Иллюстрированный самоучитель по Development of safety
         

Дополнительная информация о реагировании на инциденты


Информацию об инцидентах предоставляют также службы, выявляющие ошибки в программном обеспечении. По причине того, что многие проблемы с защитой возникают именно в результате использования этих ошибок, имеет смысл просматривать эти узлы и внести их в свой список рассылки.

Bugtraq — Рассылаемый список обнаруженных ошибок из любых источников — http://www.security-focus.com

NT Bugtraq — подобна Bugtraq, но специализируется в операционной системе Windows NT — http://www.ntbugtraq.com

Common Vulnerabilities and Exposures (CVE). Описывает все известные сведения о компьютерных системах, с помощью которых можно нарушать безопасность систем — http://cve.mitre.org



Группы реагирования на инциденты


Перечисленные в этом разделе группы распространяют информацию о проблемах с защитой, о которых им стало известно. Помимо отчетов об инцидентах эти группы работают с множеством поставщиков и пользовательских организаций, предупреждая их о потенциальных проблемах. Этим занимается каждая группа. Кроме того, они предоставляют собственный перечень услуг, включая архивирование защитного программного обеспечения (источник информации) и отправление сообщений об инцидентах.

Координационный центр CERT (CERT/CC) (Институт по разработке программного обеспечения при университете Карнегн Меллон) — http://www.cert.org

Центр защиты национальной инфраструктуры (National Infrastructure Center) (финансируемый Федеральным Бюро Расследований) — http://www.nipc.gov

Консультативная служба компьютерных инцидентов (Computer Incident Advisory Capability) (финансируемая министерством энергетики США) — http://www.ciac.org/ciac

Федеральная служба реагирования на компьютерные инциденты (Federal Computer Response Capability— FedCIRC) (финансируемая управлением общественных работ США) — http://www.fedcirc.gov

Группа компьютерной "скорой помощи" Австралии (AusCERT) — http://auscert.org.au

Исследовательская группа компьютерной "скорой помощи" Германии (DFN-CERT) (существует и английский вариант этого узла) — http://www.cert.dfn.de





Информация поставщиков о средствах защиты


Ниже представлены адреса Web-узлов основных поставщиков операционных и сетевых систем, а также пользовательских групп, занимающихся вопросами защиты этих систем. На этих узлах можно найти информацию от поставщиков о решении различных проблем безопасности. По адресам Web-узлов, помеченных "звездочкой" (*), можно связаться непосредственно со штаб-квартирами корпораций-поставщиков или выйти на поддерживаемую ими страницу, так как эти поставщики не предоставляют отдельно услуг по защите или предоставляют их только на условиях подписки.

Caldera OpenLinux — http://www.calderasystems.com/support/security

Cisco — *http://www.cisco.com/public/Support_root. shtml

Compaq — *http://www.compaq.com/support/default.html

Debian GNU/Linux — http://www.debian.org/security/

FreeBSD — http://www.freebsd.org/security/

Hewlett Packard — (США/Канада) *http://us-support.external.hp.com/index.html/ (Европа) *http://europe-support.external.hp.com/index.html/

IBM (вся продукция и общая информация) — http://www.ibm.com/security/

Microsoft — http://www.microsoft.com/security/

Netscape — http://home.netscape.com/security/index.html

NetBSD — http://www.netbsd.org/Security/index.html

Novell — http://www.novell.com/corp/security/

OpenBSD — http://www.openbsd.com/security.html

Red Hot Linux — *http://www.redhat.com/support/

Santa Cruz Operation — http://www.sco.com/security/

Silicon Graphics, Inc. — http://www.sgi.com/support/security/index.html

Slackware Linux — *http://www.slackware.com

Sun Microsystems — http://sunsоlve.Sun.COM/pub-cgi/show.pl?target=security/sec

Java Security — http://java.sun.com/security

S.u.S.E., Inc. (Linux) — http://www.suse.de/de/support/security/index.html

Wind River Systems (включая BSDI) — *http://www.windriver.com



Информационные ресурсы по вопросам безопасности


Ниже следует список групп, которые предоставляют важную информацию по вопросам безопасности. Предоставляемые ими информационные ресурсы состоят из коммерческих, образовательных и правительственных программ. Эта информация бесплатна и, в большинстве случаев, регулярно обновляется.

