Файловый архив студентов. Файловый архив студентов.
1264 вуза, 4629 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Полоцкий Государственный Университет
Предмет:
Стандартизация и сертификация программного обеспечения
Файл:
Тема 7.docx
Скачиваний:
8
Добавлен:
18.02.2023
Размер:
140.4 Кб
Скачать
►Содержание►

7.1.4. Защищенность

Оценивание защищенности ПС состоит из определения полноты и эффективности использования доступных методов, средств и ресурсов для защиты ПС от различных потенциальных угроз и достигнутой при этом безопасности функционирования информационной системы.

Создание системы защиты должно предусматривать планирование, реализацию и оценивание целенаправленной политики комплексного обеспечения безопасности информационной системы. При этом должны быть предприняты меры для эффективного распределения системных требований к защите между аппаратными и программными компонентами обеспечения безопасности.

Методологически решение этих задач должно осуществляться как проектирование и оценивание сложной автономной программно-аппаратной системы в окружении и взаимодействии с основными функциональными задачами информационной системы. При этом следует:

  • определять и ранжировать функциональные компоненты ПС по степени необходимой защиты;

  • оценивать опасность различных внешних и внутренних угроз безопасности;

  • выделять методы, средства и нормативные документы, адекватные видам угроз и требуемой защите;

  • оценивать необходимые для этого ресурсы различных видов для комплексного сбалансированного обеспечения безопасности функциональных ПС.

В процессе системного проектирования ПС необходимо решать целый ряд технических и организационных проблем создания равнопрочной системы защиты и поддерживающего ее комплекта методологических, правовых, нормативных документов и инструкций.

Процессы проектирования и оценивания программ обеспечения безопасности информационных систем принципиально не отличаются от проектирования любых других программных комплексов (см. ISO/IEC 12207). Для этого необходимо анализировать, конкретизировать и оценивать задачи, исходные данные и факторы, определяющие безопасность функционирования программ:

  • критерии и их значения, характеризующие необходимый и достаточный уровень безопасности информационной системы в целом и каждого из ее основных функциональных компонентов в соответствии с условиями среды применения информационной системы и требованиями спецификаций заказчика;

  • состав и характеристики возможных внутренних и внешних дестабилизирующих факторов и угроз, способных влиять на безопасность функционирования ПС и БД проектируемой информационной системы;

  • состав и содержание подлежащих решению задач защиты, перекрывающих все потенциально возможные угрозы и оценки эффективности решения отдельных задач, необходимых для обеспечения равнопрочной защиты информационной системы с заданной эффективностью;

  • оперативные методы и средства повышения безопасности функционирования программ в течение всего ЖЦ информационной системы путем введения временной, программной и информационной избыточности для реализации системы защиты от актуальных видов угроз;

  • ресурсы, необходимые и доступные для разработки и размещения программных компонентов системы обеспечения безопасности информационной системы (финансово-экономические, ограниченная квалификация специалистов и вычислительные ресурсы ЭВМ);

  • стандарты, нормативные документы и методики воспроизводимых измерений и оценивания характеристик защиты, а также состав и значения исходных и результирующих данных, обязательных для проведения испытаний защиты.

Качество защищенности оценивается множеством параметров, из которых на атрибуты этой субхарактеристики наибольшее влияние оказывают представленные в табл.4.1. Кроме того, следует оценивать влияние средств защиты на функциональные и временные характеристики информационной системы при автоматизированной обработке информации.

Оценивание достигнутой эффективности реализованной системы защиты информационной системы начинается с анализа и регистрации

(рис.7.1):

  • возможных угроз безопасности функционирования ПС;

  • требуемых критериев и характеристик качества защиты;

  • доступных и использованных ресурсов на реализацию защиты;

  • характеристик и особенностей объектов, подлежащих защите.

Далее должны быть оценены выбранные методы и инструментальные средства для реализации защиты. Реализацию такой защиты следует сопоставить с требованиями заказчика и обязательствами ее поставщика, а также оценить степень поддержки руководствами для пользователей и специалистов-администраторов по полному и корректному применению всего комплекса методов и средств защиты.

Рис.7.1. Процесс оценивания эффективности реализованной системы защиты

Проведенные оценки и документы обобщаются в необходимых уточнениях и корректировках концепции построения и организации системы обеспечения безопасности функционирования и применения информационной системы.

Завершающий анализ и оценивание реализации концепции и всего комплекса методов, средств и их взаимодействия в системе защиты информационной системы приводит к возможности определения достигнутых характеристик и атрибутов качества комплексной защищенности информационной системы, а также к их сопоставлению с требованиями заказчика проекта.

Для эффективного применения и совершенствования системы защиты необходимо также оценивать качество средств обнаружения и регистрации предумышленных нападений на информационную систему, проявлений и реализации угроз безопасности, а также мониторинга инцидентов, угрожавших нарушению и/или преодолению системы защиты.

Для размещения средств защиты информационной системы в ЭВМ при проектировании должна быть предусмотрена программная и информационная избыточности в виде ресурсов внешней и внутренней памяти ЭВМ. Кроме того, для функционирования средств защиты необходима временная избыточность – дополнительная производительность ЭВМ.

Качество комплексов защиты зависит от применения конкретных стандартов и нормативных документов и реализации их требований. Наиболее широко и детально методологические и системные задачи проектирования и оценивания комплексной защиты информационных систем изложены в стандарте ISO 15408:1999–1–3 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». Стандарт представляет детальное комплексное руководство, охватывающее требования к функциям и методам гарантирования и оценивания качества основных современных методов и средств обеспечения безопасности. Его целесообразно использовать при практическом создании систем защиты ПС.

Соседние файлы в предмете Стандартизация и сертификация программного обеспечения
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности