Книга: Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности
Назад: 36. Профиль: доктор Чарли Миллер
Дальше: Глобальные проблемы

Информация о Чарли Миллере

Более подробную информацию о докторе Чарли Миллере вы можете найти на следующих ресурсах:

• доктор Чарли Миллер в Twitter: https://twitter.com/0xcharlie;

• книги доктора Чарли Миллера: https://www.amazon.com/CharlieMiller/e/B0085NZ1PS/;

• доклад Adventures in Automotive Networks and Control Units: http://illmatics.com/car_hacking.pdf;

• доклад Car Hacking: For Poories: http://illmatics.com/car_hacking_poories.pdf;

• доклад A Survey of Remote Automotive Attack Surfaces: http://illmatics.com/remote%20attack%20surfaces.pdf;

• доклад Remote Exploitation of an Unaltered Passenger Vehicle: http://illmatics.com/Remote%2 °Car%20Hacking.pdf;

• доклад CAN Message Injection: http://illmatics.com/can%2message%20injection.pdf.

37. Политики и стратегия

Я был тем, кто ненавидел политику и стратегию. Мне не нужны были документы. Они лишь замедляют работу. По крайней мере, я так думал.

Спустя десятилетия работы в качестве специалиста по ИБ я, наконец, понял, что без соответствующей политики и рамок ничего никогда не будет сделано. Любой может прекрасно обезопасить небольшое количество компьютеров и устройств. Но вы не сможете защитить больше, чем несколько персональных устройств, и, конечно, компьютеры всей компании, без «правильных» документов. Я изучал стандарты, политику, процедуры, рамки и тех, кто трудится, чтобы правильно определить их. Они действительно настоящие закулисные герои, и без них мы не смогли бы сделать компьютеры значительно более безопасными.

В этой главе я разбиваю документы, касающиеся информационной безопасности, на стандарты, политику, процедуры, рамки и законы.



Примечание. Вы также увидите часто используемые термины «рекомендации» и «практика», но я включил их черты в другие термины, представленные здесь.

Стандарты

Стандарты описаны минимальными нормами, конвенциями, протоколами и требованиями. В мире информационной безопасности стандарты часто передаются в виде утверждений, таких как:

• все критические данные будут зашифрованы во время передачи и хранения;

• минимальные размеры ключа открытого шифра – это 2048 битов для RSA и Diffie-Hellman и 384 бита для ECC;

• пароли должны быть длиной не менее двенадцати символов и содержать не менее двух неалфавитных символов;

• после введения трех неверных паролей в течение пяти минут учетная запись будет заблокирована до тех пор, пока ее не проверит администратор;

• все критические патчи должны быть применены в течение пяти рабочих дней после выпуска вендором;

• все компьютеры должны быть защищены брандмауэром на основе хоста с правилами запрета для входящих подключений.

Стандарт часто представляется в виде политики и далее поддерживается процедурами.

Иногда стандарты становятся правилами, законами или требованиями, которым должно следовать каждое управляемое устройство. В Соединенных Штатах один из крупнейших стандартов, которому должны следовать десятки миллионов компьютеров, – это Базовый уровень конфигурации правительства Соединенных Штатов (https://usgcb.nist.gov/). Стандарты также могут быть разработаны вендором, например базовые показатели Microsoft Security Compliance Manager (https://technet.microsoft.com/en-us/library/cc677002.aspx). Иногда стандарты становятся настолько уважаемыми и надежными, что превращаются в национальные или мировые. Отличный тому пример – почти все, что производит Национальный институт стандартов и технологий (https://www.nist.gov/). И многие компании тратят большое количество денег и ресурсов, пытаясь получить сертификат соответствия стандартам ISO/IEC 27001 (http://www.iso.org/iso/home/standards/managementstandards/iso27001.htm).

Политики

Политика подразумевает принципы принятия решений для достижения намеченных результатов. Часто это могут быть письменные объявления, которые не могут быть легко применены другими средствами. Пример: сотрудники не должны повторно использовать свой пароль в любой другой сети. Хотя компания не может гарантировать, что этого никогда не произойдет, просто написав и сообщив об этом сотрудникам, уменьшается вероятность того, что произойдет нарушение. Кроме того, если нарушение все же будет обнаружено, оно может легко привести к наказанию.

Процедуры

Процедуры – это документированная последовательность шагов, предназначенных для поддержки стандартов и политики, связанных с развертыванием и операциями. Соблюдение процедур обеспечит своевременное и удовлетворительное применение этих ранее заявленных стандартов и политики. Процедуры могут изменяться независимо от политики и стандартов, например если для новой программы требуются другие процедуры.

Фреймворки

Создание стандартов и политики для всего спектра аспектов информационной безопасности с нуля может быть очень сложным. Рамки помогают в этом, демонстрируя обычно поддерживаемые стандарты, политику, форматы и набор инклюзивных тем. Отличный пример рамочной кибербезопасности – NIST’s Cybersecurity Framework (https://www.nist.gov/cyberframework).

Нормативные законы

Стандарты и политика могут быть кодифицированы в правовые нормы и законы. Например, компании, желающие обрабатывать многие распространенные типы кредитных карт, должны следовать стандартам, предусмотренным стандартом безопасности данных Совета по стандартам безопасности индустрии платежных карт (https://www.pcisecuritystandards.org/). Их несоблюдение может привести к приостановке использования кредитных карт или даже юридическим последствиям. Связанные со здравоохранением организации в Соединенных Штатах должны следовать рекомендациям закона о переносимости и подотчетности медицинского страхования (HIPAA). Все компании США должны следовать требованиям закона Сарбейнза-Оксли и так далее.

Назад: 36. Профиль: доктор Чарли Миллер
Дальше: Глобальные проблемы