Разработка политики безопасности предприятия, занимающегося разработкой программного обеспечения | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 4 января, печатный экземпляр отправим 8 января.

Опубликовать статью в журнале

Автор:

Рубрика: Технические науки

Опубликовано в Молодой учёный №13 (147) март 2017 г.

Дата публикации: 30.03.2017

Статья просмотрена: 2066 раз

Библиографическое описание:

Дронов, Д. Р. Разработка политики безопасности предприятия, занимающегося разработкой программного обеспечения / Д. Р. Дронов. — Текст : непосредственный // Молодой ученый. — 2017. — № 13 (147). — С. 37-41. — URL: https://moluch.ru/archive/147/41237/ (дата обращения: 24.12.2024).



В статье рассмотрены различные подходы к разработке политики безопасности предприятия, занимающегося разработкой программного обеспечения, а также ключевые моменты создания политики безопасности.

Ключевые слова: информационная безопасность, политика безопасности, модель угроз, дерево угроз, информационная система

Важным шагом в обеспечении информационной безопасности предприятия является разработка политики безопасности (ПБ). В данной статье будет рассмотрен процесс создания ПБ для предприятия, связанного с разработкой и сопровождением программного обеспечения.

Для предприятий такого типа вопрос о создании ПБ является очень важным и актуальным. Это обусловлено тем, что продукция, выпускаемая подобным предприятием, зачастую носит уникальный и инновационный характер. Следовательно, для обеспечения информационной безопасности предприятия, необходимо обеспечить всестороннюю защиту разрабатываемого программного обеспечения, а также информации и данных, относящихся к нему, начиная непосредственно с разработки ПО и заканчивая его сопровождением после релиза. Необходимо соблюдение нормативно-правовых актов, таких как Конституция РФ, УК РФ, КоАП РФ, Доктрина информационной безопасности РФ, № 149-ФЗ «Об информации, информационных технологиях и о защите информации», № 98-ФЗ «О коммерческой тайне», нормативные документы ФСТЭК России и др. С этой целью и разрабатывается ПБ предприятия.

Для лучшего представления предприятия разработана типовая организационная структура, характерная для предприятия, занимающегося разработкой и сопровождением программного обеспечения (рисунок 1).

Рис. 1. Типовая архитектура ИС предприятия, занимающегося разработкой ПО

Однако стоит отметить, что архитектура ИС, носит общий и ознакомительный характер, и для каждого конкретного предприятия будет отличаться.

Для разработки ПБ предприятия данного типа необходимо определиться с набором возможных угроз и местом их реализации. В ходе исследования для решения данной задачи использовался классификатор ГОСТ Р 51275–2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения» [1]. Построение дерева актуальных угроз выполнялось методом экспертного опроса. Результаты данной работы представлены на рисунке 2.

Рис. 2. Дерево актуальных угроз для предприятия, занимающегося разработкой ПО (обозначение данных угроз совпадает с представленными в таблице 1)

Модель построения системы защиты информации (СЗИ) предприятия «с полным перекрытием» позволяет создать систему защиты с учетом перекрытия всех актуальных угроз. Однако в данном случае возникнет вопрос об оптимизации СЗИ по критериям, обозначенным заказчиком. В таблице 1 представлены угрозы и перекрывающие их возможные механизмы защиты [2] для предприятия, занимающегося разработкой и сопровождение программного обеспечения.

Таблица 1

Угрозы иперекрывающие их возможные механизмы защиты для предприятия, занимающегося разработкой исопровождение программного обеспечения

Обозначение угрозы

Наименование угрозы

Обозначение механизма

Механизм защиты

У 1.1.1.1

Передача сигналов по проводным линиям связи

М1

Прокладка кабелей

М2

Сохранение конфиденциальности данных

У 1.1.1.2

Передача сигналов в диапазоне радиоволн

М3

Материальная защита

М2

Сохранение конфиденциальности данных

У 1.1.2

Дефекты, сбои и отказы, аварии ТС и систем ОИ

М4

Техническое обслуживание

М5

Резервные копии

У 1.1.3

Дефекты, сбои и отказы ПО ОИ

М6

Отчет о нарушениях в работе программного обеспечения

М7

Тестирование безопасности

У 1.2.1.1

Сбои, отказы и аварии систем обеспечения ОИ

М4

Техническое обслуживание

М5

Резервные копии

У 2.1.1.1

Разглашение защищаемой информации лицами, имеющими к ней право доступа, через копирование информации на незарегистрированный носитель информации

