Комп'ютерні системи та інформації, що обробляється на них часто
вважаються критично важливими активами, які підтримують місію організації.
Захист їх може бути настільки ж важливі, як захист інших організаційних
такі ресурси, як фінансові ресурси, матеріальні активи, і співробітників.
витрат і вигод, захисту інформації повинні бути ретельно вивчені
в грошовому і негрошових умов, щоб забезпечити, що вартість управління
не перевищує очікувані вигоди. Захист інформації управління
повинні бути адекватними та пропорційності.
Обов'язки і відповідальність власників інформації,
провайдерів, і користувачів комп'ютерних послуг та інших зацікавлених сторін
із захистом інформації та комп'ютерними активи повинні бути явними.
Якщо в системі зовнішніх користувачів, його власники несуть відповідальність за частку
відповідні знання про існування й загальною довжиною управління
заходи, з тим, що інші користувачі можуть бути впевнені, що система адекватно
безпеки. У міру розширення бази користувачів включити постачальників, постачальників, клієнтів,
клієнтів, акціонерів, і тому подібне, це покладено на підприємство
мати чіткі і самостійного управління. Для багатьох організацій початкового
Підписка на екрані є першою ознакою того, що Є контролю на місці.
екран повідомлення повинні включати в себе три основні елементи:
1. Система для зареєстрованих користувачів
2. Що діяльність контролюється
3. Це, виконавши вхід процесу, користувач погоджується з
моніторинг
Copyright 2005 по CRC Press, LLC. Всі права захищені.
1,2 більше, ніж просто комп'ютерної безпеки
Забезпечення ефективного захисту інформації вимагає всеосяжного
підходу, який враховує різні області як всередині, так і за її межами
інформаційних технологій області. Програми захисту інформації більш
ніж встановлення контролю за комп'ютерною провів даних. У 1965 році ідея
"Безпаперового офісу" вперше було введено. Поява третього покоління
комп'ютери призвели до цієї концепції. Однак, сьогодні основна частина всіх
інформація для співробітників та інші все ще знайти в друкованому
формі. Щоб бути ефективної програми, захист інформації повинна рухатися
за вузькі рамки технологій і рішення проблем корпоративну
захисту інформації. Комплексна програма повинна стосуватися кожного етапу
з життя інформацію активів цикл від створення до остаточного руйнування.
1.2.1 Співробітник мислення в бік управління
Доступ до інформації та середовища, що процес них
динамічний. Технології і користувачів, даних та інформації в системах, ризики
пов'язаних з системою, і вимоги до безпеки постійно змінюються.
Можливість захисту інформації для підтримки бізнес-завдань або
Місія підприємства може бути обмежений різними факторами, такими як
поточне мислення в бік управління.
Високоефективний метод вимірювання струму ставлення до
захист інформації полягає у проведенні "Walk-о." Після декількох годин або на
вихідні, провести огляд робочих місць по всьому конкретної області
(Як правило, відділу або стать) і шукати тільки п'ять основних заходів щодо контролю:
1. Офіси забезпечених
2. Стіл і шафи забезпечених
3. Робочі станції забезпечених
4. Інформація забезпечених
5. Дискети забезпечених
При проведенні початковій "Walk-про", типові офісі
матиме від 90 до 95 відсотків недотримання швидкості, принаймні один з цих
основні механізми управління. У результаті цього огляду повинні бути використані для
основою для початкового аналізу ризиків, щоб визначити вимоги до безпеки
для робочої станції. При проведенні такого огляду, співробітник
Конфіденційність питання повинні пам'ятати.
1,3 Ролі та обов'язки
Як вже говорилося, вище керівництво несе головну відповідальність за захист
інформацією організації активів. Одна з цих обов'язків
Copyright 2005 по CRC Press, LLC. Всі права захищені.
є створення функції корпоративної інформаційної служби (CIO).
CIO направляє день у день управління організації інформації
активів. ISSO та адміністратор безпеки повинен звітувати безпосередньо перед
CIO і несуть відповідальність за днем адміністрація інформації
Програма захисту.
Допоміжну роль виконують постачальники послуг і включають в себе
Системи операцій, співробітники якого дизайн і працювати з комп'ютером
Системи. Вони несуть відповідальність за здійснення технічної безпеки на
Системи. Телекомунікації несе відповідальність за забезпечення зв'язку
послуг, включаючи голос, дані, відео і факсу.
Професійного захисту інформації також повинні встановити міцні робочі
відносини з аудит персоналу. Якщо тільки раз, коли ви бачите аудиту персоналу
, Коли вони знаходяться в для формального аудиту, то ви, ймовірно, не мають
хороші робочі стосунки. Це життєво важливо, щоб цей зв'язок встановлюється
і що ви зустрічатися для обговорення загальних проблем, принаймні кожного кварталу.
Інші групи включають в себе фізичну безпеку персоналу і резервного
Група планування. Ці групи несуть відповідальність за створення і впровадження
контролю і можуть утворювати групи однолітків для розгляду та обговорення контролю.
Групи, відповідальною за застосування методології розвитку буде
сприяння в реалізації вимог захисту інформації в
застосування системи розвитку життєвого циклу. Забезпечення якості можуть допомогти
у забезпеченні захисту інформації вимоги включені в усі
розробка проектів до руху до виробництва.
Група закупівлі може працювати, щоб отримати мові інформації
Захист політики включені в угоди про покупку за контрактом
персоналу. Навчанні та підготовці кадрів можуть допомогти в розробці та проведенні
захисту інформації інформаційно-просвітницьких програм та у підготовці керівників в
відповідальність за моніторинг діяльності співробітників. Людських ресурсів буде
бути організація, відповідальна за прийняття відповідних заходів для будь-якого
порушення інформаційної політики захисту організації.
Приклад типової Опис роботи для інформаційної безпеки
професійні виглядає наступним чином:
1.3.1 директор, дизайн і стратегія
Розташування:
Скрізь, Всесвітня
Практика Площа:
Корпоративний світової практики безпеки
Оцінка:
Мета:
Для створення дизайну інформаційної безпеки та
Стратегія практиці, що визначає технологію структури
Copyright 2005 по CRC Press, LLC. Всі права захищені.
, Необхідних для вирішення безпеки своїх клієнтів.
інформацію про конструкцію безпеки і стратегії будуть доповнювати
безпеки та мережевих послуг, розроблених за
інших глобальних галузей практики. Дизайн і стратегії
практика підтримки інформаційних технологій клієнтів
і архітектури та інтеграції з кожного підприємства
бізнес-архітектури. Це основи безпеки забезпечить
для безпечної роботи обчислювальних платформ,
операційних систем і мереж, передачі голосу і даних,
для забезпечення цілісності активів клієнтів інформації.
Для роботи на корпоративних ініціатив щодо розробки та здійснення
висока якість послуг і безпеку забезпечення
, Що передової практики слідують в їх здійсненні.
Робочі відносини:
Ця позиція звітів до Глобального
Практика Безпеки на віце-президента, глобальної безпеки.
Внутрішні контакти в першу чергу Адміністративне управління,
Практика директорів, регіональне управління, а також
наставництва і співпрацюють з консультантами. Це положення
буде безпосередньо керувати два професійні позицій:
Менеджер, постачальника послуг безпеки інтеграції, а також
Провайдер послуг Спеціаліст з питань безпеки. Часті зовнішніх
контакти включають побудова відносин з клієнтами,
професійної інформаційної безпеки організацій, інших
інформаційної безпеки консультантів; постачальники апаратних засобів,
програмного забезпечення і служб безпеки, а також різні нормативні
та судовими органами.
Принцип обов'язки:
Обов'язків
директора, дизайну та стратегії включають, але
Не обмежуючись цим, наступне:
_
Розробка глобальних послуг інформаційної безпеки, що буде
забезпечує функції безпеки, необхідні для захисту
клієнтів інформаційних ресурсів від несанкціонованого розкриття,
модифікації і знищення. Особливу увагу областях
включають в себе:
_
Віртуальні приватні мережі
- Дані про конфіденційність
- Вірус профілактики
- Безпечна архітектура додатку
- Служба постачальник рішень безпеки
Copyright 2005 по CRC Press, LLC. Всі права захищені.
_
Розробка інформаційних послуг стратегії безпеки, які можуть
адаптуватися до клієнтів різноманітні і зміни технологічного
потреб.
_
Робота з мережею і керівники практики та безпеки
консультантів; створити зразок архітектури, які взаємодіють
вимоги до безпеки, який відповідатиме потребам
всіх реалізацій клієнтської мережі.
_
Робота з практикою команди, щоб допомогти їм концепції
фази розгортання проекту рішення.
Це включає в себе перевірки якості, щоб забезпечити
Детальна інформація про проект правильно реалізована
відповідно до методології послуг.
_
Робота з клієнтами з метою з'ясування їх бізнес-вимогам
для електронної торгівлі, в той час як їх навчання
на загроз, вразливостей, а також наявні зниження ризиків
стратегій.
_
Визначте, де і як ви повинні використовувати криптографію
забезпечити інфраструктуру відкритих ключів і безпечної
Повідомлення послуг для клієнтів.
_
Участь у забезпеченні безпеки промислових стандартів органами з метою забезпечення
що стратегічні потреби в галузі безпеки інформації буде
ім'я.
_
Поведінки безпеки фокус-групи з клієнтами, щоб культивувати
ефективного обміну бізнес-планів, розробка продукту,
і маркетинговим напрямком для надання допомоги у створенні нових
та інноваційні пропозиції послуг для задоволення потреб клієнтів.
_
Постійно оцінювати постачальників продуктів і стратегій
майбутні заяви продукту, а також консультування, яке буде
найбільш прийнятним для для альянсів, особливо в
областях:
- Віртуальні приватні мережі
- Дані про конфіденційність
- Вірус профілактики
- Безпечна архітектура додатку
- Служба постачальник рішень безпеки
_
Забезпечити керівництво і нагляд за апаратного та програмного забезпечення
заснований зусилля служби криптографії розвитку.
Підзвітність:
Підтримка якості та цілісності
послуг, що надаються глобальної безпеки практиці. Огляд
і доповідь неупереджено на потенційну життєздатність та прибутковість
нових послуг безпеки. Оцінка оперативної
Copyright 2005 по CRC Press, LLC. Всі права захищені.
ефективність, відповідність галузевим стандартам, і
Ефективність клієнта мережі конструкцій і стратегії
, Які здійснюються через компанії професійних
пропонованих послуг. Вправа професійних
рішення з вироблення рекомендацій, які можуть вплинути
бізнес-операцій.
