РЕЦЕНЗИИ
Маккарти Линда. IT-безопасность: стоит ли рисковать корпорацией? М.: Кудиц-образ, 2004. - 208 с.
Как убедиться, что ваша информационная система хорошо защищена? Эта книга отличается от множества других тем, что в ней отсутствуют технические детали, списки портов, скрипты и другие мрачные вещи, которыми пользуются системные администраторы и специалисты по безопасности. Автор - аудитор безопасности - разбирает в ней реальные типичные ситуации и дает топ-менеджерам советы, как убедиться, что в их компании такие случаи невозможны.
Предмет информационной безопасности (ИБ) становится все более широким, и сейчас, как пишет в предисловии известный специалист по ИБ Юджин Спаффорд, "...необходимо знать не только техническую, но и экономическую, психологическую, правовую и деловую сторону практики применения компьютеров... Выполнение обязанностей по обеспечению безопасности и выполнению политик должно начинаться с самого верха и заключаться в предупреждении проблем, а не в реагировании на них".
В каждой из двенадцати небольших по объему глав, составляющих данную книгу, описывается и разбирается некоторая ситуация. Хотя автор и утверждает, что хакеры не найдут здесь ничего для себя полезного, это не так: любой материал по ИБ имеет свою более или менее ярко выраженную обратную сторону.
После великолепной вводной первой главы остальные можно читать практически в любом порядке.
Вторая глава посвящена вопросу безопасности у Интернет-провайдера. Проблема не менее актуальна и в России.
В третьей автор предлагает сократить в компании до минимума число уровней подчиненности руководителя службы ИБ, демонстрируя на примере, как это работает в противном случае.
Четвертая глава описывает проблему, возникшую в компании при предоставлении доступа в свою сеть партнеру. Промышленный шпионаж сильно развит в экономически развитых странах. Известно, что им активно и эффективно занимаются Япония, Израиль, США, Китай и Франция. Потери от него трудно оценить, но оценка потерь США в диапазоне 100-250 млрд. долл. впечатляет.
Пятая глава посвящена обучению в области безопасности. Автор приводит интересную цифру: доход от компьютерной преступности уже в 1999 г. оценивался в 10 млрд. долл.
Глава 6 пугает читателя вариантами событий в крупном госпитале, в котором после перехода на новую систему шестьдесят серверов остались без защиты. После ее прочтения лечиться в США вам, может быть, уже не захочется.
В главе 7 дается пример, как политические игры между подразделениями компании становятся важнее их основной работы - обеспечения ИБ. Здесь подчеркивается важность определения роли и обязанностей сотрудников, отвечающих за ИБ.
Глава 8. Разбор примера с ИБ внутренней сети. Скорее всего правда, что 85% случаев промышленного шпионажа ведется изнутри компании.
Девятая глава посвящена важной теме - безопасности аутсорсинга. Слабая защита в ИС вашей компании может нанести ущерб партнерам, и наоборот. ИБ так устроена, что чем меньше вы на кого-либо надеетесь, тем лучше.
Десятая глава излагает историю о незащищенной корпоративной электронной почте. Разбирая очень показательный пример, автор советует шифровать внутрифирменную переписку, тем более что современные пакеты позволяют делать это достаточно просто. Понятно, что это создает некоторые проблемы службе внутренней безопасности, но здесь уж стоит решить, что для вас важнее - знать проблемы своих сотрудников или оградить секреты фирмы от посторонних глаз.
Одиннадцатая глава обобщает содержание всех предыдущих.
Наконец, глава 12 называется "Прогулка хакера по сети". Она содержит разбор сеанса работы гипотетического хакера с рекомендациями, позволяющими избежать его свободного проникновения в корпоративную сеть. Данная глава выбивается из общего строя и могла бы быть приложением, но автор, очевидно, решила окончательно "дожать" читателя в понимании важности и необходимости ИБ.
В любой книге, конечно, можно найти некоторое количество изъянов. Вот и здесь в приведенном в конце глоссарии не даны английские соответствия имеющимся терминам. Так как глоссарий переводился, то это решение совершенно необъяснимо. В приложении А даны списки "людей и продуктов, о которых следует знать". Хотя бы ради приличия в списке сайтов по ИБ можно было бы дать парочку адресов российских сайтов, а в списке фирм, занимающихся ИБ, - названия российских компаний и ассоциаций. (Заодно можно было бы и рекламу с них собрать, чтобы окупить издание еще до его выпуска. :) ) Должен заметить, что поскольку книга написана американской женщиной, причем женщиной сильной, волевой, то мужчины под ее критическим взглядом выглядят не слишком привлекательно: самовлюбленные карьеристы с недостаточно высоким интеллектом и пониженным уровнем ответственности, часто больше интересующиеся спортом, чем работой. Зато женщины, как правило, бдительны, подтянуты, ответственны и, ничего не понимая в ИБ, чувствуют риски за милю.
Но в целом - замечательная книга! Многие ее советы полезны каждому, кто работает с компьютерами. И уж, конечно, системным администраторам имеет смысл подсунуть эту книгу своему начальству.
