Информационная безопасность: от теоретических стандартов к технической реализации

Курс предназначен для глубокого изучения механизмов защиты данных и анализа угроз в рамках академического исследования. Программа охватывает путь от нормативно-правового фундамента и криптографии до технического аудита сетевых уязвимостей и проектирования комплексных систем безопасности.

1. Теоретические основы и нормативно-правовая база информационной безопасности

Теоретические основы и нормативно-правовая база информационной безопасности

Представьте, что вы строите крепость. Вы можете закупить самые прочные камни и нанять лучших стражников, но если у вас нет архитектурного плана и понимания, какие законы регулируют границы вашей земли, постройка обречена на снос или захват. В мире кибербезопасности роль такого фундамента играют не межсетевые экраны, а концептуальные модели и правовые стандарты. Без них любая техническая защита превращается в набор разрозненных инструментов, не объединенных общей логикой.

Триада CIA и расширенные модели безопасности

Фундаментом любой академической работы в области ИБ является понимание свойств информации, которые мы защищаем. Классическая модель, известная как триада CIA (Confidentiality, Integrity, Availability), определяет три вектора усилий специалиста.

> Конфиденциальность — свойство, гарантирующее, что информация доступна только авторизованным пользователям. > > Целостность — гарантия отсутствия несанкционированных изменений данных в процессе их хранения или передачи. > > Доступность — обеспечение своевременного и беспрепятственного доступа к информации и сервисам для легитимных потребителей.

Однако для дипломного исследования уровня "продвинутый" классической триады недостаточно. Современная педагогика и практика ИБ опираются на расширенную модель Паркера (Parkerian Hexad), которая добавляет еще три критических элемента: владение (possession), подлинность (authenticity) и применимость (utility).

Рассмотрим разницу на примере кражи зашифрованного жесткого диска. С точки зрения CIA, конфиденциальность не нарушена (данные зашифрованы), но с точки зрения гексады Паркера, нарушено владение. Злоумышленник может не прочитать данные, но он может физически уничтожить носитель или использовать его для анализа паттернов записи. Это разграничение критично при проектировании систем защиты для государственных и финансовых структур, где сам факт физического контроля над носителем имеет юридическое значение.

Нормативное регулирование: от ISO 27001 до национальных стандартов

Правовое поле в ИБ — это не просто список запретов, а система координат. Если ваша будущая работа связана с проектированием системы защиты, вы обязаны опираться на международный стандарт ISO/IEC 27001. Он внедряет процессный подход, основанный на цикле Деминга (PDCA: Plan-Do-Check-Act).

| Стандарт / Закон | Основная направленность | Ключевая особенность | | :--- | :--- | :--- | | ISO/IEC 27001 | Система менеджмента ИБ (СМИБ) | Риск-ориентированный подход и непрерывное улучшение. | | GDPR | Защита персональных данных (ЕС) | Экстерриториальность и огромные штрафы за утечки. | | ФЗ-152 (РФ) | О персональных данных | Жесткая классификация информационных систем (ИСПДн). | | NIST SP 800-53 | Каталог мер безопасности (США) | Детальная техническая проработка контролей защиты. |

Важно понимать, что стандарты серии ISO не говорят, какой длины должен быть пароль. Они требуют, чтобы в организации существовал процесс управления паролями, подкрепленный анализом рисков. Например, если вы проектируете защиту для банка, стандарт потребует от вас обоснования, почему выбран именно такой метод аутентификации, исходя из стоимости потенциального ущерба.

Категорирование объектов и модель нарушителя

Любая система защиты начинается с инвентаризации активов и создания модели нарушителя. В академической среде это часто формализуется через определение потенциала нарушителя: низкий, средний или высокий.

  • Низкий потенциал: внешние любители (скрипт-кидди), использующие публичные эксплойты.
  • Средний потенциал: подготовленные группы, способные к реверс-инжинирингу и поиску известных уязвимостей в специфическом ПО.
  • Высокий потенциал: государственные структуры (APT-группировки), обладающие ресурсами для покупки 0-day уязвимостей и проведения многолетних операций.

    • Если мы рассматриваем критическую информационную инфраструктуру (КИИ), например, систему управления электростанцией, мы обязаны предполагать наличие нарушителя с высоким потенциалом. Здесь вступает в силу концепция эшелонированной обороны (Defense in Depth). Это стратегия, при которой злоумышленнику для достижения цели необходимо преодолеть несколько независимых уровней защиты: физический, сетевой, уровень хоста, уровень приложения и данных.

