Приобретение программного продукта

Приобретение программного продукта — это покупка лицензии (права) на его использование. Условия использования любого программного продукта описаны в лицензионном соглашении, которое представляет собой договор между производителем программного продукта и пользователем программного обеспечения. Для разных пользователей (индивидуальных покупателей, организаций разного масштаба, учебных заведений и правительственных учреждений) могут быть установлены различные условия приобретения программного обеспечения.

Для приобретения программных продуктов крупных производителей программного обеспечения, таких, как, например, корпорация Microsoft, следует обращаться к ее партнерам, через которых она действует во всем мире. Каждый пользователь программного продукта должен иметь лицензию на него. Лицензия должна быть закуплена для каждого компьютера, на котором установлен или используется загружаемый через сеть программный продукт. Договор между пользователем и производителем не подписывается: считается, что покупатель соглашается с условиями лицензионного соглашения, если он вскрывает дистрибутив — упаковку с дискетам и или компакт-диском. Это так называемая «оберточная» лицензия, предусмотренная Законом «О правовой охране программ для ЭВМ и баз данных» от 23 сентября 1992 года.

Программное обеспечение на компьютере находится «в пользовании», когда оно помещено в постоянную память (обычно на жесткий диск, но возможно и на компакт-диск или другое устройство для хранения информации) или загружено в оперативную память (RAM). В компьютерной сети продукт может использоваться одним из двух способов: запуск программного обеспечения с локального жесткого диска рабочей станции или установка продукта только на сервер сети и запуск программного обеспечения с сервера. Вне зависимости от того, как используется продукт в сети (с сервера или с локального рабочего места), каждый пользователь должен обладать лицензией на право использования этого продукта. Только такой вариант использования программного продукта считается законным.

Существует несколько вариантов приобретения лицензии, т. е. права использовать программный продукт. Наиболее известный и распространенный путь — покупка коробки с программным продуктом. Коробка содержитлицензионное соглашение, регистрационную карточку, дистрибутив с программным продуктом и документацию. Это основные компоненты, которые входят в коробку с программным продуктом, предназначенную для новых пользователей, т. е. для тех, кто ранее не использовал данный программный продукт и приобрел его впервые. Если появляется необходимость в использовании этого программного продукта на других компьютерах, недостаточно приобрести одну коробку. В этом случае многие поставщики программного обеспечения предлагают приобрести только лицензию — конверт, содержащий лицензионное соглашение, цена которого ниже, чем цена коробки.

РАЗДЕЛ 9. Защита информации

Основные понятия информационной безопасности

Информационная безопасность, являясь составной частью информационных технологий, тесно связана с понятием информационной системы.

Пассивный компонент системы, хранящий, принимающий или передающий информацию называется объектом. В отличие от объекта, субъект – это активный компонент системы, который может стать причиной потока информации между ними или изменения системы. В качестве субъекта могут выступать пользователи, процессы или программы.

Под информационной безопасностью следует понимать защиту интересов субъектов информационных отношений. Иными словами ИБ – это защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, направленных на нанесение ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. Таким образом, ключевое понятие информационной безопасности – защита информации, под которой понимается комплекс мероприятий, направленных на обеспечение информационной безопасности.

ИБ является одним из важнейших аспектов инте­гральной безопасности независимо от рассматриваемого уровня – мирового (мега-уровень ИБ), национально­го (макро-уровень ИБ), отраслевого или корпоративного (мезо-уровень ИБ), персонального (микро-уровень ИБ).

С методической точки зрения решение проблем информационной безопасности следует начинать с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных технологий и систем.

Из этого положения можно вывести два важных следствия:

1. Трактовка проблем, связанных с ИБ, для разных категорий субъектов может существенно различаться.

2. ИБ не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать, понести убытки, получить моральный ущерб не только от несанкционированного доступа, но и от поломки системы, вызвавшей сбои в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.

