Page 163 - 4636
P. 163
транзакцій, наприклад, початкової транзакції між сайтом електронної комерції і невідомим
відвідувачем, що володіє кредитною карткою.
Для підтвердження своєї сумлінності щодо відвідувачів компанія, що займається електронною
комерцією, повинна бути готова надати центру сертифікації, такому як VeriSign або Thawte, докази
справжності і кілька сотень доларів. Але чи захоче та ж компанія відмовити в обслуговуванні
відвідувачу, який відмовляється зробити те ж для підтвердження своєї особи? При виконанні
транзакцій з невеликими сумами торговці, в основному, готові піти на певний ризик обману або
відмови від зобов'язань, щоб не втратити потенційних покупців.
Зручність використання, продуктивність, зниження витрат і безпека
За своєю природою Інтернет - середовище, сполучена з ризиками. Вона була створена для того,
щоб дозволити великій кількості невідомих користувачів запитувати певні послуги від різних
комп'ютерів. Більшість запитів будуть цілком легальними запитами на отримання веб-сторінок, але
якщо ваш комп'ютер підключений до Інтернету, ніщо не заважає людям намагатися встановити
з'єднання іншого типу.
Природно припустити, що бажано забезпечити найвищий рівень захисту, проте на практиці це
зустрічається не так вже часто. Якщо ви хочете почувати себе в повній безпеці, тримайте всі свої
комп'ютери вимкненими, від'єднаними від усіх мереж і закритими в сейфі. Щоб комп'ютери були
корисними і доступними для використання, доведеться піти на деякі послаблення в захисті.
Між безпекою, зручністю використання, витратами і продуктивністю має бути досягнутий
певний компроміс. Якщо зробити службу більш захищеною, це може знизити зручність її
використання, наприклад, якщо обмежити клієнту кількість дозволених дій або вимагати, щоб клієнт
ідентифікував себе. Підвищення безпеки може також спричинити за собою зниження продуктивності
комп'ютерів. Використання програмного забезпечення для підвищення безпеки системи - наприклад,
системи шифрування, системи виявлення вторгнень, антивірусних програм, системи розширеної
реєстрації - вимагає додаткових ресурсів. Для організації шифрованого сеансу, такого як з'єднання з
веб-сайтом за протоколом SSL, потрібно значно більша обчислювальна потужність, ніж для
проведення звичайного сеансу. Подібного роду втрати продуктивності можна компенсувати
витративши більше грошей на більш потужні комп'ютери або на обладнання, спеціально створене для
шифрування даних.
Продуктивність, зручність використання, витрати і безпеку можна вважати взаємовиключними
цілями. Для досягнення компромісу потрібно проаналізувати необхідні поступки і прийняти
обгрунтоване рішення. Компроміс можна буде знайти залежно від того, яка цінність вашої інформації,
скільки користувачів передбачається обслуговувати, і проти яких перешкод не заперечуватимуть
легальні відвідувачі вашого сайту.
9.3 Розробка політики безпеки
Політика безпеки - це документ, що описує такі аспекти:
загальна філософія захисту в даній організації;
елементи, які повинні бути захищені - програмне забезпечення, обладнання, дані;
персонал, відповідальний за захист необхідних елементів;
стандарти безпеки і метрики, що вимірюють ступінь задоволення цих стандартів.
Гарним посібником при розробці стратегії безпеки може служити те, що вона подібна складанню
функціональних вимог для програмного забезпечення. Стратегія не повинна зачіпати конкретні
реалізації або рішення; замість цього вона повинна відображати мету захисту та вимоги, що
пред'являються до неї в даному середовищі. Стратегія безпеки не повинна оновлюватися занадто
часто. В окремому документі слід зафіксувати принципи того, як вимоги стратегії захисту повинні
бути реалізовані в конкретному середовищі. Ці принципи можуть відрізнятися для різних підрозділів
160
