Приобретение программного продукта
Приобретение программного продукта — это покупка лицензии (права) на его использование. Условия использования любого программного продукта описаны в лицензионном соглашении, которое представляет собой договор между производителем программного продукта и пользователем программного обеспечения. Для разных пользователей (индивидуальных покупателей, организаций разного масштаба, учебных заведений и правительственных учреждений) могут быть установлены различные условия приобретения программного обеспечения.
Для приобретения программных продуктов крупных производителей программного обеспечения, таких, как, например, корпорация Microsoft, следует обращаться к ее партнерам, через которых она действует во всем мире. Каждый пользователь программного продукта должен иметь лицензию на него. Лицензия должна быть закуплена для каждого компьютера, на котором установлен или используется загружаемый через сеть программный продукт. Договор между пользователем и производителем не подписывается: считается, что покупатель соглашается с условиями лицензионного соглашения, если он вскрывает дистрибутив — упаковку с дискетам и или компакт-диском. Это так называемая «оберточная» лицензия, предусмотренная Законом «О правовой охране программ для ЭВМ и баз данных» от 23 сентября 1992 года.
Программное обеспечение на компьютере находится «в пользовании», когда оно помещено в постоянную память (обычно на жесткий диск, но возможно и на компакт-диск или другое устройство для хранения информации) или загружено в оперативную память (RAM). В компьютерной сети продукт может использоваться одним из двух способов: запуск программного обеспечения с локального жесткого диска рабочей станции или установка продукта только на сервер сети и запуск программного обеспечения с сервера. Вне зависимости от того, как используется продукт в сети (с сервера или с локального рабочего места), каждый пользователь должен обладать лицензией на право использования этого продукта. Только такой вариант использования программного продукта считается законным.
Существует несколько вариантов приобретения лицензии, т. е. права использовать программный продукт. Наиболее известный и распространенный путь — покупка коробки с программным продуктом. Коробка содержитлицензионное соглашение, регистрационную карточку, дистрибутив с программным продуктом и документацию. Это основные компоненты, которые входят в коробку с программным продуктом, предназначенную для новых пользователей, т. е. для тех, кто ранее не использовал данный программный продукт и приобрел его впервые. Если появляется необходимость в использовании этого программного продукта на других компьютерах, недостаточно приобрести одну коробку. В этом случае многие поставщики программного обеспечения предлагают приобрести только лицензию — конверт, содержащий лицензионное соглашение, цена которого ниже, чем цена коробки.
РАЗДЕЛ 9. Защита информации
Основные понятия информационной безопасности
Информационная безопасность, являясь составной частью информационных технологий, тесно связана с понятием информационной системы.
Пассивный компонент системы, хранящий, принимающий или передающий информацию называется объектом. В отличие от объекта, субъект – это активный компонент системы, который может стать причиной потока информации между ними или изменения системы. В качестве субъекта могут выступать пользователи, процессы или программы.
Под информационной безопасностью следует понимать защиту интересов субъектов информационных отношений. Иными словами ИБ – это защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, направленных на нанесение ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. Таким образом, ключевое понятие информационной безопасности – защита информации, под которой понимается комплекс мероприятий, направленных на обеспечение информационной безопасности.
ИБ является одним из важнейших аспектов интегральной безопасности независимо от рассматриваемого уровня – мирового (мега-уровень ИБ), национального (макро-уровень ИБ), отраслевого или корпоративного (мезо-уровень ИБ), персонального (микро-уровень ИБ).
С методической точки зрения решение проблем информационной безопасности следует начинать с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных технологий и систем.
Из этого положения можно вывести два важных следствия:
1. Трактовка проблем, связанных с ИБ, для разных категорий субъектов может существенно различаться.
2. ИБ не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать, понести убытки, получить моральный ущерб не только от несанкционированного доступа, но и от поломки системы, вызвавшей сбои в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.
ИБ представляет собой многогранную сферу деятельности, успех в которой возможен только при соблюдении основных принципов информационной безопасности в информационных системах:
1. системность;
2. комплексность;
3. непрерывность защиты;
4. разумная достаточность;
5. гибкость управления и применения;
6. открытость алгоритмов и механизмов защиты;
7. простота применения защитных мер и средств.
Принцип системности.
Системный подход к защите ИС предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов:
· при всех видах информационной деятельности, формах и проявлениях информации;
· для всех структурных элементов;
· во всех режимах функционирования;
· на всех этапах жизненного цикла;
· с учетом взаимодействия объекта защиты с внешней средой.
