Дополнительная информация о реагировании на инциденты
Информацию об инцидентах предоставляют также службы, выявляющие ошибки в программном обеспечении. По причине того, что многие проблемы с защитой возникают именно в результате использования этих ошибок, имеет смысл просматривать эти узлы и внести их в свой список рассылки.
Bugtraq — Рассылаемый список обнаруженных ошибок из любых источников — http://www.security-focus.com
NT Bugtraq — подобна Bugtraq, но специализируется в операционной системе Windows NT — http://www.ntbugtraq.com
Common Vulnerabilities and Exposures (CVE). Описывает все известные сведения о компьютерных системах, с помощью которых можно нарушать безопасность систем — http://cve.mitre.org
Группы реагирования на инциденты
Перечисленные в этом разделе группы распространяют информацию о проблемах с защитой, о которых им стало известно. Помимо отчетов об инцидентах эти группы работают с множеством поставщиков и пользовательских организаций, предупреждая их о потенциальных проблемах. Этим занимается каждая группа. Кроме того, они предоставляют собственный перечень услуг, включая архивирование защитного программного обеспечения (источник информации) и отправление сообщений об инцидентах.
Координационный центр CERT (CERT/CC) (Институт по разработке программного обеспечения при университете Карнегн Меллон) — http://www.cert.org
Центр защиты национальной инфраструктуры (National Infrastructure Center) (финансируемый Федеральным Бюро Расследований) — http://www.nipc.gov
Консультативная служба компьютерных инцидентов (Computer Incident Advisory Capability) (финансируемая министерством энергетики США) — http://www.ciac.org/ciac
Федеральная служба реагирования на компьютерные инциденты (Federal Computer Response Capability— FedCIRC) (финансируемая управлением общественных работ США) — http://www.fedcirc.gov
Группа компьютерной "скорой помощи" Австралии (AusCERT) — http://auscert.org.au
Исследовательская группа компьютерной "скорой помощи" Германии (DFN-CERT) (существует и английский вариант этого узла) — http://www.cert.dfn.de
Информация поставщиков о средствах защиты
Ниже представлены адреса Web-узлов основных поставщиков операционных и сетевых систем, а также пользовательских групп, занимающихся вопросами защиты этих систем. На этих узлах можно найти информацию от поставщиков о решении различных проблем безопасности. По адресам Web-узлов, помеченных "звездочкой" (*), можно связаться непосредственно со штаб-квартирами корпораций-поставщиков или выйти на поддерживаемую ими страницу, так как эти поставщики не предоставляют отдельно услуг по защите или предоставляют их только на условиях подписки.
Caldera OpenLinux — http://www.calderasystems.com/support/security
Cisco — *http://www.cisco.com/public/Support_root. shtml
Compaq — *http://www.compaq.com/support/default.html
Debian GNU/Linux — http://www.debian.org/security/
FreeBSD — http://www.freebsd.org/security/
Hewlett Packard — (США/Канада) *http://us-support.external.hp.com/index.html/ (Европа) *http://europe-support.external.hp.com/index.html/
IBM (вся продукция и общая информация) — http://www.ibm.com/security/
Microsoft — http://www.microsoft.com/security/
Netscape — http://home.netscape.com/security/index.html
NetBSD — http://www.netbsd.org/Security/index.html
Novell — http://www.novell.com/corp/security/
OpenBSD — http://www.openbsd.com/security.html
Red Hot Linux — *http://www.redhat.com/support/
Santa Cruz Operation — http://www.sco.com/security/
Silicon Graphics, Inc. — http://www.sgi.com/support/security/index.html
Slackware Linux — *http://www.slackware.com
Sun Microsystems — http://sunsоlve.Sun.COM/pub-cgi/show.pl?target=security/sec
Java Security — http://java.sun.com/security
S.u.S.E., Inc. (Linux) — http://www.suse.de/de/support/security/index.html
Wind River Systems (включая BSDI) — *http://www.windriver.com
Информационные ресурсы по вопросам безопасности
Ниже следует список групп, которые предоставляют важную информацию по вопросам безопасности. Предоставляемые ими информационные ресурсы состоят из коммерческих, образовательных и правительственных программ. Эта информация бесплатна и, в большинстве случаев, регулярно обновляется.
