IT-безопасность: стоит ли рисковать корпорацией? - Линда Маккарти

Оценка целостности файла

Обнаружение и предупреждение вторжения

TruSecure

www.trusecure.com

Провайдер управляемой защиты

TrustWorks

www.trustworks.com

Частные виртуальные сети

TumbleweedCommunications Corp

www.tumbleweed.com

Управляемые защищенные коммуникации

Ubizen

www.ubizen.com

Приложения

Цифровые подписи и органы сертификации

Фильтрация и мониторинг Интернета

Сетевой мониторинг

Защита веб-серверов

Unisys

www.unisys.eom

Аутентификация пользователей и терминалов

Единая регистрация

Vanguard Integrity Professionals

www.go2vanguard.com

Приложения

Конференция по вопросам безопасности

VeriSign

www.verisign.com

Доступ к данным

Цифровые сертификаты и управление ключами

Единая регистрация

Vasco

www.vasco.com

Продукты для шифрования

Защищенный удаленный доступ

V-ONE Corporation

www.v-one.com

Брандмауэры

Защищенные компьютерные системы и процессоры

Смарт-карты и электронные жетоны

Системы персональной идентификации

Политики и процедуры

WatchGuard Technologies, Inc.

wvvw.watchguard.com

Управление доступом

Брандмауэры

Фильтрация и мониторинг Интернета

Частная виртуальная сеть

Защита веб-серверов

Win Magic Inc.

www.winmagic.com

Продукты для шифрования файлов

Zero Knowledge Systems

www.freedom.net

Защищенные телекоммуникации

Zone Labs, Inc.

www.zonelabs.com

Брандмауэры

Фильтрация и мониторинг Интернета

Политики и процедуры

Сокращения

ASIS (American Society for Industrial Security) — Американское общество по промышленной безопасности.

CERT (Computer Emergency Response Team) — группа реагирования на чрезвычайные ситуации.

CEO (Chief Executive Officer) — генеральный директор,

CFO (Chief Financial Officer) — финансовый директор.

CIO (Chief Information Officer) — директор по информационным технологиям.

CSI (Computer Security Institute) — Институт компьютерной безопасности.

CSIRT (Computer Security Incident Response Team) — группа реагирования на компьютерные инциденты.

СТО (Chief Technology Officer) — технический директор.

DOD (U.S. Department of Defense) — Министерство обороны США.

FAQ (Frequently Asked Questions) — часто задаваемые вопросы.

FIRST (Forum of Incident Response and Security Teams) — Форум групп реагирования на инциденты и групп обеспечения безопасности.

IDS (Intrusion Detection System) — система обнаружения вторжения.

IRT (Incident Response Team) — группа реагирования на инциденты.

ISP (Internet Service Provider) — провайдер Интернет-услуг.

ISS (Internet Security Scanner) — сканер защиты в Интернете.

MIS (Management Information System) — административные информационные системы.

NCSA (National Computer Security Association) — Национальная ассоциация компьютерной безопасности.

NIS (Network Information Service) — сетевая информационная служба.

PGP (Pretty Good Privacy) — «надежная конфиденциальность» (алгоритм шифрования).

РОС (Point of Contact) — точка контакта (контактный телефон).

SATAN (System Administrator Tool for Analyzing Networks) — инструмент системного администратора для анализа сетей.

WWW (World Wide Web) — Всемирная паутина (Интернет).

Глоссарий

Back door

См. «Черный ход».

ISP

См. «Провайдер услуг Интернет».

Logic bomb

См. «Логическая бомба».

Password cracker

См. «Взломщик паролей».

Password sniffer

См. «Анализатор паролей».

РОС

См. «Точка контакта».

Snapshot

См. «Моментальный снимок».

Snooping tool

См. «Инструмент снупинга».

Spoof

См. «Имитация».

Time bomb

См. «Бомба с часовым механизмом».

Trap door

См. «Черный ход».

Авторизация

Предоставление официально одобренных прав доступа пользователю, процессу или программе в соответствии с политикой безопасности компании.

Анализатор паролей («ищейка»)

См. «Инструмент снупинга».

Анализ риска

Процесс определения величины риска для безопасности. При анализе риска определяются элементы защиты, требующие улучшения.

Аудит безопасности

Независимая профессиональная ревизия состояния безопасности, при которой тестируется и исследуется соответствие средств защиты компании существующим нормам. Его результаты позволяют аудитору рекомендовать проведение необходимых изменений в средствах защиты, политиках и процедурах.

Аутентификация

Проверка идентичности пользователя, устройства или другого объекта в системе.

«Бомба с часовым механизмом»

Программа, внедряемая взломщиком в программное обеспечение и срабатывающая при наступлении определенного момента времени или после истечения заданного временного интервала.

Брандмауэр

Система защиты, контролирующая поток трафика между сетями. Существуют несколько его конфигураций: фильтрация (отсеивание), управление приложениями, шифрование, установка «демилитаризованных зон» и т. д.

Взломщик паролей

Программа, содержащая полные словари, которые она использует для подбора паролей пользователя.

Вирус

Код, внедряемый в программу компьютера. Он начинает работать при исполнении программы. «Проснувшись», вирус может размножаться, посылать сообщение, уничтожать информацию или снижать производительность системы.

Внешняя эскалация

Процесс передачи сообщения о бреши в безопасности какому-либо лицу или группе, находящимся вне отдела, отделения или компании, в которой это случилось. После эскалации проблемы ответственность за ее решение полностью или частично берет на себя сторона, в направлении которой была проведена эскалация.

Внутренняя эскалация

Процесс передачи сообщения о бреши в безопасности на вышестоящий командный уровень внутри отдела, отделения или компании, в которой это случилось.

Гарантия

Степень уверенности, означающая, что архитектура информационной системы соответствует политике безопасности организации.

Доска объявлений

Позволяет пользователям Интернета писать свои сообщения или читать сообщения, «вывешиваемые» другими пользователями, а также обмениваться программами и файлами.

Доступ

Возможность производить чтение, запись, изменения в каком-либо из системных ресурсов компании или использовать его каким-либо другим образом.

Идентификация

Распознавание пользователей в системах компании по их уникальным именам.

Имитация

Получение доступа к системе при помощи маскировки под законного пользователя.

Интернет

Самая большая в мире коллекция сетей.

Инструмент «снупинга»

Программа, используемая взломщиком для сбора паролей и другой информации.

Интранет

Внутренняя сеть компании.

Команда «тигров»

Группа профессиональных экспертов по безопасности, привлекаемая компанией для тестирования эффективности защиты путем попыток взлома.

Компрометация

Нарушение взломщиком политики безопасности компании, в результате которого может быть изменена, уничтожена или украдена информация.

Компьютерная фальсификация

Компьютерное преступление, при котором взломщик стремится получить деньги или другие ценности от компании. Часто все следы этого преступления скрываются. Компьютерная фальсификация обычно вызывает изменение, уничтожение, кражу или раскрытие информации.

Компьютерное преступление

Любой вид незаконных действий по отношению к электронной информации и компьютерному оборудованию.

Контроль

Защитные меры, предпринимаемые компанией по уменьшению риска раскрытия защиты.

Контрольный журнал

Документальная запись событий, позволяющая аудитору (или системному администратору) воссоздать события, произошедшие в системе.