Еще не так давно, в 1980-х годах, информационная безопасность была диковинной и закрытой областью вычислительной техники, сравниваемой с такими новинками, как компьютерная графика, сетевые технологии и искусственный интеллект. Я помню, что в то время было лишь несколько книг по информационной безопасности (не считая книг по криптографии), доступных широкому кругу компьютерных пользователей. Идея безопасности тогда еще не окрепла, так как широкий пользователь пока не сталкивался с какими-либо реальными угрозами в сфере информационных технологи!!. Интернет и компьютерное обслуживание торговли в корне изменили динамику этого процесса! И вот уже выпущены сотни книг по вопросам безопасности. Но из всего этого обилия лишь некоторые книги заслуживают внимания, остальные же содержат переработку более глубоких исследований, простое перечисление уязвимых мест (которое становится непригодным через пару месяцев) и информацию о том, как наложить дополнительные «заплаты» на прохудившуюся инфраструктуру.

На этом фоне выделяются немногие эксперты, действительно понимающие «общую картину» информационной безопасности. Линда Маккарти является одним из таких экспертов, и внимательное чтение данной книги покажет вам, почему ее первое издание находится на полках большинства преподавателей и практиков. Вместо того чтобы давать готовые решения для временных «заплат», Линда использует свой опыт аудитора безопасности, консультанта, менеджера, разработчика, преподавателя и руководителя для определения и демонстрации скрытых структур и взаимоотношений, которые являются движущими силами планирования и осуществления мер безопасности. Она знает, что компьютерная безопасность зависит главным образом не от самих компьютеров, а от людей, которые покупают, устанавливают и эксплуатируют эти компьютеры. Необходимо знать экономическую, психологическую, правовую и деловую стороны практики применения компьютеров, которые определяют реальную обстановку безопасности, Дополняя заголовок, придуманный Линдой для этой книги, можно сказать о том, что он подчеркивает главное в обеспечении безопасности; роль высших руководителей корпораций, С такого высокого уровня обеспечение информационной безопасности видится как нечто большее, чем борьба «системного администратора с хакером» — оно становится функцией по поддержанию живучести всего предприятия. Как показывает текст книги, выполнение обязанностей по обеспечению безопасности и выполнению политик должно начинаться с самого верха и заключаться в предупреждении проблем, а не в реагировании на них. Руководство должно проявлять постоянную заботу о безопасности, опираться на имеющиеся ресурсы, и ему вовсе не обязательно знать, как работает сканер уязвимых мест в защите.

По мере того как мы продвигаемся по веку информации, в котором защита информации становится все более важной, мы должны понять, почему в этих обоих терминах применяется слово «информация», а не «компьютер». Это связано с тем, что мы расширяем наши знания о защите наших информационных ресурсов независимо от их местонахождения.

Главное место в нашем мышлении должны занимать не конкретный компьютер или версия операционной системы, а структуры, образующие основу для их функционирования, — социальная, экономическая и правовая. Нам всем нужно понять, что информационная безопасность не представляла бы проблемы, если бы она не была ради людей, а технологии сами по себе не смогли бы решить вопросов, которые люди ставят перед безопасностью. Технологии, несомненно, важны, но они не единственный и даже не самый главный компонент. Линда познавала эти главные истины годами и использовала их в своей карьере. Почти каждый сможет извлечь для себя что-нибудь ценное из ее опыта, прекрасно обобщенного и иллюстрированного в последующих главах.