Воплощение решений безопасности

На стадии внедрения необходимо понимать, что система готова к работе в Internet только в том случае, если со всей тщательностью проверена, опробована и отвечает требованиям безопасности. Можно столкнуться с очень серьезными проблемами и подвергнуть себя большому риску, если преждевременно начать эксплуатацию системы, не позаботившись о предварительном и всестороннем тестировании. Это может привести к тому, что система будет взломана еще до того, как вы примете самые необходимые меры по обеспечению безопасности. Защищать уже скомпрометированную систему не только сложно, но и не имеет смысла. Так что «не выставляйте на показ то, что еще не готово увидеть этот мир». Оценка надежности системы подразумевает использование средств, о которых мы поговорим в главе 8. Если кратко, то все сводится к проверке сконструированной системы на соответствие основным принципам безопасности. Средства автоматического тестирования позволяют изучить подверженность того или иного компонента различным рискам, установить, какие он имеет уязвимости. Уязвимостью может являться неправильная конфигурация, внесенные на скорую руку изменения, непредвиденные ошибки программного обеспечения или аппаратных средств. Избавиться от этих уязвимостей можно с помощью обновлений ПО, применения «заплаток» или за счет реконструкции информационных процессов или сетевой топологии. Важно проверить, не повлияло ли внесенное изменение на безопасность зависимых компонентов или всей системы, для чего необходимо произвести специальную экспертизу. Если вы уже все сделали для того, чтобы обезопасить сетевое окружение и информационные процессы на уровне приемлемых рисков, пришло время позаботиться о решении оставшихся проблем с помощью технических и понятийных методов, и в первую очередь с помощью политики безопасности.