Правовое обеспечение ИС. Политика безопасности предприятия. Государственное законодательство в области информационной безопасности ИС.

Информац безопасность (ИБ) -защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

Политика безопасности – это совокупность норм и правил, определяющих принятые в организации меры по обеспечению безопасности информации, связанной с деятельностью организации.

Политика безопасности обычно состоит из двух частей: общих принципов и конкретных правил работы с ИС для различных категорий пользователей.

В руководстве по компьютерной безопасности, разработанном Национальным институтом стандартов и технологий США (National Institute of Standards and Technology – NIST), рекомендовано включать в описание политики безопасности следующие разделы:

1. Предмет политики. В этом разделе определяются цели и указываются причины разработки политики, область ее применения, задачи, термины и определения.

2. Описание позиции организации. Четко описаны ресурсы ИС, перечень допущенных к ресурсам ИС лиц и процессов и порядок получения доступа к ресурсам ИС.

3. Применимость. Определяется порядок доступа к данным ИС, определены ограничения или технологические цепочки, применяемые при реализации политики безопасности.

4. Роли и обязанности. В разделе определяются ответственные должностные лица и их обязанности в отношении разработки и внедрения различных элементов политики: обязанности администратора безопасности данных, администратора баз данных, администратора локальной сети, операторов.

5. Соблюдение политики. Описываются права и обязанности пользователей ИС. Представлено явное описание недопустимых действий при осуществлении доступа к информационным ресурсам организации и наказания за нарушения режимных требований. Должна быть ясно определена технология фиксации фактов нарушения политики безопасности и применения административных мер воздействия к нарушителям.

Комплект документов по организации и реализации политики безопасности должен включать: описание используемых подходов к оцениванию и управлению рисками; обоснование принятых решений по выбору средств защиты для рассматриваемой ИС; формальное описание процедуры определения допустимого уровня остаточного риска; описание процедуры проверки режима информационной безопасности и журналов с информацией по результатам проверки; регламентацию процессов обслуживания и администрирования ИС; контрмеры для противодействия выявленным рискам; сведения по организации системы управления информационной безопасностью и регистрации средств управления безопасностью.

43. Жизненный цикл (ЖЦ) ИС'. Стандарты разработки ИС. Этапы и модели разработки ИС. формируемые документы. Роль заказчика и разработчика ПС в формировании требований ней.

Жизненный цикл ИС – непрерывный процесс, начинающийся с момента принятия решения о создании ИС и заканчивающийся в момент полного изъятия её из экономической специализации.

Модель жизненного цикла ПС – структура, определяющая последовательность выполнения и взаимосвязи между какими-либо процессами, задачами на протяжении ЖЦ.

Модель жизненного цикла ПС включает: стадии; результаты выполнения работ на каждой стадии; ключевое событие – точка завершения работ и принятия решений.

Стадия – часть процесса создания ПС, опред.временными рамками и заканчивающийся выпуском конкретного продукта, определ. задачи для данной стадии требованиями.

Процессы жизненного цикла: 1) основные: заказ, поставка, разработка, эксплуатация, сопровождение; 2) вспомогательные: документирование, управление конкуренцией, обеспечение качества, аттестация, аудит, решение проблемы; 3) организующие: управление, усовершенствование, обучение.

Стандарты: 1) потребителям ИС – для выбора техники и др; 2) поставщикам продуктов и услуг – для снижения себестоимости продукции; 3) разработчикам и эксплуатирующим ИС – для повышения качества решений и обеспечения совместимости с др. системами

Существует ряд стандартов и методик, используемых при разработке КИС:

- ISO/LEC 12207 – стандарт на процессы и организацию жизненного цикла, который распространяется на все виды программного обеспечения;

- Rational Unified Process (RUP) – итеративная методология разработки;

- Rapid Application Development (RAD) – методология быстрой разработки приложений, представляющая комплекс специальных инструментальных средств, позволяющих оперировать с определенным набором графических объектов, функционально отображающих отдельные компоненты приложений;

- Custom Development Method (CDM) – методология по разработке прикладных информационных систем рассчитанных на использование в проектах с применением компонентов Oracle.

Стандарт ISO/IEC 12207 определяет структуру жизненного цикла, включая процессы, работы и задачи, выполняемые в процессе создания информационной системы.

Модели ЖЦ: каскадные, спиральные, RAO-модель, компонентная и др.

Каскадная модель: Анализ-проектирование-разработка-тестирование-ввод в действие.

Плюсы каскад. модели: на каждом этапе формируется законченный набор проектной документации, отвечающей критериям полноты и согласованности.

Минусы каскад. модели: ошибки, допущенные на данных этапах могут повториться на последующих этапах.

Этап 1. Исследование проблемы, чёткая формулировка всех требований заказчика

В технич. задании задаётся содержание эскизного проекта.

Этап 2. Разработка проектных решений

Результаты технического проекта (ТП) – документ, определяющий алгоритмы решения задач, оценка эконом. пр-сти и др.

Этап 3. Разработка ПС в соответствии с получ. на предпоследнем этапе проекта решений. Результат – выпуск рабочего проекта (РП).

Этап 4. Тестирование получ. ПС на предмет соответствия требованиям.

Этап 5. Ввод в действие.

Проект – комплекс взаимосвязи мероприятия, предназнач.для достижения поставленной цели с установленными требованиями к качеству результата в течении заданного времени.

Раздел требований к ИС может содержать след. подразделы: 1) требования к функциональным характеристикам; 2) требования к надёжности; 3) настраиваемость.

Уровни требований: 1) общие требования; 2) требования пользователей; 3) функциональные требования.

Требования к надёжности: организация системы безопасности; механизмы восстановления после программных и аппаратных отказов.

Общие требования к ПС: возможность настройки пользовательских шифров; система обработки и настройки «горячих клавиш»; система «всплывающих» подсказок; развёрнутая система «контекстной помощи»; система «отката» и возобновления действий; единая система ввода сообщений об ошибках.