При обеспечении информационной безопасности ИС необходимо учитывать все слабые, наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумышленников), пути проникновения в распределенные ИС и несанкционированного доступа к информации. СЗИ должна строиться не только с учетом всех известных каналов проникновения, но и с учетом возможности появления принципиально новых путей реализации угроз безопасности.
Принцип комплексности.
В распоряжении специалистов по компьютерной безопасности имеется широкий спектр мер, методов и СЗИ. В частности, современные средства вычислительной техники, операционные системы, инструментальные и прикладные программные средства обладают определенными встроенными элементами защиты. Комплексное их использование предполагает согласование разнородных средств при построении целостной СЗИ, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.
Принцип непрерывности защиты.
ЗИ – это не разовое мероприятие и даже не конкретная совокупность уже проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла ИС (начиная с самых ранних стадий проектирования, а не только на этапе ее эксплуатации). Разработка СЗИ должна вестись параллельно с разработкой самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, позволит создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.
Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка: своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т. п. Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования.
Разумная достаточность.
Создать абсолютно непреодолимую СЗИ принципиально невозможно: при достаточных времени и средствах можно преодолеть любую защиту. Например, средства криптографической защиты информации в большинстве случаев не гарантируют абсолютную стойкость, а обеспечивают конфиденциальность информации при использовании для дешифрования современных вычислительных средств в течение приемлемого для защищающейся стороны времени. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).
Гибкость системы защиты.
Часто приходится создавать систему защиты в условиях большой неопределенности. Поэтому принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Естественно, что для обеспечения возможности варьирования уровня защищенности средства защиты должны обладать определенной гибкостью. Особенно важно это свойство в тех случаях, когда средства защиты необходимо устанавливать на уже работающую систему, не нарушая процесс ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости спасает владельца ИС от необходимости принятия кардинальных мер по полной замене СЗИ на новые.
Открытость алгоритмов и механизмов защиты.
Суть принципа открытости алгоритмов и механизмов ЗИ состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритма работы СЗИ не должно давать возможности ее преодоления (даже автору). Однако это совсем не означает, что информация о конкретной системе должна быть общедоступна – необходимо обеспечить защиту от угрозы раскрытия параметров системы.
Принцип простоты применения средств защиты.
Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение СЗИ не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей, имен).
Комплексное обеспечение информационной безопасности ИС – область науки и техники, охватывающая совокупность криптографических, программно-аппаратных, правовых, административно-организационных методов и средств обеспечения безопасности информации при ее обработке, хранении и передаче с использованием современных информационных технологий.
Во всех цивилизованных странах на страже безопасности граждан стоят законы, но в сфере вычислительной техники правоприменительная практика пока развита недостаточно, а законотворческий процесс не успевает за развитием технологий, поэтому надежность работы компьютерных систем во многом опирается на меры самозащиты.
Необходимо помнить, что в обеспечении ИБ нуждаются три основные категории субъектов:
– государственные учреждения,
– коммерческие структуры,
– отдельные граждане.
Спектр интересов вышеуказанных субъектов, связанных с использованием ИС и ИТ, можно подразделить на следующие основные категории:
1. Доступность (возможность за приемлемое время получить требуемую информационную услугу);
2. Целостность (актуальность и непротиворечивость информации, ее защищенность от уничтожения и несанкционированного изменения);
3. Конфиденциальность (защита от несанкционированного ознакомления).
Рассмотрим эти категории более подробно.
Доступность– один из важнейших элементов информационной безопасности. Как правило, ИС создаются или приобретаются для получения определенных информационных услуг (сервисов) и, если получение этих услуг пользователями становится невозможным по каким-то причинам, то это наносит ущерб всем субъектам информационных отношений. Ведущая роль доступности отчетливо проявляется в системах управления, например – производством, транспортом и т.п.
Длительная недоступность к информационным услугам, которыми пользуется большое количество людей, может иметь весьма неприятные материальные и моральные последствия. Например, банковские услуги, продажа железнодорожных и авиабилетов и т.п.
Целостность информации — это свойство информации сохранять свою структуру и (или) содержание в процессе передачи и хранения. Целостность информации обеспечивается в том случае, если данные в системе не отличаются в семантическом отношении от данных в исходных документах, то есть если не произошло их случайное или преднамеренное искажение или уничтожения.
Целостность подразделяется на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Большинство нормативных документов и разработок в сфере ИБ относятся к статической целостности, хотя динамический аспект не менее важен. В качестве примера учета динамической целостности, можно указать контроль потока финансовых сообщений с целью выявлений кражи, переупорядочения или дублирования отдельных сообщений.