М8

Мониторинг изменений, связанных с безопасностью

М9

Записи аудита и регистрация

У 2.1.1.2

Разглашение защищаемой информации лицами, имеющими к ней право доступа, через передачу носителя информации лицам, не имеющим права доступа к ней

М8

Мониторинг изменений, связанных с безопасностью

М10

Управление носителями информации

М11

Защита от передачи или хищения носителя

У 2.1.1.3

Разглашение защищаемой информации лицами, имеющими к ней право доступа, через утрату носителя информации

М12

Процесс обеспечения исполнительской дисциплины

У 2.1.2.1

Неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации путем несанкционированного изменения информации

М13

Контрольные журналы

М14

Политика управления доступом

М15

Проверка целостности

У 2.1.2.2

Неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации путем копирования защищаемой информации

М13

Контрольные журналы

М14

Политика управления доступом

У 2.1.3.1

НСД к информации путем подключения к техническим средствам и системам ОИ

М16

Идентификация и аутентификация

М17

Разделение сетей

М3

Материальная защита

У 2.1.3.2

НСД к информации путем хищения носителя защищаемой информации

М3

Материальная защита

М18

Персонал

М11

Защита от передачи или хищения носителя

У 2.1.4.1

Ошибки обслуживающего персонала ОИ в эксплуатации ТС

М19

Защитные меры для персонала, нанятого по контракту

М20

Обучение и осведомленность о мерах безопасности

У 2.1.4.2

Ошибки обслуживающего персонала ОИ в эксплуатации программных средств

М5

Резервные копии

М6

Отчет о нарушениях в работе программного обеспечения

М19

Защитные меры для персонала, нанятого по контракту

Результаты выполненной работы позволили создать основной документ, на котором базируется информационная безопасность предприятия — ПБ. ПБ может быть представлена как в формальном, так и в неформальном виде.

Неформальная форма ПБ предприятия, занимающегося разработкой программного обеспечения, представляет собой систему взглядов на обеспечение ИБ предприятия в виде систематизированного изложения целей, задач, принципов и положений по организации процессов обеспечения и управления ИБ. Положения ПБ распространяются на все аспекты деятельности предприятия, тем или иным образом влияющие на ИБ.

В политике такого предприятия отражены следующие вопросы: цели и задачи ИБ; принципы обеспечения ПБ на предприятии; система управления ИБ; процессы обеспечения и управления ИБ; ответственность за нарушение ПБ; процедура пересмотра ПБ; перечень применимого законодательства.

Для представления ПБ в формальном виде могут быть использованы различные модели. Для более подробного рассмотрения выбрана индивидуально-групповая модель ПБ ролевого типа, как наиболее распространенная.

Данная модель на основе списков пользователей и групп пользователей (рис. 3), определяет права доступа к объектам информации и информатизации (рис. 4) на основании индивидуально-групповой матрицы доступа (рис. 5).

Рис. 3. Пользователи, группы и их отношения

Рис. 4. Объекты

C:\Users\dmitr\Desktop\Статья ТКБ\кек3.png

Рис. 5. Индивидуально-групповая матрица доступа

Предложенные модели политики безопасности являются крайне важной и необходимой составляющей в обеспечении безопасности предприятия. При этом, совместное использование формальной и неформальной ПБ позволят обеспечить информационную безопасность предприятия с наилучшим эффектом и повысить его конкурентоспособность.

Литература:

  1. ГОСТ Р 51275–2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию [Текст]. — Взамен ГОСТ Р 51275–99; введ. с 2008–02–01. — М.: Стандартинформ, 2007.
  2. ГОСТ Р ИСО/МЭК ТО 27005–2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности [Текст]. — Взамен ГОСТ Р ИСО/МЭК ТО 13335–3-2007 и ГОСТ Р ИСО/МЭК ТО 13335–4-2007; введ. с 2011–12–01. — М.: Стандартинформ, 2011.
Основные термины (генерируются автоматически): программное обеспечение, защищаемая информация, предприятие, информационная безопасность предприятия, материальная защита, разработка, хищение носителя, возможный механизм защиты, индивидуально-групповая матрица, техническое обслуживание.


