CITForum Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети ОС Hardware
2004 г

Технологические процессы и стандарты обеспечения функциональной безопасности в жизненном цикле программных средств

В.В Липаев (профессор, доктор технических наук)
Информационный бюллетень "Jet Info 03(130)/2004"

содержание

Особенности методологии обеспечения безопасности программных средств в стандарте ISO 13335

Широкий комплекс методологических задач, которые необходимо решать при проектировании безопасности систем, отражает стандарт ISO 13335:1996-1998 — 1-5 . Руководство по управлению безопасностью. В его пяти частях

  1. Концепция и модели обеспечения безопасности информационных технологий;
  2. Планирование и управление безопасностью информационных технологий;
  3. Техника управления безопасностью ИТ;
  4. Селекция (выбор) средств обеспечения безопасности;
  5. Безопасность внешних связей

внимание сосредоточено на основных принципах и методах проектирования, равнопрочных систем обеспечения безопасности информационных систем от угроз различных видов. Это руководство достаточно полно систематизирует основные методы и процессы подготовки проекта защиты для последующей разработки конкретной комплексной системы обеспечения безопасности функционирования ИС. Изложение базируется на понятии риска от угроз любых негативных воздействий на ИС. В первой части стандарта представлены функции средств защиты и необходимые действия по их реализации, модели уязвимости и взаимодействие средств защиты. При проектировании систем защиты, рекомендуется учитывать: необходимые функции защиты; угрозы; уязвимость; негативные воздействия; риски; защитные меры; ресурсы (аппаратные, информационные, программные, специалистов) и их ограниченность. В остальных частях стандарта предложена и развивается концепция и модель управления и планирования построения системы обеспечения безопасности, упрощенная схема компонентов которой представлена на Рис. 3.

Рисунок 3.

Исходные данные: угрозы, критерии защиты, ресурсы - предварительный анализ их влияния на безопасность ИС
Общая политика построения защиты ИС - выделение объектов защиты, управление их взаимодействием и объединение компонентов средств защиты
Предварительный план проектирования защиты ИС: оценка доступных средств, анализ и планирование разработки и интеграции средств защиты
Организационные аспекты защиты ИС - формирование обязательств поставщика и обязанностей специалистов по созданию равнопрочной защиты
Стратегия защиты на основе анализа рисков - факторный и информационный методы, детальный анализ рисков
Результирующая концепция построения системы защиты ИС - варианты средств защиты, утверждение допустимых рисков
Систематизированная политика построения и совершенствования системы защиты ИС
Утвержденные планы организации и проведения работ по защите ИС
Комплекс методов, средств и их взаимодействия в проекте системы защиты ИС
Оценка достиганмой защищенности ИС - планирование совершенствования системы защиты, регистрации и мониторинга инцидентов

В стандарте выделены функциональные компоненты и средства обеспечения безопасности, а также их взаимодействие. Процессы управления безопасностью должны включать:

  • управление изменениями и конфигурацией функций и компонентов системы безопасности;
  • анализ и управление рисками;
  • прослеживаемость функций и результатов комплексов средств обеспечения безопасности;
  • регистрацию, обработку и мониторинг инцидентов.

Приводятся общие требования к оценке результатов обеспечения безопасности, а также возможные варианты организации специалистов для комплексного обеспечения безопасности ИС. Систематизирована политика и техника планирования, выбора, построения и использования средств обеспечения безопасности для ограничения допустимых рисков при различных схемах взаимодействия и средствах защиты. Рекомендуются различные подходы и стратегии при создании систем защиты и поддержке их последующего развития. Содержание частей стандарта детализирует общие концепции и достаточно точно определяется их названиями. Изложенную в стандарте модель планирования обеспечения безопасности, целесообразно конкретизировать и использовать как фрагмент проекта функциональной безопасности ПС.

содержание       назад       вперед

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети ОС Hardware

CITForum © 1997–2025