    Юридическая значимость и доказательная база

    В контексте написания выпускной работы нельзя игнорировать вопрос цифровой криминалистики (Digital Forensics). Юридическая база ИБ определяет, как собранные логи и дампы памяти могут стать доказательствами в суде. Здесь ключевым понятием является цепочка обеспечения сохранности (Chain of Custody).

    Представьте ситуацию: администратор обнаружил несанкционированный вход на сервер. Если он просто скопирует файл лога на флешку, этот файл не будет иметь веса в суде, так как его целостность легко поставить под сомнение. Правильный подход подразумевает создание побитового образа носителя с фиксацией контрольных сумм (хеш-функций) в присутствии свидетелей или с использованием сертифицированных средств фиксации.

    Управление рисками как математическая основа ИБ

    Современная информационная безопасность — это не поиск "абсолютной защиты" (ее не существует), а управление рисками. Математически риск () часто представляют как функцию от вероятности угрозы (), уязвимости системы () и ценности актива ():

    Где:

  • (Probability) — вероятность реализации угрозы за определенный период.
  • (Vulnerability) — степень легкости, с которой уязвимость может быть эксплуатирована.
  • (Asset Value) — количественная или качественная оценка ущерба при потере актива.

    • Если стоимость внедрения системы защиты превышает стоимость самого актива или вероятный ущерб, такая защита экономически нецелесообразна. Исключение составляют лишь случаи, когда защита продиктована законом (комплаенс), например, требованиями по защите государственной тайны.

    Если из этой главы запомнить три вещи — это: ИБ строится на балансе шести свойств информации (гексада Паркера), любая техническая мера должна быть обоснована анализом рисков и соответствовать нормативному полю, а эшелонированная оборона — единственный способ противостоять нарушителю с высоким потенциалом.

    2. Криптографические методы и алгоритмы защиты конфиденциальных данных

    Криптографические методы и алгоритмы защиты конфиденциальных данных

    Криптография — это единственная область ИБ, где мы можем математически доказать стойкость защиты. Если в сетевой безопасности мы полагаемся на отсутствие ошибок в коде, то в криптографии мы полагаемся на сложность решения математических задач, на которые у современных компьютеров уйдут миллиарды лет. В этой статье мы перейдем от общих понятий к механике работы алгоритмов, которые обеспечивают те самые свойства CIA, разобранные ранее.

    Симметричное шифрование: скорость и проблема ключа

    Симметричные алгоритмы используют один и тот же ключ для зашифрования и расшифрования. Это невероятно быстро, что делает их идеальными для защиты больших объемов данных (например, дисков или видеотрафика). Современным стандартом де-факто является AES (Advanced Encryption Standard).

    AES работает с блоками данных по 128 бит и ключами длиной 128, 192 или 256 бит. Его стойкость основана на структуре "подстановочно-перестановочная сеть". Внутри происходит несколько раундов преобразований:

  • SubBytes — нелинейная замена байтов.
  • ShiftRows — циклический сдвиг строк.
  • MixColumns — перемешивание данных в столбцах.
  • AddRoundKey — сложение с раундовым ключом по модулю 2 (XOR).

    • Главная проблема симметричного шифрования — распределение ключей. Если Алиса хочет отправить Бобу зашифрованный файл, ей нужно как-то передать ему секретный ключ так, чтобы его не перехватил злоумышленник Ева. Если у них уже есть безопасный канал для передачи ключа, зачем им тогда шифрование? Эту дилемму решает асимметрия.

    Асимметричное шифрование и протокол Диффи-Хеллмана

    Асимметричная криптография использует пару ключей: публичный (для зашифрования) и приватный (для расшифрования). Публичный ключ можно вывесить хоть на билборде — он не позволит вычислить приватный ключ благодаря сложности определенных математических задач.

    Наиболее распространенный алгоритм RSA опирается на сложность факторизации (разложения на множители) больших чисел. Если мы возьмем два огромных простых числа и , их произведение вычислить легко. Однако найти и , зная только , практически невозможно за разумное время.

    Однако RSA медленный. В реальных системах (например, HTTPS) асимметрия используется только в начале сессии для согласования общего секретного ключа, который затем применяется в быстром AES. Этот процесс часто реализуется через протокол Диффи-Хеллмана (DH).