@Stake Research Laboratories (бывшая L0pht Heavy Industries) — http://www.atstake.com/research
About.com Metwork/Internet Security Forum — http://netsecurity.about.com
CERIAS (Purdue University). Для получения полного списка ресурсов рекомендуем посетить CERIAS HotList — http://www.сеrias.purdue.edu
CERT Coordination Center (Carnegie Mellon University) — http://www.cert.org
Отделение компьютерных преступлений и интеллектуальной собственности (CCIPS— Computer Crime and Intellectual Property Section) при криминальном управлении департамента юстиции США — http://www.cybercrime.gov
Компьютерная защита и разведка — http://www.с4i.org
Институт Компьютерной Безопасности — http://www.gocsi.com
Центр средств компьютерной безопасности (Computer Security Resource Center) (финансируемая Национальным институтом стандартов и технологий (NIST — National Institute of Standards and Technology)) — http://csrc.nist.gov
Packet Storm — http://www.packetstormsecurity.org
Институт SANS — http://www.sans.org
Ассоциация безопасности в промышленности (Security Industry Association) — http://www.securitygateway.com
Криптографические правила и нормативы
Шифрование - это единственная область компьютерных технологий, которая регулируется законами, правилами и соглашениями. Исторически сложилось так, что все криптографические средства контролировались теми же правилами, что и вооружение. Согласно этим правилам нет никакой разницы между противоракетными системами и криптографией, предназначенной для защиты электронных операций. В США введены некоторые правила касательно импортирования продукции шифрования, и пользователи в Соединенных Штатах могут использовать криптографию, насколько, на их взгляд, она отвечает этим правилам. Проблема возникает, когда организациям требуется применить криптографию для защиты обмена информацией с заокеанскими офисами. Несмотря на некоторое смягчение законодательства в этой области, экспортирование криптографических средств все еще представляет серьезную проблему.
В США контролем экспорта коммерческой криптографической продукции занимается министерство торговли, бюро управления экспортом, управление регулирования стратегической торговли и внешней политики и департамент регулирования информационных технологий. Правила экспорта средств криптографии можно найти в постановлениях администрации по экспорту (Export Administration Regulations — EAR), 15 C.F.R., разделы 730-774. Для получения более подробной информации можно посетить узел http://www.bxa.doc.gov/Encryption/Default.htm.
Вассенаарское соглашение представляет собой соглашение 33 стран по контролю за экспортом основных (не ядерных) видов вооружения и товаров и технологий двойного назначения. В одну из групп этих технологий включена также криптографическая продукция. Web-узел с информацией этого соглашения предоставляет основные правила и нормативы стран-участниц соглашения, а также контактную информацию. Более подробную информацию можно найти по адресу http://www.wassenaar.org.
Ниже представлены другие источники информации.
Департамент юстиции США, правила шифрования — http://www.cybercrime.gov/cryptfaq.htm
Юридическая служба криптографии (Crypto Law Survey) Bert-Jaap Koops — http://cwis.kub.nl/~frw/people/koops/lawsurvy.htm
Статья "Ресурсы криптографии в Web" эксперта по вопросам безопасности и криптографии Мэтта Блейза (Matt Blaze) из AT&T Laboratories — http://www.crypto.com
Counterpane Labs, эксперт в вопросах защиты и криптографии Брюс Шнейер (Bruce Schneier) — http://www.counterpane.com/labs.html
Промышленные консорциумы и объединения
Было сделано много попыток объединить людей и организации для распространения идей и средств информационной безопасности. Ниже представлен список некоторых таких организаций, которые на время издания этой книги вели активную деятельность в этой области.
Совет руководителей по информатизации (СIO Council) — http://www.cio.gov
Институт CIO — http://www.cio.org
Форум групп реагирования на инциденты (Forum of Incident Response Teams) — http://www.first.org
Форум по вопросам защиты информации — http://www.securityforum.org
Альянс защиты Internet (Internet Security Alliance) — http://www.isalliance.org
Публикации по вопросам защиты
Ниже представлены печатные издания, содержащие информацию по вопросам профессиональной защиты информации. Для подписки на эти издания необходимо посетить следующие узлы.
Информационная безопасность (Information Security) — http://www.infosecuritymag.com
SC: Information Security Magazine — http://www.scmagazine.com
Ресурсы
Данные ресурсы представляют собой список адресов Web-узлов, документы, а также другую информацию, которая может оказаться полезной при разработке правил информационной безопасности и внедрении программы защиты информации в вашей организации. Информацию по вопросам безопасности можно получать из самых разных источников. Ниже представлено множество различных источников, включая коммерческие, некоммерческие, правительственные и "подпольные" ресурсы.
