Технологические процессы и стандарты обеспечения функциональной безопасности

       

Широкий комплекс методологических задач, которые


Широкий комплекс методологических задач, которые необходимо решать при проектировании безопасности систем, отражает стандарт ISO 13335:1996-1998 — 1-5 . Руководство по управлению безопасностью. В его пяти частях

  • Концепция и модели обеспечения безопасности информационных технологий;
  • Планирование и управление безопасностью информационных технологий;
  • Техника управления безопасностью ИТ;
  • Селекция (выбор) средств обеспечения безопасности;
  • Безопасность внешних связей


  • внимание сосредоточено на основных принципах и методах проектирования, равнопрочных систем обеспечения безопасности информационных систем от угроз различных видов. Это руководство достаточно полно систематизирует основные методы и процессы подготовки проекта защиты для последующей разработки конкретной комплексной системы обеспечения безопасности функционирования ИС. Изложение базируется на понятии риска от угроз любых негативных воздействий на ИС. В первой части стандарта представлены функции средств защиты и необходимые действия по их реализации, модели уязвимости и взаимодействие средств защиты. При проектировании систем защиты, рекомендуется учитывать: необходимые функции защиты; угрозы; уязвимость; негативные воздействия; риски; защитные меры; ресурсы (аппаратные, информационные, программные, специалистов) и их ограниченность. В остальных частях стандарта предложена и развивается концепция и модель управления и планирования построения системы обеспечения безопасности, упрощенная схема компонентов которой представлена на Рис. 3.

    Рисунок 3.



    Исходные данные: угрозы, критерии защиты, ресурсы - предварительный анализ их влияния на безопасность ИС
    Общая политика построения защиты ИС - выделение объектов защиты, управление их взаимодействием и объединение компонентов средств защиты
    Предварительный план проектирования защиты ИС: оценка доступных средств, анализ и планирование разработки и интеграции средств защиты
    Организационные аспекты защиты ИС - формирование обязательств поставщика и обязанностей специалистов по созданию равнопрочной защиты
    Стратегия защиты на основе анализа рисков - факторный и информационный методы, детальный анализ рисков
    Результирующая концепция построения системы защиты ИС - варианты средств защиты, утверждение допустимых рисков
    Систематизированная политика построения и совершенствования системы защиты ИС
    Утвержденные планы организации и проведения работ по защите ИС
    Комплекс методов, средств и их взаимодействия в проекте системы защиты ИС
    Оценка достиганмой защищенности ИС - планирование совершенствования системы защиты, регистрации и мониторинга инцидентов
    <
    В стандарте выделены функциональные компоненты и средства обеспечения безопасности, а также их взаимодействие. Процессы управления безопасностью должны включать:

  • управление изменениями и конфигурацией функций и компонентов системы безопасности;
  • анализ и управление рисками;
  • прослеживаемость функций и результатов комплексов средств обеспечения безопасности;
  • регистрацию, обработку и мониторинг инцидентов.


  • Приводятся общие требования к оценке результатов обеспечения безопасности, а также возможные варианты организации специалистов для комплексного обеспечения безопасности ИС. Систематизирована политика и техника планирования, выбора, построения и использования средств обеспечения безопасности для ограничения допустимых рисков при различных схемах взаимодействия и средствах защиты. Рекомендуются различные подходы и стратегии при создании систем защиты и поддержке их последующего развития. Содержание частей стандарта детализирует общие концепции и достаточно точно определяется их названиями. Изложенную в стандарте модель планирования обеспечения безопасности, целесообразно конкретизировать и использовать как фрагмент проекта функциональной безопасности ПС.

    содержание       назад       вперед


    Содержание раздела