Знання та навички:
_
10 відсотків управлінських і практика управління:
- Можливість контролювати мультидисциплінарної команди і малих
персоналу; повинні справлятися з кількома завданнями одночасно, здатність до
Команда з іншими директорів практики і менеджерів, щоб розвивати
стратегічні пропозиції послуг
- Готовність до управління або особисто виконувати необхідні
завдань, а ресурси необхідні
- Відмінно усній, письмовій, і презентаційні навички
_
40 відсотків Технічні характеристики:
- У глибоких технічних знань обробки інформації
платформ, операційних систем і мереж в глобальних розподілених
середовища
- Уміння визначати і застосовувати методи забезпечення безпеки, щоб розвивати
послуг з метою зменшення ризику клієнтів в таких умовах
- Технічний досвід в промисловій безпеці, комп'ютерні системи
архітектура, дизайн, і розвитку, фізичної і
безпеки даних, телекомунікаційних мереж, аудиту методів,
і принципів аналізу ризиків
- Відмінно далекоглядного навичок, спрямованих на масштабованості, ефективності витрат,
та здійснення легкість
_
20 відсотків бізнес:
- Знання ділового потоку інформації в багатонаціональних,
мультиплатформових мережевому середовищі
- Тверде розуміння корпоративної динаміки і загальної бізнес
процесів; розуміння різних галузях промисловості
- Гарне планування і цілепокладання навички
_
20 відсотків Міжособистісні:
- Повинен володіти сильним консалтингу та навички спілкування
- Мабуть, здатність працювати з усіма рівнями управління
для вирішення питань
- Маємо розуміти і розрізняти тактичні та стратегічні
поняття
- Повинно бути в змозі зважити потреби бізнесу з вимогами безпеки
- Повинно бути само-мотивації
Copyright 2005 по CRC Press, LLC. Всі права захищені.
Атрибути:
Повинно бути зрілим, впевненим у собі, і продуктивність
орієнтованим. Буде чітко продемонструвати здатність
привести технологічні рішення. Створить довіру
з особистим присвятою, увага до деталей, і
практичний підхід. Доведеться в терміновому порядку в
забезпечення безпеки конструкції і стратегії для вирішення
нові технології, які будуть розгорнуті вирішенні клієнтів
потреб бізнесу. Також буде здатна розвиватися
міцні відносини з усіма рівнями управління.
Інші важливі характеристики містять у собі можливість
функції самостійно, проведення на найвищому рівні
особистої і професійної чесності. Буде відмінно
комунікатора і команду.
Конкретні вимоги включають:
_
Ступінь бакалавра (ступінь магістра бажано)
_
Вчений ступінь краще
_
П'ятнадцять або більше років інформаційного консалтингу технології
або управлінським досвідом, вісім з цих років
провів у позиції інформаційної безпеки
_
CISM або CISSP Сертифікація кращим (інші відповідні
галузі або технології Сертифікати бажано)
Потенційні можливості кар'єри:
Можливості для
прогресії до позиції В. П. всередині компанії.
1,4 Спільні загрози
Системи обробки інформації уразливі для багатьох загроз, які можуть
нанести різні типи пошкоджень, які можуть призвести до значних втрат. Це
збитку може варіюватися від помилки шкоди цілісності бази даних пожеж знищення
цілі комплекси. Втрати можуть бути наслідком дії нібито
перевіреного співробітників обману системи, з-за меж хакерів, або з
недбалого введення даних. Точність в оцінці інформації, пов'язаних із захистом
втрат не представляється можливим, оскільки багато втрати ніколи не виявили, і
інші приховані, щоб уникнути несприятливих гласності.
Типові кримінальної комп'ютер уповноважених, нетехнічних користувачів
системи, який був досить довго, щоб визначити, які дії
призведе до "червоним прапором" або ревізії. Типові кримінальної комп'ютер
працівника. За даними недавнього опитування в "сьогодення і майбутнє Небезпека:
CSI Primer з комп'ютерної злочинності та інформаційної війни, "більше, ніж
Copyright 2005 по CRC Press, LLC. Всі права захищені.
80 відсотків респондентів вказали співробітникам в якості загрози або потенційної
загроза інформаційній безпеці. Крім того, в цьому огляді були
конкурс, договір персоналу, групи суспільних інтересів, постачальниками і
іноземних урядів.
Головну загрозу для захисту інформації як і раніше помилки і пропуски.
Ця проблема продовжує становлять 65 відсотків усіх захисту інформації
проблеми. Користувача, введення даних персоналу, системи операторів, програмістів,
і як часто роблять помилки, які сприяють, прямо або побічно
до цієї проблеми.
Нечесні співробітники складають ще 13 відсотків інформації
проблеми захисту. Шахрайство та крадіжки можуть бути вчинені від інсайдерів і
аутсайдери, але це скоріше має бути зроблено власними співробітниками компанії.
У суміжній області, незадоволені співробітники складають ще 10 відсотків
проблеми. Співробітники найкраще знайомі з інформацією організації
активів і обробки даних, в тому числі знаючи, які дії
може викликати найбільший збиток, шкоду, або саботажу.
Типові приклади інформації, пов'язаних із захистом співробітників саботажем
включати в себе викорінювання обладнання або об'єктів, озеленення шкідливий код
(Віруси, черв'яки, троянські коні і т.д.), щоб знищити дані або програми, що входять
дані неправильно, видалення даних, зміна даних, і проведення даних "заручника".
