Информационная безопасность



              

Методические основы защиты информационных активов компании - часть 5


Здесь предусматриваются следующие уровни рассмотрения безопасности ИТ:

безопасность окружающей среды (законы, нормативные документы, организационные меры, физическое окружение, определяющие условия применения ИТ, а также существующие и возможные угрозы безопасности ИТ);

цели безопасности (намерения, определяющие направленность мер по противодействию выявленным угрозам и обеспечению безопасности);

требования безопасности (полученный в результате анализа целей безопасности набор технических требований для механизмов безопасности и гарантированности их реализации, обеспечивающий достижение сформулированных целей);

спецификации безопасности (проектное представление механизмов безопасности, реализация которых гарантирует выполнение требований безопасности);

разработка (реализация механизмов безопасности со спецификациями).

7. Обеспечение комплексности оценки безопасности ИТ.

Адаптация ОК позволяет оценивать безопасность ИТ в процессе их разработки на наиболее важных этапах. Предусмотрены следующие стадии оценки:

профиля защиты;

задания по безопасности;

реализованных механизмов безопасности.

В первом случае устанавливается, что сформированный профиль является полным, последовательным, технически правильным и пригодным для использования в качестве типового для определенного класса ИТ. Использование оцененных, апробированных и стандартизованных профилей защиты дает возможность избежать затрат на разработку требований по информационной безопасности к создаваемым системам и изделиям и исключить дополнительные затраты на их обоснование.

Вторая стадия призвана установить, что задание соответствует требованиям профиля защиты и содержит полный, последовательный и технически правильный набор требований, необходимых для обеспечения безопасности конкретного объекта. Задание по безопасности подлежит согласованию на предприятии и является в дальнейшем основным документом, в соответствии с которым оценивается безопасность разрабатываемой ИС.

Наконец, цель третьей стадии — установить, что механизмы безопасности обеспечивают выполнение всех требований, содержащихся в задании по безопасности.




Содержание  Назад  Вперед