Политика обнаружения атаки средний риск
Политика обнаружения атаки -средний риск
Программно-аппаратные средства:
На всех хостах и серверах должны быть включены функции протоколирования.
Функции подачи сигналов тревоги, а также протоколирование, должны быть включены на всех брандмауэрах и других средствах управления доступом периметра безопасности.
Все критические сервера должны иметь дополнительные средства наблюдения за работой пользователей
На всех важных серверах должны быть установлены дополнительные средства наблюдения, такие как tripwire, и соответствующие средства управления доступом к сервисам, а также дополнительные средства протоколирования, обеспечиваемые операционной системой. Таким образом должны быть защищены сервера DNS, сервера аутентификации, сервера безопасности для Unix, контроллеры домена и сервера Exchange для среды Windows NT, и любые сервера приложений, которые считаются важными для решения задач организации.
Организационные меры:
Должны выполняться периодические проверки целостности брандмауэров и других систем управления доступом периметра безопасности.
Должен производиться ежедневный анализ системных журналов систем управления доступом периметра безопасности.
Должен производиться еженедельный анализ системных журналов хостов и серверов во внутренней, защищенной сети.
Пользователи должны пройти курс обучения и быть обучены сообщать о всех подозрительных признаках при работе систем своим системным администраторам, а также соответствующим сетевым администраторам или сотрудникам отдела информационной безопасности.
Все сообщения о проблемах при работе пользователей, полученные системными администраторами, должны анализироваться на предмет, не является ли эта проблема признаком атаки. О всех подозрительных событиях они должны сообщать сетевым администраторам и сотрудникам отдела информационной безопасности.
Должны периодически запускаться средства обнаружения атаки на хост, такие как tripwire.
Сотрудники отдела информационной безопасности или ответственные за нее должны установить контакты с организациями, занимающимися расследованием происшествий с компьютерной безопасностью, а также FIRST (смотрите ww.first.org) и обмениваться информацией об угрозах, уязвимых местах и происшествиях.
Если критические системы не были скомпрометированы, организация должна сначала попытаться выследить злоумышленника, а потом устранить последствия атаки. (ФИО сотрудника) отвечает за принятие решения о том, какие действия будут приниматься для устранения уязвимых мест или попыток получить дополнительную информацию о злоумышленнике. Этот человек должен иметь образование, позволяющее решать юридические проблемы, возникающие в связи с происшествием.
