Методология построения защищенных автоматизированных систем

2) Байбурин В.Б. Введение в защиту информации/ В.Б.Байбурин, М.Б.Бровкова, И.Л.Пластун и др. –М.: ФОРУМ: ИНФРА-М, 2004. 128 с.
3) Мэйволд Э. Безопасность сетей / Э. Мэйволд –М.: Эком, 2006. -528с.
4) Столингс В. Основы защиты сетей. Приложения и стандарты /В.Столингс –М.: Вильямс, 2002. -432 с.
5) Пластун И.Л. Сети ЭВМ. Учебное пособие / И.Л. Пластун– Саратов:Изд-во СГТУ, 2005, -80с.
6) Олифер В.Г. Компьютерные сети. Принципы, технологии, протоколы /В.Г. Олифер, Н.А. Олифер –СПб: Питер, 2006. -958с.
7) Официальный сайт кампании CISCO: http://www.cisco.com
8) Олифер В.Г. Сетевые операционные системы/ В.Г. Олифер, Н.А. Олифер –СПб: Питер, 2002. -544с.
...

1.1 Основные этапы построения защищенных автоматизированных систем.

Архитектура современных автоматизированных систем беспрерывно развивается, что обоснованно необходимостью максимального обеспечения потребностей разработчиков и пользователей за счет появления и внедрения инновационных информационных технологий. В первую очередь, это касается повышения качества, гибкости и производительности системы, а также необходимости обеспечивания наибольшей производительности для бизнеса при автоматизации какой-либо сферы, связанной с обработкой информации. В настоящее время в ИТ сфере активно развиваются такие тренды, как технологии мобильного доступа к ресурсам автоматизированных систем, виртуализация, облачные технологии, повсеместное внедрение беспроводных сетей и т.д.
...

1.2. Техническое задание к проектируемой автоматизированной системе
Техническое задание на автоматизированную систему является основным документом, определяющим требования и порядок создания (развития или модернизации) автоматизированной системы, в соответствии с которым проводится разработка автоматизированной системы и ее приемка при вводе в действие. Формируется на основании ГОСТ 34.602-89 Техническое задание на создание автоматизированной системы (Настоящий стандарт распространяется на автоматизированные системы для автоматизации различных видов деятельности (управление, проектирование, исследование и т. п.), включая их сочетания, и устанавливает состав, содержание, правила оформления документа «Техническое задание на создание (развитие или модернизацию) системы».
...

1.3. Анализ физической и логической архитектуры компьютерной системы
Анализ физической и логической архитектуры компьютерной системы, а также используемых схем автоматизированной обработки информации:
• анализ аппаратных средств и их конфигурации (сетевого оборудования локальных и глобальных коммуникаций);
• анализ программного обеспечения и схемы распределения его компонентов между узлами сети;
• анализ протоколов взаимодействия (используемых стеков протоколов 14 ТСР/IР, SРХ/IРХ, NetBIOS/NetBEUI);
• анализ сетевого трафика на различных уровнях сетевой модели взаимодействия;
• анализ технологии использования мобильных программ Java, ActiveX, JavaScript, VBScript;
• анализ согласованности аппаратной и программной конфигурации узлов сети;
• анализ подсистем защиты информации на различных уровнях программно-аппаратных средств
1.4.
...

1.5. Анализ угроз в автоматизированных системах

Определение, анализ и классификация всех возможных угроз информации в компьютерных системах: (Рис.
...

1.6. Оценка текущего уровня информационной безопасности

Оценка текущего уровня информационной безопасности и определение риска:
• оценка ценностей (всех объектов и субъектов, которым может быть нанесен ущерб);
• прогнозирование частоты и вероятности проявления угроз на основе накопленной статистики и условий эксплуатации компьютерных сетей;
• прогнозирование вероятности воздействия на компьютерные ресурсы и оценка объема потенциальных потерь;
• непосредственное вычисление риска, зависящего от полученных выше параметров;
• выработка рекомендаций по снижению риска до приемлемого уровня.
1.7.
...

1.7. Разработка политики безопасности

Разработка политики безопасности как совокупности концептуальных решений, направленных на эффективную защиту информации и ассоциированных с ней ресурсов:
• формирование стратегических целей обеспечения информационной безопасности и определение требований к защищаемой информации;
• разработка концепции защиты от реализации преднамеренных угроз;
• разработка концепции защиты от реализации случайных угроз;
• составление общего плана восстановления на случай воздействия на компьютерные ресурсы;
• разработка организационных мероприятий по созданию условий безопасной обработки информации.

1.8.
...

1.8. Разработка системы защиты информации с учетом всех предъявленных требований

Непосредственная разработка системы защиты информации с учетом всех предъявленных требований и влияющих на защиту факторов:
• формирование детальных спецификаций на компоненты системы информационной безопасности;
• проектирование комплексных систем защиты информации для рабочих станций, серверов, а также компьютерной сети в целом;
• выбор сертифицированных средств защиты информации и обоснование принятых решений;
• проектирование уникальных подсистем информационной безопасности, не содержащих концептуальных недоработок;
• реализация разработанных проектов;
• интеграция подсистем информационной безопасности, их комплексная настройка и проверка работоспособности;
• оценка качества системы защиты информации по комплексным методикам, а также отечественным и международным стандартам.
...

Заключение

При разработке защищенной автоматизированной системы важно правильно квалифицировать модель построения защиты. На данный момент наиболее распространенной является многоуровневая модель защиты (включает множество мер защиты и средств контроля) и более редко уже встречается периметровая модель (в основном защита периметра сети средствами межсетевого экрана). Очевидной также является необходимость реализации в автоматизированной системы именно многоуровневой модели защиты. При этом стоит особое внимание уделить вопросу сегментации информационных ресурсов и сервисов по критерию доступа к ним, так как зачастую современные автоматизированные системы имеют довольно разную аудиторию пользователей. Кроме того, сегментация позволит уменьшить ущерб от проникновения в автоматизированную систему.
Приведенный выше перечень проблем и особенностей построения защищенных автоматизированных систем, естественно, не является исчерпывающим.
...