Иваненко / one_ivanenko_2_rule_39_em_all
.pdf
17. Угрозы безопасности информации
Угроза — это совокупность явлений, факторов и условий, создающих опасность нарушения статуса инф-ции.
3класса угроз:
•природные (бури [в т.ч. магнитные], тайфуны, пожары, радиоактивные излучения);
•технические (отключение/колебание напряжения электропитания, отказы и сбои аппаратно-программных средств, ПЭМИН, утечки через каналы связи);
•созданные людьми:
oнепреднамеренные (усталость, недобросовестность);
o преднамеренные (специально).
Источники угроз
Вред информации м. нанести люди:
сотрудники данного предприятия;
лица, не работающие на предприятии, но имеющие доступ к защищаемой инф-ции;
сотрудники госорганов разведки других стран и разведслужб;
лица из криминальных структур и хакеры.
Причины:
•стремление к материальной выгоде (желание подзаработать);
•стремление нанести вред (руководству, коллеге, гос-ву);
•стремление к бескорыстной услуге коллеге (своему приятелю или родственнику);
•стремление продвинуться по службе;
•стремление обезопасить себя от угроз, шантажа и насилия;
• физическое воздействие со стороны злоумышленника.
Специальные программы, которые скрытно или преднамеренно внедряются в ПО:
•электронные вирусы;
•троянские кони;
•компьютерные черви.
БОНУС ЛЕВЕЛ, СООТВЕТСТВЕННО, СООТВЕТСТВЕННО, НАПРИМЕР, НАПРИМЕР, ВОЩЕМТА.
18. Стадии разработки ИС и ПО
1.Тех. задание (ТЗ)
2.Эскизный проект
3.Тех. проект
4.Рабочий проект
5.Внедрение
ВИС и АС существенной частью является ПО:
1)выполняет функции по обработке и приему инф-ции;
2)служит для обеспечения ЗИ.
Общие х-ки этапов для ИС и ПО
1)В тех. задании предполагается 3 этапа работ:
1.1.обоснование необх-ти разработки (АС или ПО);
1.2.научно-исследовательские работы НИР;
1.3.разработка и утверждение ТЗ.
Р/м подробно каждый из этапов, например.
1.1.Обоснование необх-ти разработки (АС или ПО):
постановка задачи;
сбор исходных материалов;
выбор и обоснование критериев эффективности и качества разрабатываемого продукта (программы или системы);
обоснование необх-ти проведения НИР.
1.2.Содержание НИР:
опр-ие вх. и вых. данных;
предварит. выбор методов решения задачи;
обоснование целесообразности применения ранее разработанных решений (и наоборот);
опр-ие треб-ий к тех. ср-вам;
обоснование принципиальной возмож-ти решения поставленной задачи.
1.3.Разработка и утверждение ТЗ :
треб-ия к разрабатываемому продукту;
технико-экономическое обоснование разработки;
опр-ие стадий, этапов и сроков разработки и документации на нее;
опр-ие необх-ти проведения НИР на последующих стадиях;
согласование и утверждение ТЗ (сбор подписей на этом документе)
2)Эскизный проект
2.1.Разработка эскизного проекта.
2.2.Утверждение эскизного проекта.
Подробно, вощемта:
2.1.Разработка эскизного проекта:
предварит. разработка структуры;
уточнение методов решения задачи
разработка общего описания ф-ния системы и описание алгоритмов;
разработка технико-экономического обоснования (системы);
2.2.Утверждение эскизного проекта:
разработка пояснительной записки (ПЗ);
согласование и утверждение эскизного проекта.
3)Технический проект
3.1.Разработка тех. проекта
3.2.Утверждение тех. проекта
Подробнее:
3.1.Разработка тех. проекта:
окончательный выбор структуры системы и ее вх. и вых. данных;
окончательный выбор структур и алгоритмов;
опр-ие формы представления вх. и вых. данных;
окончательное опр-ие конфигурации тех. ср-в.
3.2.Утверждение тех. проекта:
разработка плана мероприятий по созданию и внедрению системы;
разработка пояснительной записки;
согласование и утверждение тех. проекта.