ИБ представляет собой многогранную сферу дея­тельности, успех в которой возможен только при соблюдении основных принципов информационной безопасности в информационных системах:

1. системность;

2. комплексность;

3. непрерывность защиты;

4. разумная достаточность;

5. гибкость управления и применения;

6. открытость алгоритмов и механизмов защиты;

7. простота применения защитных мер и средств.

Принцип системности.

Системный подход к защите ИС предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов:

· при всех видах информационной деятельности, формах и проявлениях информации;

· для всех структурных элементов;

· во всех режимах функционирования;

· на всех этапах жизненного цикла;

· с учетом взаимодействия объекта защиты с внешней средой.

При обеспечении информационной безопасности ИС необходимо учитывать все слабые, наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные ИС и несанкционированного доступа к информации. СЗИ должна строиться не только с учетом всех известных каналов проникновения, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.

Принцип комплексности.

В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и СЗИ. В частности, современные средства вычислительной техники, операционные системы, инструментальные и прикладные программные средства обладают определенными встроенными элементами защиты. Комплексное их использование предполагает согласование разнородных средств при построении целостной СЗИ, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.

Принцип непрерывности защиты.

ЗИ – это не разовое мероприятие и даже не конкретная совокупность уже проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла ИС (начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации). Разработка СЗИ должна вестись параллельно с разработкой самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, позволит создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.

Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка: своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т. п. Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования.

Разумная достаточность.

Создать абсолютно непреодолимую СЗИ принципиально невозможно: при достаточных времени и средствах можно преодолеть любую защиту. Например, средства криптографической защиты информации в большинстве случаев не гарантируют абсолютную стойкость, а обеспечивают конфиденциальность информации при использовании для дешифрования современных вычислительных средств в течение приемлемого для защищающейся стороны времени. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможно­го ущерба были бы приемлемыми (задача анализа риска).

Гибкость системы защиты.

Часто приходится создавать систему защиты в условиях большой неопределенности. Поэтому принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Естественно, что для обеспечения возможности варьирования уровня защищенности средства защиты должны обладать определенной гибкостью. Особенно важно это свойство в тех случаях, когда средства защиты необходимо устанавливать на уже работающую систему, не нарушая процесс ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости спасает владельца ИС от необходимости принятия кардинальных мер по полной замене СЗИ на новые.

Открытость алгоритмов и механизмов защиты.

Суть принципа открытости алгоритмов и механизмов ЗИ состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритма работы СЗИ не должно давать возможности ее преодоления (даже автору). Однако это совсем не означает, что информация о конкретной системе должна быть общедоступна – необходимо обеспечить защиту от угрозы раскрытия параметров системы.

Принцип простоты применения средств защиты.

Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение СЗИ не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей, имен).

Комплексное обеспечение информационной безопасности ИС – область науки и техники, охватывающая совокупность криптографических, программно-аппаратных, правовых, административно-организационных методов и средств обеспечения безопасности информации при ее обработке, хранении и передаче с использованием современных информационных технологий.

Во всех цивилизованных странах на страже безопасности граждан стоят законы, но в сфере вычислительной техники правоприменительная практика пока развита недостаточно, а законотворческий процесс не успевает за развитием технологий, поэтому надежность работы компьютерных систем во многом опирается на меры самозащиты.

Необходимо помнить, что в обеспечении ИБ нуждаются три основные кате­гории субъектов:

– государственные учреждения,

– коммерческие структуры,

– отдель­ные граждане.

Спектр интересов вышеуказанных субъектов, связанных с использованием ИС и ИТ, можно подразделить на следующие основные категории:

1. Доступность (возможность за приемлемое время получить требуемую информационную услугу);

2. Целостность (актуальность и непротиворечивость информации, ее защищенность от уничтожения и несанкционированного изменения);

3. Конфиденциальность (защита от несанкционированного ознакомления).

Рассмотрим эти категории более подробно.