Ссылки на правила безопасности
Ниже следуют ссылки на различные онлайновые ресурсы, которые можно использовать для разработки правил информационной безопасности.
Проблемная группа инженерных исследований Internet (Internet Engineering Task Force) разработала статью "Запросы на комментарии" (RFC — Requests for Comments), RFC Editor — http://www.rfceditor.org.
RFC 2196 — Руководство по защите узла; Б. Фрэйзер (В. Fraser), Editor, SEI/CMU; сентябрь 1997 года: ftp://ftp.isi.edu/in-notes/rfc2196.txt
RFC 2504 — Руководство по защите пользователей; Е. Гуттман (Е. Guttman), Sun Microsystems; Л. Леонг (L. Leong), COLT Internet; Г. Малкин (G. Malkin), Bay Networks; февраль 1999 года: ftp://ftp.isi.edu/in-notes/rfc2504.txt
RFC 2828 — Словарь по безопасности Internet. P. Шайри (R. Shirey), GTE/BBN Technologies; май 2000 года: ftp://ftp.isi.edu/in-notes/rfc2828.txt
RFC 3013 — Рекомендованные провайдерами услуг Internet система безопасности и процедуры; Т. Киллалия (Т. Killalea), neart.org; ноябрь 2000 года: ftp://ftp.isi.edu/in-notes/rfc3013.txt
SANS Institute Reading Room выпустили несколько отдельных статей по вопросам разработки правил информационной безопасности. Эти статьи охватывают многие вопросы, начиная с помощи читателю в определении правила и заканчивая работами по его внедрению и юридическому обоснованию. Их можно найти по адресу http://www.sans.org/infosecFAQ/policy/policy_iist.htm
Разработка правил безопасности узла AusCERT, Роб МакМиллан (Rob McMillan): ftp://ftp.auscert.org.au/pub/auscert/papers/Site.Security.Policy.Development.txt
Прекрасные образцы правил, разработанных для университета, можно найти в Калифорнийском университете по адресу http://security.ucdavis.edu/policies
Национальный институт стандартов и технологий (NITS) поддерживает стандарты безопасности, используемые гражданскими учреждениями. Руководство по разработке программы обеспечения безопасности для систем информационных технологий, отдельная публикация 800-18 (SP 800-18) предоставляет рекомендации правительственным учреждениям для разработки программы обеспечения безопасности. SP 800-18 помогает учреждениям работать в соответствии с постановлениями, выпущенными административным и бюджетным управлением (Office of Management and Budget— OMB). (Циркуляр А-130 (Управление федеральными информационными ресурсами), Приложение III (Защита федеральных автоматизированных информационных ресурсов)). Тем, кто сотрудничает с правительством США по вопросам информационной безопасности, необходимо прочитать эти документы, чтобы выяснить установленные к учреждениям требования. Копии этих документов можно найти по следующим адресам:
NIST SP 800-18 — http://csrc.nist.gov/publications/nistpubs/800-18/Planguide.PDF
Циркуляр OMB F-130 Приложение III — http://www.whitehouse.gov/omb/circulars/al30/al30appendix_iii.html
Несмотря на то, что национальное космическое агентство США NASA (National Aeronautics and Space Administration) не является гражданским учреждением, оно предоставляет прекрасную программу обеспечения безопасности, разработанную для одного из своих проектов. Этот проект программы обеспечения безопасности объединенных сетевых систем (Integrated Services Network - NISN) NASA можно найти по адресу: http://www.nisn.nasa.gov/Doc_Repos/secplan.html
Правила безопасности и основные стандарты бесполезны без их широкого внедрения. Насколько вам это удастся, и насколько вы справитесь с их согласованием и утверждением, определит успех вашей работы. На узле компании Security Risk Associates (в Великобритании) имеется множество статей по этим вопросам. Их можно найти по адресу http://www.security.kirion.net/securitypolicy.
Закон о страховании здоровья и медицинской ответственности
Закон о страховании здоровья и медицинской ответственности (Health Insurance Portability and Accountability Act — HIPAA) был принят в 1996 году министерством здравоохранения (Health and Human Services — HHS) для разработки стандартов безопасности и конфиденциальности, чтобы обеспечить защиту электронной информации здравоохранительных учреждений. Были разработаны стандарты защиты и конфиденциальности по обработке, хранению и пересылке этих данных, чтобы предотвратить непреднамеренное или несанкционированное использование информации, а также ее разглашение. Стандарты безопасности защиты пересылаемых данных были разработаны в августе 2000 года, а стандарты конфиденциальности — в апреле 2001 года. Система здравоохранения имела два года для приведения своих информационных систем в соответствие с постановлениями HIPAA. Ниже представлены источники информации о HIPAA.