4)Рабочий проект
4.1.Разработка системы.
4.2.Разработка тех. документации.
4.3.Испытание системы.
Подробности, например:
4.1.Разработка системы:
изготовление эл-ов системы, программир-ние и отладка ПО.
4.2.Разработка тех. документации:
в соотв-вии с ГОСТом и треб-ми системы.
4.3.Испытание системы:
разработка, согласование и утверждение порядка и методики испытаний;
проведение различных видов испытаний* (предварительных, гос-ых,межведомственных);
корректировка системы и документация по результатам испытаний.
*Испытания определяются в тех. задании.
5)Внедрение
5.1. Комплектование и передача системы и тех.
документации для сопровождения и/или изготовления.
5.2. Оформление и утверждение акта о передаче системы на сопровождение и/или изготовление.
Примечание 1: допускается исключать 2 стадию разработки — эскизный проект, а в технически
обоснованных случаях эск. пр. + тех. зад. (обосновывается в тех. задании).
Примечание 2: допускается объединять и исключать отдельные этапы работы и их содержание, а также вводить другие этапы работ по согласованию заказчика (как правило это обосновывается в тех. задании).
19.Объекты, требующие повышенного внимания к ЗИ
•военные объекты стратегического назначения;
•ОВ объекты промышл. комплекса;
•объекты системы правительст. связи;
•объекты атомно энергетического комплекса
20.Количественные характеристики контроля процесса и исполнения программ:
•Вероятность обнаружения искажения при одной процедуре контроля;
•Затраты (объём памяти, программ, длительность процедуры контроля (!)) на проведение одной процедуры контроля;
•Интервал времени между последовательными процедурами контроля;
•Потери в эффективности выполнения АС на единицу времени;
•Вероятность ложного обнаружения искажения;
21.Основные Стадии и этапы создания АС
1.Формирование требований к АС;
2.Разработка концепций АС;
3.Техническое задание;
4.Эскизный проект;
5.Технически проект;
6.Рабочая документация (рабочий проект);
7.Ввод в действие;
8.Сопровождение;
1)Формирование требований к АС
Обследование объекта и обоснование необходимости создания (модернизации) АС; Формирование требований пользователя к АС; Оформление отчёта о выполненной работе;
2)Разработка концепции
Изучение объекта; Проведение необходимых НИР;
Разработка вариантов концепции АС и выбор наилучшего из них; Оформление отчёта о выполненной работе;
3)ТЗ
Обоснование необходимости разработки АС; НИР
Разработка и утверждение ТЗ - собственно написание документа в соответствии с ГОСТ, сбор подписей;
4) Эскизный проект
Разработка проекта - Предварительная разработка структур, разработка методов решения разработка технико-экономического обоснования; Утверждение - служебная записка, согласование утверждение;
5)Технический проект
Этапы:
1.Разработка проектных решений на АС и её части;
2.Разработка документации на систему и её части;
3.Окончательное определение конфигурации технических средств;
4.Разработка и оформление документации на поставку изделий для укомплектования автоматизированной системы;
5.Составление плана мероприятий по разработке и внедрению системы;
6.Утверждение технического проекта (разработка пояснительной записки, согласование и утверждение)
6)Рабочий проект (рабочая документация)
Этапы:
1.Разработка рабочей документации на систему и её части в соответствии с ГОСТ;
2.Разработка, согласование и утверждение порядка и методики испытаний;
3.Проведение различного вида испытаний;
4.Корректировка системы и технической документации по результатам испытаний;
7)Ввод системы в действие (раньше называлось внедрение)
1.Подготовка объекта автоматизации к вводу системы в действие;
2.Подготовка персонала;
3.Комплектация АС поставляемыми изделиями;
4.Строительно-монтажные работы;
5.Пуско-наладочные работы;
6.Проведение опытной эксплуатации;
7.проведение приёмочных испытаний;
Обеспечение АС при их создании -
22. Перечень организаций по созданию АС:
1.Организация - заказчик (пользователь) - организация, для которой создаётся АС, которая финансирует проект, осуществляет приемку, эксплуатацию, а так же выполняет отдельные работы по созданию;
2.Организуя - разработчик - осуществляет работы по созданию АС, предоставляет заказчику совокупность научно-технических услуг на разных стадиях (этапах) создания, а также разрабатывает и поставляет различные программные и технические средства;
3.Организация - поставщик - изготавливает и поставляет программные и технические средства по заказу разработчика или заказчика;
4.Организация - генеральный проектировщик объекта автоматизации;
5.Организации - проектировщики различных частей проекта объекта автоматизации для проведения строительных, электротехнических, сантехнических и других подготовительных работ, связанных с созданием системы;
6.Строительные, монтажные, наладочные организации;
Оценка соответствия - доказательство того, что заданные требования к продукту, процессу, системе, лицу или органу выполнены.
