Основной подход
Выработка ПРД и СРД означает разработку плана, как решать вопросы, связанные с компьютерной защитой. Вот один из возможных подходов к решению этой задачи, пpедложенный Файтсом[3, FITES] :
- определить, что вы пытаетесь защищать;
- определить, от чего вам нужно защищаться;
- составить список наиболее вероятных угроз;
- реализовать меры, которые будут защищать ваши ценности наиболее экономичным способом;
- непрерывно следить за этим процессом, и улучшать защиту каждый раз, когда в ней найдено слабое место.
Это руководство будет в основном посвящено двум последним шагам, но первые три шага также необходимы для принятия эффективных решений относительно защиты. Одно из старых правил гласит, что цена вашей защиты от угрозы должна быть меньше, чем цена восстановления ваших ценностей после разрушений, нанесенных в результате прорыва защиты. Не зная того, что вы защищаете, и каковы наиболее вероятные угрозы, следовать этому правилу будет трудно.