@Stake Research Laboratories (бывшая L0pht Heavy Industries) — http://www.atstake.com/research

About.com Metwork/Internet Security Forum — http://netsecurity.about.com

CERIAS (Purdue University). Для получения полного списка ресурсов рекомендуем посетить CERIAS HotList — http://www.сеrias.purdue.edu

CERT Coordination Center (Carnegie Mellon University) — http://www.cert.org

Отделение компьютерных преступлений и интеллектуальной собственности (CCIPS— Computer Crime and Intellectual Property Section) при криминальном управлении департамента юстиции США — http://www.cybercrime.gov

Компьютерная защита и разведка — http://www.с4i.org

Институт Компьютерной Безопасности — http://www.gocsi.com

Центр средств компьютерной безопасности (Computer Security Resource Center) (финансируемая Национальным институтом стандартов и технологий (NIST — National Institute of Standards and Technology)) — http://csrc.nist.gov

Packet Storm — http://www.packetstormsecurity.org

Институт SANS — http://www.sans.org

Ассоциация безопасности в промышленности (Security Industry Association) — http://www.securitygateway.com



Криптографические правила и нормативы


Шифрование - это единственная область компьютерных технологий, которая регулируется законами, правилами и соглашениями. Исторически сложилось так, что все криптографические средства контролировались теми же правилами, что и вооружение. Согласно этим правилам нет никакой разницы между противоракетными системами и криптографией, предназначенной для защиты электронных операций. В США введены некоторые правила касательно импортирования продукции шифрования, и пользователи в Соединенных Штатах могут использовать криптографию, насколько, на их взгляд, она отвечает этим правилам. Проблема возникает, когда организациям требуется применить криптографию для защиты обмена информацией с заокеанскими офисами. Несмотря на некоторое смягчение законодательства в этой области, экспортирование криптографических средств все еще представляет серьезную проблему.

В США контролем экспорта коммерческой криптографической продукции занимается министерство торговли, бюро управления экспортом, управление регулирования стратегической торговли и внешней политики и департамент регулирования информационных технологий. Правила экспорта средств криптографии можно найти в постановлениях администрации по экспорту (Export Administration Regulations — EAR), 15 C.F.R., разделы 730-774. Для получения более подробной информации можно посетить узел http://www.bxa.doc.gov/Encryption/Default.htm.

Вассенаарское соглашение представляет собой соглашение 33 стран по контролю за экспортом основных (не ядерных) видов вооружения и товаров и технологий двойного назначения. В одну из групп этих технологий включена также криптографическая продукция. Web-узел с информацией этого соглашения предоставляет основные правила и нормативы стран-участниц соглашения, а также контактную информацию. Более подробную информацию можно найти по адресу http://www.wassenaar.org.

Ниже представлены другие источники информации.

Департамент юстиции США, правила шифрования — http://www.cybercrime.gov/cryptfaq.htm

Юридическая служба криптографии (Crypto Law Survey) Bert-Jaap Koops — http://cwis.kub.nl/~frw/people/koops/lawsurvy.htm

Статья "Ресурсы криптографии в Web" эксперта по вопросам безопасности и криптографии Мэтта Блейза (Matt Blaze) из AT&T Laboratories — http://www.crypto.com

Counterpane Labs, эксперт в вопросах защиты и криптографии Брюс Шнейер (Bruce Schneier) — http://www.counterpane.com/labs.html



Промышленные консорциумы и объединения


Было сделано много попыток объединить людей и организации для распространения идей и средств информационной безопасности. Ниже представлен список некоторых таких организаций, которые на время издания этой книги вели активную деятельность в этой области.

Совет руководителей по информатизации (СIO Council) — http://www.cio.gov

Институт CIO — http://www.cio.org

Форум групп реагирования на инциденты (Forum of Incident Response Teams) — http://www.first.org

Форум по вопросам защиты информации — http://www.securityforum.org

Альянс защиты Internet (Internet Security Alliance) — http://www.isalliance.org



Публикации по вопросам защиты


Ниже представлены печатные издания, содержащие информацию по вопросам профессиональной защиты информации. Для подписки на эти издания необходимо посетить следующие узлы.

Информационная безопасность (Information Security) — http://www.infosecuritymag.com

SC: Information Security Magazine — http://www.scmagazine.com



Ресурсы


Данные ресурсы представляют собой список адресов Web-узлов, документы, а также другую информацию, которая может оказаться полезной при разработке правил информационной безопасности и внедрении программы защиты информации в вашей организации. Информацию по вопросам безопасности можно получать из самых разных источников. Ниже представлено множество различных источников, включая коммерческие, некоммерческие, правительственные и "подпольные" ресурсы.