Доступность– один из важнейших элементов информационной безопасности. Как правило, ИС создаются или приобретаются для по­лучения определенных информационных услуг (сервисов) и, если получение этих услуг пользователями становится невозможным по каким-то причинам, то это наносит ущерб всем субъектам информационных отношений. Ведущая роль доступности отчетливо проявляется в системах управления, например – производством, транспортом и т.п.

Длительная недоступность к информационным услугам, которыми пользуется боль­шое количество людей, может иметь весьма неприятные матери­альные и моральные последствия. Например, банковские услуги, продажа железнодорож­ных и авиабилетов и т.п.

Целостность информации — это свойство информации сохранять свою структу­ру и (или) содержание в процессе передачи и хранения. Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантичес­ком отношении от данных в исходных документах, то есть если не произошло их случайное или преднамеренное искажение или уничтожения.

Целостность подразделяется на статическую (понимаемую как неизмен­ность информационных объектов) и динамическую (относящуюся к корректно­му выполнению сложных действий (транзакций)). Большинство нормативных документов и разработок в сфере ИБ относятся к статической целостности, хотя динамичес­кий аспект не менее важен. В качестве примера учета динамической целостности, можно указать контроль потока финансовых сообщений с целью выявлений кра­жи, переупорядочения или дублирования отдельных сообщений.

Конфиденциальность информации – это свойство информации быть доступной только определенному (ограниченному) кругу пользователей информационной системы, в которой циркулирует данная информация. По существу, конфиденциальность информа­ции – это свойство информации быть известной только допущенным и прошед­шим проверку субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной (закрытой).

Конфиденциальность – самая проработанная категория ИБ. На страже конфиденциальности стоят законы, нормативные акты, многолетний опыт соответствующих специальных служб, аппаратно-программные средства.

Под доступом к информациипонимается ознакомление с информацией, ее об­работка, копирование, модификация или уничтожение. Различают санкционированный и несанкционированный доступ к информации.

Санкционированный доступк информации – это доступ к информации, не на­рушающий установленные правила разграничения доступа.

Несанкционированный доступ к информации характеризуется наруше­нием установленных правил разграничения доступа. Лицо, программа или процесс, осуще­ствляющие НСД, являются нарушите­лями правил разграничения доступа. Несанкционированный доступ является наиболее распространенным видом компьютерных нарушений.

Правила разграничения доступаслужат для регламентации права доступа к компонентам системы.

Оперативность доступа к информации – это способность информации или информационного ресурса быть доступными для конечного пользо­вателя в соответствии с его оперативными потребностями.

Доступность ресурса или компонента системы – это свойство ресурса или ком­понента быть доступными для законных пользователей системы.

Следует заметить, что компьютерные сети также являются системами, а именно – коммуникационными системами. Поэтому говоря о системе мы будем иметь ввиду и компьютерные сети.

С допуском к информации и ресурсам системы связана группа таких важных понятий, как идентификация, аутентификация, авторизация.

С каждым объектом системы связывают некоторую информацию (чис­ло, строку символов), идентифицирующую объект. Эта информация является идентификаторомобъекта системы. Объект, имеющий зарегистрирован­ный идентификатор, является законным (легальным) объектом.

Идентификация объекта – это процедура распознавания объекта по его иден­тификатору. Идентификация выполняется при попытке объекта войти в систему.

Следующим шагом взаимодействия системы с объектом является аутентифи­кация объекта.

Аутентификация объекта – это проверка подлинности объекта с данным иден­тификатором. Процедура аутентификации устанавливает, является ли объект именно тем, кем он себя объявил.

После идентификации и аутентификации объекта выполняют процедуру авто­ризации.

Авторизация объекта – это процедура предоставления законному объекту, успешно прошедшему идентификацию и аутентификацию, соответствующих пол­номочий и доступных ресурсов системы.

Под угрозой безопасностидля системы понимаются возможные воздей­ствия, которые прямо или косвенно могут нанести ущерб ее безопасности.

