шпоры ИСУБ. ИСУБ. Тема основные понятия ис
Скачать 77.98 Kb.
|
ТЕМА 6. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ИС 1. Понятие информационной безопасности (ИБ) ИС. Под информационной безопасностью (ИБ) будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры. Средства и методы поддержки ИБ должны обеспечивать: -доступность -целостность -конфиденциальность Доступность информации (ресурсов информационной системы) предполагает, что субъекты, имеющие права доступа, могут беспрепятственно их реализовывать. Под доступом к информации понимается возможность получения информации и ее использование (ознакомление, обработка, копирование, модификация или уничтожение). Атака на информационную систему – это действие, предпринимаемое злоумышленником с целью поиска и использования той или иной уязвимости системы. Таким образом, атака – это реализация угрозы безопасности. 2. Угрозы информационной безопасности ИС и их классификация. Все происходящие процессы преобразования оказывают влияние на состояние информационной безопасности. Факторы, влияющие на безопасность, принято делить на: - экономические; - политические; - организационно-технические. К политическим факторам относят: изменение геополитической обстановки в результате фундаментальных перемен; информационную экспансию развитых стран; разрушение командно-административной системы управления; нарушение информационных связей в результате образования новых государств; стремление стран СНГ к более тесному сотрудничеству; низкую общую правовую и информационную культуру в обществе. Среди экономических факторов угроз информационной безопасности выделяют: переход к рыночной экономике; критическое состояние отраслей промышленности; расширяющуюся кооперацию с зарубежными странами. К организационно-техническим факторам угроз информационной безопасности относят: недостаточною нормативно-правовую базу в сфере информационных отношений; рост объемов информации, передаваемой по открытым каналам связи; обострение криминогенной обстановки; широкое использование в сфере государственного управления и кредитно-финансовой сфере незащищенных от утечки информации импортных технических и программных средств для хранения, обработки и передачи информации. Существуют и другие подходы к классификации угроз информационной безопасности: •По иерархическому признаку: глобальные, региональные, локальные. •по цели реализации угрозы делят на нарушение конфиденциальности, целостности, доступности; •по характеру воздействия делят на активные, пассивные; •по использованию средств атаки выделяют: с использованием штатного ПО, с использованием разработанного ПО; •по состоянию объекта атаки при хранении, передаче, обработке объекта. 3. Методы и средства защиты информации. Криптографический метод защиты. Электронная цифровая подпись. Компьютерная стеганография Защита информации – деятельность, направленная на сохранение государственной, служебной, коммерческой или личной тайны, на сохранение носителей информации любого содержания. Для обеспечения ИБ используются следующие основные методы: - законодательные (законы, нормативные акты, стандарты и т.п.); - административно-организационные (действия общего характера, предпринимаемые руководством организации, и конкретные меры безопасности, направленные на работу с людьми); - программно-технические (конкретные технические меры). В настоящее время для организации современных защищенных VPN-каналов широко используется комплекс стандартов сети Интернет, известный под названием IPSec (IP Security). Средства VPN предприятия могут эффективно поддерживать защищенные каналы трех типов: -с удаленными и мобильными сотрудниками (защищенный удаленный доступ); -с сетями филиалов предприятий (защита intranet); -с сетями предприятий-партнеров (защита extranet). Поддержка IPSec является сегодня обязательным условием для перспективных VPN-продуктов. Для защиты VPN применяются межсетевые экраны, которые реализуют относительно простую схему доступа. Криптографический алгоритм, или шифр, – это математическая формула, описывающая процессы зашифрования и расшифрования. Чтобы зашифровать открытый текст, криптоалгоритм работает в сочетании с ключом – словом, числом или фразой. Одно и то же сообщение одним алгоритмом, но с разными ключами будет преобразовываться в разный шифротекст. Защищенность шифротекста целиком зависит от двух параметров: стойкости криптоалгоритма и секретности ключа. Дополнительное преимущество от использования криптосистем с открытым ключом состоит в том, что они предоставляют возможность создания электронных цифровых подписей (ЭЦП). Электронная цифровая подпись – это реквизит электронного документа, предназначенный для удостоверения источника данных и защиты данного электронного документа от подделки. Цифровая подпись позволяет получателю сообщения убедиться в аутентичности источника информации (иными словами, в том, кто является автором информации), а также проверить, была ли информация изменена (искажена), пока находилась в пути. 4. Оценка информационной безопасности ИС: стандарты и классы ИБ, требования к ИБ. Стандарт ISO 15408 «Общие критерии оценки безопасности