Технологический профиль, как указывалось выше, определяется совокупностью нормативных и методических материалов, регламентирующих набор процессов (этапов) жизненного цикла (ЖЦ) конкретной ИС и ее компонент, содержание и применение этих процессов в соответствии с той или иной моделью ЖЦ. Целесообразность построения технологического профиля определяется необходимостью управления ЖЦ столь сложного объекта, как ИС, которая включает систему защиты в виде дополнительных плоскостей модели OSE/RM. Представление целевой ИС и системы ее защиты в виде единого интегрированного объекта позволяет совместить ЖЦ обеих систем. На рис. 5 показана детальная схема совмещения ЖЦ, которая хорошо демонстрирует, что
– методологически ЖЦ обеих систем одинаковы и включают однотипные работы: формирование требований как для ИС, так и требований безопасности в виде обеспечения свойств конфиденциальности, целостности, доступности и т.п. для КСЗ; концептуальное проектирование в виде разработки функциональной архитектуры для ИС и межкатегорийной плоскости механизмов <З`> для КСЗ; разработка системо-технической структуры ИС и аналогичной проектной плоскости <З``> с последующей интеграцией программно-аппаратных реализаций защитных механизмов для КСЗ; реинжиниринг бизнес-модели и, соответственно, модификация ИС и перепроектирование КСЗ по результатам анализа осуществления ею защитных мероприятий, изменений бизнес-условий или требований безопасности, включая нормативные изменения, на стадии сопровождения.
- отправной точкой для разработки требований к обеим системам является наличие бизнес-модели, т.е. совокупности бизнес-процессов предприятия, подлежащих реализации целевой ИС. Особенностью этапа консалтинга для КСЗ является проработка компонент модели угроз на референсном уровне и оценка ценности бизнес-процессов с точки зрения их вклада в результаты предприятия с тем, чтобы на этой основе (и с учетом модели угроз) выставить требования безопасности в виде векторов к функционированию бизнес-процессов, а затем декомпозировать их на требования, предъявляемые к отдельным «клеткам» реализаций модели OSE/RM (межкатегорийная плоскость требований ТР),. Эти особенности должны быть отражены в спецификациях, отражающих указанные работы и алгоритмы;
|
- стадия проектирования характеризуется формированием межкатегорийной и проектной плоскостей КСЗ, принципы построения которых описаны выше; уточнением модели угроз в части уязвимостей, что может повлечь изменение перечня предполагаемых атак; кроме того, Мх могут быть реализованы как в виде отдельных приложений (наложенные средства защиты), составляющих прикладную часть проектного представления КСЗ, так и являться частью покупного программного средства, включаемого в состав ИС, т.е. быть встроенными. Это означает, что «клетка» межкатегорийной плоскости <З`> включает как наложенные, так и встроенные Мх. Поэтому, вообще говоря, возникает потребность в оценке вклада уровня безопасности, получаемого от встроенных Мх и от наложенных. Поэтому на этой стадии также возникает потребность в дополнительных спецификациях, вносимых в профиль;
- вводиться в эксплуатацию обе системы могут и должны одновременно как единый объект, назначение которого в том, чтобы: а). решать бизнес-задачи предприятия посредством прикладных приложений плоскости <ИС>, б). осуществлять администрирование платформенных компонент (плоскость <А>), в). осуществлять защиту объекта (плоскость <З>) от информационных угроз. Поэтому на временных диаграммах Ганта процессы, сопровождающие разработку систем, должны быть построены с учетом единой временной точки.
|
- стадия сопровождения включает анализ факторов, изменение которых повлечет необходимость модификации КСЗ. Эти факторы следующие: условия ведения бизнеса или целевые установки руководителя, требования нормативных документов безопасности, модель угроз.
Рис.5. Схема совмещения жизненного цикла ИС и КСЗ
Таким образом, описанная специфика означает, что
а) помимо унифицированных процессов, описываемых рядом отечественных и зарубежных стандартов [5-7], ЖЦ КСЗ предполагает выполнение ряда уникальных, свойственных только системе защиты, видов деятельности. Очевидно, что способы выполнения этих работ, критерий принятия тех или иных решений при их выполнении, должны быть включены в профиль, хотя бы на уровне спецификаций;
б) стратегия построения профиля ЖЦ КСЗ, как и прикладной ИС, должна основываться на гибком сочетании отечественного ГОСТа 34.601, который позволяет осуществлять лучшую структуризацию ЖЦ с точки зрения планирования работ по реализации проекта, стандартов [5-7], описывающих полный набор процессов ЖЦ системы и спецификаций, касающихся особенностей КСЗ и дополняющих стандартный набор процессов.
|
Заключение
В работе показано, что, имея полный профиль на систему, включающий функциональные и технологические профили, как на реализацию основных функций ИС, так и систему ее защиты, можно обеспечить методологическую основу для разработки и внедрения ИС и КСЗ как единого объекта. Однако, приведенные особенности функционального профиля системы безопасности, а также вопросы формирования технического профиля, демонстрируют нетривиальность задачи качественного построения этих документов. По этим причинам разработка методических рекомендаций, связанных с проектированием и поддержкой в рабочем состоянии функциональных и технологических профилей ИС на всех этапах ЖЦ и учитывающих описанные особенности, является актуальной задачей и требует дополнительных исследований.
Литература
1. ГОСТ Р ИСО МЭК ТО 10000-1-99 Информационная технология. Основы и таксономия международных функциональных стандартов. Часть 1. Общие положения и основы документирования. 1999.
2. Лукинова О.В. Методологические предпосылки к совмещению жизненных циклов информационной системы и системы ее защиты // Информационное общество. 2013. – № 5. – С.44-55.
3. IEEE Std 1003.0-1005, IEEE Guide to the POSIX Open System Enviroment (OSE) – N-Y.: The Institute of Electrical and Electronics Engineers, 1995. – 194p.
4. Лукинова О.В. Семантическое описание факторов безопасности информации-онных систем при проектировании систем защиты // Системы высокой доступности. 2013. – № 3. – С. 149-156.
5. ГОСТ Р ИСО/МЭК 12207-11 Информационная технология. Процессы жизненного цикла программных средств. Стандартинформ. 2011.
6. ГОСТ 34.601.90. Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания. Госстандарт СССР. 1990.
7. ГОСТ Р ИСО/МЭК 15288-05. Информационная технология. Процессы жизненного цикла систем. Стандартинформ. 2006.