ItogWorkMethod v2

описания легко потом скомпоновать документы, определенные ТЗ. При наиболее полном описании разработанного программного обеспечения рекомендуем раскрыть в дипломной работе следующие пункты (выбраны из ЕСПД).

2.3.1. Общие сведения о программе (программном комплексе - далее это уточнение будет опускаться). Здесь указываются:

-обозначение и наименование программы;

-программное обеспечение, необходимое для функционирования программы;

-языки программирования, на которых написана программа;

-основные характеристики: объем и время работы программы.

Объем программы измеряется дважды: 1) определяется объем исходных текстов программ; 2) объем исполняемых модулей. Полезно также указывать объемы, полученные в результате архивации файлов каким-либо популярным архиватором, например, ARJ.

2.3.2. Функциональное назначение. Указываются классы решаемых задач и (или)

назначение программы и сведения о функциональных ограничениях на ее применение.

2.3.3. Структура программы. Программное обеспечение обычно создается коллективом разработчиков (бригадой программистов), дипломник разрабатывает часть модулей. Следует в общих чертах описывать всю систему и подробно -модули,

разработанные автором.

Структуру взаимодействия модулей предпочтительно изображать в виде графа подчиненности модулей, чтобы наглядно показать иерархическую структуру комплекса.

Служебные подпрограммы, используемые практически всеми модулями комплекса,

целесообразно показывать отдельно, чтобы не загромождать схему большим количеством связей. Для каждого модуля приводится название и назначение.

2.3.4.Используемые технические средства. Здесь перечисляется минимальный состав технических средств, обеспечивающий работу программы: тип процессора, объем оперативной памяти, наличие жесткого диска, требуемый объем дискового пространства, тип дисплейного адаптера, наличие принтера и его тип, какое-либо специализированное оборудование (плоттер, мышь и т.д.).

2.3.5.Требования к программному окружению. Операционная система и ее минимально допустимая версия, наличие в оперативной памяти специализированных драйверов (например, для использования мыши, для кодировки кириллицы), используемые стандартные библиотеки (например, библиотеки для научно-технических расчетов,

библиотеки графических примитивов, библиотеки классов и т.д.).

11

2.3.6. Настройка программы (процедура инсталляции). Какие действия должен предпринять программист при установке программы на жесткий диск. Желательно описать командный файл, автоматизирующий процедуру инсталляции, сводящий ее к диалогу с программистом.

2.3.7. Эксплуатация программы.

2.3.7.1.Описание входных данных. Входная информация разделяется на переменную

ипостоянную. Например, программы на производственном участке читают нормативно-

справочную информацию из файлов, содержимое которых обновляется достаточно редко. В

то же время оперативный план может меняться ежедневно.

Для входной информации указывается тип кодирования, формат (например,

постоянная информация может выбираться из обычных текстовых файлов в формате ASCII,

либо из файлов в формате некоторой базы данных). Следует также указывать технические средства ввода данных: клавиатура, мышь, сканер и т.д.

2.3.7.3. Описание выходных данных. Здесь указываются характер и организация выходных данных; формат, описание и способ кодирования. Описывается информация,

поступающая на выходные устройства: экран терминала, принтер, плоттер. Описываются файлы с выходной информацией.

Сообщения об ошибках в выходную информацию не включаются.

2.3.7.4. Выполнение программы. Описывается последовательность действий пользователя (оператора), обеспечивающая загрузку, запуск, выполнение и завершение программы, приведено описание функций, формата и возможных вариантов команд, с

помощью которых пользователь осуществляет загрузку и управляет выполнением программы, а также ответы программы на эти команды.

Здесь рекомендуется выделить подраздел «Сообщения пользователю», в котором привести тексты сообщений, выдаваемых в ходе выполнения программы, описания их содержания и соответствующие действия пользователя (в случае сбоя, возможности повторного запуска программы и т.п.). Рекомендуется использовать поясняющие примеры,

таблицы, схемы, графики.

2.3.8. Текст программы приводится в приложении на исходном языке и снабжается подробными комментариями. В оформлении текста программы применяются элементы структурного программирования для улучшения восприятия (отступы внутри тела циклов и условных блоков, «содержательные» имена идентификаторов и т.п.).

12

2.3.9. Методика испытаний. Здесь описываются требования, подлежащие проверке при испытании программы, а также порядок и методы их контроля. Приводится перечень тестовых примеров и соответствующих контрольных распечаток.

2.4. Анализ рисков информационной безопасности

Для работ, не связанных напрямую с информационной безопасностью (ИБ),

например, при разработке информационной системы (ИС), обязательной является глава

Анализ рисков или Аудит ИБ. Подробнее об анализе и аудите в монографии [8].

