- •Об авторах
- •О рецензентах
- •Предисловие
- •Стратегия безопасности
- •Текущий ландшафт киберугроз
- •Приложения
- •Данные
- •Проблемы кибербезопасности
- •Старые методы и более широкие результаты
- •Изменение ландшафта угроз
- •Улучшение стратегии безопасности
- •Красная и Синяя команды
- •Подразумеваем взлом
- •Справочные материалы
- •Резюме
- •Процесс реагирования на компьютерные инциденты
- •Процесс реагирования на компьютерные инциденты
- •Создание процесса реагирования на компьютерные инциденты
- •Команда реагирования на компьютерные инциденты
- •Жизненный цикл компьютерного инцидента
- •Обработка инцидента
- •Передовые методы оптимизации обработки компьютерных инцидентов
- •Деятельность после инцидента
- •Реальный сценарий
- •Выводы
- •Реагирование на компьютерные инциденты в облаке
- •Справочные материалы
- •Резюме
- •Жизненный цикл атаки
- •Внешняя разведка
- •Сканирование
- •Доступ и повышение привилегий
- •Вертикальное повышение привилегий
- •Горизонтальное повышение привилегий
- •Проникновение и утечки
- •Тыловое обеспечение
- •Штурм
- •Обфускация
- •Управление жизненным циклом угроз
- •Справочные материалы
- •Резюме
- •Разведка и сбор данных
- •Внешняя разведка
- •Копание в мусоре
- •Социальные сети
- •Социальная инженерия
- •Внутренняя разведка
- •Анализ трафика и сканирование
- •Вардрайвинг
- •Завершая эту главу
- •Справочные материалы
- •Резюме
- •Компрометация системы
- •Анализ современных тенденций
- •Вымогательство
- •Манипулирование данными
- •Атаки на IoT-устройства
- •Бэкдоры
- •Атаки на мобильные устройства
- •Взлом повседневных устройств
- •Взлом облака
- •Фишинг
- •Эксплуатация уязвимостей
- •Уязвимость нулевого дня
- •Фаззинг
- •Анализ исходного кода
- •Типы эксплойтов нулевого дня
- •Перезапись структурированного обработчика исключений
- •Развертывание полезных нагрузок
- •Компрометация операционных систем
- •Компрометация удаленной системы
- •Компрометация веб-приложений
- •Справочные материалы
- •Резюме
- •Охота на пользовательские реквизиты
- •Стратегии компрометации реквизитов доступа пользователя
- •Получение доступа к сети
- •Сбор учетных данных
- •Взлом реквизитов доступа пользователя
- •Полный перебор
- •Социальная инженерия
- •Атака Pass-the-hash
- •Другие способы взлома реквизитов доступа
- •Справочные материалы
- •Резюме
- •Дальнейшее распространение по сети
- •Инфильтрация
- •Построение карты сети
- •Избежать оповещений
- •Дальнейшее распространение
- •Сканирование портов
- •Sysinternals
- •Общие файловые ресурсы
- •Удаленный доступ к рабочему столу
- •PowerShell
- •Инструментарий управления Windows
- •Запланированные задачи
- •Кража авторизационных токенов
- •Атака Pass-the-hash
- •Active Directory
- •Удаленный доступ к реестру
- •Анализ взломанных хостов
- •Консоли центрального администратора
- •Кража сообщений электронной почты
- •Справочные материалы
- •Резюме
- •Повышение привилегий
- •Инфильтрация
- •Горизонтальное повышение привилегий
- •Вертикальное повышение привилегий
- •Как избежать оповещений
- •Выполнение повышения привилегий
- •Эксплуатация неисправленных операционных систем
- •Манипулирование маркерами доступа
- •Эксплуатация специальных возможностей
- •Application Shimming
- •Обход контроля над учетной записью пользователя
- •Внедрение DLL-библиотек
- •Перехват порядка поиска DLL
- •Перехват поиска dylib
- •Исследование уязвимостей
- •Запускаемые демоны
- •Практический пример повышения привилегий в Windows 8
- •Выводы
- •Справочные материалы
- •Резюме
- •Политика безопасности
- •Проверка политики безопасности
- •Обучение конечного пользователя
- •Рекомендации по безопасности для пользователей социальных сетей
- •Тренинг по безопасности
- •Использование политики
- •Белый список приложений
- •Усиление защиты
- •Мониторинг на предмет соответствия
- •Справочные материалы
- •Резюме
- •Сегментация сети
- •Глубоко эшелонированная защита
- •Инфраструктура и службы
- •Документы в процессе передачи