    Здесь и — публичные параметры, и — секретные случайные числа Алисы и Боба. Обменявшись результатами и , они оба могут вычислить общий секрет , который никогда не передавался по сети:

    Злоумышленник, зная и , не может вычислить , так как задача дискретного логарифмирования в конечном поле является вычислительно сложной.

    Хеширование и контроль целостности

    Хеш-функция — это "цифровой отпечаток" данных. Она преобразует входной массив любой длины в строку фиксированной длины. Ключевые свойства криптографического хеша:

  • Однонаправленность: нельзя восстановить данные по хешу.
  • Стойкость к коллизиям: невозможно найти два разных файла с одинаковым хешем.
  • Лавинный эффект: изменение одного бита в файле меняет более 50% бит хеша.

    • Стандартом сегодня является семейство SHA-2 (например, SHA-256) и SHA-3. Устаревший MD5 и SHA-1 больше не считаются безопасными, так как для них найдены способы генерации коллизий. В системном администрировании хеши используются для проверки целостности системных файлов: если хеш текущей библиотеки kernel32.dll не совпадает с эталонным, значит, система скомпрометирована (например, внедрен руткит).

    Электронная подпись и инфраструктура открытых ключей (PKI)

    Электронная подпись (ЭП) — это криптографический механизм, обеспечивающий целостность и неотрекаемость. Процесс создания подписи выглядит так:

  • От документа вычисляется хеш.
  • Хеш шифруется приватным ключом отправителя.
  • Получатель расшифровывает подпись публичным ключом отправителя и сравнивает полученный хеш с тем, который он вычислил сам от документа.

    • Если хеши совпали, значит: а) документ не менялся; б) его подписал именно владелец приватного ключа.

    Для того чтобы мы могли доверять публичному ключу, существует PKI (Public Key Infrastructure). Центры сертификации (CA) выдают цифровые сертификаты, которые связывают личность (или доменное имя) с публичным ключом, подтверждая это своей подписью. Когда ваш браузер заходит на сайт, он проверяет цепочку доверия от сертификата сайта до корневого сертификата, встроенного в операционную систему.

    Эллиптические кривые (ECC): будущее защиты

    Современные системы всё чаще переходят от RSA к криптографии на эллиптических кривых (ECC). Основное преимущество — длина ключа. Ключ ECC длиной 256 бит обеспечивает ту же стойкость, что и RSA-ключ длиной 3072 бита. Это критично для мобильных устройств и IoT, где вычислительные ресурсы и память ограничены.

    ECC базируется на операциях в группе точек на эллиптической кривой. Задача, на которой она строится — сложность нахождения кратной точки (дискретный логарифм в группе точек эллиптической кривой). Именно ECC используется в протоколах TLS 1.3 и в блокчейн-системах (например, алгоритм ECDSA в Bitcoin).

    Если из этой главы запомнить три вещи — это: симметричное шифрование (AES) нужно для скорости, асимметричное (RSA, ECC) — для обмена ключами, а хеширование — единственный надежный способ убедиться, что данные не были изменены в пути.

    3. Безопасность сетевых протоколов и критической ИТ-инфраструктуры

    Безопасность сетевых протоколов и критической ИТ-инфраструктуры

    Сеть — это кровеносная система современной организации, но именно она является самым доступным вектором для атаки. Большинство классических протоколов (IP, TCP, DNS) проектировались в эпоху "доверенного интернета", где безопасность приносилась в жертву производительности и простоте. Для глубокого анализа ИБ необходимо понимать, как эти протоколы "ломаются" на разных уровнях модели OSI.

    Уязвимости канального и сетевого уровней

    На втором уровне (Data Link) основной угрозой является ARP-spoofing. Протокол ARP не имеет механизмов аутентификации. Атакующий может отправить ложный ARP-ответ, сообщив жертве, что IP-адрес шлюза теперь ассоциирован с MAC-адресом компьютера атакующего. Это классическая реализация атаки Man-in-the-Middle (MitM).

    На сетевом уровне (Network) мы сталкиваемся с проблемами протокола IP. Одна из них — IP-спуфинг (подмена адреса отправителя). Это часто используется в DDoS-атаках типа "отражение" (Reflection). Например, при DNS Amplification атакующий посылает короткий запрос к публичному DNS-серверу, подделывая IP-адрес жертвы. Сервер отправляет объемный ответ на адрес жертвы, перегружая её канал.

    Коэффициент усиления () в таких атаках может достигать огромных значений:

    Для DNS-запросов может быть равен 50 и более, что позволяет атакующему с каналом 1 Гбит/с генерировать атаку мощностью 50 Гбит/с.