информационных технологий» определяет инструменты оценки безопасности ИТ и порядок их использования. В нем определен ряд ключевых понятий, лежащих в основе концепции оценки защищенности продуктов ИТ: профиля защиты, задания по безопасности и объекта оценки. Профиль защиты – документ, содержащий обобщенный стандартный набор функциональных требований и требований доверия для определенного класса продуктов или систем. Задание по безопасности – документ, содержащий требования безопасности для конкретного объекта оценки и специфицирующий функции безопасности и меры доверия. Под объектом оценки понимается произвольный продукт информационных технологий или вся ИС в В данном стандарте представлены две категории требований безопасности: функциональные и требования адекватности (гарантированности) механизмов безопасности. Функциональные требования определяют совокупность функций объекта оценки, обеспечивающих его безопасность. Адекватность – свойство объекта оценки, дающее определенную степень уверенности в том, что механизмы его безопасности достаточно эффективны и правильно реализованы. В «Оранжевой книге» выделены основные классы защищенности – D, C, B, A. В класс D попадают системы, оценка которых выявила их несоответствие требованиям всех других классов Класс C1: ИС должна управлять доступом именованных пользователей к именованным объектам; пользователи должны идентифицировать себя, прежде, чем выполнять какие-либо действия, контролируемые ИС. Класс C2 (в дополнение к C1): права доступа должны определяться с точностью до пользователя. Класс B1 (в дополнение к C2): каждый хранимый объект ИС должен иметь отдельную идентификационную метку; ИС должна обеспечить реализацию принудительного управления доступом к хранимым объектам; ИС должна обеспечивать взаимную изоляцию процессов путем разделения их адресных пространств; должна существовать неформальная или формальная модель политики безопасности, поддерживаемой ИС. Класс B2 (в дополнение к B1): должна быть предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена информацией. Класс B3 (в дополнение к B2): для произвольного управления доступом должны обязательно использоваться списки управления доступом с указанием разрешенных режимов; должна быть предусмотрена возможность регистрации появления или накопления событий, несущих угрозу политике ИБ; Класс A1 (в дополнение к B3): тестирование должно продемонстрировать, что реализация ИС соответствует формальным спецификациям остальных уровней; механизм управления ИБ должен распространяться на весь жизненный цикл и все компоненты системы, имеющие отношение к обеспечению безопасности. 5. Правовое обеспечение ИС. Политика безопасности предприятия. Государственное законодательство в области информационной безопасности ИС. В Концепции нац безопасности, утвержденной указом Президента РБ, определены приоритетные направления и осн принципы обесп безоп РБ в инф сфере. Нормативно-правовая база, регламентир права, обязанности и ответственность субъектов, действующих в инф среде в РБ, развиваются по след направлениям: - разраб концепции инф безопасности; - разраб нормативно-правовых, орг-методич доков, регламентир деятельность органов гос власти в области обеспеч инф безопасности; - разраб правовых и орг мероприятий, обесп сохранение и развитие инф ресурсов; - формир правового статуса субъектов системы инф безопасности, определение их ответственности за обеспечение инф безопасности. Закон РБ «Об инфе, информатизации и защите инфы» регулирует правоотношения, возникающие в процессе формир и исп документир инфы и инф ресурсов, создания инф технологий автоматизир или автоматич инф систем и сетей. 23 сент 1993 – соглашение стран СНГ о сотрдничестве в области авторского права, о патентах. 1июля 2010 – указ Президента РБ «о мерах по совершенствованию исп нац сегмента Интернет». Политика безопасности – это совокупность норм и правил, определяющих принятые в организации меры по обеспечению безопасности информации, связанной с деятельностью организации. Цель формулирования политики безопасности для ИС – ясное изложение взглядов руководства организации на существо угроз информационной безопасности организации и технологий обеспечения безопасности ИС. Политика безопасности должна быть оформлена документально на нескольких уровнях управления. На уровне управляющего высшего звена руководства должен быть подготовлен и утвержден документ, в котором определены цели политики безопасности, структура и перечень решаемых задач и ответственные за реализацию политики. Основной документ должен быть детализирован администраторами безопасности ИС (управляющими среднего звена) с учетом принципов деятельности организации, соотношения важности целей и наличия ресурсов. Детальные решения должны включать ясные определения методов защиты технических и информационных ресурсов, а также инструкции, определяющие поведение сотрудников в конкретных ситуациях. Политика безопасности обычно состоит из двух частей: общих принципов и конкретных правил работы с ИС для различных категорий пользователей. Комплект документов по организации и реализации политики безопасности должен включать: описание