Экстренная модификация (обстоятельства форс-мажор)
В исключительных случаях (перечень которых должен определяться руководством организации), требующих безотлагательного изменения ПО и модификации технических средств, сотрудник подразделения автоматизации ставит в известность своего руководителя и руководителя подразделения обеспечения безопасности ИТ (в случае их отсутствия - дежурного сотрудника подразделения обеспечения безопасности ИТ и пользователя рабочей станции) о необходимости такого изменения для получения соответствующего разрешения (перечень лиц, которым предоставлено право разрешать выполнение форс-мажорных работ должен определяться руководством организации).
Факт внесения изменений в ПО и технических средств защищенных рабочих станций и серверов фиксируется актом за подписями ответственного за обеспечение безопасности информации в подразделении и пользователя данной рабочей станции, сотрудников подразделений автоматизации и обеспечения безопасности ИТ. В акте указывается причина модификации, перечисляются файлы, подвергшиеся изменению, и указываются лица, принявшие решение на проведение работ и проводившие эти работы. Факт модификации ПО и корректировки настроек системы защиты фиксируется в «Журнале учета нештатных ситуаций...» того подразделения, в котором установлены рабочие станции (сервера).
В течение следующего дня после составления акта руководством подразделений автоматизации и обеспечения безопасности ИТ при участии сотрудников структурных подразделений выясняются причины и состав проведенных экстренных изменений и принимается решение о необходимости подготовки исправительной модификации ПО или восстановления ПО рабочей станции (сервера) с эталонной копии (из АЭД). Результат разбирательства оформляется в виде согласованного решения и хранится в подразделении автоматизации, копии передаются в подразделение обеспечения безопасности ИТ и в структурное подразделение.
|
|
|
Тема 13
Регламентация процессов разработки испытания, опытной
Эксплуатации, внедрения и сопровождения задач
Согласно сложившемуся порядку в большинстве организаций ответственность за решение всех вопросов, связанных с защитой информации, на этапах проектирования и разработки прикладных программ возлагается на те же подразделения (и специалистов), которые отвечают за создание и внедрение данных прикладных программ.
При этом требования к характеристикам средств защиты в разрабатываемых и создаваемых подсистемах определяют сами разработчики - прикладные программисты, а не заказчики или специалисты по защите информации. Разработчики действуют исходя из собственных, не всегда правильных в силу специфики вопроса, представлений о достаточности средств и механизмов защиты, то есть сами принимают и оценивают решения по удовлетворению этих требований, и сами же оценивают качество реализации необходимых защитных механизмов.
|
|
|
Все это, в конечном итоге, приводит к недопустимым упрощениям в вопросах обеспечения безопасности информации в разрабатываемых прикладных подсистемах.
Поскольку применение дополнительных средств защиты создает определенные ограничения при эксплуатации и использовании прикладных программ, требует дополнительных затрат системных ресурсов компьютеров (создание качественных средств защиты требует существенных затрат времени и сот, специальных знаний и опыта), то разработчики прикладного программного обеспечения, отвечающие прежде всего за своевременность и качество решения задач по автоматизации технологических процессов, объективно не заинтересованы в создании и применении надежных средств защиты.
Порядок приема разработанных программных продуктов в промышленную эксплуатацию чаще всего сводится к проведению испытаний и подписанию акта сдачи-приемки. Зачастую внедрение задач и особенно их модернизация осуществляются без надлежащей передачи эталонных копий ПО и всей необходимой документации в фонд алгоритмов и программ (архив эталонных дистрибутивов), либо это делается с большим отставанием по времени. В результате документация, имеющаяся в архиве, по многим подсистемам неполна и часто не соответствует реальным версиям ПО. Некоторые (в особенности новые) из подсистем оказываются недокументированными.
|
|
|
Это может приводить к возникновению ситуаций, когда сопровождение прикладного ПО или реализация дополнительных мер по обеспечению безопасности ИТ будут затруднены или просто станут невозможными по причине увольнения создавших данное ПО программистов и отсутствия необходимых описаний и исходных текстов программ. Кроме того, это свидетельствует о наличии у разработчиков возможностей достаточно свободно осуществлять замену версий ПО, находящегося в эксплуатации.
Для устранения отмеченных недостатков требуется переход к такому порядку взаимодействия подразделений, при котором определение требований по защите информации в прикладных подсистемах и контроль за качеством реализации механизмов защиты в них должны осуществляться специалистами по защите информации вне подразделений, разрабатывающих ПО и эксплуатирующих технические средства, исходя из единых для организации целей и задач защиты информации.
|
|
|
Разработка ПО задач (комплексов задач), проведение испытаний разработанного и приобретенного ПО, передача ПО в эксплуатацию должна осуществляться в соответствии с утвержденным «Порядком разработки, проведения испытаний и передачи задач (комплексов задач) в эксплуатацию».
Порядок разработки комплексов задач (задач) должен включать требования по номенклатуре и содержанию нормативных документов, разрабатываемых специалистами подразделения обеспечения безопасности ИТ совместно со специалистами подразделения автоматизации, порядку определения требований по обеспечению безопасности ИТ и проведения экспертизы реализации механизмов защиты в прикладных системах.
Организация разработки и отладки программ должна исключать возможность доступа программистов в эксплуатируемые подсистемы АС (к реальной информации и базам данных). Для разработки и отладки программ должен быть организован специальный опытный участок АС.
Передача разработанных (доработанных) программ в эксплуатацию должна осуществляться через архив эталонных дистрибутивов программ (фонд алгоритмов и программ) подразделения, ответственного за эксплуатацию ПО.
В связи с тем, что вопросами закупок средств защиты занимаются, как правило, несколько подразделений организации, необходимо разработать и принять порядок согласования выбора и приобретения средств защиты информации в АС для нужд организации, а также порядок инспекторского контроля специалистами подразделения обеспечения безопасности ИТ за соблюдением технических условий и сертификатов ФСТЭК России и ФСБ России на приобретенные средства защиты и прикладные системы.
Взаимодействие подразделений на этапах проектирования, разработки, испытания и внедрения новых автоматизированных подсистем
Дата добавления: 2018-02-28; просмотров: 376; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!