Похожие статьи

Защита информации в информационных системах

В данной статье рассматриваются особенности политики защиты информации в информационных системах и построения систем защиты информации.

Информационная безопасность автоматизированных систем управления

В статье рассматривается проблема защищенности автоматизированных систем от внешних и внутренних воздействий; описаны требования к автоматизированной системе и этапы организации информационной защиты; рассмотрены технические и административные методы...

Методы повышения безопасности технологических систем

В данной статье раскрываются методы повышения безопасности технологических систем и основные направления.

Основные аспекты управления рисками информационной безопасности

Статья посвящена процессу управления рисками информационной безопасности. Описываются основные компоненты безопасности, их взаимодействие, а также возможные сценарии реализации инцидента информационной безопасности. Рассматриваются этапы процесса упр...

Информационные технологии в электроэнергетике

В статье рассматривается специфический программный продукт, предназначенный для автоматизации работы системы электроэнергетики. Кратко описаны цели внедрения, задачи, функции и особенности объекта исследования.

Аналитические методы оценки защищенности информации, обрабатываемой в информационной системе

В статье рассматривается проблема оценки защищенности информации в информационных системах, а также применение и возможности средств защиты информации, основанных на аналитических методах оценки защищенности.

Анализ эффективности разработки программных продуктов

В статье исследуется жизненный цикл разработки программных продуктов в ИТ-организациях, рассматриваются пути и способы, за счёт которых можно улучшить данный процесс.

Базовые информационные технологии

В данной статье рассмотрены несколько вариантов базовых информационных технологий, их роль, области применения и методы защиты информации.

О подходах к пониманию и классификации преступлений в сфере компьютерной безопасности

В статье рассмотрены некоторые теоретические подходы к понятию «компьютерные преступления», а также классификация таких преступлений.

Проблемы в области экономической безопасности

В статье рассматриваются основные аспекты экономической безопасности, основные проблемы и решения. Научная значимость исследования состоит в разработке методически подходов к оценке и проведению мониторинга экономической безопасности.

Похожие статьи

Защита информации в информационных системах

В данной статье рассматриваются особенности политики защиты информации в информационных системах и построения систем защиты информации.

Информационная безопасность автоматизированных систем управления

В статье рассматривается проблема защищенности автоматизированных систем от внешних и внутренних воздействий; описаны требования к автоматизированной системе и этапы организации информационной защиты; рассмотрены технические и административные методы...

Методы повышения безопасности технологических систем

В данной статье раскрываются методы повышения безопасности технологических систем и основные направления.

Основные аспекты управления рисками информационной безопасности

Статья посвящена процессу управления рисками информационной безопасности. Описываются основные компоненты безопасности, их взаимодействие, а также возможные сценарии реализации инцидента информационной безопасности. Рассматриваются этапы процесса упр...

Информационные технологии в электроэнергетике

В статье рассматривается специфический программный продукт, предназначенный для автоматизации работы системы электроэнергетики. Кратко описаны цели внедрения, задачи, функции и особенности объекта исследования.

Аналитические методы оценки защищенности информации, обрабатываемой в информационной системе

В статье рассматривается проблема оценки защищенности информации в информационных системах, а также применение и возможности средств защиты информации, основанных на аналитических методах оценки защищенности.

Анализ эффективности разработки программных продуктов

В статье исследуется жизненный цикл разработки программных продуктов в ИТ-организациях, рассматриваются пути и способы, за счёт которых можно улучшить данный процесс.

Базовые информационные технологии

В данной статье рассмотрены несколько вариантов базовых информационных технологий, их роль, области применения и методы защиты информации.

О подходах к пониманию и классификации преступлений в сфере компьютерной безопасности

В статье рассмотрены некоторые теоретические подходы к понятию «компьютерные преступления», а также классификация таких преступлений.

Проблемы в области экономической безопасности

В статье рассматриваются основные аспекты экономической безопасности, основные проблемы и решения. Научная значимость исследования состоит в разработке методически подходов к оценке и проведению мониторинга экономической безопасности.

Задать вопрос