Стратегия защиты

Планируя организацию защиты, необходимо уточнить, действительно ли фактические обстоятельства требуют применения серьёзных защитных мер. Следует рассмотреть мотивы планируемых мероприятий по защите информации, состав организационной политики и имеющиеся технические характеристики. Нужно иметь уверенность в том, выполнят ли принимаемые меры свою защитную функцию. Чтобы оправдать принятие защитных мер, необходимо рассмотреть три обоснования, которые носят общий характер.

Наличие стандартов на меры защиты

Данная концепция носит юридический характер. Существуют стандартные риски, которым подвергается информация на любом предприятии, независимо от его отраслевой принадлежности и масштабов деятельности. От таких рисков имеются средства защиты, которые тоже являются стандартными. Использование их – юридическая обязанность каждого предприятия. В судах уже имеются иски, ответчиками по которым являются предприятия, пренебрегающие элементарными мерами защиты информации, которой они располагают. Впрочем, судебных решений, связанных с защитой информации, пока нет.

Анализ рисков

Существуют расходы, связанные с защитными мероприятиями, и выигрыш от их применения. Предприятия, выстраивая защиту, должно быть уверено, что затраты, понесенные на организацию защиты, будут меньше, чем сумма ущерба от вероятных атак. Чтобы организация защиты не превратилась в стрельбу по воробьям из пушки, необходимо уметь оценивать риски и анализировать их. Американское правительство в 1995 году даже ввело методику расчета и анализа рисков.

Ввиду инертности управленческого аппарата организации, подобный анализ редко проводится, пока в один совсем не прекрасным момент предприятие на собственном печальном опыте не почувствует последствия утечки сведений, представляющих коммерческую тайну. Хорошо, если другие предприятия, напуганные опытом коллег, своевременно принимают необходимые меры, не дожидаясь собственных неприятностей.

Превышение уровня отраслевой защиты

В зависимости от отраслевой принадлежности, информация предприятие может быть более или менее подвержена атакам злоумышленников. Например, банки – часто атакуемая мишень. Сведения, находящиеся в тех же веб-студиях, интересуют мошенников меньше. Утечка информации в кредитных организациях может быть чревата весьма серьезными последствиями. Чтобы защитить себя от утечки, предприятия одной отрасли делают себя более защищенными, чем соседи.

Со сложной мишенью меньше шансов получить вожделенный доступ к сведениям и больше возни. Выберут тех, кто менее защищен. Те же банки в большинстве используют для защиты проводимых интерактивных транзакций обычные пароли, даже если речь идёт о крупных корпоративных клиентах. Чтобы повысить свой уровень защиты, некоторые банки в работе со счетами, по которым проходят большие денежные потоки, используют одноразовые пароли и отзывы. Это более затратная защита, а действие её основано на усложнении задачи атакующих.

Теоретически такие действия банка должны заставить злоумышленников отказаться от идеи взломать защиту именно этого банка и обратить их внимание на его менее защищенных собратьев по отрасли. Этот метод защиты часто называют «бегом от медведя». Если медведь преследует группу охотников, то, с точки зрения безопасности охотника, ему совершенно необязательно быть лидером забега. Достаточно оказаться впереди самого медленного из охотников.

Защита в компаниях часто устанавливается уже после того, как незащищенный «собрат» понес убытки от утечки информации. Определяется тип атаки и именно от аналогичного нападения устанавливается защита.

Объединить все три подхода – таков рецепт лучшей защиты для любого предприятия. Не пренебрегая стандартными мерами защиты, предприятие избежит обвинения в игнорировании возможной опасности. Используя практику, применяемую в конкретном отраслевом сообществе, предприятие не окажется «слабым звеном» или «легкой мишенью» для атакующих злоумышленников.

Преодолев рамки ожиданий возможного противника, предприятие дезориентирует его своей полной непредсказуемостью. Проведение анализа рисков желательно, но, если предприятие не может себе позволить это сделать, есть вполне очевидные области повышенного риска, к которым и следует применять особые меры защиты. Они себя, несомненно, окупят.

Если говорить о выборе того или иного метода аутентификации для определённого предприятия или изготовленного сайта, то нужно знать порядок эксплуатации анализируемых систем, схему их построения и тип ожидаемых атак. Перебирая возможные для использования варианты, сравниваем те системы, которые уже работали в предыдущие годы, проверяем перечень новых проблем, с которыми приходится сталкиваться. Подбирая систему защиты, которая будет эффективно защищать информацию и в перспективе, следует исходя из предыдущего накопленного опыта.