logo search
Основи інформаційної безпеки / пос_бник_О_Б_МОН

Синхронізація програми безпеки з життєвим циклом систем

Якщо синхронізувати програму безпеки нижнього рівня з життєвим циклом сервісу, що захищається, можна досягти більшого ефекту з меншими витратами. Додати нову можливість вже готовій системі на порядок складніше, ніж спочатку спроектувати і реалізувати її. Те ж саме справедливо і для інформаційної безпеки.

У життєвому циклі інформаційного сервісу виділяються такі етапи та дії, що виконуються з позиції програми безпеки.

Ініціація.На даному етапі виявляється необхідність у придбанні нового сервісу, документується його передбачуване призначення.

З погляду інформаційної безпеки найважливішою дією тут є оцінювання критичності як самого сервісу, так і інформації, яка з його допомогою оброблятиметься.

Потрібно сформулювати відповіді на такі питання:

Результати оцінювання критичності є відправним моментом у складанні специфікацій. Крім того, вони визначають ту міру уваги, яку служба безпеки організації повинна приділяти новому сервісу на подальших етапах його життєвого циклу.

Закупівля.На даному етапі складаються специфікації, опрацьовуються варіанти придбання, виконується власне закупівля.

Тут необхідно остаточно сформулювати вимоги до захисних засобів нового сервісу, до компанії, яка може претендувати на роль постачальника, і до кваліфікації, якою повинен володіти персонал, що використовує або обслуговує продукт, що купується. Всі ці відомості оформляються у вигляді специфікації, куди входять не тільки апаратура і програми, але і документація, обслуговування, навчання персоналу. Підкреслимо також, що нерідко засоби безпеки є необов'язковими компонентами комерційних продуктів, і потрібно прослідкувати, щоб відповідні пункти не випали із специфікації.

Встановлення.Сервіс встановлюється, конфігурується, тестується і вводиться в експлуатацію.

Коли продукт куплений, його необхідно встановити. По-перше, новий продукт слід конфігурувати. Як правило, комерційні продукти поставляються з відключеними засобами безпеки; їх необхідно включити і належним чином налаштувати. Для великої організації, де багато користувачів і даних, початкове налаштування може стати вельми трудомісткою і відповідальною справою.

По-друге, новий сервіс потребує процедурних регуляторів. Слід потурбуватися про чистоту і охорону приміщення, про документи, що регламентують використання сервісу, про підготовку планів на випадок екстрених ситуацій, про організацію навчання користувачів тощо.

Після здійснення перерахованих заходів необхідно провести тестування. Його повнота і комплексність можуть служити гарантією безпеки експлуатації в штатному режимі.

Експлуатація.На даномуетапісервіс не тільки працює та адмініструється, але і піддається модифікаціям.

Період експлуатації – найтриваліший та складний. З психологічної точки зору найбільшою небезпекою в цей час є незначні зміни в конфігурації сервісу, в поведінці користувачів і адміністраторів. Якщо безпеку не підтримувати, вона слабшає. Користувачі не так відповідально виконують посадові інструкції, адміністратори менш ретельно аналізують реєстраційну інформацію. То один, то інший користувач одержує додаткові привілеї. Здається, що по суті нічого не змінилося, але, насправді, від минулої безпеки не залишилося й сліду. Для боротьби з ефектом повільних змін доводиться вдаватися до періодичних перевірок безпеки сервісу. Зрозуміло, що після значних модифікацій подібні перевірки є обов'язковими.

Виведення з експлуатації.Відбувається перехід на новий сервіс.

При виведенні з експлуатації зачіпаються апаратно-програмні компоненти сервісу та оброблювані ними дані. Апаратура продається, утилізується або викидається. Тільки в окремих випадках необхідно піклуватися про фізичне руйнування апаратних компонентів, що зберігають конфіденційну інформацію. При виведенні даних з експлуатації їх звичайно переносять на іншу систему, архівують, викидають або знищують. Якщо архівація проводиться з наміром згодом прочитати дані у іншому місці, слід поклопотатися про апаратно-програмну сумісність засобів читання і запису. Інформаційні технології розвиваються дуже швидко, і через декілька років пристроїв, здатних прочитати старий носій, можна просто не знайти.

Якщо дані архівуються в зашифрованому вигляді, необхідно зберегти ключ і засоби розшифрування. При архівації і зберіганні архівної інформації не можна забувати про підтримку конфіденційності даних.