Ссылки на правила безопасности


Ниже следуют ссылки на различные онлайновые ресурсы, которые можно использовать для разработки правил информационной безопасности.

Проблемная группа инженерных исследований Internet (Internet Engineering Task Force) разработала статью "Запросы на комментарии" (RFC — Requests for Comments), RFC Editor — http://www.rfceditor.org.

RFC 2196 — Руководство по защите узла; Б. Фрэйзер (В. Fraser), Editor, SEI/CMU; сентябрь 1997 года: ftp://ftp.isi.edu/in-notes/rfc2196.txt

RFC 2504 — Руководство по защите пользователей; Е. Гуттман (Е. Guttman), Sun Microsystems; Л. Леонг (L. Leong), COLT Internet; Г. Малкин (G. Malkin), Bay Networks; февраль 1999 года: ftp://ftp.isi.edu/in-notes/rfc2504.txt

RFC 2828 — Словарь по безопасности Internet. P. Шайри (R. Shirey), GTE/BBN Technologies; май 2000 года: ftp://ftp.isi.edu/in-notes/rfc2828.txt

RFC 3013 — Рекомендованные провайдерами услуг Internet система безопасности и процедуры; Т. Киллалия (Т. Killalea), neart.org; ноябрь 2000 года: ftp://ftp.isi.edu/in-notes/rfc3013.txt

SANS Institute Reading Room выпустили несколько отдельных статей по вопросам разработки правил информационной безопасности. Эти статьи охватывают многие вопросы, начиная с помощи читателю в определении правила и заканчивая работами по его внедрению и юридическому обоснованию. Их можно найти по адресу http://www.sans.org/infosecFAQ/policy/policy_iist.htm

Разработка правил безопасности узла AusCERT, Роб МакМиллан (Rob McMillan): ftp://ftp.auscert.org.au/pub/auscert/papers/Site.Security.Policy.Development.txt

Прекрасные образцы правил, разработанных для университета, можно найти в Калифорнийском университете по адресу http://security.ucdavis.edu/policies

Национальный институт стандартов и технологий (NITS) поддерживает стандарты безопасности, используемые гражданскими учреждениями. Руководство по разработке программы обеспечения безопасности для систем информационных технологий, отдельная публикация 800-18 (SP 800-18) предоставляет рекомендации правительственным учреждениям для разработки программы обеспечения безопасности. SP 800-18 помогает учреждениям работать в соответствии с постановлениями, выпущенными административным и бюджетным управлением (Office of Management and Budget— OMB). (Циркуляр А-130 (Управление федеральными информационными ресурсами), Приложение III (Защита федеральных автоматизированных информационных ресурсов)). Тем, кто сотрудничает с правительством США по вопросам информационной безопасности, необходимо прочитать эти документы, чтобы выяснить установленные к учреждениям требования. Копии этих документов можно найти по следующим адресам:

NIST SP 800-18 — http://csrc.nist.gov/publications/nistpubs/800-18/Planguide.PDF

Циркуляр OMB F-130 Приложение III — http://www.whitehouse.gov/omb/circulars/al30/al30appendix_iii.html

Несмотря на то, что национальное космическое агентство США NASA (National Aeronautics and Space Administration) не является гражданским учреждением, оно предоставляет прекрасную программу обеспечения безопасности, разработанную для одного из своих проектов. Этот проект программы обеспечения безопасности объединенных сетевых систем (Integrated Services Network - NISN) NASA можно найти по адресу: http://www.nisn.nasa.gov/Doc_Repos/secplan.html

Правила безопасности и основные стандарты бесполезны без их широкого внедрения. Насколько вам это удастся, и насколько вы справитесь с их согласованием и утверждением, определит успех вашей работы. На узле компании Security Risk Associates (в Великобритании) имеется множество статей по этим вопросам. Их можно найти по адресу http://www.security.kirion.net/securitypolicy.



Закон о страховании здоровья и медицинской ответственности


Закон о страховании здоровья и медицинской ответственности (Health Insurance Portability and Accountability Act — HIPAA) был принят в 1996 году министерством здравоохранения (Health and Human Services — HHS) для разработки стандартов безопасности и конфиденциальности, чтобы обеспечить защиту электронной информации здравоохранительных учреждений. Были разработаны стандарты защиты и конфиденциальности по обработке, хранению и пересылке этих данных, чтобы предотвратить непреднамеренное или несанкционированное использование информации, а также ее разглашение. Стандарты безопасности защиты пересылаемых данных были разработаны в августе 2000 года, а стандарты конфиденциальности — в апреле 2001 года. Система здравоохранения имела два года для приведения своих информационных систем в соответствие с постановлениями HIPAA. Ниже представлены источники информации о HIPAA.

