Разработка и обслуживание системы могут оказывать значительное влияние на безопасность. Перед тем, как приступать к разработке информационной системы, необходимо определить и согласовать требования к безопасности. Средства, включенные в состав системы на этапе разработки, обычно оказываются значительно дешевле в реализации и поддержке, чем средства, включенные во время реализации или после нее.
Требования к безопасности и средства защиты должны соответствовать ценности используемых информационных ресурсов и потенциальному ущербу для организации в случае сбоя или нарушения безопасности.
Основой для анализа требований к безопасности и выбору мер для поддержки безопасности является оценка рисков и управление рисками.
В прикладные системы (в том числе и в приложения, разработанные пользователями) должны быть встроены необходимые средства защиты и функции ведения аудиторских записей или журналов операций. Эти средства должны обеспечивать проверку вводимых данных, внутренней обработки и результатов работы.
Вводимые в прикладные системы данные, необходимо проверять, чтобы гарантировать их правильность и соответствие поставленной задаче.
Рекомендуется рассмотреть следующие меры:
· двукратный ввод или другой способ проверки ввода;
· просмотр документов, введенных с печатных копий, на предмет несанкционированного изменения введенных данных;
· процедуры проверки правдоподобности введенных данных;
· определение обязанностей всех сотрудников, участвующих в процессе ввода данных.
Данные, которые были введены правильно, могут быть повреждены в результате ошибок при обработке или злого умысла. Для обнаружения таких повреждений в систему должны быть встроены функции проверки.
Перечень средств, которые необходимо реализовать, зависит от природы приложения и влияния, которое повреждение данных может оказать на деятельность организации.
Несколько примеров проверок, которые необходимо реализовать:
· проверка правильности данных, сгенерированных системой;
· проверка целостности программ и данных, передаваемых между центральным и удаленными компьютерами;
· контрольные суммы записей и файлов;
· проверка правильности времени запуска прикладных программ и т.д..
Криптографические системы и методы следует использовать для защиты информации, которая может подвергаться риску, если другие средства не обеспечивают достаточной защиты.
В случае применения криптографических методов в организации необходимо разработать политику применения криптографических средств для защиты своей информации. Такая политика нужна для того, чтобы извлечь максимум выгоды и уменьшить риск от использования криптографических методов, а также избежать неправомерного и неправильного использования.
При разработке политики необходимо учитывать следующее:
· отношение руководства к применению криптографических средств в организации, в том числе общие принципы защиты информации, принадлежащей организации;
· подход методам управления ключевой информацией, в том числе методы восстановления зашифрованной информации в случае утери, компрометирования или повреждения ключей;
· должности и обязанности, например, назначение сотрудников, ответственных за реализацию политики и управление ключами;
· метод определения необходимого уровня криптографической защиты;
· стандарты, которые должны быть приняты для эффективной реализации во всей организации (соответствие выбранных решений и бизнес-процессов).
При реализации криптографической политики в организации следует учитывать законы и государственные ограничения в отношении использования криптографических методов, которые могут существовать в разных странах.
В случаях, когда для разработки программного обеспечения привлекается сторонняя организация, необходимо применять следующие меры обеспечения информационной безопасности:
- контроль наличия лицензионных соглашений и определенности в вопросах собственности на программы и соблюдения прав интеллектуальной собственности;
- сертификацию качества и правильности выполненных работ;
- обеспечение прав доступа для аудита с целью проверки качества и точности выполненной работы;
- документирование требований к качеству программ в договорной форме;
- тестирование перед установкой программ на предмет обнаружения "Троянского коня".