Информационная безопасность



              

Методические основы защиты информационных активов компании - часть 4


Таким образом, работы по анализу требований, реализуемые на основе стандарта ОК, позволяют грамотно задать требования к безопасности ИТ. Результаты работы могут также использоваться для сравнительного анализа различных систем и продуктов ИТ. В целом же предоставляется развитая система структурированных требований для выбора механизмов обеспечения безопасности при проектировании и разработке ИТ.

  • Предложить широкий спектр, детальность и структурированность требований к механизмам безопасности, мерам и средствам обеспечения их реализации.
  • Предлагаемые адаптированные ОК содержат две категории требований: функциональные и требования гарантированности.

    Первые описывают функции, которые должны быть реализованы в ИТ для обеспечения их безопасности. Вторые определяют меры и средства, которые должны быть использованы в процессе создания ИТ для получения необходимой уверенности в правильности реализации механизмов безопасности и в их эффективности. Все требования ОК разбиваются по классам, семействам, компонентам и элементам с определением зависимостей одних компонентов от других. Определяются допустимые действия над компонентами, которые могут применяться для конкретизации задаваемых требований безопасности.

    4. Охватить весь жизненный цикл ИТ, начиная от формирования целей и требований обеспечения безопасности и кончая поставкой и наладкой ИТ на конкретном объекте.

    5. Реализовать возможность формирования наборов требований по уровням безопасности ИТ, сопоставимых с другими системами оценки.

    Преемственность предлагаемых оценок безопасности достигается за счет возможности формирования профилей защиты, соответствующих наборам требований, которые определяют уровни безопасности ИТ в других системах.

    6. Обеспечить комплексность подхода к обеспечению безопасности ИТ.

    Адаптация ОК позволяет обеспечить безопасность ИТ на всех этапах жизненного цикла КИС, от этапа анализа требований (на этапе формирования замысла информационной системы) до реализации, эксплуатации и сопровождения системы.


    Содержание  Назад  Вперед