А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
А,В,Соколов, 0,М, Степанюк - Скачать документы
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
164<br />
Если система не будет постоянно адаптироваться с учетом этих изменений, то в ней<br />
неизбежно появятся «дыры».<br />
Большинство предложений сторонних услуг предусматривает предоставление заказчику<br />
интерфейса на базе WWW, откуда он может брать изменения. Несмотря на<br />
удобство, такой подход не обеспечивает всех необходимых средств контроля.<br />
<strong>В</strong>ажной частью создания политики защиты является планирование. Установив свои<br />
потребности до начала реализации и проанализировав их вплоть до уровня всех подразделений,<br />
вы сможете в результате создать гораздо лучший проект организации защиты,<br />
особенно в долгосрочной перспективе.<br />
Определение политики ничего не дает, если она не соблюдается, впрочем, как ничего<br />
не дает и установка устройств защиты, если их оставляют без присмотра.<br />
Защита — сложный и часто противоречивый процесс, реализация и управление<br />
которым осуществляется с помощью множества подчас слабо связанных между собой<br />
устройств и программ.<br />
Политика безопасности информации<br />
При разработке политики безопасности информации, в общем случае, первоначально<br />
определяют объекты, которые надо защитить, и их функции. Затем оценивают степень<br />
интереса потенциального противника к этим объектам, вероятные виды нападения<br />
и вызываемый ими ущерб. Наконец, определяют уязвимые для воздействия области, в<br />
которых имеющиеся средства противодействия не обеспечивают достаточной защиты.<br />
Для эффективной защиты нужно оценить каждый объект с точки зрения возможных<br />
угроз и видов нападения, потенциальной вероятности применения специальных<br />
инструментов, оружия и взрывчатых веществ. Особо важным допущением в этом процессе<br />
является предположение о том, что наиболее ценный для потенциального злоумышленника<br />
объект привлечет пристальное внимание злоумышленника и будет служить<br />
вероятной целью, против которой он использует основные силы. При этом<br />
разработка политики безопасности информации должна проводиться с учетом задач,<br />
решение которых обеспечит реальную защиту данного объекта (рис. 3.3).<br />
Средства противодействия должны соответствовать концепции полной и эшелонированной<br />
защиты. Это означает, что их следует размещать на концентрических кругах,<br />
в центре которых находится объект защиты. <strong>В</strong> этом<br />
случае все возможные пути противника к любому<br />
объекту будут пересекать эшелонированную систему<br />
защиты. Каждый рубеж обороны организуется так, чтобы<br />
задержать нападающего на время, достаточное для<br />
принятия персоналом охраны ответных мер.<br />
На заключительном этапе выбранные средства противодействия<br />
объединяют в соответствии с принятой<br />
концепцией защиты. Производится предварительная<br />
оценка начальной и ожидаемой общей стоимости жизненного<br />
цикла всей системы. <strong>В</strong> частности, следует учитывать<br />
возможные перемещения объектов, а также изменение<br />
требований в местах входа.