Понимание основных принципов защиты систем электронной коммерции

Понимание основных принципов защиты систем электронной коммерции — это первый шаг на пути к созданию оправдывающего себя механизма безопасности. Применение трех принципов безопасности (конфиденциальность, целостность, доступность) к модели коммерческого процесса позволяет оценить влияние различных сценариев неблагоприятного развития событий на поведение вашего сайта. Более того, процедуры поэтапной оценки текущего состояния позволяют справляться с постоянно изменяющимися условиями виртуального мира. Постановка перед специалистами по безопасности ясных задач, вовлечение этих специалистов в процессы планирования, разработки и внедрения системы позволит создать прочную основу для защиты проекта и конечного продукта. Поддерживать защиту сайта на должном уровне призваны специальные механизмы сетевого управления и мониторинга. Методология применения принципов безопасности к системе, уже находящейся в эксплуатации, немного отличается от построения защиты «с нуля». Все начинается с анализа информационных рисков и последующего выявления наиболее опасных ошибок, которые необходимо устранить в первую очередь. Все это следует осуществлять без создания каких-либо помех в каждодневной работе сайта. Инструкции по внесению изменений в систему используются для управления процессами тестирования и отладки программных обновлений, для того, чтобы быть уверенными в надежности сайта после применения этих обновлений и «заплаток». Один из наиболее важных вопросов, с которыми сталкиваются менеджеры отдела безопасности, — регулирование бюджета. Для повышения расходов на безопасность может использоваться метод эталона или метод оказания давления. Метод эталона подразумевает сбор и последующую презентацию данных о затратах на поддержание безопасности. При этом важно показать, сколько средств сэкономлено с помощью своевременного выявления рисков и устранения неисправностей. Метод оказания давления, в свою очередь, заключается в нахождении слабых мест в обороне и последующей эксплуатации найденных сценариев атаки с целью показать недееспособность существующего механизма обеспечения безопасности. При этом остается надеяться на то, что администрация пойдет у вас на поводу и увеличит средства, выделяемые на безопасность, хотя бы только для того, чтобы не столкнуться с похожей ситуацией на практике. Оба метода имеют свои преимущества и недостатки.