Опорный конспект
.pdfслід оцінювати прийнятність ризиків. Правда, граничні випадки, коли обчислена величина співпала з прийнятною, доцільно розглядати більш ретельно через наближений характер результату.
Якщо які-небудь ризики виявилися неприпустимо високими, необхідно їх нейтралізувати, реалізувавши додаткові заходи захисту. Як правило, для ліквідації або нейтралізації вразливого місця, що зробило загрозу реальної, існує декілька механізмів безпеки, різних по ефективності і вартості. Наприклад, якщо велика вірогідність нелегального входу в систему, можна зажадати, щоб користувачі вибирали довгі паролі (скажімо, не менше восьми символів), задіювати програму генерації паролів або закупити інтегровану систему аутентифікації на основі інтелектуальних карт. Якщо є вірогідність умисного пошкодження серверу баз даних, що може мати серйозні наслідки, можна врізати замок в двері серверної кімнати або поставити біля кожного серверу по охоронцю.
Оцінюючи вартість заходів захисту, доводиться, зрозуміло, враховувати не тільки прямі витрати на закупівлю устаткування и/или програм, але і витрати на упровадження новинки і, зокрема, навчання і перепідготовку персоналу. Цю вартість також можна оцінити за трибальною шкалою і потім зіставити її з різницею між обчисленим і допустимим ризиком. Якщо по цьому показнику новий засіб виявляється економічно вигідним, його можна узяти на замітку (відповідних засобів, ймовірно, буде дещо). Проте якщо засіб виявиться дорогим, його не слід відразу відкидати, пам’ятаючи про наближеність розрахунків.
Вибираючи відповідний спосіб захисту, доцільно враховувати можливість екранування одним механізмом забезпечення безпеки відразу декількох прикладних сервісів. Так поступили в массачусетському технологічному інституті, захистивши декілька тисяч комп’ютерів сервером аутентифікації Kerberos.
Важливою обставиною є сумісність нового засобу з організаційною і апаратно-програмною структурою, що склалася, з традиціями організації. Заходи безпеки, як правило, носять недружній характер, що може негативно позначитися на ентузіазмі співробітників. Деколи збереження духу відвертості важливе мінімізації матеріальних втрат. Втім, такого роду орієнтири повинні бути розставлені в політиці безпеки верхнього рівня.
Можна уявити собі ситуацію, коли для нейтралізації ризику не існує ефективних і прийнятних за ціною заходів. Наприклад, компанія, що базується в сейсмічно небезпечній зоні, не завжди може дозволити собі будівництво захищеної штаб-квартири. У такому разі доводиться піднімати планку прийнятного ризику і переносити центр тяжкості на пом’якшення наслідків і вироблення планів відновлення після аварій, стихійних бід і інших подій. Продовжуючи приклад з сейсмоопасностью, можна рекомендувати регулярне тиражування даних в інше місто і оволодіння засобами відновлення первинної бази даних.
Як і всяку іншу діяльність, реалізацію і перевірку нових регуляторів безпеки слід заздалегідь планувати. В плані необхідно врахувати наявність фінансових коштів і терміни навчання персоналу. Якщо йдеться про програмно-технічний механізм захисту, потрібно скласти план тестування (автономного і комплексного).
Коли намічених заходів вжиті, необхідно перевірити їх дієвість, тобто переконатися, що залишкові ризики сталі прийнятними. Якщо це насправді так, значить, можна спокійно намічати дату найближчої переоцінки. Інакше доведеться проаналізувати допущені помилки і провести повторний сеанс управління ризиками негайно.
Список літератури
94 Столлингс Вильям. Криптография и защита сетей: принципы и практика /Пер. с англ – М.: Издательский дом «Вильямс», 2001.
95Иванов М.А. Криптографические методы защиты информации в компьютерных системах и сетях.
–М.: КУДИЦ-ОБРАЗ, 2001.
96Жельников В. Криптография от папируса до компьютера. – М.: ABF, 1996.
97Бабенко Л.К. Введение в специальность «Организация и технология защиты информации». – Таганрог: Изд-во ТРТУ, 1999. –54с.
98Брюхомицкий Ю.А. Введение в информационные системы. – Таганрог: Изд-во ТРТУ, 2001. – 151 с.
99Зегжда Д.П., Ивашко А.М. Как построить защищенную информационную систему Под научной редакцией Зегжды Д.П. и Платонова В.В. – СПб: Мир и семья-95,1997. – 312 с.
100Гайкович В.Ю., Ершов Д.В. «Основы безопасности информационных технологий»
111
101 Котухов М.М., Марков А.С. Законодательно-правовое и организационно-техническое обеспечение информационной безопасности автоматизированных систем. – 1998. – 158 с.
102Информационно-безопасные системы. Анализ проблемы: Учеб. пособие Алешин Н. В, Коэлод В. Н., Нечаев Д. А., Смирнов А. С., Сычев М. П., Пальчун Б. П., Черноруцкий И. Г., Черносвитов А. В. Под ред. В. Н. Козлова. – СПб.: Издательство С.-Петербургского, гос. техн. университета, 1996. – 69 с.
103Громов В.И., Василева Г.А. «Энциклопедия компьютерной безопасности»
112
113