Конфиденциальность информации – это свойство информации быть доступной только определенному (ограниченному) кругу пользователей информационной системы, в которой циркулирует данная информация. По существу, конфиденциальность информации – это свойство информации быть известной только допущенным и прошедшим проверку субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной (закрытой).
Конфиденциальность – самая проработанная категория ИБ. На страже конфиденциальности стоят законы, нормативные акты, многолетний опыт соответствующих специальных служб, аппаратно-программные средства.
Под доступом к информациипонимается ознакомление с информацией, ее обработка, копирование, модификация или уничтожение. Различают санкционированный и несанкционированный доступ к информации.
Санкционированный доступк информации – это доступ к информации, не нарушающий установленные правила разграничения доступа.
Несанкционированный доступ к информации характеризуется нарушением установленных правил разграничения доступа. Лицо, программа или процесс, осуществляющие НСД, являются нарушителями правил разграничения доступа. Несанкционированный доступ является наиболее распространенным видом компьютерных нарушений.
Правила разграничения доступаслужат для регламентации права доступа к компонентам системы.
Оперативность доступа к информации – это способность информации или информационного ресурса быть доступными для конечного пользователя в соответствии с его оперативными потребностями.
Доступность ресурса или компонента системы – это свойство ресурса или компонента быть доступными для законных пользователей системы.
Следует заметить, что компьютерные сети также являются системами, а именно – коммуникационными системами. Поэтому говоря о системе мы будем иметь ввиду и компьютерные сети.
С допуском к информации и ресурсам системы связана группа таких важных понятий, как идентификация, аутентификация, авторизация.
С каждым объектом системы связывают некоторую информацию (число, строку символов), идентифицирующую объект. Эта информация является идентификаторомобъекта системы. Объект, имеющий зарегистрированный идентификатор, является законным (легальным) объектом.
Идентификация объекта – это процедура распознавания объекта по его идентификатору. Идентификация выполняется при попытке объекта войти в систему.
Следующим шагом взаимодействия системы с объектом является аутентификация объекта.
Аутентификация объекта – это проверка подлинности объекта с данным идентификатором. Процедура аутентификации устанавливает, является ли объект именно тем, кем он себя объявил.
После идентификации и аутентификации объекта выполняют процедуру авторизации.
Авторизация объекта – это процедура предоставления законному объекту, успешно прошедшему идентификацию и аутентификацию, соответствующих полномочий и доступных ресурсов системы.
Под угрозой безопасностидля системы понимаются возможные воздействия, которые прямо или косвенно могут нанести ущерб ее безопасности.
Ущерб безопасности– это нарушение состояния защищенности информации, содержащейся и обрабатываемой в системе.
С понятием угрозы безопасности тесно связано понятие уязвимости компьютерной системы.
Уязвимость системы – это любая характеристика компьютерной системы, использование которой может привести к реализации угрозы.
Атака на компьютерную систему – это действие, предпринимаемое субъектом (злоумышленником) с целью поиска и использования той или иной уязвимости системы. Таким образом, атака – это реализация угрозы безопасности.
Противодействие угрозам безопасности являетсяцелью средств защиты компьютерных систем и сетей.
Безопасная или защищенная система – это система со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности.
Комплекс средств защиты представляет собой совокупность программных и технических средств, создаваемых и поддерживаемых для обеспечения ИБ системы. КСЗ создается и поддерживается в соответствии с принятой в данной организации политикой безопасности.
Политика безопасности – это совокупность норм, правил и практических рекомендаций, регламентирующих работу средств защиты компьютерной системы от заданного множества угроз безопасности.
Корпоративные компьютерные сети относятся к распределенным компьютерным системам, осуществляющим автоматизированную обработку информации. Проблема обеспечения ИБ является центральной для таких КС. Обеспечение безопасности предполагает организацию противодействия любому несанкционированному вторжению в процесс функционирования КС, а также попыткам модификации, хищения, выведения из строя или разрушения ее компонентов, то есть защиту всех компонентов КС – аппаратных средств, программного обеспечения, данных и персонала.
Существует два подхода к проблеме обеспечения безопасности КС: фрагментарный и комплексный.
Фрагментарный подходнаправлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы и т.п.
Достоинством такого подхода является высокая избирательность к конкретной угрозе. Существенным недостатком данного подхода является отсутствие единой защищенной среды обработки информации. Фрагментарные меры защиты информации обеспечивают защиту конкретных объектов КС только от конкретной угрозы. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты.