видами деятельности по оценке соответствия являются:
1.Испытания
2.Контроль
3.Сертификация
4.Аккредитация органов по оценке соответствия
оценки соответствия различают деятельность трёх сторон:
1.Первая сторона представляет объект оценки - разработчик, поставщик
2.Вторая сторона заинтересована в объекте оценки в плане пользования им - заказчик
3.Третья сторона - независимая от первой или второй, например, аккредитационная испытательная лаборатория.
Вобласти безопасности информации таких систем оценок несколько:
1.Системы сертификации средств защиты министерства обороны
2.Системы сертификации средств защиты информации службы внешней разведки
3.Системы сертификации средств защиты информации ФСБ России
4.Системы сертификации средств защиты информации ФСТЭК России
5.Добровольные системы сертификации по безопасности информации
Сертификация - важнейший вид оценки соответствия.
Аттестация самих объектов информатизации, в некоторых случаях, может быть проведена самой организацией (первой стороной).
В таком случае подтверждение соответствия называется декларированием Программа испытаний - документ, предназначенный для организации и выполнения работ, обеспечивающих проведение испытаний конкретного образца.
Методика испытаний - документ или его часть, устанавливающий правила реализации методов испытаний.
23. ТЗ на создание АС
1.Общие сведения
2.Назначение и цели создания системы
3.Характеристика объектов автоматизации
4.Требования к системе
5.Состав и содержание работ по созданию системы
6.Порядок контроля и приёмки системы
7.Требования к составу и содержанию работ по подготовке объекта автоматизации к вводу системы в действие
8.Требования к документированию
9.Источники разработки
БОНУС (вроде было у баков):
НИР (НИОКР=НИР+ОКР) НИР – работа научного характера связанная с научным поиском, проведением исследований и экспериментами.
( комплекс теоретических и/или эксперимент исследований, проводимых с целью получения обоснованных исходных данных при изыскании принципов и путей создания (модернизации) продукции.)
ОКР (опытно-конструкторские работы) – продолжение НИР; комплекс работ по разработке конструкторской и технологической документации на опытный образец, Этап НИРчасть Нир, являющийся объектом планирования и финансирования
Главная проблема (трудность) на этапе сопровождения-Низкая квалификация или отутсвия кфалификационных мастеров ТЗ (определение)-Исход тех док для проведения НИР установливающи требования к содержанию, объему сроку работ Отладка начинается тогда, когда программа выдает в основном верные результаты
Основные итоги на стадии проектирования-Выбирается струтуры данных и решаються вопросы, что пригодиться для написания программ Результат системного анализа ПО-хорошо проработанные треб к ПО
Итоги системного анализа в жизненном цикле ПО-Изучается и определяется задача, выбираются требования к ПО
Отчётная научно-техническая документация - комплект документов, отражающих объективную информацию о содержании и результатах НИР, а также содержащих рекомендации по ее использованию.
Система ЗИ – организованная совокупность всех средств, методов и мероприятий, предусматриваемых в АС для решения выбранных задач защиты информации.
Этапы НИР:
1.Определение проблемы, формулирование темы
2.Постановка целей, выдвижение гипотезы
3.Работа с литературой, включая поиск необходимого материала и его анализ
4.Подготовка теоретической части работы
5.Экспериментальные исследования
6.Оформление
7. Оглашение результатов
Основа НИР – знания, накопленные за прошлые периоды развития.