- •Конечные точки
- •Сегментация физической сети
- •Открывая схему сети
- •Обеспечение удаленного доступа к сети
- •VPN типа «сеть–сеть»
- •Сегментация виртуальной сети
- •Безопасность гибридной облачной сети
- •Справочные материалы
- •Резюме
- •Активные сенсоры
- •Возможности обнаружения
- •Индикаторы компрометации
- •Системы обнаружения вторжений
- •Система предотвращения вторжений
- •Обнаружение на основе правил
- •Обнаружение на основе аномалий
- •Поведенческая аналитика внутри организации
- •Размещение устройств
- •Поведенческая аналитика в гибридном облаке
- •Центр безопасности Azure
- •Справочные материалы
- •Резюме
- •Киберразведка
- •Введение в киберразведку
- •Инструментальные средства киберразведки с открытым исходным кодом
- •Средства киберразведки компании Microsoft
- •Центр безопасности Azure
- •Использование киберразведки для расследования подозрительной деятельности
- •Справочные материалы
- •Резюме
- •Расследование инцидента
- •Масштаб проблемы
- •Ключевые артефакты
- •Исследование скомпрометированной системы внутри организации
- •Исследование скомпрометированной системы в гибридном облаке
- •Ищите и обрящете
- •Выводы
- •Справочные материалы
- •Резюме
- •Процесс восстановления
- •План послеаварийного восстановления
- •Процесс планирования послеаварийного восстановления
- •Вызовы
- •Восстановление без перерыва в обслуживании
- •Планирование на случай непредвиденных обстоятельств
- •Процесс планирования на случай непредвиденных обстоятельств в сфере IT
- •Передовые методы восстановления
- •Справочные материалы
- •Резюме
- •Управление уязвимостями
- •Создание стратегии управления уязвимостями
- •Инвентаризация ресурсов
- •Управление информацией
- •Оценка рисков
- •Оценка уязвимостей
- •Отчеты и отслеживание исправлений
- •Планирование реагирования
- •Инструменты управления уязвимостями
- •Реализация управления уязвимостями
- •Передовые методы управления уязвимостями
- •Реализация управления уязвимостями с помощью Nessus
- •Flexera (Secunia) Personal Software Inspecto
- •Заключение
- •Справочные материалы
- •Резюме
- •Анализ журналов
- •Сопоставление данных
- •Журналы операционной системы
- •Журналы Windows
- •Журналы Linux
- •Журналы брандмауэра
- •Журналы веб-сервера
- •Справочные материалы
- •Резюме
- •Предметный указатель
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
Справочные материалы 177to |
BUY |
|
|
||||||||||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
w Click |
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
да: горизонтальное и вертикальное повышения привилегий. Некоторые зло |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
умышленники будут использовать методы горизонтального повышения привилегий, потому что они менее сложны в исполнении. Однако хакеры-ве- тераны,хорошо разбирающиеся в системах,на которые нацелены,используют вертикальныеметодыповышенияпривилегий.Здесьбылирассмотренынеко- торые из этих методов. В большинстве случаев было ясно, что хакеры должны нацеливаться на легитимные процессы и сервисы, чтобы повысить привиле- гии, потому что большинство систем построено с использованием концепции наименьших привилегий. Пользователям целенаправленно предоставляются наименьшие привилегии,которые имтребуютсядля выполнения своих ролей. Привилегии высокого уровня предоставляются только легитимным службам и процессам,и поэтому злоумышленникам в большинстве случаев приходится их взламывать.
Справочные материалы
1.Gouglidis A., Mavridis I., and Hu V. C. Security policy verification for multi-do- mains in cloud systems // International Journal of Information Security. 2014. № 13 (2). C. 97–111. https://search.proquest.com/docview/1509582424. DOI: http://dx.doi.org/10.1007/s10207-013-0205-x.
2.Sommestad T., and Sandström F. An empirical test of the accuracy of an at- tack graph analysis tool // Information and Computer Security. 2015. № 23 (5). C. 516–531. https://search.proquest.com/docview/1786145799.