Комплексный подходориентирован на создание защищенной среды обработки информации в КС, объединяющей в единый комплекс разнородные меры противодействия угрозам. Организация защищенной среды обработки информации позволяет гарантировать определенный уровень безопасности КС, что является несомненным достоинством комплексного подхода. К недостаткам этого подхода относятся: ограничения на свободу действий пользователей КС, чувствительность к ошибкам установки и настройки средств защиты, сложность управления.
Комплексный подход применяют для защиты КС крупных организаций или небольших КС, выполняющих ответственные задачи либо обрабатывающих особо важную информацию. Нарушение безопасности информации в КС крупных организаций может нанести огромный материальный ущерб как самим организациям, так и их клиентам. Поэтому такие организации вынуждены уделять особое внимание гарантиям безопасности и реализовывать комплексную защиту.
Комплексного подхода придерживаются большинство государственных и крупных коммерческих предприятий и учреждений. Этот подход нашел свое отражение в различных стандартах.
Комплексный подход к проблеме обеспечения безопасности основан на разработанной для конкретной КС политике безопасности.
Политика безопасности реализуется посредством комплексного применения административно-организационных мер, физических мер и программно-аппаратных средств и определяет архитектуру системы защиты. Для конкретной организации политика безопасности должна носить индивидуальный характер и зависеть от конкретной технологии обработки информации и используемых программных и технических средств.
Политика безопасности зависит от способа управления доступом, определяющего порядок доступа к объектам системы. Различают два основных вида политики безопасности: избирательную и полномочную.
Избирательная политика безопасностиоснована на избирательном способе управления доступом. Избирательное (или дискреционное) управление доступом характеризуется задаваемым администратором множеством разрешенных отношений доступа (например, в виде троек <объект, субъект, тип доступа>). Обычно для описания свойств избирательного управления доступом применяют математическую модель на основе матрицы доступа.
Матрица доступапредставляет собой матрицу, в которой столбец соответствует объекту системы, а строка – субъекту. На пересечении столбца и строки матрицы указывается тип разрешенного доступа субъекта к объекту. Обычно выделяют такие типы доступа субъекта к объекту, как «доступ на чтение», «доступ на запись», «доступ на исполнение» и т.п. Матрица доступа является самым простым подходом к моделированию систем управления доступом. Однако она служит основой для более сложных моделей, адекватнее описывающих реальные КС.
Избирательная политика безопасности иногда применяется в КС коммерческого сектора, так как ее реализация соответствует требованиям некоторых коммерческих организаций по разграничению доступа и подотчетности, а также имеет приемлемую стоимость.
Полномочная политика безопасностиоснована на полномочном (мандатном) способе управления доступом. Полномочное (или мандатное) управление доступом характеризуется совокупностью правил предоставления доступа, определенных на множестве атрибутов безопасности субъектов и объектов, например в зависимости от метки конфиденциальности информации и уровня допуска пользователя. Полномочное управление доступом подразумевает, что:
· все субъекты и объекты системы однозначно идентифицированы;
· каждому объекту системы присвоена метка конфиденциальности информации, определяющая ценность содержащейся в нем информации;
· каждому субъекту системы присвоен определенный уровень допуска, определяющий максимальное значение метки конфиденциальности информации объектов, к которым субъект имеет доступ.
Чем важнее объект, тем выше его метка конфиденциальности. Поэтому наиболее защищенными оказываются объекты с наиболее высокими значениями метки конфиденциальности.
Основным назначением полномочной политики безопасности является регулирование доступа субъектов системы к объектам с различными уровнями конфиденциальности, предотвращение утечки информации с верхних уровней должностной иерархии на нижние, а также блокирование возможных проникновений с нижних уровней на верхние. При этом она может функционировать на фоне избирательной политики, придавая ее требованиям иерархически упорядоченный характер в соответствии с уровнями безопасности.
Помимо управления доступом субъектов к объектам системы проблема защиты информации имеет еще один аспект. Для получения информации о каком-либо объекте системы совсем не обязательно искать пути несанкционированного доступа к нему. Необходимую информацию можно получить, наблюдая за обработкой требуемого объекта, то есть используя каналы утечки информации. В системе всегда существуют информационные потоки. Администратору необходимо определить, какие информационные потоки в системе являются «легальными», то есть не ведут к утечке информации, а какие – ведут. Поэтому возникает необходимость разработки правил, регламентирующих управление информационными потоками в системе. Обычно управление информационными потоками применяется в рамках избирательной или полномочной политики, дополняя их и способствуя повышению надежности системы защиты.
Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:
· правового или законодательного (законы, нормативные акты, стандарты и т.п.);
· административно-организационного (действия общего характера, предпринимаемые руководством организации, и конкретные меры безопасности, направленные на работу с людьми);
· программно-аппаратные (конкретные технические меры).
Меры правового уровня очень важны для обеспечения информационной безопасности. К этому уровню можно отнести весь комплекс мер, направленных на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности. Большинство людей не совершают противоправных действий потому, что это осуждается и (или) наказывается обществом, и потому, что так поступать не принято.
ИБ – это новая область деятельности, здесь важно не только запрещать и наказывать, но и научить, разъяснить, помочь. Общество должно осознать важность данной проблематики, понять основные пути решения соответствующих проблем. Государство может сделать это оптимальным образом. Здесь не нужно больших материальных затрат, требуются интеллектуальные вложения.
Меры административно-организационного уровня. Администрация организации должна сознавать необходимость поддержания режима безопасности и выделения на эти цели соответствующих ресурсов. Основой мер защиты административно-организационного уровня является политика безопасности и комплекс организационных мер. Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов организации.
К комплексу организационных мер относятся меры безопасности, реализуемые людьми. Можно выделить следующие группы организационных мер:
· управление персоналом;
· физическая защита;
· поддержание работоспособности;
· реагирование на нарушения режима безопасности;
· планирование восстановительных работ.
Для каждой группы в любой организации должен существовать набор регламентов, определяющих действия персонала.
Для поддержания режима ИБ особенно важны меры программно-технического уровня, поскольку основная угроза КС исходит от них самих: сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т.п.
Меры и средства программно-аппаратного уровня. В рамках современных информационных систем должны быть доступны, по крайней мере, следующие механизмы безопасности:
· идентификация и проверка подлинности пользователей;
· управление доступом;
· протоколирование и аудит;
· криптография;
· экранирование;
· обеспечение высокой доступности.
Информационные системы почти всегда построены на основе программных и аппаратных продуктов различных производителей. Дело в том, что на данный момент нет ни одной компании-разработчика, которая предоставила бы потребителю полный перечень средств (от аппаратных до программных) для построения современной ИС. Чтобы обеспечить в разнородной ИС надежную защиту информации, требуются специалисты высокой квалификации, которые будут отвечать за безопасность каждого компонента ИС: правильно их настраивать, постоянно отслеживать происходящие изменения, контролировать работу пользователей. Очевидно, что чем разнороднее информационная система, тем сложнее обеспечить ее безопасность. Изобилие в корпоративных сетях и системах устройств защиты, брандмауэров, шлюзов и виртуальных сетей, а также растущий спрос на доступ к корпоративным данным со стороны сотрудников, партнеров и заказчиков приводят к созданию сложной среды защиты, трудной для управления, а иногда и с проблемами несовместимости.
Интероперабельность продуктов защиты является важным требованием для большинства корпоративных ИС. Принятое организацией решение безопасности должно гарантировать защиту на всех платформах в рамках этой организации. Поэтому вполне очевидна потребность в применении единого набора стандартов поставщиками средств защиты, компаниями – системными интеграторами и организациями, выступающими в качестве заказчиков систем безопасности для своих корпоративных сетей и систем.
Стандарты образуют понятийный базис – на нем строятся все работы по обеспечению информационной безопасности – и определяют критерии, которым должно следовать управление безопасностью. В то же время нужно отметить, что этот базис ориентирован в основном на производителей и «оценщиков» систем и в гораздо меньшей степени - на потребителей.
Стандарты и рекомендации статичны, причем статичны в двух аспектах. Во-первых, они не учитывают постоянной перестройки защищаемых систем и их окружения; во-вторых, они не содержат практических рекомендаций по формированию режима безопасности. Иными словами, стандарты не дают ответов на два главных и весьма актуальных с практической точки зрения вопроса:
· как приобретать и комплектовать информационную систему масштаба предприятия, чтобы ее можно было сделать безопасной;
· как практически сформировать режим безопасности и поддерживать его в условиях постоянно меняющегося окружения и структуры самой системы?
Несмотря на отмеченные особенности стандартов, они являются необходимой базой, обеспечивающей совместимость продуктов разных производителей, что чрезвычайно важно при создании систем сетевой безопасности в гетерогенных средах.
Комплексный подход к решению проблемы обеспечения безопасности, рациональное сочетании законодательных, административно-организационных и программно-аппаратных мер и обязательное следование промышленным, национальным и международным стандартам являются тем фундаментом, на котором строится вся система защиты корпоративных сетей.