Втрати фізичної установці або допоміжної інфраструктури (потужності
невдачі, телекомунікації збоїв, відключення води і витоку, каналізаційні
проблеми, відсутність транспорту, пожежа, повінь, цивільні безлади, страйки тощо) можуть
привести до серйозних проблем і становлять 8 відсотків інформації protectionrelated
проблеми.
Остання область включає в себе хакерів або
крекери.
Ці терміни
ставляться до тих, хто злому комп'ютерів без дозволу або перевищує
рівень повноважень, наданих їм. Хоча ці проблеми отримати
Найбільша кількість висвітлення в пресі та кіно, вони становлять лише на п'ять
до восьми відсотків від загальної картини. Вони реальні, і вони можуть завдати
великої шкоди. Але при спробі виділити обмежену інформацію
Захист ресурсів, може бути, краще зосередити зусилля в інших областях.
Щоб бути впевненим, проводити аналіз ризиків, щоб побачити, що вплив може бути.
1,5 політики та процедур
Політика захисту інформації є документація корпоративну
вирішення з обробки та захисту інформації. У прийнятті цих рішень,
менеджери опиняються перед важким вибором участю розподілу ресурсів, конкуруючі
цілі та стратегії організації, пов'язаних із захистом і
технічних та інформаційних ресурсів, а також керівні поведінку співробітників.
Copyright 2005 по CRC Press, LLC. Всі права захищені.
При створенні політики захисту інформації, краще зрозуміти
, Що інформація є активом підприємства і є власністю
організації. Таким чином, інформація надходить за межі ІТ
і присутня у всіх сферах підприємства. Щоб бути ефективною, інформації
захист політика повинна бути частиною управління активами компанії
програми і бути корпоративну.
Є так багато форм, стилів і видів політики як Є
організацій, підприємств, установ і університетів. На додаток до
різних формах, кожна організація має конкретну культуру чи уявної моделі
на що і як політика, щоб виглядати і хто повинен приблизно Ове
документа. Ключовим моментом тут є те, що кожна організація повинна інформації
Політика захисту. За даними 2000 CSI доповідь на комп'ютері
Злочинності, 65 відсотків респондентів свого дослідження визнали, що вони не
мають письмові інструкції. Початок програми захисту інформації
є здійснення політики. Програма створює політики організації
ставлення до інформації і оголошує внутрішньо і зовні
, Що інформація є надбанням і власністю організації та
на захист від несанкціонованого доступу, модифікації розкриття інформації та
знищення.
Ця книга веде політику письменника через ключові елементи структури
, А потім розглядаються деякі типові зміст політики. Тому що політика не
достатньо, ця книга вчить читачів, як розробляти стандарти, процедури,
і керівних принципів. Кожен розділ містить рекомендації щодо структурної
механіки різних документів, а також реальні приклади.
1,6 управлінню ризиками
Ризик є можливість щось несприятливе відбувається. Процес
управління ризиками полягає у виявленні цих ризиків, оцінити ймовірність їх
виникнення, а потім приймати заходи по зниженню ризику до прийнятного
рівні. Всі процеси аналізу ризиків використовувати ту ж методологію. Визначити
активів у перегляді. Визначення ризиків, питань, погроз або вразливостей.
Оцінка ймовірності настання ризику та вплив на активи
або організація повинна ризику бути реалізована. Потім визначити елементи управління, які
принесе впливу до прийнятного рівня.
Книгу під назвою
Інформаційна безпека аналізу ризиків
(CRC Press, 2001)
обговорюються ефективні методики аналізу ризиків. Він бере читача через
теорії аналізу ризиків:
1. Визначення активу.
2. Визначити ризики.
Copyright 2005 по CRC Press, LLC. Всі права захищені.
3. Пріоритетність ризиків.
4. Визначити контролю і гарантій.
Книга допоможе читачеві зрозуміти, якісний аналіз ризиків; це
то як приклад цього процесу. Щоб переконатися, що читач отримує
добре збалансованого впливу до аналізу ризику, в книзі представлені вісім різних
методи, уклавши з спрощеного аналізу ризиків процесу (FRAP).
Основною функцією управління інформаційними ризиками захист
визначення належного контролю. У кожної оцінки ризику, то
буде багато областей, в яких він не буде очевидно, які види контролю
є придатними. Метою контролю є не мати 100 відсотків безпеки;
Усього безпеки означатиме нульовий продуктивністю. Управління ніколи не повинні втрачати
Вид бізнес-цілі або місії підприємства. Кожного разу, коли
є конкурс на панування, контроль і втрачають продуктивність перемоги. Це
це не конкурс, проте. Метою захисту інформації є забезпечення
безпечної та надійної середовища для керування виконувати свої обов'язки дотримуватися обережності.
При виборі управління, потрібно враховувати безліч факторів, у тому числі
захисту інформації організації політики. Вони включають законодавство
і правил, які Ваше підприємство поряд з безпекою,
надійності і якості вимогам. Пам'ятайте, що кожен елемент управління буде
вимагають деякі вимоги. Ці вимоги
може бути скорочення користувачів час відгуку, додаткові вимоги, перш ніж
програми переносяться у виробництво або додаткових витрат.
При розгляді управління, початкова вартість реалізації тільки
кінчик "вартість айсберга". довгострокових витрат на технічне обслуговування та моніторинг
повинні бути ідентифіковані. Переконайтеся, що перевірки будь-яких і всіх технічних
Вимоги та культурних обмежень. Якщо ваша організація є багатонаціональним,
заходи контролю, які працюють і приймаються у вашій країні може
не приймаються в інших країнах.
