Оценка риска/Анализ или аудит
Оценка риска/Анализ или аудит
Единственный способ понять инфраструктуру заключается в полной оценке риска, анализе рисковых ситуаций или полном аудите предприятия. Выполнив все это, разработчики основ политики безопасности смогут хорошо разобраться в информационных технологиях организации. Несмотря на то, что эта работа не доставляет удовольствие, она помогает авторам документов политики всесторонне понять архитектуру системы.
Для оценки степени риска организация может захотеть провести тестирование на преодоление защиты. Это тестирование должно быть выполнено и во внутренней, и во внешней сети, чтобы проверить каждую точку доступа и выявить неизвестные пока точки доступа. Такая всесторонняя оценка позволяет вникнуть в конфигурацию сети. Эта информация будет использована для определения конфигурации , правил доступа в сеть и других правил. Кроме того, такая оценка выявит, насколько сеть обеспечивает выполнение задач организации.
Некоторые администраторы полагают, что они могли бы исследовать систему, определить степень риска и провести инвентаризацию предприятия сами, без посторонней помощи. Несмотря на то. что они, возможно, и могли бы выполнить соответствующую работу всегда лучше пригласить для этого кого-то со стороны. Главная причина заключается в том, что люди извне не знают систему, излюбленных приемов работы и другой информации, которая могла бы подтолкнуть их к предвзятому мнению. Сторонний представитель может прийти в компанию и исследовать системы глазами хакеров. Здесь мы видим широкое поле для творчества. Давайте посмотрим, какая будет от этого польза? Сторонние представители могут выявить уязвимые места, слабости защиты и другие проблемы, которые следует учесть при разработке правил информационной безопасности.