используемых подходов к оцениванию и управлению рисками; обоснование принятых решений по выбору средств защиты для рассматриваемой ИС; формальное описание процедуры определения допустимого уровня остаточного риска; описание процедуры проверки режима информационной безопасности и журналов с информацией по результатам проверки; регламентацию процессов обслуживания и администрирования ИС; контрмеры для противодействия выявленным рискам; сведения по организации системы управления информационной безопасностью и регистрации средств управления безопасностью. ТЕМА 7. ПРОЕКТИРОВАНИЕ ИС 1. Жизненный цикл (ЖЦ) ИС. Стандарты разработки ИС. Понятие жизненного цикла является одним из базовых понятий методологии проектирования информационных систем. Жизненный цикл информационной системы (ЖЦ ИС) представляет собой непрерывный процесс, начинающийся с момента принятия решения о создании информационной системы и заканчивающийся в момент полного изъятия ее из эксплуатации. Существует ряд стандартов и методик, используемых при разработке КИС: - ISO/IEC 12207 – стандарт на процессы и организацию жизненного цикла, который распространяется на все виды программного обеспечения; - Rational Unified Process (RUP) – итеративная методология разработки; -Rapid Application Development (RAD) – методология быстрой разработки приложений, представляющая комплекс специальных инструментальных средств, позволяющих оперировать с определенным набором графических объектов, функционально отображающих отдельные компоненты приложений; - Custom Development Method (CDM) – методология по разработке прикладных информационных систем рассчитанных на использование в проектах с применением компонентов Oracle. 2. Этапы проектирования ИС, формируемые документы. Стандарт ISO/IEC 12207 определяет структуру жизненного цикла, включая процессы, работы и задачи, выполняемые в процессе создания информационной системы. К основным процессам относятся: 1) заказ 2) поставка 3) разработка 4) эксплуатация 5) сопровождение. К вспомогательным процессам жизненного цикла относятся: 1) документирование 2) управление конфигурацией 3) обеспечение качества 4) верификация 5) аттестация 6) совместный анализ 7) аудит 8) решение проблем К организационным процессам жизненного цикла относятся: 1) управление 2) создание инфраструктуры 3) усовершенствование 4) обучение Полный жизненный цикл информационной системы включает в себя, как правило, стратегическое планирование, анализ, проектирование, реализацию, внедрение и эксплуатацию. Наиболее распространенными модели жизненного цикла являются: -каскадная модель; -спиральная модель. Каскадная модель ЖЦ ИС предусматривает последовательную организацию работ. При этом основной особенностью является разбиение всей разработки на этапы, переход с одного этапа на следующий происходит только после того, как полностью завершены все работы на предыдущем. Каждый этап завершается выпуском полного комплекта документации, достаточной для того, чтобы разработка могла быть продолжена другой командой разработчиков. Спиральная модель жизненного цикла предполагает итерационный процесс разработки информационной системы. При этом возрастает значение начальных этапов жизненного цикла (анализ и проектирование), на которых проверяется и обосновывается реализуемость технических решений путем создания действующих прототипов. 3. Модели ЖЦ ИС. Роль заказчика и разработчика ИС в формировании требований к ней. 4. Проектирование ИС. Подходы к проектированию ИС. Методологии проектирования ИС. Выделяют 2 подхода к проектированию ИС: канонический и типовой. 1.Каноническое проектировние ИС ориентировано на использование, гл образом, каскадной модели ЖЦ. 2.Типовое проектирование ИС предполагает создание сис-мы из гот типовых элементов. Осн треб для примен методов тип проектирования явл возможность декомпозиции проектируемой ИС на мн-во сост компонентов. Этапы проектирования ИС: 1.Концептуальная стадия – гл содерж работ явл определение проетка, разработка его концепции, вкл формир идеи, пост целей, изуч треб заказчика, сбор исх данных, формир команда проекта и тд. 2.Стадия подготовки тех предложения – целью явл уточнение тех предложения в ходе переговоров с заказчиком о закл договора. Содержание:разраб и утв тех задания, разраб планов работ, составление бюджета проекта, подписание договора с заказчиком; 3.Стадия проектирования предназначена для определения посистем КИС, их взаимосвязи, выбора набора наиб эфф способов вып проекта и исп ресурсов. 4.Стадия разработки – производится координация и оперт контроль работ по проету, осущ создание подсистем и их тестирование. Он вкл:разраб ПО, подгот к внедрению сис-мы; 5.