Метод эталона

2 минуты на чтение

Метод эталонаПрименяя этот метод на практике, я достиг неплохих результатов. Здесь мы будем смотреть на безопасность и информационные риски, как на эталоны, с помощью которых можно измерить отдачу от применяемых защитных мер. Проще говоря, мы оценим действующие процессы безопасности в денежном эквиваленте и сравним эту сумму с денежным эквивалентом потерь в том случае, если бы мы не применили соответствующие меры безопасности и отнеслись бы к рискам, как к приемлемым. Денежный эквивалент наиболее подходит для оценки, хотя я пробовал измерять и в человеко-часах, и в некоторых других единицах. Сначала необходимо составить картину информационных рисков, которым подвержен сайт. Сделать это можно, собирая информацию о трафике, который поступает из Internet. Установите систему обнаружения вторжения с внешней стороны межсетевого экрана и в течение недели следите за тенденциями сканирования и применения различных технологий нападения. Затем экстраполируйте полученные данные на подходящий для расчетов промежуток времени. Теперь можно изучить информацию об обнаруженных атаках и оценить масштабы потерь в случае, если бы эти атаки оказались удачными. Лучше всего производить оценку, опираясь на время, которое ушло бы на компенсацию понесенного ущерба, восстановление системы и т. п. Если атака была направлена на критически важный компонент системы, то нельзя забывать о времени, которое понадобится на восстановление зависимых компонентов. Вы будете удивлены, когда узнаете, сколько атак производится на вашу систему. Я сам видел сайты, частота нападений на которые достигала нескольких раз в минуту.

Наконец, посмотрим на расходы, которые понесла бы компания в случае осуществления зафиксированных атак. При этом лучше учитывать только фактически действующие или планируемые средства защиты, все то, что или уже применяется для снижения риска, или планируется к использованию в ближайшем будущем. Опирайтесь, где только это возможно, на реальные, а не прогнозируемые цифры. Теперь можно сопоставить результаты с действующим бюджетом и представить отчет начальникам. Если полученные вами цифры окажутся меньше заложенных в бюджете, то у вас появится возможность объяснить, что принятые вами меры по предотвращению информационных рисков способны сильно сократить расходы. Не забудьте рассказать о критически важных компонентах и о рисках, связанных с компрометацией этих частей системы.

Facebook Vk Ok Twitter Telegram

Похожие записи:

Метод перестановки в криптографии состоит в «перемешивании» содержания сообщения по общему алгоритму-секрету, известному отправителю и получателю. Давайте узнаем, чем этот метод совершеннее метода подстановки. Предположим, что вы хотите послать мне секретное с...
Метод компиляции TFN2K делает эту систему непроницаемой для Zombie Zapper. При сборке TFN2K запрашивается пароль, который в дальнейшем используется для шифрации инструкций, передаваемых по DDoS-дереву. Таким образом обходится ошибка «пароля по умолчанию», кото...
Если у вас получилось создать сайт, то теперь настало время, когда следует раскрутить проект, позволяя сделать так, чтобы о нем узнало, как можно больше пользователей. Конечно, существует множество различных способов, позволяющих сделать это, но всегда можно о...