Защита систем находящихся в эксплуатации

Методика применения принципов безопасности к работающим системам немного отличается от того, о чем мы говорили раньше, но принцип действия остается тем же. Концепция не изменяется, остается прежней и схема оценки вносимых в систему преобразований. Однако изменяется место и время использования средств обеспечения безопасности. Например, начиная оценочный процесс непосредственно на работающем сайте, можно причинить вред эксплуатируемым системам, так что лучше воспользоваться компьютерами разработчиков, зеркалом сайта или специальным испытательным стендом. Первыми начните исправлять те ошибки, которым соответствует наивысший уровень риска. Практически в любом случае для устранения этих рисков потребуются некоторые дополнительные меры, такие как блокировка портов с помощью межсетевого экрана, трассировка и маршрутизация. Уделите особое внимание стандартным службам, работающим по протоколам DSN, HTTP, SMTP, SNMP, FTP, POP, IMAP, так же, как и приложениям, обеспечивающим безопасность. Для управления процессом внесения изменений необходимо располагать соответствующей инструкцией, где будут описаны методика тестирования обновлений и правила, которых надо придерживаться при общей проверке системы до того, как обновление будет установлено на работающий сайт. Инструкция является руководством для администраторов, в ней говорится, каким образом применять обновления и как модифицировать ту или иную часть системы. 0 Метод эталона позволяет смотреть на безопасность и информационные риски, как на величины, с помощью которых можно измерить отдачу от применяемых защитных мер. Метод оказания давления способствует образованию в организации атмосферы страха, неопределенности и сомнений, но с его помощью, тем не менее, можно повысить компетентность сотрудников в области информационной безопасности. Информационные войны, инсценировка взломов и проникновения в систему — вот основные инструменты тактики давления. Сущность же методики заключается в том, чтобы найти наиболее ранимое место в информационных процессах предприятия и после этого нанести удар или же объяснить удручающие последствия нанесения такого удара.