Ущерб безопасности– это нарушение состояния защищенности ин­формации, содержащейся и обрабатываемой в системе.

С понятием угрозы безопасности тесно связано понятие уязвимости компью­терной системы.

Уязвимость системы – это любая характеристика компьютерной систе­мы, использование которой может привести к реализации угрозы.

Атака на компьютерную систему – это действие, предпринимаемое субъектом (зло­умышленником) с целью поиска и использования той или иной уязвимости систе­мы. Таким образом, атака – это реализация угрозы безопасности.

Противодействие угрозам безопасности являетсяцелью средств защиты ком­пьютерных систем и сетей.

Безопасная или защищенная система – это система со средствами защиты, ко­торые успешно и эффективно противостоят угрозам безопасности.

Комплекс средств защиты представляет собой совокупность программ­ных и технических средств, создаваемых и поддерживаемых для обеспечения ИБ системы. КСЗ создается и поддерживается в соответствии с принятой в данной организации политикой безопасности.

Политика безопасности – это совокупность норм, правил и практических ре­комендаций, регламентирующих работу средств защиты компьютерной системы от заданного множества угроз безопасности.

Корпоративные компьютерные сети относятся к распределенным компьютерным систе­мам, осуществляющим автоматизированную обработку информации. Проблема обеспечения ИБ является центральной для таких КС. Обеспечение безопасности предполагает организацию противодействия любому несанкционированному вторжению в процесс функцио­нирования КС, а также попыткам модификации, хищения, выведения из строя или разрушения ее компонентов, то есть защиту всех компонентов КС – аппарат­ных средств, программного обеспечения, данных и персонала.

Существует два подхода к проблеме обеспечения безопасности КС: фрагментар­ный и комплексный.

Фрагментарный подходнаправлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы и т.п.

Достоинством такого подхода является высокая избирательность к конкретной угрозе. Существенным недостатком данного подхода является отсутствие единой защищенной среды обработки информации. Фрагментарные меры защиты ин­формации обеспечивают защиту конкретных объектов КС только от конкретной угрозы. Даже небольшое видоизменение угрозы ведет к потере эффективности за­щиты.

Комплексный подходориентирован на создание защищенной среды обработки информации в КС, объединяющей в единый комплекс разнородные меры проти­водействия угрозам. Организация защищенной среды обработки информации по­зволяет гарантировать определенный уровень безопасности КС, что является не­сомненным достоинством комплексного подхода. К недостаткам этого подхода относятся: ограничения на свободу действий пользователей КС, чувствитель­ность к ошибкам установки и настройки средств защиты, сложность управления.

Комплексный подход применяют для защиты КС крупных организаций или небольших КС, выполняющих ответственные задачи либо обрабатывающих осо­бо важную информацию. Нарушение безопасности информации в КС крупных организаций может нанести огромный материальный ущерб как самим органи­зациям, так и их клиентам. Поэтому такие организации вынуждены уделять особое внимание гарантиям безопасности и реализовывать комплексную защиту.

Комплексного подхода придерживаются большинство государственных и круп­ных коммерческих предприятий и учреждений. Этот подход нашел свое отра­жение в различных стандартах.

Комплексный подход к проблеме обеспечения безопасности основан на разра­ботанной для конкретной КС политике безопасности.

Политика безопасности реализуется посредством комплексного применения административно-организационных мер, физических мер и программно-аппа­ратных средств и определяет архитектуру системы защиты. Для конкретной организации политика безопасности должна носить индивидуальный характер и зависеть от конкретной технологии обработки информации и используемых программных и технических средств.

Политика безопасности зависит от способа управления доступом, определяю­щего порядок доступа к объектам системы. Различают два основных вида поли­тики безопасности: избирательную и полномочную.

Избирательная политика безопасностиоснована на избирательном способе управления доступом. Избирательное (или дискреционное) управление доступом характеризуется задаваемым администратором множеством разрешенных отно­шений доступа (например, в виде троек <объект, субъект, тип доступа>). Обычно для описания свойств избирательного управления доступом применяют матема­тическую модель на основе матрицы доступа.

