Синхронізація програми безпеки з життєвим циклом систем

Якщо синхронізувати програму безпеки нижнього рівня з життєвим циклом сервісу, що захищається, можна досягти більшого ефекту з меншими витратами. Додати нову можливість вже готовій системі на порядок склад­ніше, ніж спочатку спроектувати і реалізувати її. Те ж саме справедливо і для інформаційної безпеки.

У життєвому циклі інформаційного сервісу виділяються такі етапи та дії, що виконуються з позиції програми безпеки.

Ініціація. На даному етапі виявляється необхідність у придбанні но­вого сервісу, документується його передбачуване призначення.

З погляду інформаційної безпеки найважливішою дією тут є оціню­вання критичності як самого сервісу, так і інформації, яка з його допомогою оброблятиметься.

Результати оцінювання критичності є відправним моментом у скла­данні специфікацій. Крім того, вони визначають ту міру уваги, яку служба безпеки організації повинна приділяти новому сервісу на подальших етапах його життєвого циклу.

Закупівля. На даному етапі складаються специфікації, опрацьову­ються варіанти придбання, виконується власне закупівля.

Тут необхідно остаточно сформулювати вимоги до захисних засобів нового сервісу, до компанії, яка може претендувати на роль постачальника, і до кваліфікації, якою повинен володіти персонал, що використовує або об­слуговує продукт, що купується. Всі ці відомості оформляються у вигляді специфікації, куди входять не тільки апаратура і програми, але і документа­ція. обслуговування, навчання персоналу. Підкреслимо також, що нерідко засоби безпеки є необов'язковими компонентами комерційних продуктів, і потрібно прослідкувати, щоб відповідні пункти не випали із специфікації.

Встановлення. Сервіс встановлюється, конфігурується, тестується і вводиться в експлуатацію.

Коли продукт куплений, його необхідно встановити. По-перше, но­вий продукт слід конфігурувати. Як правило, комерційні продукти поставллються з відключеними засобами безпеки; їх необхідно включити і належ­ним чином налаштувати. Для великої організації, де багато користувачів і даних, початкове налаштування може стати вельми трудомісткою і відпові­дальною справою.

По-друге, новий сервіс потребує процедурних регуляторів. Слід по­турбуватися про чистоту і охорону приміщення, про документи, що регла­ментують використання сервісу, про підготовку планів на випадок екстре­них ситуацій, про організацію навчання користувачів тощо.

Після здійснення перерахованих заходів необхідно провести тесту­вання. Його повнота і комплексність можуть служити гарантією безпеки експлуатації в штатному режимі.

Експлуатація. На даному етапі сервіс не тільки працює та адмініст­рується, але і піддається модифікаціям.

Період експлуатації - найтриваліший та складний. З психологічної точки зору найбільшою небезпекою в цей час є незначні зміни в конфігура­ції сервісу, в поведінці користувачів і адміністраторів. Якщо безпеку не під­тримувати, вона слабшає. Користувачі не так відповідально виконують по­садові інструкції, адміністратори менш ретельно аналізують реєстраційну інформацію. То один, то інший користувач одержує додаткові привілеї. Зда­ється. що по суті нічого не змінилося, але, насправді, від минулої безпеки не залишилося й сліду. Для боротьби з ефектом повільних змін доводиться вдаватися до періодичних перевірок безпеки сервісу. Зрозуміло, що після значних модифікацій подібні перевірки є обов'язковими.

Виведення з експлуатації. Відбувається перехід на новий сервіс.

При виведенні з експлуатації зачіпаються апаратно-програмні компо­ненти сервісу та оброблювані ними дані. Апаратура продається, утилізується або викидається. Тільки в окремих випадках необхідно піклуватися про фі­зичне руйнування апаратних компонентів, що зберігають конфіденційну ін­формацію. При виведенні даних з експлуатації їх звичайно переносять на іншу систему, архівують, викидають або знищують. Якщо архівація прово­диться з наміром згодом прочитати дані у іншому місці, слід поклопотатися про апаратно-програмну сумісність засобів читання і запису. Інформаційні технології розвиваються дуже швидко, і через декілька років пристроїв, зда­тних прочитати старий носій, можна просто не знайти.

ІТ-спеціаліст з Оксфорда Ендрю Чепмен (Andrew Chapman) купив на аукціоні eBay старенький комп'ютер. Проте він і припустити не міг, що всього за 35 фунтів стерлінгів можна придбати актив вартістю в мільйони доларів. Вивчивши вміст комп'ютеру, він побачив базу даних з як мінімум мільйоном записів про банківські карти American Express, NatWest і Royal Bank of Scotland і повідомив про свою знахідку в поліцію. Як з'ясувалося, проданий комп'ютер належав компанії Mail Source, яка пропонує фінансовим структурам послуги з обробки інформації.

Якщо дані архівуються в зашифрованому вигляді, необхідно зберегти ключ і засоби розшифрування. При архівації і зберіганні архівної інформації не можна забувати про підтримку конфіденційності даних.

3.4 ІНФОРМАЦІЙНО-АНАЛІТИЧНА ДІЯЛЬНІСТЬ ПІДПРИЄМСТВА

Поиск по сайту: