Ссылки на правила безопасности
Ниже следуют ссылки на различные онлайновые ресурсы, которые можно использовать для разработки правил информационной безопасности.
- RFC 2196 — Руководство по защите узла; Б. Фрэйзер (В. Fraser), Editor, SEI/CMU; сентябрь 1997 года: ftp://ftp.isi.edu/in-notes/rfc2196.txt
- RFC 2504 — Руководство по защите пользователей; Е. Гуттман (Е. Guttman), Sun Microsystems; Л. Леонг (L. Leong), COLT Internet; Г. Малкин (G. Malkin), Bay Networks; февраль 1999 года: ftp://ftp.isi.edu/in-notes/rfc2504.txt
- RFC 2828 — Словарь по безопасности Internet. P. Шайри (R. Shirey), GTE/BBN Technologies; май 2000 года: ftp://ftp.isi.edu/in-notes/rfc2828.txt
- RFC 3013 — Рекомендованные провайдерами услуг Internet система безопасности и процедуры; Т. Киллалия (Т. Killalea), neart.org; ноябрь 2000 года: ftp://ftp.isi.edu/in-notes/rfc3013.txt
- SANS Institute Reading Room выпустили несколько отдельных статей по вопросам разработки правил информационной безопасности. Эти статьи охватывают многие вопросы, начиная с помощи читателю в определении правила и заканчивая работами по его внедрению и юридическому обоснованию. Их можно найти по адресу http://www.sans.org/infosecFAQ/policy/policy_iist.htm
- Разработка правил безопасности узла AusCERT, Роб МакМиллан (Rob McMillan): ftp://ftp.auscert.org.au/pub/auscert/papers/Site.Security.Policy.Development.txt
- Прекрасные образцы правил, разработанных для университета, можно найти в Калифорнийском университете по адресу http://security.ucdavis.edu/policies
- Национальный институт стандартов и технологий (NITS) поддерживает стандарты безопасности, используемые гражданскими учреждениями. Руководство по разработке программы обеспечения безопасности для систем информационных технологий, отдельная публикация 800-18 (SP 800-18) предоставляет рекомендации правительственным учреждениям для разработки программы обеспечения безопасности. SP 800-18 помогает учреждениям работать в соответствии с постановлениями, выпущенными административным и бюджетным управлением (Office of Management and Budget— OMB). (Циркуляр А-130 (Управление федеральными информационными ресурсами), Приложение III (Защита федеральных автоматизированных информационных ресурсов)). Тем, кто сотрудничает с правительством США по вопросам информационной безопасности, необходимо прочитать эти документы, чтобы выяснить установленные к учреждениям требования. Копии этих документов можно найти по следующим адресам:
- NIST SP 800-18 — http://csrc.nist.gov/publications/nistpubs/800-18/Planguide.PDF
- Циркуляр OMB F-130 Приложение III — http://www.whitehouse.gov/omb/circulars/al30/al30appendix_iii.html
- Несмотря на то, что национальное космическое агентство США NASA (National Aeronautics and Space Administration) не является гражданским учреждением, оно предоставляет прекрасную программу обеспечения безопасности, разработанную для одного из своих проектов. Этот проект программы обеспечения безопасности объединенных сетевых систем (Integrated Services Network - NISN) NASA можно найти по адресу: http://www.nisn.nasa.gov/Doc_Repos/secplan.html
- Правила безопасности и основные стандарты бесполезны без их широкого внедрения. Насколько вам это удастся, и насколько вы справитесь с их согласованием и утверждением, определит успех вашей работы. На узле компании Security Risk Associates (в Великобритании) имеется множество статей по этим вопросам. Их можно найти по адресу http://www.security.kirion.net/securitypolicy.
Содержание раздела