Матрица доступапредставляет собой матрицу, в которой столбец соответству­ет объекту системы, а строка – субъекту. На пересечении столбца и строки матри­цы указывается тип разрешенного доступа субъекта к объекту. Обычно выделяют такие типы доступа субъекта к объекту, как «доступ на чтение», «доступ на за­пись», «доступ на исполнение» и т.п. Матрица доступа является самым простым подходом к моделированию систем управления доступом. Однако она служит основой для более сложных моделей, адекватнее описывающих реальные КС.

Избирательная политика безопасности иногда применяется в КС коммерчес­кого сектора, так как ее реализация соответствует требованиям некоторых ком­мерческих организаций по разграничению доступа и подотчетности, а также име­ет приемлемую стоимость.

Полномочная политика безопасностиоснована на полномочном (мандатном) способе управления доступом. Полномочное (или мандатное) управление доступом характеризуется совокупностью правил предоставления доступа, определенных на множестве атрибутов безопасности субъектов и объектов, например в зависимости от метки конфиденциальности информации и уровня допуска пользователя. Пол­номочное управление доступом подразумевает, что:

· все субъекты и объекты системы однозначно идентифицированы;

· каждому объекту системы присвоена метка конфиденциальности информа­ции, определяющая ценность содержащейся в нем информации;

· каждому субъекту системы присвоен определенный уровень допуска, опре­деляющий максимальное значение метки конфиденциальности информа­ции объектов, к которым субъект имеет доступ.

Чем важнее объект, тем выше его метка конфиденциальности. Поэтому наибо­лее защищенными оказываются объекты с наиболее высокими значениями метки конфиденциальности.

Основным назначением полномочной политики безопасности является регули­рование доступа субъектов системы к объектам с различными уровнями конфи­денциальности, предотвращение утечки информации с верхних уровней должно­стной иерархии на нижние, а также блокирование возможных проникновений с нижних уровней на верхние. При этом она может функционировать на фоне из­бирательной политики, придавая ее требованиям иерархически упорядоченный характер в соответствии с уровнями безопасности.

Помимо управления доступом субъектов к объектам системы проблема защи­ты информации имеет еще один аспект. Для получения информации о каком-либо объекте системы совсем не обязательно искать пути несанкционированного до­ступа к нему. Необходимую информацию можно получить, наблюдая за обработ­кой требуемого объекта, то есть используя каналы утечки информации. В систе­ме всегда существуют информационные потоки. Администратору необходимо определить, какие информационные потоки в системе являются «легальными», то есть не ведут к утечке информации, а какие – ведут. Поэтому возникает необ­ходимость разработки правил, регламентирующих управление информационными потоками в системе. Обычно управление информационными потоками применя­ется в рамках избирательной или полномочной политики, дополняя их и способ­ствуя повышению надежности системы защиты.

Для защиты интересов субъектов информационных отношений необходимо со­четать меры следующих уровней:

· правового или законодательного (законы, нормативные акты, стандарты и т.п.);

· административно-организационного (действия общего характера, предпри­нимаемые руководством организации, и конкретные меры безопасности, на­правленные на работу с людьми);

· программно-аппаратные (конкретные технические меры).

Меры правового уровня очень важны для обеспечения информационной безопасности. К этому уровню можно отнести весь комплекс мер, направленных на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности. Боль­шинство людей не совершают противоправных действий потому, что это осуж­дается и (или) наказывается обществом, и потому, что так поступать не принято.

ИБ – это новая область деятельности, здесь важно не только запрещать и наказывать, но и научить, разъяснить, помочь. Общество должно осознать важность данной проблематики, понять основные пути решения соот­ветствующих проблем. Государство может сделать это оптимальным образом. Здесь не нужно больших материальных затрат, требуются интеллектуальные вложения.

