![]() Главная страница Случайная страница КАТЕГОРИИ: АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника |
Правовое обеспечение ИС. Политика безопасности предприятия. Государственное законодательство в области информационной безопасности ИС.
Информац безопасность (ИБ) -защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. Политика безопасности – это совокупность норм и правил, определяющих принятые в организации меры по обеспечению безопасности информации, связанной с деятельностью организации. Политика безопасности обычно состоит из двух частей: общих принципов и конкретных правил работы с ИС для различных категорий пользователей. В руководстве по компьютерной безопасности, разработанном Национальным институтом стандартов и технологий США (National Institute of Standards and Technology – NIST), рекомендовано включать в описание политики безопасности следующие разделы: 1. Предмет политики. В этом разделе определяются цели и указываются причины разработки политики, область ее применения, задачи, термины и определения. 2. Описание позиции организации. Четко описаны ресурсы ИС, перечень допущенных к ресурсам ИС лиц и процессов и порядок получения доступа к ресурсам ИС. 3. Применимость. Определяется порядок доступа к данным ИС, определены ограничения или технологические цепочки, применяемые при реализации политики безопасности. 4. Роли и обязанности. В разделе определяются ответственные должностные лица и их обязанности в отношении разработки и внедрения различных элементов политики: обязанности администратора безопасности данных, администратора баз данных, администратора локальной сети, операторов. 5. Соблюдение политики. Описываются права и обязанности пользователей ИС. Представлено явное описание недопустимых действий при осуществлении доступа к информационным ресурсам организации и наказания за нарушения режимных требований. Должна быть ясно определена технология фиксации фактов нарушения политики безопасности и применения административных мер воздействия к нарушителям. Комплект документов по организации и реализации политики безопасности должен включать: описание используемых подходов к оцениванию и управлению рисками; обоснование принятых решений по выбору средств защиты для рассматриваемой ИС; формальное описание процедуры определения допустимого уровня остаточного риска; описание процедуры проверки режима информационной безопасности и журналов с информацией по результатам проверки; регламентацию процессов обслуживания и администрирования ИС; контрмеры для противодействия выявленным рискам; сведения по организации системы управления информационной безопасностью и регистрации средств управления безопасностью. 43. Жизненный цикл (ЖЦ) ИС'. Стандарты разработки ИС. Этапы и модели разработки ИС. формируемые документы. Роль заказчика и разработчика ПС в формировании требований ней. Жизненный цикл ИС – непрерывный процесс, начинающийся с момента принятия решения о создании ИС и заканчивающийся в момент полного изъятия её из экономической специализации. Модель жизненного цикла ПС – структура, определяющая последовательность выполнения и взаимосвязи между какими-либо процессами, задачами на протяжении ЖЦ. Модель жизненного цикла ПС включает: стадии; результаты выполнения работ на каждой стадии; ключевое событие – точка завершения работ и принятия решений. Стадия – часть процесса создания ПС, опред.временными рамками и заканчивающийся выпуском конкретного продукта, определ. задачи для данной стадии требованиями. Процессы жизненного цикла: 1) основные: заказ, поставка, разработка, эксплуатация, сопровождение; 2) вспомогательные: документирование, управление конкуренцией, обеспечение качества, аттестация, аудит, решение проблемы; 3) организующие: управление, усовершенствование, обучение. Стандарты: 1) потребителям ИС – для выбора техники и др; 2) поставщикам продуктов и услуг – для снижения себестоимости продукции; 3) разработчикам и эксплуатирующим ИС – для повышения качества решений и обеспечения совместимости с др. системами Существует ряд стандартов и методик, используемых при разработке КИС: - ISO/LEC 12207 – стандарт на процессы и организацию жизненного цикла, который распространяется на все виды программного обеспечения; - Rational Unified Process (RUP) – итеративная методология разработки; - Rapid Application Development (RAD) – методология быстрой разработки приложений, представляющая комплекс специальных инструментальных средств, позволяющих оперировать с определенным набором графических объектов, функционально отображающих отдельные компоненты приложений; - Custom Development Method (CDM) – методология по разработке прикладных информационных систем рассчитанных на использование в проектах с применением компонентов Oracle. Стандарт ISO/IEC 12207 определяет структуру жизненного цикла, включая процессы, работы и задачи, выполняемые в процессе создания информационной системы. Модели ЖЦ: каскадные, спиральные, RAO-модель, компонентная и др. Каскадная модель: Анализ-проектирование-разработка-тестирование-ввод в действие. Плюсы каскад. модели: на каждом этапе формируется законченный набор проектной документации, отвечающей критериям полноты и согласованности. Минусы каскад. модели: ошибки, допущенные на данных этапах могут повториться на последующих этапах. Этап 1. Исследование проблемы, чёткая формулировка всех требований заказчика В технич. задании задаётся содержание эскизного проекта. Этап 2. Разработка проектных решений Результаты технического проекта (ТП) – документ, определяющий алгоритмы решения задач, оценка эконом. пр-сти и др. Этап 3. Разработка ПС в соответствии с получ. на предпоследнем этапе проекта решений. Результат – выпуск рабочего проекта (РП). Этап 4. Тестирование получ. ПС на предмет соответствия требованиям. Этап 5. Ввод в действие. Проект – комплекс взаимосвязи мероприятия, предназнач.для достижения поставленной цели с установленными требованиями к качеству результата в течении заданного времени. Раздел требований к ИС может содержать след. подразделы: 1) требования к функциональным характеристикам; 2) требования к надёжности; 3) настраиваемость. Уровни требований: 1) общие требования; 2) требования пользователей; 3) функциональные требования. Требования к надёжности: организация системы безопасности; механизмы восстановления после программных и аппаратных отказов. Общие требования к ПС: возможность настройки пользовательских шифров; система обработки и настройки «горячих клавиш»; система «всплывающих» подсказок; развёрнутая система «контекстной помощи»; система «отката» и возобновления действий; единая система ввода сообщений об ошибках.
|