3.Groves D. A. Industrial Control System Security by Isolation: A Dangerous Myth // American Water Works Association.Journal. 2011. № 103 (7). С. 28–30. https://search.proquest.com/docview/878745593.
4.Asadoorian P. Windows Privilege Escalation Techniques (Local) – Tradecraft Security Weekly #2 – Security Weekly // Security Weekly. 2017. https://secu- rityweekly.com/2017/05/18/windows-privilege-escalation-techniques-local-tra- decraft-security-weekly-2/.
5.Perez C. Meterpreter Token Manipulation // Shell is Only the Beginning. 2017. https://www.darkoperator.com/blog/2010/1/2/meterpreter-token-manipulation. html.
6.Knight S.Exploit allows command prompt to launch at Windows 7 login screen// TechSpot. 2017. https://www.techspot.com/news/48774-exploit-allows-command- prompt-to-launch-at-windows-7-login-screen.html.
7.Application Shimming // Attack.mitre.org. 2017. https://attack.mitre.org/techniques/T1138/.
8.Bypass User Account Control // Attack.mitre.org. 2017. https://attack.mitre.org/ techniques/T1088/.
9.DLL Injection // Attack.mitre.org. 2017. https://attack.mitre.org/techniques/ T1055/.
10.DLL Hijacking Attacks Revisited // InfoSec Resources. 2017. https://resources.
infosecinstitute.com/dll-hijacking-attacks-revisited/.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|||
|
|
|
C |
|
|
E |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
|
d |
|
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
|
t |
|
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
|
i |
r |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
r |
|||||
P |
|
|
|
|
|
NOW! |
o |
|
P |
|
|
|
|
|
NOW! |
o |
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
|
BUY |
|
|
|||||||||
|
|
|
|
to |
178 |
Повышение привилегий |
|
|
|
|
to |
|
|
|
|
|
|
|||||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
|||||||||||||||||
|
|
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
g |
.c |
|
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
|
n |
e |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
11. |
|
|
Dylib-Hijacking Protection // Paloaltonetworks.com. 2017. https://docs.paloal- |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
tonetworks.com. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
12. Newton T. Demystifying Shims-or-Using the App Compat Toolkit to make your |
|
|
|
|
|
|
|
|||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
oldstuffworkwithyournewstuff//Blogs.technet.microsoft.com.2018.https:// |
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
blogs.technet.microsoft.com/askperf/2011/06/17/demystifying-shims-or-using- |
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
the-app-compat-toolkit-to-make-your-old-stuff-work-with-your-new-stuff/. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
13. |
|
|
DLL Injection – enterprise // Attack.mitre.org. 2018. https://attack.mitre.org/ |
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
techniques/T1055/. |
|
|
|
|
|
|
|
|
|
|
|
|
Резюме
В этой главе мы изучили этап повышения привилегий.Было отмечено,что су- ществуетдва класса повышения привилегий: вертикальное и горизонтальное. Мы также выявили,что горизонтальное повышение привилегий – это лучшее, на что может надеяться злоумышленник. Это связано с тем, что методы, ис- пользуемые для горизонтального повышения привилегий, не слишком слож- ны. Мы рассмотрели большинство сложных методов вертикального повыше- ния привилегий,которые злоумышленники используютпри атаке на системы. Примечательно, что большинство обсуждаемых методик использует попытки поставить под угрозу легитимные службы и процессы, чтобы получить более высокие привилегии. Вероятно, это последняя задача, которую злоумышлен- нику придется выполнить за всю атаку.
В следующей главе мы объясним, как злоумышленники наносят последний удар и как они пожинают плоды своих усилий в случае успеха.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
||
|
|
X |
|
|
|
|
|
||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||
|
|
|
|
|
|
|
|||
|
|
|
|
|
BUY |
|
|
||
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
m |
||||
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
|
e |
|
|
|
|
|
|
|
n |
|
|
||
|
|
|
|
|
|
Глава 9 |
|||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Политика безопасности
Начиная с главы 3 «Жизненный цикл атаки» до главы 8 «Повышение привиле- гий» мы рассказывали о стратегиях атак и о том, как Красная команда может повысить уровень безопасности организации, используя распространенные методы атак. Теперь пришло время сменить тему и начать смотреть на вещи с точки зрения обороны.Нетдругого способа начать говорить о стратегиях за- щиты, кроме как вспомнить о политике безопасности. Хороший набор поли- тик безопасности необходим, чтобы гарантировать, что вся компания следует четко определенному набору основных правил, которые помогут защитить ее данные и системы.
