Cайт веб-разработчика, программиста Ruby on Rails ESV Corp. Екатеринбург, Москва, Санкт-Петербург, Новосибирск, Первоуральск

Информационная безопасность

Основные законы

Если вас можно атаковать, вас атакуют (следствие основного закона Мерфи).

Если 4 дыры устранены, то всегда найдется пятая.

Не заявляй о своей неуязвимости и невзламываемости - всегда найдется кто-то, кто докажет обратное.

Обнаружить все дыры невозможно.

Экспертом по безопасности, как и знатоком футбола, считает себя каждый второй (не считая каждого первого).

Законы построения системы обеспечения информационной безопасности

Система информационной безопасности никогда не строится в срок и в пределах сметы (следствие из закона Хеопса).

Как бы хорошо не была написана политика безопасности всегда найдется используемая у вас технология, которая не нашла в ней отражение.

Как только политика безопасности окончательно утверждена, она уже окончательно устарела.

Любые издержки на построение системы информационной безопасности больше, чем вы ожидаете (следствие пятого закона Фостера).

Наблюдения о руководстве

Руководство всегда озадачивается безопасностью своей компании только после того, как ее уже взломали.

Руководителем отдела защиты информации назначают либо отставного военного, либо бывшего милиционера, либо бывшего сотрудника 1-го отдела.

Человек, знающий, как и куда правильно потратить деньги на информационную безопасность, и человек, их выделяющий - это всегда разные люди.

Исключение: исключений не бывает.

Наблюдения об атаках

Из всех атак произойдет именно та, ущерб от которой больше всего.

Если вас атаковали один раз, не ждите, что на этом все и кончится.

Атаки происходят тогда, когда администратор безопасности отсутствует на работе.

Если атака все-таки нанесла вам ущерб, всегда найдется администратор, который скажет "я так и знал" (следствие закона Эванса и Бьерна).

Об атаках всегда сообщается в прошедшем времени (следствие уотергейтского принципа).

Из всех атак произойдет именно та, от который вы забыли защититься.

Наблюдения о консультантах по безопасности

Приглашенные эксперты по безопасности всегда кажутся лучше своих собственных.

Если эксперт по безопасности знает, как называется атака, которой вы подверглись, это еще не значит, что он знает, как от нее защититься.

Виновным в неудачном внедрении системы защиты всегда оказывается внешний эксперт, приглашенный для консультаций.

Приглашенный эксперт, обвиненный в неудачном внедрении системы защиты, обвинит вас в не предоставлении всей необходимой информации (закон противоположного обвинения).

Наблюдения о средствах защиты

Расходы на средства защиты информации стремятся сравняться с доходами от их внедрения (следствие из второго закона Паркинсона).

Стоимость системы защиты информации всегда больше, чем вы запланировали (следствие пятого закона Фостера).

Установив систему защиты, не ждите благоприятных отзывов от сотрудников.

Ни одно средство защиты, введенное в эксплуатацию, не прошло тестирования.

Ни одно средство защиты, прошедшее тестирование, не готово к вводу в эксплуатацию (закон противоположности).

Чем больше функций в системе защиты, тем больше вероятность, что одна из них не работает, так как надо.

Если вы не уверены, работает ли ваша системы защиты, значит, она не работает.

Если ваша система защиты работает по расписанию, то вы обязательно забудете запустить ее в нужное время.

Система, защищающая от самых современных атак, будет неспособна защитить вас от давно устаревших.

Надежность системы защиты обратно пропорциональна числу и положению лиц, управляющих ею (следствие закона Уатсона).

Если вы хотите создать централизованную систему управления средствами защиты информации, окажется, что все ваши средства выпущены разными производителями и не интегрируются между собой.

Наличие сертификата соответствия на систему защиты еще не означает, что продукт соответствует классу защищенности, указанному в сертификате.

Следствие - Это также не значит, что продукт вообще работает.

Вывод - Это вообще ничего не значит.

Система защиты блокирует доступ вашего босса в Интернет именно в тот момент, когда он думает об увеличении вашей зарплаты.

Разные наблюдения

Когда администратор безопасности испытывает затруднения при обнаружении дыр, это значит, что он ищет не там, где следует.

Если вы уверены, что в вашей сети нет бесконтрольно установленных и используемых модемов, то вы ошибаетесь.

В отделе защиты информации всегда не хватает людей.

Если после отпуска вы забыли свой пароль, отдых удался на славу.

Именно в тот момент, когда вам нужно собрать доказательства несанкционированной деятельности, окажется, что регистрация событий не включена.



Законы Мерфи