Прийняти залишкового ризику; в деякій точці, управління потрібно буде вирішити,
якщо роботи конкретного процесу або системи є прийнятним, враховуючи
ризик. Там може бути будь-яку кількість причин, за якими ризик повинен бути прийнятий;
Вони включають, але не обмежуються наступним:
_
Вид ризику може відрізнятися від попередніх ризиків.
_
Ризик може бути технічним і важким для непрофесіонала, щоб схопити.
_
Нинішніх умовах може зробити це важко визначити ризик.
фахівців у галузі інформаційної захисту іноді забувають, що менеджери
найняті нашої організації несуть відповідальність за прийняття рішень.
Робота ISSO тому, щоб допомогти власникам інформаційних ресурсів виявлення ризиків для
активів. Надавати їм допомогу у виявленні можливих управлінь, а потім дозволити
їх, щоб визначити свій план дій. Іноді вони будуть хотіти прийняти
ризику, і це цілком допустимо.
Copyright 2005 по CRC Press, LLC. Всі права захищені.
1,7 Типова програма захисту інформації
Протягом багатьох років, групи комп'ютерної безпеки відповідає за контроль доступу
і планування відновлення після збоїв перетворилася на корпоративну інформацію
групи захисту. постійно розширюється цієї групи ролей та обов'язків
включають в себе:
_
Firewall Control
_
Аналіз ризику
_
Аналіз впливу на бізнес (BIA)
_
Вірус контролю і команди вірусу відповідь
_
Computer Emergency Response Team (CERT)
_
Комп'ютер розслідування злочинів
_
Управління записами
_
Шифрування
_
Електронна пошта, голосова пошта, Інтернет, відео-пошта політики
_
Корпоративну захисту інформації програми
_
Промислове шпигунство управління
_
Контракт угоди про нерозголошення персоналу
_
Правові питання
_
Моніторинг інтернету
_
Небезпеки планування
_
Планування безперервності бізнесу
_
Цифровий підпис
_
Безпечний єдиного входу
_
Класифікація інформації
_
Локальні обчислювальні мережі
_
Управління модемом
_
Віддаленого доступу
_
програм з питань безпеки
На додаток до цих елементів, фахівець з безпеки в даний час для забезпечення
, Що стандарти, як у Сполучених Штатах і в усьому світі, розглянувши
і вжити відповідних заходів у разі потреби. Ця книга обговорює ці нові стандарти
в деталях.
1,8 резюме
Роль професійного захисту інформації змінилося за
За останні 25 років і буде змінюватися знову і знову. Реалізація елементів управління
бути у відповідності до вимог аудиту не є, яким чином
такі програми, як це може бути запущений. Є обмежені ресурси, наявні
для елементів управління. Щоб бути ефективною, інформації власники і користувачі повинні взяти
Copyright 2005 по CRC Press, LLC. Всі права захищені.
контролю. Для досягнення цієї мети, необхідно буде для інформації
Захист професіоналів встановити партнерські зв'язки з їх виборчих округах.
Робота з власників і користувачів, щоб знайти належний рівень контролю.
Розуміння потреб бізнесу або місії вашої організації.
І переконатися, що захист інформації підтримує ці цілі і
цілей.
Copyright 2005
Глава 2
Загрози інформації
Безпеки
Малюнок 2.1 Безпеки колеса
Безпеки
Політика
Безпечне
Випробувань
Поліпшення монітор
Copyright 2005 по CRC Press, LLC. Всі права захищені.
їх Cisco PIX
®
продукт, люди в Cisco
®
навіть ставляться до безпеки
політики у ролі центру безпеки. RFC 2196 "Безпека сайту Довідник" визначає
політики безпеки, як "офіційна заява від правила, за якими люди, які
отримують доступ до технології організації та інформаційних активів
повинні дотримуватися. "Через центрального характеру політики безпеки, ви не можете
обговорити інформаційної безпеки без згадки політики безпеки.
Ще один аспект інформаційної безпеки є організаційною безпеки. Організаційні
безпеки приймає письмові політики безпеки і розвивається
рамки для здійснення політики в рамках всієї організації. Це
буде включати такі завдання, як отримання підтримки з боку вищого керівництва,
створення поінформованості інформаційної безпеки програми, звітність
Інформація керівного комітету, а також консультує бізнес-одиниць їх
роль у загальному процесі забезпечення. Роль інформаційної безпеки як і раніше
настільки великим, що Є багато інших аспектів за рамки просто організаційних
безпеки і політики безпеки.
Ще один аспект інформаційної безпеки класифікації активів. Активів
класифікація бере на себе всі ресурси організації і ламає їх
в групи. Це дозволяє організації застосовувати різні рівні
безпеки для кожної з груп, на відміну від настройки безпеки для кожного
окремого ресурсу. Цей процес можна зробити простіше безпеки адміністрації
після того як він був реалізований, але реалізація може бути досить
важко. Однак, є ще до інформаційної безпеки.
