Широкий комплекс методологических задач, которые
Широкий комплекс методологических задач, которые необходимо решать при проектировании безопасности систем, отражает стандарт ISO 13335:1996-1998 — 1-5 . Руководство по управлению безопасностью. В его пяти частях
внимание сосредоточено на основных принципах и методах проектирования, равнопрочных систем обеспечения безопасности информационных систем от угроз различных видов. Это руководство достаточно полно систематизирует основные методы и процессы подготовки проекта защиты для последующей разработки конкретной комплексной системы обеспечения безопасности функционирования ИС. Изложение базируется на понятии риска от угроз любых негативных воздействий на ИС. В первой части стандарта представлены функции средств защиты и необходимые действия по их реализации, модели уязвимости и взаимодействие средств защиты. При проектировании систем защиты, рекомендуется учитывать: необходимые функции защиты; угрозы; уязвимость; негативные воздействия; риски; защитные меры; ресурсы (аппаратные, информационные, программные, специалистов) и их ограниченность. В остальных частях стандарта предложена и развивается концепция и модель управления и планирования построения системы обеспечения безопасности, упрощенная схема компонентов которой представлена на Рис. 3.
Рисунок 3.
| Исходные данные: угрозы, критерии защиты, ресурсы - предварительный анализ их влияния на безопасность ИС |
| Общая политика построения защиты ИС - выделение объектов защиты, управление их взаимодействием и объединение компонентов средств защиты |
| Предварительный план проектирования защиты ИС: оценка доступных средств, анализ и планирование разработки и интеграции средств защиты |
| Организационные аспекты защиты ИС - формирование обязательств поставщика и обязанностей специалистов по созданию равнопрочной защиты |
| Стратегия защиты на основе анализа рисков - факторный и информационный методы, детальный анализ рисков |
| Результирующая концепция построения системы защиты ИС - варианты средств защиты, утверждение допустимых рисков |
| Систематизированная политика построения и совершенствования системы защиты ИС |
| Утвержденные планы организации и проведения работ по защите ИС |
| Комплекс методов, средств и их взаимодействия в проекте системы защиты ИС |
| Оценка достиганмой защищенности ИС - планирование совершенствования системы защиты, регистрации и мониторинга инцидентов |
В стандарте выделены функциональные компоненты и средства обеспечения безопасности, а также их взаимодействие. Процессы управления безопасностью должны включать:
Приводятся общие требования к оценке результатов обеспечения безопасности, а также возможные варианты организации специалистов для комплексного обеспечения безопасности ИС. Систематизирована политика и техника планирования, выбора, построения и использования средств обеспечения безопасности для ограничения допустимых рисков при различных схемах взаимодействия и средствах защиты. Рекомендуются различные подходы и стратегии при создании систем защиты и поддержке их последующего развития. Содержание частей стандарта детализирует общие концепции и достаточно точно определяется их названиями. Изложенную в стандарте модель планирования обеспечения безопасности, целесообразно конкретизировать и использовать как фрагмент проекта функциональной безопасности ПС.
содержание назад вперед
