从报告和恢复安全漏洞多层的 反应
'的深度和广度的安全保障'的关键是要创办一个时 信息政策,保罗巴克尔说,技术在Integralis架构师。 人控制 在考虑的管制,用于解决安全问题,我们必须考虑在何处以及如何能够影响人们的行为。在考虑外部的威胁,一个组织可以发挥很少对进入其网站的用户行为的影响,因此有依赖于利用技术,以产品或产品的配置,要么使环境(互联网接入,服务器和应用程序)强大的,或发现,警惕和排斥潜在的恶意活动。在考虑内部的威胁,一个组织已远远超过对影响力行为的内部系统和利用信息的用户。必须让用户什么是可以接受的行为和不可接受的行为的后果。这可以通过利用政策和培训,教育用户,通过就业合同,承诺他们共事并作为一天的部分安全意识进行日常活动。另一个内部安全漏洞的原因来自于修改应用程序,系统或基础设施,没有测试,备份和恢复充分的考虑,这些原因在哪里停机时间,并导致了安全漏洞的风险纳入内部基础设施带来的。这是妥善处理在一个有效的变更控制过程,已安全造成的影响。 从报告和恢复安全漏洞在任何情况下,一个安全漏洞发生时,培训和教育过程中应确保员工认识到一个事件,并了解这一进程的报告事件(谁负责),并与责任的人了解事件的处理过程。这些政策和程序,将会带来元素:谁处理的工作人员违反公司的安全策略-这些程序应包含解雇或起诉的最终威胁的程序;检测安全漏洞(工具程序,从具体的日志恢复等)。程序事件类型(重建操作系统,请从备份等)。通报程序-保持用户,客户及交易各方的事件通知,其影响和复原的进度。管理程序-确定论坛管理事件进程,并考虑在通信过程中损失的限制。 合同控制要考虑的另一个因素是潜在的威胁(或者意外或恶意从与其有某种正式关系(如贸易伙伴或服务提供者),这些在某些情况下可被视为受信任的第三方的考虑),但威胁仍然存在随着贸易伙伴。明智的做法是让他们对自己负责的行动,除了提供保护控制。合同可以说,它们必须证明合理的,并认为'采取的控制相对于通信的形式,对信息的敏感性和潜在的威胁。合同条款,然后寻求基于这些控制协议的解释,还应当提供定期的机会已经向你所在组织的满意控制。在一点,第三方进入一个组织,控制也应实施服务。供应商,合同不仅要考虑这些条件适用于贸易伙伴,但也应该考虑如何对他们提供的服务,损失将影响提供给客户和贸易伙伴的服务。在这方面,合同应同意的服务水平,可以有效监督和证明的承诺,应该同意未能达到服务水平的补偿。 技术控制如果技术控制的使用,重要的是,它们被配置和有效地维持。一些安全控制范围内将固有的产品正在使用,如操作系统(帐户密码,文件权限等),其他需要,如外围控制专业安全产品(防火墙等)和内容控制(防病毒软件或移动代码保护,入侵检测系统(IDS)等)。在部署有这种管制只是为了实现方块'一'剔到'最高leveldown'工作,以实施安全意义不大。很多机构将取决于利用一个专门的保安公司,以确保通过有效的安全控制技术。这通常包括多层安全(安全深度)利用并结合:严格的访问控制,强大的认证,对传输中的信息(加密)保护;加固的操作系统,服务和应用,高可用性,服务质量;性能。 天灾或恐怖主义如果在发生事故时被认为是例外,如洪水,雷电,车辆碰撞,炸弹爆炸或主要工作人员的大量损失(以彩票赢,例如),一个组织必须有计划,尽量减少影响通过在恢复前的服务水平,公司确定的时间框架和管理人员之间的通信过程中,合作伙伴和客户(即业务连续性)。 保险当所有合理的措施已经采取,一个组织也应考虑保险。在一个重大的安全事故发生,保险资金将通过提供一定的限制(或全部)的收入恢复业务的正常运作点元素对企业的损害。这种形式的保险,是被称为网络,责任保险。一些保险公司专门在这样的政策,但往往需要一些适当的控制已实施的一项政策之前,可以得到的证据。 维持有效的安全一种信息安全(政策,管理流程的控制)需要包括一个审查机制。这个机制应包括审计程序,定期审查的经营,风险和控制,以确保基于策略的控制仍然有效。这项技术的控制还需要包括一个审查机制。这个机制应包括一个完整的技术基础设施的定期审核,审查技术业务的风险和控制,重要的是,以确保技术的控制仍然有效。此外,这项审查应包括定期的脆弱性和渗透测试。在这两种情况下,主要目的是改进每个控件进行审评的时间,从而优化了控制,或确保控制是最合适的通过经验。这个过程还确保了对组织和经营方式的变化适应变化的信息安全是执行。 基于标准的方法任何组织,承担一项工作,落实'信息安全'使用管理办法,以实现一致的,广泛的和全面的安全将通常需要寻求指引。一个自己的'最佳努力的办法'有明显的局限性,它是迄今为止最好的利用根据最佳做法,有一定的跟踪记录表-明显的是现有的标准,具体处理的办法的要求。几个这样的标准,解决存在的不同程度的要求。 而BS 7799和ISO 17799标准在ISO 17799标准开始生活,英国标准BS 7799第1部分的工作守则1995年信息安全。该标准的建立是煽动由贸易和工业部(DTI)的指示下,在英国,英国政府。贸工部负责生产标准,英国标准协会(BSI),是由领先的最佳做法为基础的英国和国际公司的投入形成的。工作守则(BS 7799标准第1部分)提供了应该怎样涵盖了指导,和结构的方法,资源和程序,以实现信息安全。这是当时伴随着由BS 7799第2部,为信息安全管理系统这是一个规范(安全管理系统)。在2000年的BS 7799第1部分守则提交为国际标准,以供考虑国际标准化组织委员会,并接受后来在2000年批准为ISO 17799标准。在ISO 17799标准已被取代的BS 7799标准的第一部分(已撤销)。而BS 7799标准第2部分继续适用,并继续为实现提供了一个认证过程。
- 结论这种方法适用于任何组织,其目的是利用双重办法,信息安全规定,是广泛的,一致的和有效的-即'在深度和广度的安全保障'。管理元素后,通过ISO 17799信息安全标准为基础,审计,安装,测试服务项目和使用可提供有效的技术控制。这是这两个因素相结合,这样,在技术服务过程中的结果内反射回来的ISO 17799的过程中,创造一种独特的方法和有效的整体解决方案。,该公司解决方案的Articon部门Integralis - Integralis,提供信息安全解决方案,世界各地各个行业,使得组织成长和实现他们的商业目标安全。这些解决方案将服务和系统集成的,'部署最佳的'安全产品和管理安全服务,并聘请一些国际领先的技术和最擅长的行业工程师。 Integralis是公认的信息安全解决方案的领先,并相信在欧洲提供资讯科技及电子商务安全市场。如需进一步信息,请联系:Integralis有限公司,北京讯大厦,布鲁内尔路,锡尔,读,RG7 4AQ,英国。电话:+44(0)118九百三十〇万六千零六十〇 ;传真:+44(0)118 9302143;电子邮件:info@integralis.co.uk;网址:www.integralis.co.uk 由弗兰克B提交的一篇文章 免责声明:我们的网站是不负责本文章的内容。 Webarticles是一个免费的信息资源。 重要事项: 这篇文章“报告,从安全漏洞”恢复是一个自动翻译软件。我们感到很遗憾拼写的任何可能发生的错误。谢谢您的理解。
|
|||||
| Online: 189 users browsing the articles directory |
|
|