Інший етап інформаційної безпеки є безпека персоналу. Це може
бути як весело та оподаткування в той же час. Служби безпеки, як і фізичні
безпеки, часто може бути відповідальності іншої особи, а не єдиним
Відповідальність з питань безпеки інформації. У невеликих організаціях,
Якщо слово "безпека" у вашій посадової інструкції, ви можете нести відповідальність
за все. Персонал безпеки угод з людьми, які будуть працювати
у вашій організації. Деякі із завдань, які необхідні для персоналу
безпеки створення посадових інструкцій, виконуючи перевірку,
допомога у підготовці процесу набору, і користувач.
Як вже згадувалося у попередньому пункті, фізична безпека є одним з компонентів
інформаційної безпеки, який часто відповідальності окремих
людини від інших аспектів інформаційної безпеки. Навіть якщо фізичні
безпеки несе відповідальність за деякі інші особи, інформаційної безпеки
професійних повинні бути знайомі з тим, як фізичної безпеки може вплинути на
інформаційної безпеки в цілому. Багато разів, коли організація
мислення зупинки злом, початкові думки, щоб зупинити людей від
Далі в через Інтернет - коли насправді було б легше ходити
в будівлю і вилку в розетку мережі в зоні прийому.
Протягом багатьох років я чув один конкретний розповідь, який я ніколи не був у стані
перевірити, що ілюструє цей приклад дуже добре.
Copyright 2005 по CRC Press, LLC. Всі права захищені.
Імовірно, генеральний директор великої компанії стоїть у загальному
сесії хакера конференцію і оголошує: "Це марна трата часу.
Моя організація є настільки безпечною, що якщо хто-небудь тут може проникнути в нашу
Комп'ютери, я з'їм свій капелюх ".
Хтось в аудиторії постановляє, що Генеральний директор повинен навчитися урок.
Зловмисник вирішує проникнути в організації, а не за допомогою
Інтернет чи їх телекомунікаційного зв'язку, але замість цього вирішує
прийняти фізичний підхід до атаки. Зловмисник прогулянки в передній
Двері організації, прогулянки на другий серверної кімнаті підлога і
доходів для входу. Імовірно, серверна кімната була мають HVAC проблеми,
тому двері повинні бути відкриті для підпер дозволяють надлишкового з тепла.
Зловмисник прогулянки по рядках пристроїв в серверній кімнаті і
підходить до кожного з шаф і читає електронному породжених
етикетки на кожному пристрої. Коли він знаходить стійка з пристроєм зазначені
"Firewall", він розуміє, що він знайшов те, що він шукав. Зловмисник
потім приступив до відключити брандмауер, відключіть кабель і видаліть
Брандмауер від стійки. Зловмисник дотримувався цього, піднімаючи
міжмережевий екран на плече і ходити на посаду генерального директора.
Коли зловмисник зайшов до кабінету генерального директора, він тільки одне
сказати. Він запитав: "Який соус Ви хотіли б за допомогою Вашої капелюха?"
Фізична безпека так само, як інформаційна безпека, що він може бути
величезні у своєму власному праві. Фізична безпека може охоплювати всі
із замкнутого телебачення для освітлення і огорожі, щоб значок
доступу та систем опалення, вентиляції та кондиціонування повітря (HVAC). Однією з областей
фізичної безпеки, який часто відповідальність інформаційної безпеки
менеджер резервного живлення. Використання джерел безперебійного живлення
(UPS), як правило, рекомендується навіть якщо в організації є й інші влади
Резервне копіювання об'єктів, таких як дизель-генератор.
Однак, є ще до інформаційної безпеки. Ще однією областю
інформаційної безпеки зв'язку і управління операціями. Це
області часто не береться до уваги в невеликих організаціях, так як часто
помилково вважається "накладні витрати". зв'язку та управління операціями
охоплювати такі завдання, як забезпечення того, щоб жодна людина в
Організація має можливість зробити і приховати злочини, переконавшись, що
, Що розвиток системи зберігаються окремо від системи виробництва, і
переконавшись, що системи, які віддаляються в даний час розташовані
в безпечному режимі. Хоча це легко випустити з уваги деякі з цих завдань,
Це може створити великі діри в безпеці в організації.
Контроль доступу іншим основним компонентом інформаційної безпеки.
Після аналогії використовували раніше, за інформаційної безпеки є центральною
нервової системи інформаційної безпеки, контролю доступу буде шкіри.
Контроль доступу відповідає за дозвіл тільки для авторизованих користувачів, щоб
Copyright 2005 по CRC Press, LLC. Всі права захищені.
доступ до систем вашої організації, а також для обмеження доступу, що
Авторизований користувач має. Контроль доступу може бути реалізована в багатьох
різні частини інформаційних систем. Деякі загальні місця для доступу
контролю включають в себе:
_
Маршрутизатори
_
Брандмауери
_
Настільної операційної системи
_
Файл сервер
_
Програми
Деякі організації створити щось часто називають "Мрій".
"Мрій", де організація переїхала доступ тільки до одного
або двох ключових точках, як правило, по периметру. Це називається "Мрій"
тому, що організація має жорсткої хрусткою зовнішньої, а потім м'якою
клейкий центру. У будь-якій організації, ви хочете, контролю доступу буде в якості
багатьох місцях в якості допоміжного персоналу у вашій організації може адекватно керувати.
