Концепция информационной безопасности подразумевает трехступенчатый процесс оценки, пересмотра и внесения изменений в систему (рис. 1.1). Эта бесконечная переоценка есть не что иное, как приспособление системы к постоянно изменяющейся среде виртуального мира. Вы не должны отставать от хакеров, которые находят и эксплуатируют уязвимости в новом программном обеспечении; вы должны успеть проверить систему на эти уязвимости и, таким образом, уменьшить уровень потенциальной угрозы. Затем необходимо пересмотреть принятые меры, чтобы убедиться в отсутствии новых ошибок, тех, которые могли появиться уже после внесения изменений. Например, программные обновления и «заплатки» могут заменить конфигурационные параметры значениями, принятыми по умолчанию. Чаще всего это открывает доступ к дополнительным системным службам или разрешает использование тех протоколов, которые ранее были запрещены администратором. Таким образом, циклический процесс оценки и пересмотра вносимых изменений усиливает защиту всех трех принципов безопасности. Представьте себе размеры этих потерь в том случае, если сайт был недоступен на протяжении четырех часов; до появления Internet именно столько времени тратилось поставщиками для определения торгового оборота. Коммерческому сайту такой простой в работе может обойтись в круглую сумму. Как долго компания будет удерживаться на плаву, если ее деятельность в Internet остановится? Какие потери понесет организация, службы которой станут недоступными для ее клиентов? Основываясь на этих идеях, так же как на сценариях развития неблагоприятных событий, можно утверждать о важности следования концепциям безопасности Одновременно и вместе с построением информационной системы. Встраивание в систему принципов безопасной деятельности, без
Сомнения, требует работы и детального планирования. Безопасности не просто достичь, но при достаточном внимании к задаче это более чем выполнимо.
.%20%EF%BF%BD){kind=small}