Стадия ввода системы в эксплуатацию – проводят испытания. Идет опытная эксп сис-мы в реальных услвиях, ведутся переговоры о рез-тах вып проекта и о возможн новых контрах. Он вкл: опытная эксплуатация, подгот кадров для эксп. 5. Автоматизация проектирования ИС. CASE-системы. Case-технологии – это программный комплекс, автоматизирующий весь технологический процесс анализа, проектирования, разработки и сопровождения сложных программных систем. Обычно к CASE-средствам относят любое программное средство, автоматизирующее ту или иную совокупность процессов жизненного цикла ПО и обладающее следующими основными характерными особенностями: - мощные графические средства для описания и документирования ИС, обеспечивающие удобный интерфейс с разработчиком и развивающие его творческие возможности; - интеграция отдельных компонент CASE-средств, обеспечивающая управляемость процессом разработки ИС; - использование специальным образом организованного хранилища проектных метаданных (репозитория). 6. Оценка качества информационной системы. Критерии качества ИС. Оценка качества ИС - задача крайне сложная из-за многообразия интересов пользователей. Поэтому невозможно предложить одну универсальную меру качества и приходится использовать ряд характеристик, охватывающих весь спектр предъявляемых требований. Наиболее близки к задачам оценки качества ИС модели качества программного обеспечения, являющегося одним из важных составных частей ИС. В настоящее время используется несколько абстрактных моделей качества программного обеспечения, основанных на определениях характеристики качества, показателя качества, критерия и метрики. Критерий может быть определен как независимый атрибут ИС или процесса ее создания. С помощью такого критерия может быть измерена характеристика качества ИС на основе той или иной метрики. Совокупность нескольких критериев определяет показатель качества ,формируемый исходя из требований, предъявляемых к ИС. В настоящее время наибольшее распространение получила иерархическая модель взаимосвязи компонентов качества ИС. Вначале определяются характеристики качества, в числе которых могут быть, например: - общая полезность; - исходная полезность; - удобство эксплуатации. Далее формируются показатели, к числу которых могут быть отнесены: - практичность; - целостность; - корректность; - удобство обслуживания; - оцениваемость; -гибкость; - адаптируемость; - мобильность; - возможность взаимодействия. Каждому показателю качества ставится в соответствие группа критериев. Для указанных показателей приведем возможные критерии. Надо отметить, что один и тот же критерий может характеризовать несколько показателей: практичность - работоспособность, возможность обучения, коммуникативность, объем ввода, скорость ввода-вывода; целостность - регулирование доступа, контроль доступа; эффективность - эффективность использования памяти, эффективность функционирования; корректность - трассируемость, завершенность, согласованность; надежность - точность, устойчивость к ошибкам, согласованность, простоту; удобство обслуживания - согласованность, простоту, краткость, информативность, модульность; оцениваемость - простоту, наличие измерительных средств, информативность, модульность; гибкость - распространяемость, общность, информатирован-ность, модульность; адаптируемость - общность, информативность, модульность, аппаратную независимость, программную независимость; мобильность - информативность, модульность, аппаратную независимость, программную независимость; возможность взаимодействия - модульность, унифицируемость процедур связи, унифицируемость данных. С помощью метрик можно дать количественную или качественную оценку качества ИС. Различают следующие виды метрических шкал для измерения критериев. Первый тип - метрики, которые используют интервальную шкалу, характеризуемую относительными величинами реально измеряемых физических показателей, например, временем наработки на отказ, вероятностью ошибки, объемом информации и других. Второй тип - метрики, которым соответствует порядковая шкала, позволяющая ранжировать характеристики путем сравнения с опорными значениями. Третий тип - метрики, которым соответствуют номинальная, или категорированная шкала, определяющая наличие рассматриваемого свойства или признака у рассматриваемого объекта без учета градаций по этому признаку. Так, например, интерфейс может быть "простым для понимания", "умеренно простым", "сложным для понимания". 7. Реинжиниринг бизнес-процессов. Методы и технологии реинжиниринга ИС. Реинженеринг – процесс коренного переосмысления и радикального перепроектирования с целью улучшения в неск-ко порядков раз показ-ли, хар-шие эти процессы. Этапы: *постановка экон проблемы и ее кач-ный анализ; *построение матем модели и ее анализ;*подготовка исход инфо (выбор инфо, кодир ее, созд БДиЗ);* выбор модели будущего (как должно быть);*числен решение на основе выбранной инфы;* анализ получен рез-та;* корректир-ка получен рез-тов (исп-ся СППР);* внедрение получен рез-тов;*оценка деят-ти. Участники: 1)лидер проекта –член высш рук-ва хоз-ния, кот возглавляет орг-цию процесса проведения реинженеринга. Берет на себя основную отв-ть за вып-ние проекта. (В РБ – антикриз управляющий); 2)менеджеры, отв-щие за обновляемые процессы; 3)руковод комитет наблюдателей, группа предст-лей высш рук-ва, осущ-щие общ стратегию реинженеринга и контроль вып-ния работ по проекту. 4)спец-ты объекта хоз-ния отвеч за развитие методик и инструментарии поддержки реинженеринга; 5)команда по реинженерингу – группа сотрудников, кот выполн данный процесс 6)группа, обеспеч кач-во, группа документирования и координатора. |