Студент должен уметь различать следующие понятия:

-риски в сфере ИБ - потенциальная возможность несения убытков из-за нарушения безопасности;

-угрозы ИБ - потенциально возможное происшествие, которое может оказать нежелательное воздействие на компьютерную систему, а также информацию, хранящуюся и обрабатывающуюся в ней;

-уязвимость ИС - характеристики, делающие возможным возникновение угрозы -

недостаточная защищенность, некоторые ошибки в системе, наличие в системе потайных входов, оставленные разработчиками этой системы при ее отладке и настройке.

Наибольшее распространение получили два подхода к обоснованию проекта подсистемы обеспечения безопасности.

Первый подход основан на проверке соответствия уровня защищенности ИС

требованиям одного из стандартов в области ИБ. Это может быть класс защищенности в соответствии с требованиями руководящих документов Гостехкомиссии РФ (сейчас ФСТЭК России), профиль защиты, разработанный в соответствии со стандартом ISO-15408, или какой-либо другой набор требований.

Критерий достижения цели в области безопасности - это выполнение заданного набора требований.

Критерий эффективности - минимальные суммарные затраты на выполнение поставленных функциональных требований.

Недостаток подхода: если требуемый уровень защищенности жестко не задан, тогда сложно определить «наиболее эффективный» уровень защищенности ИС.

Второй подход связан с оценкой и управлением рисками, исходя из принципа

«разумной достаточности» примененного к сфере обеспечения ИБ. Этому подходу

присущи утверждения:

-абсолютно непреодолимой защиты создать невозможно;

-необходимо соблюдать баланс между затратами на защиту и получаемым эффектом;

13

-стоимость средств защиты не должна превышать стоимости защищаемой информации или других ресурсов;

-затраты нарушителя на несанкционированный доступ (НСД) к информации должны превышать тот эффект, который он получит, осуществив подобный доступ.

Для ИС в исходном состоянии, оценивается размер ожидаемых потерь от инцидентов,

связанных с ИБ (как правило, берется определенный период времени). Делается оценка того,

как предлагаемые средства и меры обеспечения безопасности влияют на снижение рисков, и

сколько они стоят. Для идеальной ситуации, идея подхода может быть отображена следующим образом (рисунок 1):

Рисунок 1. Идеализированный график соотношения «затраты на защиту - ожидаемые потери».

С ростом затрат на защиту, размер ожидаемых потерь падает. Если обе функции имеют вид, представленный на рисунке, то можно определить минимум функции

«Ожидаемые суммарные затраты».

На практике точные зависимости между затратами и уровнем защищенности определить невозможно, поэтому такой метод определения минимальных затрат неприменим.

Риск может быть идентифицирован следующими параметрами:

-угроза, возможной реализацией которой вызван данный риск;

-ресурс (ценный информационный, аппаратный, программный и т.д. элемент ИС), в

отношении которого может быть реализована угроза;

-уязвимость, через которую может быть реализована угроза в отношении ресурса.

Для определения того, что нежелательное событие произошло, процессе описания рисков указывают события-«триггеры», являющиеся идентификаторами рисков,

произошедших или ожидающихся в скором времени (например, увеличение время отклика web-сервера может свидетельствовать о производимой на него одной из разновидностей атак на «отказ в обслуживании»).

14

В процессе оценки риска надо оценить стоимость ущерба и частоту возникновения нежелательных событий и вероятность того, что подобное событие нанесет урон ресурсу.

Размер ущерба зависит от:

-стоимости ресурса, который подвергается риску;

-степени разрушительности воздействия на ресурс, выражаемой в виде коэффициента разрушительности. Как правило, указанный коэффициент лежит в диапазоне от 0 до 1.

Таким образом, оценка представляется в виде произведения:

(Стоимость ресурса)*(Коэф. Разрушительности).

Необходимо оценить частоту возникновения рассматриваемого нежелательного события (за какой-то фиксированный период) и вероятность успешной реализации угрозы. В

результате, стоимость риска может быть вычислена по формуле:

(Частота)*(Вероятность)*(Стоимость ресурса)*

*(Коэф. Разрушительности).

Ожидаемый ущерб сравнивается с затратами на меры и средства защиты, после чего принимается решение в отношении данного риска.

Ущерб может быть:

-снижен (например, за счет внедрения средств и механизмов защиты, уменьшающих вероятность реализации угрозы или коэффициент разрушительности);

-устранен (за счет отказа от использования подверженного угрозе ресурса);

-перенесен (например, застрахован, в результате чего в случае реализации угрозы безопасности, потери будет нести страховая компания, а не владелец ИС);

-принят.

