1.8.  ЗАКЛЮЧЕНИЕ  В  зтой  части  книги мы показали тот тернистый
путь,  который  необходимо  пройти администрации (или владельцам)
АСОИ  от  момента  осознания  необходимости ее защиты до создания
функционирующей  системы  защиты АСОИ. При прохождении этого пути
вам  понадобятся  прежде  всего  поддержка специалистов и здравый
смысл.  Дело  в  том,  что  на сегодняшний день защита АСОИ - это
самостоятельное направление исследований. Поэтому легче и дешевле
использовать  для  выполнения  работ  по защите специалистов, чем
дважды учить своих людей (сначала их будут учить преподаватели, а
потом  они  будут  учиться  на своих ошибках). Главное при защите
АСОИ   специалистами   (естественно   после   уверенности   в  их
компетенции  в  данном  вопросе)  -  наличие  здравого  смысла  у
администрации     системы.    Обычно,    профессионалы    склонны
преувеличивать  реальность  угроз безопасности АСОИ и не обращать
внимания   на  такие  "несущественные  детали"  как  удобство  ее
эксплуатации,  гибкость  управления  системой  защиты и т.д., без
чего   применение   системы   защиты  становится  трудным  делом.
Построение  системы защиты - это процесс поиска компромисса между
уровнем защищенности АСОИ и сохранением возможности работы в ней.
Здравый смысл позволит преодолеть большинство препятствий на этом
пути.  Методология  построения защищенных АСОИ, изложенная в этой
части  книги, беэусловно, применима не ко всем АСОИ. Критерием ее
применимости  может служить экономическая целесообразность. Имеет
смысл  применять  эту  методопогию  в том случае, если затраты на
реализацию  меньше,  чем стоимость информации, которая может быть
потеряна   в   результате  как  умышленных,  так  и  неумышленных
воздействий   на   АСОИ.   Поэтому   наиболее  реальным  объектом
применения   методологии   являются   крупные   АСОИ,  или  АСОИ,
обрабатывающие     дорогостоящую    информацию    ипи    решающие
ответственные  задачи. Перед тем, как выбирать раэличные средства
защиты  необходимо  четко  представлять какие компоненты АСОИ, от
каких  посягательств  и  насколько  надежно  вы  хотите защитить.
Безусловно,    основой    системы   защиты   АСОИ   должны   быть
организационные  (административные) мероприятия, стержнем которых
является разработка и реализация плана защиты. Но организационные
меры  без  повсеместной  поддержки  их физическими и техническими
(программными  и аппаратными) средствами будут слабы. Поэтому при
выборе   средств  защиты  обращайте  внимание  не  только  на  их
надежность,  но и на то, как они будут поддерживать разработанные
вами  организационные  мероприятия.  Не увлекайтесь сертификацией
средств  защиты.  Если  хотите  получить  гарантии защищенности -
договоритесь  с  независимыми  экспертами о проверке всей системы
защиты,  а  не  отдельных  средств.  Для  обеспечения непрерывной
защиты  информации  в  АСОИ целесообразно создать из специалистов
группу  информационной  безопасности.  На  эту группу возлагаются
обязанности  по сопровождению системы защиты, ведения рекивизитов
защиты,    обнаружения    и   расследования   нарушений   политки
безопасности  и  т.д.  Один  из  самых важных прикладных аспектов
твории  защиты  -  защита  сети.  При этом, с одной стороны, сеть
должна  восприниматься  как  единая  система и, следовательно, ее
защита также должна строиться по единому плану. С другой стороны,
каждый  узел  сети  должен  быть  защищен  индивидуально.  Защита
конкретной    сети   должна   строиться   с   учетом   конкретных
особенностей:  назначения,  топологии, особенностей конфигурации,
потоков  информации,  количества  пользователей,  режима работы и
т.д.  Кроме  того,  существуют  специфические  особенности защиты
информации  на  микрокомпьютерах,  в  базах  данных. Нельзя также
упускать   из   виду   такие   аспекты,   как  физическая  защита
компьютеров, периферийных устройств, дисплейных и машинных залов.
Иногда   бывает  необходим  и  "экзотический"  вид  защиты  -  от
злектромагнитного излучения или защита каналов связи.
 

Оставит комментарий