РегистрацияЭто старая редакция страницы Библиотека / Основы / S S D / Риски / Уроки за 10/03/2009 15:32.
A Few Parting Lessons
Несколько отдельных уроков
Now that we've covered the critical concepts, here are a few more basic lessons in security-think that you should consider before reading the rest of this guide:
Завершив рассмотрение наиболее важных концепций, предлагаем ещё несколько более общих уроков ИБ-мышления, которые вам следует учесть, прежде чем продолжить изучение руководства:
Knowledge is Power. Good security decisions can't be made without good information. Your security tradeoffs are only as good as the information you have about the value of your assets, the severity of the threats from different adversaries to those assets, and the risk of those attacks actually happening. We're going to try to give you the knowledge you need to identify the threats to your computer and communications security that are posed by the government, and judge the risk against possible security measures.
Знание — сила. Невозможно принимать хорошие решения по проблемам безопасности, не обладая хорошими сведениями. Сделанные вами оценки безопасности будут хороши лишь настолько, насколько хороша имеющаяся у вас информация о ценности ваших объектов, о значимости угроз, представляемым этим объектам различными противниками, и о риске воплощения данных атак. Мы постараемся предоставить вам знания, необходимые для выявления угроз, создаваемых государством вашему компьютеру и каналам связи, и позволяющие взвесить риск против возможных мер безопасности.
The Weakest Link. Think about assets as components of the system in which they are used. The security of the asset depends on the strength of all the components in the system. The old adage that "a chain is only as strong as its weakest link" applies to security, too: The system as a whole is only as strong as the weakest component. For example, the best door lock is of no use if you have cheap window latches. Encrypting your email so it won't get intercepted in transit won't protect the confidentiality of that email if you store an unencrypted copy on your laptop and your laptop is stolen.
Самое слабое звено. Представляйте объекты как составные части системы, в которой они используются. Безопасность объекта зависит от прочности всех компонентов системы. Старая поговорка, гласящая, что цепь прочна настолько, насколько прочно её самое слабое звено, относится и к безопасности: система в целом будет не прочнее, чем её самый ненадёжный компонент. Например, даже от самого лучшего дверного замка не будет никакой пользы, если на окнах у вас дешёвые защёлки. Шифрование емэйла, не позволяющее прочитать его в процессе передачи, не защитит секретность сообщений, если вы храните незашифрованные копии в ноутбуке, который оказывается украден.
Simpler is Safer and Easier. It is generally most cost-effective and most important to protect the weakest component of the system in which an asset is used. Since the weak components are much easier to identify and understand in simple systems, you should strive to reduce the number and complexity of components in your information systems. A small number of components will also serve to reduce the number of interactions between components, which is another source of complexity, cost, and risk.
Проще — значит надёжнее и легче. Наиболее экономически эффективный и важный шаг — это, как правило, обеспечение безопасности самого слабого компонента системы, в которой используется объект. Поскольку слабые компоненты намного легче выявить и понять, если система проста, то следует прилагать усилия к уменьшению количества и сложности компонентов в ваших информационных системах. Малое число компонентов также поможет снизить число взаимодействий между компонентами, что является ещё одним источником сложностей, издержек и риска.
More Expensive Doesn't Mean More Secure. Don't assume that the most expensive security solution is the best, especially if it takes away resources needed elsewhere. Low-cost measures like shredding trash before leaving it on the curb can give you lots of bang for your security buck.
Более дорогое — не обязательно более надёжное. Не думайте, что самое дорогое средство безопасности является лучшим, особенно если оно требует ресурсов, необходимых в других местах. Недорогие меры, такие как разрывание бумаг или пропускание их через шреддер прежде, чем выбросить их в мусорный бак, дадут наибольший эффект за ваши ограниченные средства.
There is No Perfect Security — It's Always a Trade-Off. Set security policies that are reasonable for your organization, for the risks you face, and for the implementation steps your group can and will take. A perfect security policy on paper won't work if it's too difficult to follow day-to-day.
Идеальной безопасности не бывает, это всегда компромисс. Определите такую политику безопасности, которая будет целесообразна для вашей организации, для рисков, с которыми вы сталкиваете, и для таких шагов по её реализации, на которые вы готовы пойти. Политика безопасности, которая идеальна на бумаге, но слишком сложна для повседневного применения, не будет работать.
What's Secure Today May Not Be Secure Tomorrow. It is also crucially important to continually re-evaluate the security of your assets. Just because they were secure last year or last week doesn't mean they're still secure!
То, что защищено сегодня, может стать незащищённым завтра. Очень важно постоянно перепроверять защищённость ваших объектов. То, что они были в безопасности год назад или на прошлой неделе, не значит, что они защищены и сейчас!