Закон о страховании здоровья и медицинской ответственности 1996 года (HIPAA), разработанный департаментом здравоохранения США и финансовым управлением службы обеспечения здоровья людей — http://www.hcfa.gov/hipaa/hipaahm.htm

Phoenix Health Systems, консалтинговая фирма, специализирующаяся на информационных системах здравоохранения, финансирует этот Web-узел с информационными ресурсами HIPAA с одобрения HIPAA — http://www.hipaadvisory.com

Разработка правил безопасности HIPAA: Совместное решение, Майлс М. Сато (Miles M. Sato) из SANS Institute Reading Room. ЗО апреля 2001 года — http://www.sans.org/infosecFAQ/policy/HIPAA_policy.htm



Защита от вирусов


Ниже представлены адреса Web-узлов основных поставщиков антивирусного программного обеспечения. Пользователям антивирусных программ от этих поставщиков настоятельно рекомендуется посетить их страничку и воспользоваться бесплатными услугами по обновлению. Это позволит получать информацию о самых последних атаках и защитить свою сеть. Ни в коем случае нельзя пренебрегать защитой от вирусов! Анализ самой последней информации и проведение активной программы антивирусной защиты является единственным способом защиты систем. Кроме того, необходимо, чтобы каждый сотрудник организации осознавал необходимость зашиты от вирусов и проведения профилактических мер.

Virus Bulletin (онлайновая публикация не от поставщиков) — http://www.virus-btn.com

Computer Associates Virus Information Center (InoculateIT) — http://www.cai.com/virusinfo/

DataFellows F-Secure Virus Info Center — http://www.datafellows.com/vir-info

FRISK Software International (F-PROT and F-Stop) — http://www.complex.is

McAfee Anti-Virus Emergency Response Team — http://www.avertlabs.com

Norman Antivirus Control — http://www.norman.no

ProLand Software Protector Plus — http://www.pspl.com

Sophos Virus Information Center — http://www.sophos.com/virusinfo

Symantec (Norton) AntiVirus Research Center — http://www.symantec.com/avcenter/index. html

TrendMicro Security Info-Virus Encyclopedia — http://www.antivirus.com/vinfo/index.htm



Живучесть


"Живучесть - это способность сетевой компьютерной системы выполнять основные функции во время атак, повреждений и аварийных ситуаций и быстро восстанавливать все функции" (Р.Дж.Эллисон, Д.А. Фишер, Р.С. Лингер, Х.Ф. Липсон, Т.Лонгстафф, Н.Р. Мид "Живучесть сетевых систем: Новая дисциплина." Технический отчет CMU/SEI-97-TR-o13, ESC-TR-97-013. Ноябрь 1997 год. Адрес в Internet: http://cert.org/research/97tr013.pdf). Исследование систем на живучесть представляет собой немалый интерес, поскольку оно представляет собой попытку выйти за общепринятые рамки возведения стен и создания проходов через эти барьеры, а вместо этого сосредоточить внимание на обеспечении выполнения системой технологических задач. Ниже следуют адреса узлов, на которых можно получить более подробную информацию.

Несмотря на то, что в области исследований живучести систем работают многие организации, пионером является Институт Разработки программного обеспечения в Университете Карнеги Меллон. Подробности их исследований можно найти по адресу http://www.cert.org/nav/index_purple/html.

Университет Департамента компьютерных исследований в штате Вирджиния также проводил исследования по вопросам живучести в своем Центре исследования живучести информационных систем. Информация с их Web-узла (http://www.cs.virginia.edu/~survive/) предоставит читателю возможность взглянуть с другой стороны на влияние живучести на защиту секретных инфраструктур.

Статья "Самозащиты может оказаться недостаточно. Обзор вопросов живучести систем", Джон Прайс (John Price) (10 мая 2001 года) четко разъясняет вопросы живучести и ее роль в защите информации. Язык статьи поймет даже неискушенный в технических вопросах руководитель. Статья была опубликована в SANS Information Security Reading Room и может быть найдена по адресу http://www.sans.org/infosecFAQ/securitybasics/not_enough.htm.