Этапы разработки программного обеспечения
Поскольку каждый любит поговорить о процессе разработки программного обеспечения, правила информационной безопасности не должны реагировать на все эти дебаты. Если организация располагает правилами разработки программного обеспечения и процедурами для их реализации, то разработчики могут отрицательно относиться к необходимости их изменения. Если же в организации еще нет таких правил, это может послужить толчком для разработки процедур. В любом случае этап, на котором правила информационной безопасности начинают влиять на процесс разработки программного обеспечения, полезен тем, что усилия разработчиков подкрепляются директивами правил и вопросы безопасности будут учтены в процессе проектирования и разработки.
Определение обязанностей при разработке программного обеспечения
Правила безопасности для разработки программного обеспечения должны определять, как правильное распределение обязанностей способствует разработке защиты и развертыванию программного обеспечения. Подобно вопросам ответственности за информацию, которые обсуждались в главе 2 "Определение целей политики", распределение обязанностей повысит ответственность персонала за разработку или за освоение решений по вопросам безопасности. Правила, касающиеся этой сферы, должны предписывать, чтобы требования безопасности были определены до разработки или приобретения программного обеспечения. Формулировка правил может выглядеть следующим образом.
В правила разработки и приобретения программного обеспечения необходимо включить требования по безопасности, согласующиеся с этими правилами. Составитель всех этих требований должен нести ответственность за то, что требования по безопасности определены полностью.
- Политика информационной безопасности
- Когда необходимо иметь разработанные правила безопасности
- Анализ данных защиты
- 1. Какие данные должны быть зарезервированы?
- Права интеллектуальной собственности и политика безопасности
- Физическая безопасность информационных ресурсов
- Размещение компьютеров и монтаж оборудования
- Средства управления доступом
- Доступность системы
- Телекоммуникации и удаленный доступ
- Руководящие принципы эксплуатации оборудования
- Административные обязанности
- Виртуальные частные сети, экстрасети, внутренние сети и другие туннели
- Модемы и прочие лазейки
- Администрирование электронной почты .:
- Вирусы, "черви" и "троянские кони"
- Правила эксплуатации стороннего программного обеспечения
- Шифрование
- Управление криптографией
- Эксплуатация криптографических систем и обработка зашифрованных данных
- Соображения о генерировании ключей
- Управление ключами
- Этапы разработки программного обеспечения
- Замена версий и управление конфигурацией
- Эксплуатация криптографических систем и обработка зашифрованных данных
- Виртуальная частная сеть (vpn).
- Внутренняя сеть (intranet). Экстрасеть (extranet).