Проект подразумевает вложение средств. Они имеют определенную ценность в том смысле, что «делают деньги», то есть если вы теряете их часть, то одновременно теряете и деньги. Приведем несколько примеров средств вложения или основных средств: Близкую к действительности величину риска установить практически невозможно. Всегда остаются уязвимые места, о которых вы не подозреваете. В сети большое количество хакеров, возможности и уровень знаний которых трудно определить. Кроме того, во многих организациях не ведется должного учета затрачиваемых средств. Так что, даже если вы грамотно составили смету сетевого проекта, но вряд ли представляете себе точную картину грозящих опасностей и возможных недоработок. Но не стоит отчаиваться! Со временем и опытом величины уязвимости и угрозы поддаются корректировке, а контролируя средства, можно оценить и риск. Риск можно планировать, имея в распоряжении нужную информацию. Например, с момента выхода обновления, закрывающего для хакера возможность административного входа, до того момента, когда вы примените это обновление, планируемый риск сильно увеличивается.
Давайте посмотрим, какими методами можно измерить степень уязвимости, величину потенциальной угрозы и количество вложенных средств. В любой организации найдется человек, знающий все об основных средствах. Профессионалы в области информационной безопасности обычно заинтересованы только в некоторых из представленных выше факторов. Это может быть набор из финансовой информации, информации о клиентах и товарах (если компания занимается продажами через Internet), интеллектуальной собственности и репутации фирмы.
Помните о том, что фирма и в сети обязана поддерживать свою репутацию. Если вы используете электронные системы платежей, то вместе с базой данных по кредитным картам хакер украдет и доверие клиентов к вашей фирме. Ваша задача, как члена группы специалистов по безопасности, попытаться уменьшить количество публикуемой в зоне потенциальной опасности ценной для фирмы информации. Конечно, при условии, что предосторожность не идет вразрез с организацией делового процесса. В идеале не должно быть причины, по которой информация, являющаяся основным средством организации, оказалась в пределах демилитаризованной зоны (DMZ). Этому часто мешает то, что для работы с партнерами фирме очень удобно иметь финансовую информацию на сайте, пусть и в отдельном защищенном разделе.