На додаток до раніше згаданих компонентів інформації
безпеки, розвитку та експлуатації системи є інший компонент, який
повинні бути розглянуті. У багатьох організаціях, що я працював,
ми ніколи не дотримувався небудь з цих принципів. Одним з напрямків розвитку системи
та обслуговування був отримати багато уваги останнім часом. Патч
Управління буде завдання від обслуговування частини системи
розвиток та технічне обслуговування. Це завдання, яке має багато інформації
професіоналів в області безпеки посиланням на себе як "патч менеджерів." З
така велика кількість оновлень програмного забезпечення виходить так часто для
кожен пристрій в мережі, це може бути важко - якщо не неможливо -
для допоміжного персоналу утримувати все-в-день. І все це займає є одним
пропустили пляма на будь-який виходом в Інтернет системи, щоб забезпечити нападників потенціал
відправною точкою у вашій організації. На додаток до підтримання системи до-ToDate
з патчами, розвиток системи є ще однією областю, яка повинна бути
безпеки і за духом. Коли користувальницький додаток написано для Вашої організації,
кожного компонента або модуля додатка повинні бути перевірені на
дірок в безпеці і належної практики програмування. Часто це робиться швидко і
Не на всіх, і часто може привести до великих точки впливу на зловмисника.
На додаток до підтримки нашої системи безпеки від нападників, ми також повинні
щоб наші системи, що працюють в разі катастрофи - природні або
в іншому випадку. Це стає ще один аспект інформаційної безпеки, і часто
називається планування безперервності бізнесу. Кожен інформаційної безпеки професійної
повинні мати деяке уявлення про бізнес-планування наступності. Розглянемо
що б ви зробили, якщо жорсткий диск у ваш основний комп'ютер помер. У
у вас є план відновлення всіх важливих файлів?
Copyright 2005 по CRC Press, LLC. Всі права захищені.
Якщо ви схожі на мене, ви, ймовірно, ніколи не план відмови жорсткого диска
до закінчення першої відбувається. Для мене це дійсно мали багато несправного жорсткого
диски, перш ніж я став більш уважними при виконанні резервного копіювання будинку мого
критично важливих файлів. У великій організації, тільки маючи уявлення, що б ви
робити у випадку аварії не достатньо. Офіційний план повинен бути написаний,
випробування, і регулярно переглядаються. Це буде гарантувати, що колись багато
гірше, ніж жорсткий диск вмирає відбувається з вашою організацією, всі
будете точно знати, що робити.
Останній аспект інформаційної безпеки обговорюються тут є дотримання.
Тепер ви можете думати, що дотримання чужу роботу. І
Ви могли б говорити правду, але якщо ми повернемося до нашої аналогії, що якщо
інформаційної безпеки були особи з політикою безпеки є основою
та контролю доступу будучи шкіри, то відповідність буде
імунної системи. Я знаю, що може бути досить дивне порівняння, але
дотримання є одним з компонентів інформаційної безпеки, і мені подобається думати про
дотримання люди, як партнера для безпеки людей. Багато інформації
професіоналів в області безпеки витратити деякий час на перегляд і тестування інформації
системи на предмет повноти і достатності, і це відповідність.
Так, може бути, тепер ви бачите, чому інформаційної безпеки так важко
визначити - це просто величезний! З усіма фазами від політики до телекомунікацій,
є багато до нього. Всі фази однаково важливі, тому що
коли справа доходить до погроз організації, пробій у будь-який з
фаз інформаційної безпеки може представляти зяючу дірку, щоб зловмисник.
Саме тому професійні інформаційної безпеки повинні мати розуміння
всіх аспектів інформаційної безпеки.
2,2 Спільні загрози
З хакер сидить, поки всі годинники ночі пошуку шляхів
вкрасти секрети компанії, яка присвячений співробітник, який випадково
переглядів видалити ключ, Є багато ворогів до інформаційної безпеки. Через
багато різних типів загроз, це дуже важко, щоб спробувати встановити
і підтримку інформаційної безпеки. Наші атаки надходити з багатьох різних
джерел, так що це так само, як намагаються боротися війни на декількох фронтах. Наші
хороша політика може допомогти боротися з внутрішніми загрозами і наш брандмауер і
система виявлення вторгнень може допомогти в боротьбі зовнішніх загроз. Тим не менш,
вихід з ладу одного компонента може призвести до загальної нездатності тримати
інформацію в безпеці. Це означає, що навіть якщо у нас є добре забезпечених наших
інформації від зовнішніх загроз, наших кінцевих користувачів все одно можете створювати інформації
порушень безпеки. Останні статистичні дані показують, що більшість успішних
компроміси все ще приходять від інсайдерів. У самому справі, комп'ютерної безпеки
Copyright 2005 по CRC Press, LLC. Всі права захищені.
Інститут (CSI) в Сан-Франциско оцінками, від 60 до 80 відсотків
мережі зловживання йде зсередини підприємства.
На додаток до декількох джерел інформації атак, є
Також багато видів атак інформаційної безпеки. На малюнку 2.2, відомого
Модель допомагає проілюструвати цей момент. Інформаційної безпеки тріади
показані три основні завдання інформаційної безпеки: цілісність, конфіденційність,
та наявність вільних місць. Коли ці три принципи зводяться воєдино, наш
інформація буде захищена.
Перший принцип тріади інформаційної безпеки цілісності. Цілісність
визначається ISO-17799, як "дія забезпечення точності і
повноти інформації та методів обробки. "Це може бути інтерпретовано
означає, що, коли користувач запитує яку-небудь інформацію від
системи, інформація буде правильним. Відмінним прикладом відсутності
цілісності інформації можна побачити у великих складах домашнього поліпшення.
