Помощничек
Главная | Обратная связь


Археология
Архитектура
Астрономия
Аудит
Биология
Ботаника
Бухгалтерский учёт
Войное дело
Генетика
География
Геология
Дизайн
Искусство
История
Кино
Кулинария
Культура
Литература
Математика
Медицина
Металлургия
Мифология
Музыка
Психология
Религия
Спорт
Строительство
Техника
Транспорт
Туризм
Усадьба
Физика
Фотография
Химия
Экология
Электричество
Электроника
Энергетика

Синхронізація програми безпеки з життєвим циклом систем



Якщо синхронізувати програму безпеки нижнього рівня з життєвим циклом сервісу, що захищається, можна досягти більшого ефекту з меншими витратами. Додати нову можливість вже готовій системі на порядок склад­ніше, ніж спочатку спроектувати і реалізувати її. Те ж саме справедливо і для інформаційної безпеки.

У життєвому циклі інформаційного сервісу виділяються такі етапи та дії, що виконуються з позиції програми безпеки.

Ініціація. На даному етапі виявляється необхідність у придбанні но­вого сервісу, документується його передбачуване призначення.

З погляду інформаційної безпеки найважливішою дією тут є оціню­вання критичності як самого сервісу, так і інформації, яка з його допомогою оброблятиметься.

Результати оцінювання критичності є відправним моментом у скла­данні специфікацій. Крім того, вони визначають ту міру уваги, яку служба безпеки організації повинна приділяти новому сервісу на подальших етапах його життєвого циклу.

Закупівля. На даному етапі складаються специфікації, опрацьову­ються варіанти придбання, виконується власне закупівля.

Тут необхідно остаточно сформулювати вимоги до захисних засобів нового сервісу, до компанії, яка може претендувати на роль постачальника, і до кваліфікації, якою повинен володіти персонал, що використовує або об­слуговує продукт, що купується. Всі ці відомості оформляються у вигляді специфікації, куди входять не тільки апаратура і програми, але і документа­ція. обслуговування, навчання персоналу. Підкреслимо також, що нерідко засоби безпеки є необов'язковими компонентами комерційних продуктів, і потрібно прослідкувати, щоб відповідні пункти не випали із специфікації.

Встановлення. Сервіс встановлюється, конфігурується, тестується і вводиться в експлуатацію.

Коли продукт куплений, його необхідно встановити. По-перше, но­вий продукт слід конфігурувати. Як правило, комерційні продукти поставллються з відключеними засобами безпеки; їх необхідно включити і належ­ним чином налаштувати. Для великої організації, де багато користувачів і даних, початкове налаштування може стати вельми трудомісткою і відпові­дальною справою.

По-друге, новий сервіс потребує процедурних регуляторів. Слід по­турбуватися про чистоту і охорону приміщення, про документи, що регла­ментують використання сервісу, про підготовку планів на випадок екстре­них ситуацій, про організацію навчання користувачів тощо.

Після здійснення перерахованих заходів необхідно провести тесту­вання. Його повнота і комплексність можуть служити гарантією безпеки експлуатації в штатному режимі.

Експлуатація. На даному етапі сервіс не тільки працює та адмініст­рується, але і піддається модифікаціям.

Період експлуатації - найтриваліший та складний. З психологічної точки зору найбільшою небезпекою в цей час є незначні зміни в конфігура­ції сервісу, в поведінці користувачів і адміністраторів. Якщо безпеку не під­тримувати, вона слабшає. Користувачі не так відповідально виконують по­садові інструкції, адміністратори менш ретельно аналізують реєстраційну інформацію. То один, то інший користувач одержує додаткові привілеї. Зда­ється. що по суті нічого не змінилося, але, насправді, від минулої безпеки не залишилося й сліду. Для боротьби з ефектом повільних змін доводиться вдаватися до періодичних перевірок безпеки сервісу. Зрозуміло, що після значних модифікацій подібні перевірки є обов'язковими.

Виведення з експлуатації. Відбувається перехід на новий сервіс.

При виведенні з експлуатації зачіпаються апаратно-програмні компо­ненти сервісу та оброблювані ними дані. Апаратура продається, утилізується або викидається. Тільки в окремих випадках необхідно піклуватися про фі­зичне руйнування апаратних компонентів, що зберігають конфіденційну ін­формацію. При виведенні даних з експлуатації їх звичайно переносять на іншу систему, архівують, викидають або знищують. Якщо архівація прово­диться з наміром згодом прочитати дані у іншому місці, слід поклопотатися про апаратно-програмну сумісність засобів читання і запису. Інформаційні технології розвиваються дуже швидко, і через декілька років пристроїв, зда­тних прочитати старий носій, можна просто не знайти.

ІТ-спеціаліст з Оксфорда Ендрю Чепмен (Andrew Chapman) купив на аукціоні eBay старенький комп'ютер. Проте він і припустити не міг, що всього за 35 фунтів стерлінгів можна придбати актив вартістю в мільйони доларів. Вивчивши вміст комп'ютеру, він побачив базу даних з як мінімум мільйоном записів про банківські карти American Express, NatWest і Royal Bank of Scotland і повідомив про свою знахідку в поліцію. Як з'ясувалося, проданий комп'ютер належав компанії Mail Source, яка пропонує фінансовим структурам послуги з обробки інформації.

Якщо дані архівуються в зашифрованому вигляді, необхідно зберегти ключ і засоби розшифрування. При архівації і зберіганні архівної інформації не можна забувати про підтримку конфіденційності даних.

3.4 ІНФОРМАЦІЙНО-АНАЛІТИЧНА ДІЯЛЬНІСТЬ ПІДПРИЄМСТВА

 




Поиск по сайту:

©2015-2020 studopedya.ru Все права принадлежат авторам размещенных материалов.