Cети на основе Microsoft Windows Server 2003

Анализ влияния технических ограничений и бизнес-требований на проект защиты

Анализ влияния бизнес-требований и технических ограничений — не самая приятная часть работы проектировщика защиты. На данном этапе ему, техническому специалисту, приходится терпеливо общаться с людьми, говорящими с ним «на разных языках», несведущими в тонкостях технологий. Когда вы ясно представляете, как защитить сеть и операционные системы в организации, но вам не дают для этого достаточно средств, времени, персонала, порой просто опускаются руки. Не добавляет энтузиазма и тот факт, что необходимые меры безопасности люди часто встречают в штыки.

Изучив материал этого раздела, вы сможете, опираясь на технические знания, научиться формулировать потребности информационной безопасности на языке деловых людей. Это несомненно поможет вам в преодолении возражений руководства потив осуществления проекта информационной безопасности на вашем предприятии. Из главы 1 данного раздела вы узнаете:

¦ как проанализировать бизнес-требования;

¦ что говорит о проектирования защиты закон;

¦ как наити способы снижения затрат на защиту,

¦ по каким категориям классифицируют данные для адекватной защиты;

¦ как разъяснить технические термины руководству;

¦ как оценить влияние унаследованных технологий на защиту;

¦ что такое анализ рисков и моделирование угроз и как их провести;

¦ как отразятся проблемы с взаимодействием систем на проекте защиты;

¦ что такое концептуальный план зашиты, лежащий в основе любого проекта.

Без грамотной концепции безопасности любой бизнес обречен на неудачу. Основное назначение информационной безопасности — препятствовать вытеснению предприятия из бизнеса. Неважно, проектируете ли вы защиту для организации в целом или для отдельного подразделения, прежде всего необходимо понять модель бизнеса организации, изучить ее техническую инфраструктуру н политики безопасности. Для этого необходимо собрать экономические и технические сведения, оценить соответствие имеющихся политик безопасности потребностям бизнеса, спроектировать защиту согласно общим принципам разработки систем безопасности, проанализировать технические, социальные и юридические ограничения, учесть позицию руководства и внести соответствующие коррективы в стандартное «идеальное» решение.

В этой главе закладываются основы, без которых невозможно понимание материала книги, излагаются общие принципы и методы построения концептуального плана защиты.

Прежде всего

В этой главе рассматриваются понятия и навыки, необходимые для разработки концептуального плана защиты. Для освоения материала необходим минимум годичный опыт внедрения и администрирования ОС для рабочих станций и сетевых ОС в окружении со следующими параметрами:

¦ минимум 250 пользователей объединенная сеть из трех и более физических участков;

¦ наличие типичных сетевых служб, включая службы обмена сообщениями, серверы баз данных, файлов и печати, прокси-сервер или брандмауэр, поддержку удаленного доступа к интрасети и доступ из интрасети в Интернет, управление пользовательскими компьютерами;

¦ не менее трех контроллеров домена;

¦ обеспечение удаленного доступа к корпоративной сети отдельным пользователям и сотрудникам филиалов, а пользователям корпоративной сети — доступа в Интернет.

Кроме того, необходим опыт проектирования сетевой инфраструктуры.

Часть упражнений можно выполнить на бумаге, но чтобы понять возможности технологий, которые могут быть включены в проект системы безопасности, необходимо изучать их на практике. Для выполнения практических упражнений вам потребуется минимум два компьютера, настроенных согласно инструкциям раздела «Начало работы».

Часто требования к безопасности никак не отражены в бизнес-требованиях, сформулированными руководством для ИТ-отдела, зато требуется обеспечить быстрое исполпенис заказов, отдачу от вложений, снижение затрат, что обычно ведет к снижению безопасности. Вы как проектировщик зашиты обязаны найти компромисс между этими требованиями.

.