Закон о страховании здоровья и медицинской ответственности 1996 года (HIPAA), разработанный департаментом здравоохранения США и финансовым управлением службы обеспечения здоровья людей — http://www.hcfa.gov/hipaa/hipaahm.htm
Phoenix Health Systems, консалтинговая фирма, специализирующаяся на информационных системах здравоохранения, финансирует этот Web-узел с информационными ресурсами HIPAA с одобрения HIPAA — http://www.hipaadvisory.com
Разработка правил безопасности HIPAA: Совместное решение, Майлс М. Сато (Miles M. Sato) из SANS Institute Reading Room. ЗО апреля 2001 года — http://www.sans.org/infosecFAQ/policy/HIPAA_policy.htm
Защита от вирусов
Ниже представлены адреса Web-узлов основных поставщиков антивирусного программного обеспечения. Пользователям антивирусных программ от этих поставщиков настоятельно рекомендуется посетить их страничку и воспользоваться бесплатными услугами по обновлению. Это позволит получать информацию о самых последних атаках и защитить свою сеть. Ни в коем случае нельзя пренебрегать защитой от вирусов! Анализ самой последней информации и проведение активной программы антивирусной защиты является единственным способом защиты систем. Кроме того, необходимо, чтобы каждый сотрудник организации осознавал необходимость зашиты от вирусов и проведения профилактических мер.
Virus Bulletin (онлайновая публикация не от поставщиков) — http://www.virus-btn.com
Computer Associates Virus Information Center (InoculateIT) — http://www.cai.com/virusinfo/
DataFellows F-Secure Virus Info Center — http://www.datafellows.com/vir-info
FRISK Software International (F-PROT and F-Stop) — http://www.complex.is
McAfee Anti-Virus Emergency Response Team — http://www.avertlabs.com
Norman Antivirus Control — http://www.norman.no
ProLand Software Protector Plus — http://www.pspl.com
Sophos Virus Information Center — http://www.sophos.com/virusinfo
Symantec (Norton) AntiVirus Research Center — http://www.symantec.com/avcenter/index. html
TrendMicro Security Info-Virus Encyclopedia — http://www.antivirus.com/vinfo/index.htm
Живучесть
"Живучесть - это способность сетевой компьютерной системы выполнять основные функции во время атак, повреждений и аварийных ситуаций и быстро восстанавливать все функции" (Р.Дж.Эллисон, Д.А. Фишер, Р.С. Лингер, Х.Ф. Липсон, Т.Лонгстафф, Н.Р. Мид "Живучесть сетевых систем: Новая дисциплина." Технический отчет CMU/SEI-97-TR-o13, ESC-TR-97-013. Ноябрь 1997 год. Адрес в Internet: http://cert.org/research/97tr013.pdf). Исследование систем на живучесть представляет собой немалый интерес, поскольку оно представляет собой попытку выйти за общепринятые рамки возведения стен и создания проходов через эти барьеры, а вместо этого сосредоточить внимание на обеспечении выполнения системой технологических задач. Ниже следуют адреса узлов, на которых можно получить более подробную информацию.
Несмотря на то, что в области исследований живучести систем работают многие организации, пионером является Институт Разработки программного обеспечения в Университете Карнеги Меллон. Подробности их исследований можно найти по адресу http://www.cert.org/nav/index_purple/html.
Университет Департамента компьютерных исследований в штате Вирджиния также проводил исследования по вопросам живучести в своем Центре исследования живучести информационных систем. Информация с их Web-узла (http://www.cs.virginia.edu/~survive/) предоставит читателю возможность взглянуть с другой стороны на влияние живучести на защиту секретных инфраструктур.
Статья "Самозащиты может оказаться недостаточно. Обзор вопросов живучести систем", Джон Прайс (John Price) (10 мая 2001 года) четко разъясняет вопросы живучести и ее роль в защите информации. Язык статьи поймет даже неискушенный в технических вопросах руководитель. Статья была опубликована в SANS Information Security Reading Room и может быть найдена по адресу http://www.sans.org/infosecFAQ/securitybasics/not_enough.htm.