Материалы представленные на сайте исключительно с целью ознакомления пользователям Интернета и не преследуют коммерческих целей или нарушение авторских прав.
© 2018 - 2024
Требования по обеспечению безопасности КИС всегда на-правлены на достижение трех основных свойств защищаемой информации35:
• доступность — информация и соответствующие автомати-зированные службы должны быть доступны в любой момент времени;
• целостность — информация должна быть достоверной, за-щищенной от возможных непреднамеренных и злоумышленных искажений и актуальной;
• конфиденциальность — информация должна быть доступна только тем пользователям, кому она предназначена.
Информационная безопасность КИС — способность информа-ционной системы к предотвращению реализации потенциаль-ных угроз, направленных на нарушение штатного режима и снижение качества функционирования КИС, а также к нейтра-лизации последствий их негативного воздействия (Липаев В.В. Методы обеспечения качества крупномасштабных программных средств. - М.: СИНТЕГ, 2003).
Система защиты информации — совокупность подразделений и исполнителей, применяемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации
Для обеспечения информационной безопасности КИС ис-пользуют два вида анализа36.
1. От исходных целей и функций требуемой защиты объектов КИС. При данном подходе проектируется комплексная система защиты КИС, выявляются объекты защиты и затем для каждого из них определяются методы и средства, способные обеспечить требуемый уровень безопасности функционирования.
2. От доступных методов и средств защиты объектов КИС. Прр 1 данном подходе необходимо определить, какие из имеющихся средств и методов защиты могут быть применены для обеспечения безопасности каждого компонента КИС, которые позволят обеспечить требуемый уровень комплексной защиты системы.
На этапе проектирования ЖЦ КИС решаются задачи:
• определения методов и средств, уменьшающих влияние внешних и внутренних угроз безопасности;
• эффективного распределения ресурсов КИС на средства защиты;
• оценки уязвимости каждого функционального компонента КИС
|
| Название стандарта | Характеристика стандарта |
| ISO/IEC 10181-4:1997. Информационные технологии. Взаимодействие открытых систем. Основы безопасности для открытых систем | Общая концепция обеспечения безопасности открытых информационных систем; основные понятия и общие характеристики методов защиты; обосновывается необходимость сертификации системы обеспечения безопасности ИС для внедрения после ее разработки; основные средства обеспечения безопасности ИС; примеры построения общих схем защиты ИС в открытых системах | |
| ISO 13335:1996-1998 - 1-5, ИТ. ТО. Руководство по управлению безопасностью | Концепция и модели обеспечения безопасности информационных технологий. Планирование и управление безопасностью ИТ. Техника управления безопасностью ИТ. Селекция (выбор) средств обеспечения безопасности. Безопасность внешних связей | |
| ISO/IEC 15408, Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий | Описаны требования к следующим классам обеспечения безопасности: идентификация и аутентификация пользователей; защита данных пользователей (содержит требования к управлению доступом, целостностью и потоками информации); физическая защита функций безопасности объекта (содержит требования к защите его целостности и к управлению надежным восстановлением при сбоях и искажениях); управление и аудит безопасности; требования распознавания, накопления, хранения и анализа информации, связанной с процессами реализации защиты и атаками для ее нарушения); доступ к объектам |
| Формирование функциональных требований безопасности | Правила проведения оценки объекта безопасности и формирование политики безопасности | |
| IEC 61508:1-6:1998. Функциональная безопасность электрических/ электронных/, программируемых электронных систем безопасности | Задачи и требования к безопасности программных средств электрических, электронных и программируемых электронных систем регламентируются в стандарте Международной электротехнической комиссии - IEC 61508:1- 6:1998. В стандарте изложены общие технологические и функциональные требования к процессам разработки и всему ЖЦ операционных и прикладных ПС, обеспечивающих безопасность аппаратно-программных систем |
Этапы внедрения КИС
Рассмотрим более подробно каждый из этапов фазы внедрения.
Этап I. Тестирование. В результате фазы разработки создается бета-версия (бета-релиз) системы. На протяжении фазы внедрения выполняется бета-тестирование, которое позволяет собрать мнения пользователей о системе.
При планировании тестирования на фазе внедрения внимание уделяется следующим направлениям:
• продолжение проектирования и реализации тестов для поддержки дальнейшей разработки КИС;
• регрессионное тестирование (тестирование заново всей системы или отдельной функции системы);
• приемочное тестирование.
