УМК. УМК Управление ИС 2019-20 ннн. Методические рекомендации по выполнению срс материалы по контролю и оценке учебных достижений обучающихся
Скачать 2.55 Mb.
|
Вопросы для самоконтроля:Новые рыночные ниши? новый вид услуг? услуги по разработке и размещению Web-страниц в Internet? Рекомендуемая литература:Информационные системы и технологии в экономике. В.Б.Уткин, К.В.Балдин. Учебник для вузов.-М.: ЮНИТИ-ДАНА, 2015. Салмии С.П. Управленческие информационные комплексы и автоматизированные информационные технологии. - Н. Новгород: Изд-во ННГУ, 2019. Тема 27. Тема: Анализ стандартов информационной безопасностиЦель лекции: ознакомится с анализом стандартов информационной безопасности Ключевые слова: ит - служба, услуги, функций, факторы. План лекции:Главная задача стандартов информационной безопасности Универсальность. Документы Гостехкомиссии Гибкость. Главная задача стандартов информационной безопасности — согласовать позиции и целм производителей, потребителей и аналитиков-классификаторов в процессе создания и эксплуатации продуктов информационных технологий. Каждая из перечисленных категорий специалистов оценивает стандарты и содержащиеся в них требования и критерии по своим собственным параметрам. В качестве обобщенных показателей, характеризующих стандарты информационной безопасности и имеющих значение для всех трех сторон, предлагается использовать универсальность, гибкость, гарантированность, реализуемость и актуальность. Универсальность. «Оранжевая книга» предназначалась для систем военного времени, ее адаптация для распределенных систем и баз данных потребовала разработки дополнительных документов. В «Европейские критерии» вошли распределенные системы, сети, системы телекоммуникаций и СУБД, но в данном стандарте по-прежнему явным образом оговаривается архитектура и назначение систем, к которым он может быть применен, и никак не регламен- тируется среда их эксплуатации. Документы Гостехкомиссии имеют довольно ограниченную сферу применения — это персональные и многопользовательские системы, причем ориентация системы на обслуживание конечных пользователей является обязательным условием. «Канадские критерии» рассматривают в качестве области своего применения все типы компьютерных систем. «Единые критерии» предложили такую технологию создания ИТ-продуктов, при которой использование данного стандарта является неотъемлемым компонентом. Гибкость. Требования «Оранжевой книги» оказались слишком абстрактными для непосредственного применения во многих случаях, что потребовало их дополнения. «Европейские критерии» предусмотрели специальные уровни и требования, рассчитанные на типовые системы (СУБД, телекоммуникации и т.д.). «Канадские критерии» не рассматривают Профиль защиты в качестве обязательного элемента безопасности информационных технологий и также обладают определенной спецификой в своем подходе к основным понятиям безопасности, поэтому их гибкость можно оценить только как достаточную. «Единые критерии» обладают практически совершенной гибкостью, так как позволяют потребителям выразить свои требования с помощью механизма Профилей защиты в форме, инвариантной к механизмам реализации, а производителям — продемонстрировать с помощью Проекта защиты, как эти требования преобразуются в задачи и реализуются на практике. Гарантированностъ. «Оранжевая книга» предусматривала обязательное применение формальных методов верификации только при создании систем высшего класса защищенности (класс А). В «Европейских критериях» появляется специальный раздел требований — требования адекватности, которые регламентируют технологию и инструментарий разработки, а также контроль за процессами проектирования и разработки. Документы Гостехкомиссии практически полностью проигнорировали этот ключевой аспект безопасности информационных технологий и обходят данный вопрос молчанием. «Канадские критерии» включают раздел требований адекватности, количественно и качественно ни в чем не уступающий разделу функциональных требований. «Единые критерии» рассматривают гарантированность реализации защиты как самый важный компонент информационной безопасности и предусматривают многоэтапный контроль на каждой стадии разработки ИТ-продукта, позволяющий подтвердить соответствие полученных результатов поставленным целям путем доказательства адекватности задач защиты требованиям потребителей, адекватности Проекта защиты «Единым критериям» и адекватности ИТ-продукта Проекту защиты. Реализуемость. Плохие показатели реализуемости говорят о практической бесполезности стандарта, поэтому все документы отвечают этому показателю в достаточной или высокой степени. «Единые критерии» и здесь оказались на практически недосягаемой для остальных стандартов высоте за счет сверхвысокой степени подробности функциональных требований (135 требований), которые фактически служат исчерпывающим руководством по разработке защищенных систем. Отметим, что это единственный показатель, по которому документы ГТК не отстают от остальных стандартов информационной безопасности. Актуальность. «Оранжевая книга» содержит требования, в основном направленные на противодействие угрозам конфиденциальности, что объясняется ее ориентированностью на системы военного назначения. «Европейские критерии» находятся примерно на том же уровне, хотя и уделяют уфозам целостности гораздо больше внимания. «Канадские критерии» ограничиваются типовым набором уфоз безопасности, достаточным в большинстве случаев. «Единые критерии» ставят во главу угла удовлетворение нужд пользователей и предлагают для этого соответствующие механизмы (Профиль и Проект защиты), что дает возможность выстроить на их основе динамичную и постоянно адаптирующуюся к новым задачам технологию создания безопасных информационных систем. |