    Транспортный уровень: TCP и атаки на состояние

    Протокол TCP обеспечивает надежную доставку данных через механизм "трехстороннего рукопожатия" (SYN -> SYN-ACK -> ACK). Уязвимость здесь кроется в ограниченности ресурсов сервера на хранение информации о полуоткрытых соединениях.

    В атаке SYN-flood злоумышленник заваливает сервер SYN-пакетами с поддельными IP-адресами. Сервер выделяет память под каждое соединение и ждет финальный ACK, который никогда не придет. В итоге очередь соединений переполняется, и легитимные пользователи не могут подключиться. Современная защита от этого — SYN Cookies, когда сервер не выделяет память сразу, а кодирует информацию о соединении в поле Sequence Number пакета SYN-ACK.

    Безопасность прикладного уровня: DNS и HTTP(S)

    DNS — это "телефонная книга" интернета, и её компрометация фатальна. Атака DNS Cache Poisoning позволяет внедрить ложную запись в кэш DNS-сервера провайдера. В результате пользователи, пытаясь зайти на bank.com, будут перенаправлены на фишинговый IP-адрес атакующего. Решением является внедрение DNSSEC — расширения, которое добавляет цифровую подпись к DNS-ответам, гарантируя их подлинность.

    Переход на HTTPS (HTTP + TLS) решил проблему перехвата трафика, но добавил сложности в управлении инфраструктурой. TLS (Transport Layer Security) обеспечивает три уровня защиты:

  • Шифрование (конфиденциальность).
  • Аутентификация сервера (через сертификаты).
  • Целостность данных (через MAC — Message Authentication Code).

    • Важно различать версии TLS. Использование устаревших версий 1.0 и 1.1 сегодня считается уязвимостью из-за подверженности атакам типа BEAST и POODLE. Современный стандарт — TLS 1.3, в котором удалены небезопасные алгоритмы и сокращено количество шагов рукопожатия.

    Сегментация сети и Zero Trust

    Традиционная модель периметра ("внутри — друзья, снаружи — враги") больше не работает. Современная концепция — Zero Trust (Нулевое доверие). Её главный постулат: "никому не доверяй, всегда проверяй".

    Технически это реализуется через:

  • Микросегментацию: разделение сети на мелкие зоны, между которыми трафик жестко фильтруется межсетевыми экранами (Firewalls).
  • Протокол 802.1X: аутентификация каждого устройства при подключении к порту коммутатора или Wi-Fi.
  • VPN и SD-WAN: создание защищенных туннелей для удаленного доступа с обязательной многофакторной аутентификацией (MFA).

    • Защита критической инфраструктуры (SCADA/ICS)

    Особый раздел ИБ — защита промышленных систем. Здесь используются специфические протоколы, такие как Modbus или Profibus, которые часто вообще не имеют встроенных средств защиты. Ошибка в такой сети может привести не к потере данных, а к физической аварии.

    Для защиты таких систем применяется модель Purdue Model, которая строго разделяет уровни управления техпроцессами и офисную сеть. Прямая связь между ними запрещена — только через "демилитаризованную зону" (DMZ) и промышленные шлюзы безопасности.

    Если из этой главы запомнить три вещи — это: отсутствие аутентификации в базовых протоколах (ARP, DNS) требует надстроек безопасности (DNSSEC, 802.1X), концепция Zero Trust заменяет классический периметр, а эшелонирование на сетевом уровне начинается с микросегментации.

    4. Технический анализ уязвимостей и современных векторов кибератак

    Технический анализ уязвимостей и современных векторов кибератак

    Понимание того, как работают защиты, невозможно без понимания того, как их взламывают. В этой статье мы перейдем от сетевого уровня к уровню приложений и системного ПО, разбирая механику наиболее опасных уязвимостей, которые входят в топ рейтингов OWASP и CVE.

    Переполнение буфера: классика системного уровня

    Уязвимость Buffer Overflow возникает, когда программа записывает данные за пределы выделенного ей блока памяти. В языках низкого уровня (C/C++) программист сам управляет памятью, и если он не проверяет длину входных данных, атакующий может перезаписать адрес возврата функции в стеке.

    Рассмотрим стек вызовов. Когда функция вызывается, в стек кладутся её аргументы, локальные переменные и адрес возврата (куда вернуться после завершения функции). Если мы подадим на вход строку длиннее, чем размер буфера, лишние байты "зальют" адрес возврата. Подставив туда адрес своего вредоносного кода (шеллкода), атакующий получает контроль над выполнением программы.