2.5. Аудит состояния информационной безопасности

Аудит состояния ИБ на предприятии представляет собой экспертное обследование основных аспектов ИБ, их проверку на соответствие определенным требованиям.

Различают внутренний аудит (проводимый сотрудниками предприятия) и внешний

(осуществляемый сторонними организациями).

Цели аудита:

- установление степени защищенности информационных ресурсов предприятия,

выявление недостатков и определение направлений дальнейшего развития системы защиты информации;

- проверка достижения поставленных целей в сфере ИБ, выполнения требований политики безопасности;

15

-контроль эффективности вложений в приобретение средств защиты информации и реализацию мероприятий по обеспечению ИБ;

-сертификация на соответствие общепризнанным нормам и требованиям в сфере ИБ.

Основные этапы проведения аудита:

-инициирование проведения аудита;

-осуществление сбора информации и обследование;

-анализ собранных данных и выработка рекомендаций;

-подготовка аудиторского отчета и аттестационного заключения.

На начальном этапе необходимо определить границы аудита:

-перечень обследуемых информационных ресурсов и ИС;

-перечень зданий, помещений и территорий;

-основные угрозы, средства защиты;

-элементы системы обеспечения ИБ (организационное, правовое, программно-

техническое, аппаратное обеспечение);

Основная стадия – проведение аудиторского обследования и сбор информации.

На начальном этапе принимается решение, насколько глубоко и детально будут исследованы отдельные элементы ИС и системы защиты информации. Одна из первых задач – установление степени соответствия действующей политики объективным

потребностям данного предприятия в безопасности, могут ли действия в рамках данной

политики обеспечить необходимый уровень защищенности информации и средств ее

обработки, хранения и передачи.

Анализ политики также может включать оценку характеристик:

-полнота и глубина охвата всех вопросов, соответствие содержания политик нижнего уровня целям и задачам, установленным в политиках верхнего уровня;

-понятность текста политики для людей, не являющихся техническими специалистами, четкость формулировок и невозможность их двойного толкования;

-актуальность всех положений и требований политики, своевременность учета всех изменений, происходящих в ИС и бизнес-процессах.

После проверки основных положений политики безопасности могут быть изучены действующие классификации информационных ресурсов по степени критичности и конфиденциальности, а также другие документы, имеющие отношение к обеспечению ИБ:

-организационные документы подразделений предприятия;

-инструкции, положения, методики отдельных бизнес-процессов;

16

- кадровая документация, обязательства о неразглашении сведений, данные сотрудниками, свидетельства о прохождении обучения, профессиональной сертификации,

аттестации и ознакомлении с действующими правилами;

- техническая документация и пользовательские инструкции для используемых программных и аппаратных средств: межсетевых экранов, маршрутизаторов, операционных систем, антивирусных средств, систем управления предприятием и т.п.

Основная работа в процессе сбора информации заключается в изучении фактически предпринимаемых мер по обеспечению защиты информационных активов предприятия,

таких как:

-организация процесса обучения пользователей приемам и правилам безопасного использования ИС;

-организация работы администраторов информационных и телекоммуникационных систем и систем защиты информации;

-организация процессов повышения квалификации администраторов ИС и систем защиты информации;

-обеспечение соответствия необходимых (в соответствии с политикой безопасности и должностными обязанностями) прав пользователей ИС и фактически имеющихся;

-организация назначения и использования специальных прав в ИС предприятия;

-организация работ и координации действий при выявлении нарушений ИБ и восстановлении работы ИС после сбоев и нападений;

-предпринимаемые меры антивирусной защиты;

-обеспечение безопасности приобретаемых программных и аппаратных средств;

программного обеспечения;

-организация работ по установке и обновлению программного обеспечения, а также контроля за целостностью установленного ПО;

-предпринимаемые меры по обеспечению учета и сохранности носителей информации, по их безопасному уничтожению;

- эффективность организации взаимодействия сотрудников предприятия со службой ИБ.

Необходимо оценить, насколько систематически и целенаправленно осуществляется

обучение персонала, и дать оценку тому, в какой мере персонал понимает все предъявляемые

к нему требования, связанные с обеспечением безопасности, а также возможную ответственность.

17

Одной из важных задач аудита может быть установление того, насколько предприятие

способно противодействовать внутренним угрозам в лице сотрудников. Для этого могут

быть исследованы следующие процедуры:

-процедуры отбора и принятия новых сотрудников на работу;

-процедуры контроля за деятельностью сотрудников;

-процедуры регистрации пользователей и назначения им прав;

-распределение функций между различными сотрудниками и минимизация их

привилегий, а также возможное наличие избыточных прав у некоторых пользователей

и администраторов.

