Топовые новости
Случайное

Метод эталона

Метод эталонаПрименяя этот метод на практике, я достиг неплохих результатов. Здесь мы будем смотреть на безопасность и информационные риски, как на эталоны, с помощью которых можно измерить отдачу от применяемых защитных мер. Проще говоря, мы оценим действующие процессы безопасности в денежном эквиваленте и сравним эту сумму с денежным эквивалентом потерь в том случае, если бы мы не применили соответствующие меры безопасности и отнеслись бы к рискам, как к приемлемым. Денежный эквивалент наиболее подходит для оценки, хотя я пробовал измерять и в человеко-часах, и в некоторых других единицах. Сначала необходимо составить картину информационных рисков, которым подвержен сайт. Сделать это можно, собирая информацию о трафике, который поступает из Internet. Установите систему обнаружения вторжения с внешней стороны межсетевого экрана и в течение недели следите за тенденциями сканирования и применения различных технологий нападения. Затем экстраполируйте полученные данные на подходящий для расчетов промежуток времени. Теперь можно изучить информацию об обнаруженных атаках и оценить масштабы потерь в случае, если бы эти атаки оказались удачными. Лучше всего производить оценку, опираясь на время, которое ушло бы на компенсацию понесенного ущерба, восстановление системы и т. п. Если атака была направлена на критически важный компонент системы, то нельзя забывать о времени, которое понадобится на восстановление зависимых компонентов. Вы будете удивлены, когда узнаете, сколько атак производится на вашу систему. Я сам видел сайты, частота нападений на которые достигала нескольких раз в минуту.

Наконец, посмотрим на расходы, которые понесла бы компания в случае осуществления зафиксированных атак. При этом лучше учитывать только фактически действующие или планируемые средства защиты, все то, что или уже применяется для снижения риска, или планируется к использованию в ближайшем будущем. Опирайтесь, где только это возможно, на реальные, а не прогнозируемые цифры. Теперь можно сопоставить результаты с действующим бюджетом и представить отчет начальникам. Если полученные вами цифры окажутся меньше заложенных в бюджете, то у вас появится возможность объяснить, что принятые вами меры по предотвращению информационных рисков способны сильно сократить расходы. Не забудьте рассказать о критически важных компонентах и о рисках, связанных с компрометацией этих частей системы.

Популярные записи

Copyright © 2015. All Rights Reserved.