Меры административно-организационного уровня. Администрация организа­ции должна сознавать необходимость поддержания режима безопасности и выде­ления на эти цели соответствующих ресурсов. Основой мер защиты админист­ративно-организационного уровня является политика безопасности и комплекс организационных мер. Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту инфор­мации и ассоциированных с ней ресурсов организации.

К комплексу организационных мер относятся меры безопасности, реализуемые людьми. Можно выделить следующие группы организационных мер:

· управление персоналом;

· физическая защита;

· поддержание работоспособности;

· реагирование на нарушения режима безопасности;

· планирование восстановительных работ.

Для каждой группы в любой организации должен существовать набор регла­ментов, определяющих действия персонала.

Для поддержания режима ИБ особенно важны меры программно-технического уровня, поскольку основная угроза КС исходит от них самих: сбои оборудования, ошибки программного обеспече­ния, промахи пользователей и администраторов и т.п.

Меры и средства программно-аппаратного уровня. В рамках современных ин­формационных систем должны быть доступны, по крайней мере, следующие ме­ханизмы безопасности:

· идентификация и проверка подлинности пользователей;

· управление доступом;

· протоколирование и аудит;

· криптография;

· экранирование;

· обеспечение высокой доступности.

Информационные системы почти всегда построены на основе про­граммных и аппаратных продуктов различных производителей. Дело в том, что на данный момент нет ни одной компании-разработчика, которая предоставила бы потребителю полный перечень средств (от аппаратных до программных) для построения современной ИС. Чтобы обеспечить в разнородной ИС надежную защиту информации, требуются специалисты высокой квалификации, которые будут отвечать за безопасность каждого компонента ИС: правильно их настраи­вать, постоянно отслеживать происходящие изменения, контролировать работу пользователей. Очевидно, что чем разнороднее информационная система, тем сложнее обеспечить ее безопасность. Изобилие в корпоративных сетях и систе­мах устройств защиты, брандмауэров, шлюзов и виртуальных сетей, а также растущий спрос на доступ к корпоративным данным со стороны сотрудников, партнеров и за­казчиков приводят к созданию сложной среды защиты, трудной для управле­ния, а иногда и с проблемами несовместимости.

Интероперабельность продуктов защиты является важным требованием для большинства корпоративных ИС. Принятое организацией решение безопасности должно га­рантировать защиту на всех платформах в рамках этой организации. Поэтому вполне очевидна потребность в применении единого набора стандартов постав­щиками средств защиты, компаниями – системными интеграторами и организаци­ями, выступающими в качестве заказчиков систем безопасности для своих кор­поративных сетей и систем.

Стандарты образуют понятийный базис – на нем строятся все работы по обес­печению информационной безопасности – и определяют критерии, которым должно следовать управление безопасностью. В то же время нужно отметить, что этот базис ориентирован в основном на производителей и «оценщиков» сис­тем и в гораздо меньшей степени - на потребителей.

Стандарты и рекомендации статичны, причем статичны в двух аспектах. Во-первых, они не учитывают постоянной перестройки защищаемых систем и их окружения; во-вторых, они не содержат практических рекомендаций по форми­рованию режима безопасности. Иными словами, стандарты не дают ответов на два главных и весьма актуальных с практической точки зрения вопроса:

· как приобретать и комплектовать информационную систему масштаба пред­приятия, чтобы ее можно было сделать безопасной;

· как практически сформировать режим безопасности и поддерживать его в условиях постоянно меняющегося окружения и структуры самой системы?

Несмотря на отмеченные особенности стандартов, они являются необходимой базой, обеспечивающей совместимость продуктов разных производителей, что чрезвычайно важно при создании систем сетевой безопасности в гетерогенных средах.

Комплексный подход к решению проблемы обеспечения безопасности, рацио­нальное сочетании законодательных, административно-организационных и про­граммно-аппаратных мер и обязательное следование промышленным, нацио­нальным и международным стандартам являются тем фундаментом, на котором строится вся система защиты корпоративных сетей.