инфраструктуры, включает в себя:

-проверку того, чтобы наиболее важные объекты информационной инфраструктуры и системы защиты информации располагались в зонах, имеющих пропускной режим, а также оборудованных видеокамерами и другими средствами контроля;

-проверку наличия и работоспособности технических средств, обеспечивающих устойчивую работу компьютерного и телекоммуникационного оборудования;

- проверку наличия и работоспособности средств пожарной сигнализации

ипожаротушения;

-проверку распределения ответственности за физическое (техническое) состояние объектов информационной инфраструктуры предприятия.

Инструментальная проверка защищенности является в основном технической задачей и осуществляется с использованием специализированного программного обеспечения,

которое подключается к ИС предприятия и автоматически производит сбор всевозможных сведений: версий установленных операционных систем и программного обеспечения,

данных об используемых сетевых протоколах, номеров открытых портов, данных о версиях установленных обновлений и т.п.

К другим направлениям инструментального и технического контроля относятся следующие работы:

-непосредственное изучение работы отдельных серверов, рабочих станций и сетевого оборудования соответствующими техническими специалистами, которые могут проверить различные аспекты их функционирования;

-сбор и последующий анализ данных о том, как выполняются процедуры резервного

предусмотренные регламентом;

18

- проверка качества программного обеспечения, самостоятельно разработанного предприятием, выявление ошибок, которые могут стать причиной сбоев,

несанкционированных проникновений, разрушения и утечки информации и других инцидентов;

-изучение работы сети;

-проведение пробных, контролируемых «нарушений» ИБ, таких как атаки типа

«отказ в обслуживании» (DoS) или проникновение в определенные базы данных и на определенные серверы, а также использование различных известных уязвимостей.

Информация, накопленная в журналах (лог-файлах) за время использования ИС,

является одним из важных объектов анализа в процессе аудита. На основе этих данных могут быть сделаны оценки и выводы относительно соблюдения установленных правил использования ИС, эффективности используемых средств защиты информации, поведения пользователей, а также о потенциально возможных проблемах.

Анализ всей информации, полученной в процессе аудита, должен быть произведен с учетом выявленных рисков и потребностей предприятия в ИБ. Окончательным результатом анализа и обобщения данных является отчет, включающий в себя:

-оценку уровня защищенности информационных ресурсов и ИС;

-заключения о практическом выполнении требований, предусмотренных политикой ИБ предприятия и иными требованиями и документами;

-заключение о степени соответствия фактического уровня ИБ требованиям определенных стандартов и нормативных документов;

-предложения по усовершенствованию политики ИБ реализации дополнительных практических мероприятий в этой сфере, а также о тех мерах, которые необходимо реализовать для прохождения сертификации на соответствие определенному стандарту;

-заключение о степени соответствия политики безопасности предприятия и всего комплекса мер по защите информации требованиям действующего законодательства и ведомственных нормативных актов;

-оценки экономической эффективности вложений в те или иные средства защиты информации, организационные мероприятия;

-количественная (денежная) оценка возможных потерь от тех или иных нарушений,

которые могут произойти при существующем уровне обеспечения ИБ, расчет необходимых

вложений, которые необходимо осуществить для достижения определенного

уровня защищенности.

19

По результатам аудита могут быть сформулированы дополнительные

рекомендации, касающиеся:

-пересмотра отдельных бизнес-процессов и процедур;

-совершенствования работы с персоналом предприятия;

-внедрения и использования современных технических средств обработки и защиты информации;

-организации работы по защите информации;

-выбора приоритетов в процессе устранения существующих недостатков.

Документы для постановки на учет в РКН по ИСПДн:

-учредительные документы оператора;

-копия уведомления об обработке персональных данных (ПД);

-положение о порядке обработки ПД;

-положение о подразделении, осуществляющем функции по организации защиты ПД;

-должностные регламенты лиц, имеющих доступ к ПД;

-план мероприятий по защите ПД;

-план внутренних проверок состояния защиты ПД;

-приказ о назначении ответственных лиц по работе с ПД;

-типовые формы документов, предполагающие или допускающие содержание ПД;

-журналы, реестры, книги, содержащие ПД, необходимые для однократного пропуска

субъекта ПД на территорию, на которой находится Оператор, или в иных

аналогичных целях;

-договоры с субъектами ПД, лицензии на виды деятельности, в рамках которых осуществляется обработка ПД;

-выписки из ЕГРЮЛ, содержащие актуальные данные на момент проведения мероприятия по контролю (надзору);

персональных данных;

- письменное согласие субъектов ПД на обработку их персональных данных

(типовая форма);

-распечатки электронных шаблонов полей, содержащие ПД;

-справки о постановке на балансовый учет ПЭВМ, на которых осуществляется обработка ПД;

20