В ходе тестирования решаются задачи:
• проверка стабильности работы системы;
• системный анализ результатов тестирования;
• оценка качества системы;
• оценка тестов с точки зрения соответствия их целям тес-тирования.
Для определения момента завершения фазы внедрения ис-пользуются количественные показатели40.
1. Показатели, характеризующие выявление и устранение дефектов:
• сколько новых дефектов обнаруживается ежедневно;
• сколько дефектов исправляется ежедневно.
2. Показатели тестирования:
• количество выполненных тестов;
• количество ожидаемых новых дефектов,
Этап 2. Корректировка системы. Выявленные недостатки (запросы на изменение) являются причиной для продолжения разработки. Как правило, запросы на изменение касаются не-значительных настроек системы (исправление мелких ошибок, улучшение производительности, изменение или добавление до-кументации, создание справочных и обучающих компонентов).
Этап 3. Обучение персонала. В ходе внедрения проводится обучение следующих категорий сотрудников: пользователи сис-темы; обслуживающий персонал; группа поддержки системы.
В ходе процесса обучения выполняется бета-тестирование учебных материалов, пользовательской документации и инструкций по применению.
Этап 4. Опытная эксплуатация. На перечень работ, прово-димых в ходе опытной эксплуатации, влияет стратегия перехода от старой системы к новой, но гем не менее можно выделить ряд работ, которые выполняю гея независимо от стратегии внедрения:
• анализ потребности в дополнительных площадях для раз-вертывания системы;
• анализ условий размещения новой аппаратуры;
• анализ системы основного и резервного питания;
• анализ потребностей в расширении вычислительной сети;
• анализ системы резервного копирования;
• анализ профилей пользователей и механизма инсталляции программных средств на рабочие станции;
• анализ системы администрирования;
• конвертирование рабочих баз данных.
Этап 5. Оформление акта о внедрении. Перед оформлением акта о внедрении проводится приемочное тестирование вне-дряемой системы.
Цель приемочного тестирования - проверка готовности и способности программы выполнять все функции и задачи, для которых она создавалась.
Известны следующие стратегии проведения приемочного тестирования.
1. Формальная приемка — это четко определенный и управ-ляемый процесс приема системы, который основан на четких взаимоотношениях поставщика и заказчика.
Для формальной приемки характерны следующие требова-ния:
• тесты тщательно планируются и проектируются с большой степенью детализации;
• исключается отклонение от выбранных и утвержденных прецедентов тестирования;
• процесс приемки может быть полностью автоматизирован;
• выполняется организацией-поставщиком под контролем заказчика, самим заказчиком или третьей стороной, указанной заказчиком.
2. Неформальная приемка — менее строгий и формализо-ванный процесс тестирования, основанный на выборочном на-боре прецедентов, связанных с отдельными функциями.
Для неформальной приемки характерны следующие особен-ности:
• тестовые процедуры определены менее строго, чем при формальной приемке;
• предварительно выявляются и документируются функции и бизнес-задачи, которые необходимо проанализировать;
• отсутствуют прецеденты тестирования;
• тестировщик самостоятельно определяет набор прецеден-тов тестирования;
• процесс тестирования более субъективен и менее автома-тизирован;
• выполняется организацией — конечным пользователем.
3. Бета-тестирование — проверка соответствия программной
системы ожиданиям пользователей на базе результатов, полу-ченных на этапе тестирования бета-версии системы.
Приемочное тестирование продукта — это не только тести-рование программного продукта на готовность к реализации требуемых функций, но и все передаваемые заказчику артефак-ты: учебные материалы, документация, упаковка.
Итак, в начале фазы внедрения необходимо:
• сформировать методологию внедрения;
• выбрать стратегию внедрения;
• определить стратегию управления изменениями;
• выявить риски, характерные для фазы внедрения.
Основными видами работ в ходе реализации фазы внедрения являются:
• выполнение одного или более бета-тестирования внедря-емой системы;
• доработка, корректировка системы на основе запросов на изменение, поступающих от пользователей;
• обучение пользователей и обслуживающего персонала са-мостоятельной работе с системой;
• подготовка площадки для развертывания системы;
• конвертирование данных из старой системы в новую;
• оформление соглашения со всеми заинтересованными сто-ронами о том, что предприятие/компания готово для разверты-вания системы и что система соответствует критериям оценки, определенным в концепции (требованиям к системе);
• анализ приобретенного опыта по внедрению системы для применения его в будущих проектах.
[ЕС1]
[ЕС2]
Дата: 2019-02-02, просмотров: 258.