В этой главе мы рассмотрим следующие темы:проверка политики безопасности;обучение конечного пользователя;соблюдение политики;мониторинг на соответствие.
Проверка политики безопасности
Возможно, первый вопрос должен звучать так: «У вас вообще есть политика безопасности?» Даже если последует ответ «Да», вам все равно нужно продол- жать задавать эти вопросы. Следующий вопрос: «Применяете ли вы эту по- литику?» Опять же, даже если ответ будет «Да», вы должны задать следующий вопрос: «Как часто вы проверяете эту политику безопасности в поисках улуч- шений?» Теперь мы подошли к тому моменту, когда можем с уверенностью сделать вывод, что политика безопасности – это живой документ, поэтому ее необходимо пересматривать и обновлять.
Политика безопасностидолжна включатьв себя отраслевые стандарты,про- цедуры и руководства,которые необходимыдля поддержки информационных рисковвповседневнойработе.Уэтойполитикитакжедолжнабытьчеткоопре- деленная область действия.
Крайне важно, чтобы была указана область применения политики безопас- ности. Например, если она относится ко всем данным и системам, это должно
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
|
|
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
180 |
Политика безопасности |
|
|
|
|
to |
|
|
|
|
|
|
||||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
||||||||||||||||
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
быть понятно всем, кто ее читает. Еще один вопрос, который вы должны за- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
дать: «Эта политикатакже распространяется на подрядчиков?» Независимо от |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
того, будет ответ «Да» или «Нет», он должен быть указан в разделе «Область |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
действия». |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
В основе политики безопасности должна лежать триада безопасности (кон- |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
фиденциальность, целостность и доступность). Пользователи должны защи- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
щать и гарантировать применение триады безопасности в данных и системах, |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
что не зависит оттого,как данные создавались,передавалисьдругим или хра- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
нились.Пользователи должны осознавать свои обязанности и последствия на- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
рушения политики безопасности. Убедитесь, что вы также включили раздел, |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
который определяет роли и обязанности, т. к. это очень важно для подотчет- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
ности. |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
Также важно прояснить, какие документы участвуют в общей политике |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
безопасности |
, поскольку их больше одного. Убедитесь, что все пользователи |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
понимают разницу между приведенными ниже документами. |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
Политика – это основа всего, она устанавливает ожидания высокого |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
уровня,атакже будетиспользоваться для принятия решений и достиже- |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
ния результатов. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Процедура – как следует из названия, это документ, содержащий про- |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
цедурные этапы, которые описывают, как следуетделать что-либо. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Стандарт – этот документ устанавливает требования, которые должны |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
соблюдаться. Другими словами, каждый должен соблюдать определен- |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
ные стандарты, которые были установлены ранее. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Руководящие принципы – хотя многие утверждают, что руководящие |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
принципы не являются обязательными,на самомделе это скореедопол- |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
нительное рекомендуемое руководство. При этом важно отметить, что |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
каждая компания может свободно определять, являются ли руководя- |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
щие принципы необязательными или они рекомендованы. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Передовой опыт – как следует из названия, это опыт, который должен |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
применяться всей компанией или только некоторыми ее подразделе |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
ниями.Также можно установить это по ролям.Например,все веб-серве |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
рыдолжныиспользоватьпередовыепрактикивобластибезопасностиот |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
поставщика, применяемые до развертывания в рабочей среде. |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Чтобы убедиться, что все эти моменты синхронизированы, управляются |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
ипользуютсяподдержкойвысшегоруководства,необходимосоздатьпрограм- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
му безопасности для всей организации.В публикации NIST 800-53 предлагает- |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
ся следующий тип отношений между объектами контроля над безопасностью |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
в организации. |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
Понадобитсяцелаякнига,чтобыобсудитьвсеэлементыэтойдиаграммы.По |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
этому мы настоятельно рекомендуем вам прочитать публикацию NIST 800-53, |
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
если вам нужна дополнительная информация, касающаяся этих областей. |
|
|
|
|
|
|
|
|
|
|
|