    Современные методы защиты от этого:

  • ASLR (Address Space Layout Randomization): случайное перемешивание адресов библиотек и стека в памяти при каждом запуске.
  • DEP/NX-bit (Data Execution Prevention): запрет на выполнение кода в областях памяти, предназначенных только для данных.
  • Stack Canaries: секретное значение ("канарейка"), помещаемое перед адресом возврата. Если при выходе из функции значение изменилось — значит, произошло переполнение, и программа аварийно завершается.

    • Уязвимости веб-приложений: OWASP Top 10

    Веб-интерфейсы — самое широкое окно для атак. Рассмотрим два ключевых вектора: инъекции и межсайтовый скриптинг.

    SQL-инъекция (SQLi) происходит, когда пользовательский ввод вставляется напрямую в SQL-запрос без фильтрации. Пример уязвимого кода: "SELECT * FROM users WHERE id = '" + user_id + "'" Если атакующий введет 1' OR '1'='1, запрос превратится в: SELECT * FROM users WHERE id = '1' OR '1'='1' Условие 1=1 всегда истинно, и база данных вернет записи всех пользователей, обходя проверку авторизации. Защита — использование подготавливаемых выражений (Prepared Statements), где данные передаются отдельно от логики запроса.

    Cross-Site Scripting (XSS) — это внедрение вредоносного JavaScript-кода в страницу, которую просматривают другие пользователи.

  • Хранимое XSS: код сохраняется на сервере (например, в комментарии) и выполняется у каждого, кто откроет страницу.
  • Отраженное XSS: код передается в URL-параметре и "отражается" сервером в ответе.
    • Цель XSS обычно — кража сессионных кук (Session Cookies), что позволяет атакующему захватить аккаунт жертвы без знания пароля.

    Социальная инженерия и атаки на человека

    Даже самая совершенная техническая система бессильна против человеческого фактора. Современные атаки часто начинаются с фишинга или претекстинга.

    Особую опасность представляет Business Email Compromise (BEC). Атакующий взламывает почту топ-менеджера или бухгалтера и от его имени отправляет указание о срочном переводе денег на "новый счет поставщика". Здесь не используются вирусы — используется доверие и авторитет. Техническая защита здесь — это внедрение протоколов аутентификации почты: SPF, DKIM и DMARC, которые позволяют принимающему серверу убедиться, что письмо действительно отправлено с легитимного сервера компании.

    Цепочки поставок (Supply Chain Attacks)

    Это один из самых сложных векторов атак последних лет (кейс SolarWinds). Вместо того чтобы атаковать хорошо защищенную корпорацию напрямую, хакеры взламывают небольшую компанию-разработчика софта, которым пользуется цель. Они внедряют бэкдор в очередное обновление программы. Клиенты доверяют разработчику, скачивают подписанное обновление и сами впускают врага внутрь своего периметра.

    Для защиты от таких атак вводится понятие SBOM (Software Bill of Materials) — детальный список всех сторонних библиотек и компонентов, используемых в ПО, чтобы можно было быстро отследить наличие уязвимых зависимостей.

    Жизненный цикл уязвимости и CVSS

    Для оценки серьезности найденной дыры используется система CVSS (Common Vulnerability Scoring System). Она вычисляет балл от 0 до 10 на основе:

  • Вектора атаки (нужен ли физический доступ или можно атаковать через сеть).
  • Сложности атаки.
  • Требуемых привилегий.
  • Влияния на конфиденциальность, целостность и доступность.

    • Если уязвимость имеет балл (Critical), она должна быть закрыта немедленно (патчинг в течение 24-48 часов).

    Если из этой главы запомнить три вещи — это: переполнение буфера лечится на уровне ОС (ASLR, DEP), веб-уязвимости лечатся строгой фильтрацией ввода и параметризацией запросов, а самая сложная для обнаружения атака сегодня — это атака на цепочку поставок.

    5. Методология проектирования и построения комплексных систем защиты информации

    Методология проектирования и построения комплексных систем защиты информации

    Мы изучили теорию, криптографию, сети и векторы атак. Теперь задача инженера и исследователя — собрать эти кирпичи в единое здание. Комплексная система защиты информации (КСЗИ) — это не просто набор софта, а симбиоз технологий, процессов и людей, организованный по принципу эшелонирования.

    Жизненный цикл разработки системы защиты

    Проектирование КСЗИ должно следовать системному подходу. В академических работах это часто описывается через этапы:

  • Обследование: инвентаризация активов, определение границ системы.
  • Анализ рисков: идентификация угроз и оценка их вероятности (модель угроз).
  • Техническое задание: формулирование требований на основе регуляторов (например, НМД ФСТЭК или стандартов NIST).
  • Проектирование: выбор конкретных СЗИ (средств защиты информации).
  • Внедрение и аттестация: проверка соответствия системы проектным решениям.

    • Важнейшим документом здесь является Модель угроз. Она связывает теоретические атаки с конкретной архитектурой предприятия. Если в вашей сети нет Wi-Fi, атаки на WPA3 не включаются в модель, что экономит бюджет.

    Архитектура защиты: уровни и инструменты

    Для обеспечения эшелонированной обороны мы распределяем инструменты по уровням:

    | Уровень | Инструменты защиты | Защищаемый актив | | :--- | :--- | :--- | | Периметр | NGFW (Next-Generation Firewall), WAF, Anti-DDoS | Сетевой контур, веб-ресурсы | | Сеть | IDS/IPS (системы обнаружения вторжений), NAC | Трафик между сегментами | | Хост | EDR (Endpoint Detection and Response), Антивирусы | Серверы, рабочие станции | | Приложение | SAST/DAST (анализаторы кода), IAM | Логика программ, учетные записи | | Данные | DLP (Data Loss Prevention), Шифрование БД | Информация в покое и движении |

    Ключевым элементом современной архитектуры является SIEM (Security Information and Event Management). Это "мозг" системы защиты, который собирает логи со всех уровней, коррелирует их и выявляет сложные атаки. Например, если с одного IP зафиксирован неудачный вход в VPN, а через минуту этот же пользователь успешно зашел из внутренней сети и начал скачивать базу данных — SIEM поднимет тревогу о компрометации учетной записи.

    Процессы: Incident Response и SOC

    Техника без процессов мертва. Для управления безопасностью создается SOC (Security Operations Center) — команда, работающая по регламентам реагирования на инциденты (Incident Response).

    Жизненный цикл инцидента по стандартам SANS/NIST:

  • Подготовка: наличие инструментов и планов.
  • Идентификация: обнаружение аномалии.
  • Сдерживание (Containment): изоляция зараженного сегмента, чтобы вирус не распространился дальше.
  • Искоренение (Eradication): удаление вредоносного ПО, закрытие уязвимости.
  • Восстановление: возврат систем в работу из чистых бэкапов.
  • Извлечение уроков (Lessons Learned): анализ, почему это произошло, и обновление модели угроз.

    • Безопасная разработка: DevSecOps

    Если ваша работа касается создания ПО, защита не должна быть "нашлепкой" в конце. Концепция DevSecOps внедряет безопасность в каждый этап конвейера разработки:

  • Pre-commit: проверка кода на наличие секретов (паролей) перед отправкой в репозиторий.
  • Build: статический анализ кода (SAST) на наличие уязвимостей (например, поиск функций strcpy без проверки длины).
  • Test: динамическое тестирование (DAST) запущенного приложения.
  • Deploy: проверка конфигурации облачной инфраструктуры.

    • Обоснование эффективности системы защиты

    В дипломной работе важно доказать, что предложенная система эффективна. Это делается через:

  • Техническую эффективность: расчет покрытия модели угроз (какой процент угроз нейтрализован).
  • Экономическую эффективность: использование метрики ROSI (Return on Security Investment).

    • Где:

  • (Annual Loss Expectancy) — ожидаемый годовой убыток без защиты.
  • (Mitigation Ratio) — коэффициент снижения риска после внедрения системы.
  • — стоимость системы защиты.

    • Если , инвестиция оправдана.

    Этические и правовые границы

    Завершая проектирование, помните о границах дозволенного. Внедрение систем мониторинга (например, DLP для контроля переписки сотрудников) должно быть юридически оформлено в трудовых договорах и локальных актах. В противном случае защитник сам может стать нарушителем закона о тайне связи или частной жизни.

    Если из этой главы запомнить три вещи — это: система защиты строится от модели угроз к выбору инструментов, SIEM является центром координации всех защитных мер, а эффективность ИБ измеряется не отсутствием атак, а скоростью их обнаружения и минимизацией ущерба (ROSI).