Одного разу я наважився місцевих облаштування будинку мега-Mart
шукає шланг виправити мої спринклерної системи. Я провів деякий час на пошук
для шланга, перш ніж я наткнувся на продавця. Після того як я
увагу продавця, я запитав про місце і доступність
шлангів, на які я шукав. Продавець пішов до себе надійний комп'ютер
терміналу і зупинилася інформацію про шланг мені було потрібно. Продавця
то дайте мені знати, що я в удачу, і вони були 87 з
особливий тип шланга мені потрібно на складі. Так що я запитав про те, де ці
Шланги можуть бути знайдені в магазин і сказали, що тільки тому, що
комп'ютер перерахованих 87 в магазині, це не означає, що там дійсно були
будь-який зі шлангів. Хоча цей приклад дуже просто зруйнував мою неділю,
цілісності інформації, може мати набагато серйозніші наслідки. Візьміть
Ваш кредитний рейтинг, це просто інформація, яка зберігається в кредитної звітності
установами. Якщо ця інформація є неточною, або не має цілісності, він
може зупинити вас від нового будинку, автомобіля або роботу. Цілісності
такого роду інформації є дуже важливим, але настільки ж сприйнятливі
на недоторканність помилки, як будь-який інший тип електронної інформації.
Малюнок 2.2 ЦРУ Тріада
Наявність
Цілісність Конфіденційність
Copyright 2005 по CRC Press, LLC. Всі права захищені.
Другий принцип тріади інформаційної безпеки є конфіденційність.
Конфіденційність визначається ISO-17799, як "забезпечення того, щоб інформація
доступні тільки тим, уповноваженому мати доступ до нього. "Це може бути однією
з найбільш важких завдань, які коли-небудь зробити. Досягнення конфіденційності, ви
повинні зберігати в таємниці секретну інформацію. Здається, досить легко, але пам'ятайте,
обговорення на джерела загроз вище. Люди як всередині, так і за її межами
Вашої організації буде загрожує розкрити вашу секретну інформацію.
Останній принцип тріади інформаційної безпеки є наявність. Після
знову, ISO-17799 визначає наявність на забезпечення того, авторизованих користувачів
доступ до інформації та пов'язаних з ними активи, якщо потрібно. Це означає,
, Що, коли потреби користувачів файл або системи, файлів або системи там, щоб бути
доступ. Це здається досить простим, але Є так багато факторів робочої
проти вашої доступності системи. Ви апаратних збоїв, стихійних лих,
зловмисників, так і поза нападники всі бойові видалити
доступність з вашої системи. Деякі загальні механізми для боротьби з
це просте включають відмовостійких систем, балансування навантаження, і система
відмовостійкості.
Відмовостійких систем застосовується технологія дозволяє системі
Розміщення доступні навіть при апаратних несправність. Один з
Найбільш поширеними прикладами цього є RAID. Згідно люди в
linux.org, скорочення коштів RAID надмірний масив недорогих дисків.
Я чув багато суперечок щодо того, що ці листи на самому ділі означають, але
для наших цілей, давайте просто використовувати це визначення. RAID дозволяє системі
зберегти дані про систему, навіть у випадку жорсткого диска
аварії. Деякі з найпростіших механізмів для досягнення цієї диска включають
дзеркального диска і двостороннього друку. З дзеркалювання дисків, система буде мати
два жорсткі диски, підключені до тієї ж інтерфейсу або контролера. Всі дані будуть
бути записані на обидва диски одночасно. З диска двостороннього друку, два
Жорсткі диски кріпляться до двох різних контролерам. Двостороння друк дозволяє
один з контролерів на провал без системи втрати доступності
даних. Однак, конфігурації RAID може отримати значно більше
складними, ніж дзеркалювання дисків або дисків двостороннього друку. Один з найбільш поширених
передових рішень RAID є RAID рівня 5. З рівня 5, RAID дані смугастий
через серію дисків, як правило, три або більше, так що, коли один з дисків
втрачається, ніяка інформація не знищується. Недоліком при використанні будь-якого з
систем, згаданих вище, що ви втратите деякі з пам'яті
від пристрою. Наприклад, RAID 5 система з п'ятьма 80-гігабайт
Жорсткі диски будуть мати тільки 320 гігабайт фактичного зберігання. Для більш
інформацію про RAID, див. таблицю 2.1.
Технології щойно згадав забезпечують системи терпимості, але не
забезпечити підвищення продуктивності в важких умовах використання. Для
підвищити продуктивність системи з важкими використання, ми повинні балансування навантаження.
Балансування навантаження дозволяє інформаційних запитів поширюватися через
Copyright 2005 по CRC Press, LLC. Всі права захищені.
велика кількість серверів або інших пристроїв. Зазвичай інтерфейсних компонентів
необхідно направити запити на всіх внутрішніх серверах. Це також
забезпечує терпимості, у зв'язку з тим, що інтерфейсний процесор може тільки
перенаправлення запитів на інші сервери або пристрою.
Технології, які лежать між балансування навантаження і RAID у термінах
з самих наявність буде система відновлення після відмови. З відмовостійкого навколишнього середовища,
, Коли основний пристрій обробки має апаратний збій, вторинної
Пристрій починає обробку. Це загальні технології для використання з
брандмауери. У більшості організацій, щоб уникнути брандмауер бути однією
точки збою в мережі, організація реалізує два брандмауера