Разработка и обслуживание систем

Разработка и обслуживание системы могут оказывать значительное влияние на безопасность. Перед тем, как приступать к разработке информационной системы, необходимо определить и согласовать требования к безопасности. Средства, включенные в состав системы на этапе разработки, обычно оказываются значительно дешевле в реализации и поддержке, чем средства, включенные во время реализации или после нее.

Требования к безопасности и средства защиты должны соответствовать ценности используемых информационных ресурсов и потенциальному ущербу для организации в случае сбоя или нарушения безопасности.

Основой для анализа требований к безопасности и выбору мер для поддержки безопасности является оценка рисков и управление рисками.

В прикладные системы (в том числе и в приложения, разработанные пользователями) должны быть встроены необходимые средства защиты и функции ведения аудиторских записей или журналов операций. Эти средства должны обеспечивать проверку вводимых данных, внутренней обработки и результатов работы.

Вводимые в прикладные системы данные, необходимо проверять, чтобы гарантировать их правильность и соответствие поставленной задаче.

Рекомендуется рассмотреть следующие меры:

· двукратный ввод или другой способ проверки ввода;

· просмотр документов, введенных с печатных копий, на предмет несанкционированного изменения введенных данных;

· процедуры проверки правдоподобности введенных данных;

· определение обязанностей всех сотрудников, участвующих в процессе ввода данных.

Данные, которые были введены правильно, могут быть повреждены в результате ошибок при обработке или злого умысла. Для обнаружения таких повреждений в систему должны быть встроены функции проверки.

Перечень средств, которые необходимо реализовать, зависит от природы приложения и влияния, которое повреждение данных может оказать на деятельность организации.

Несколько примеров проверок, которые необходимо реализовать:

· проверка правильности данных, сгенерированных системой;

· проверка целостности программ и данных, передаваемых между центральным и удаленными компьютерами;

· контрольные суммы записей и файлов;

· проверка правильности времени запуска прикладных программ и т.д..

Криптографические системы и методы следует использовать для защиты информации, которая может подвергаться риску, если другие средства не обеспечивают достаточной защиты.

В случае применения криптографических методов в организации необходимо разработать политику применения криптографических средств для защиты своей информации. Такая политика нужна для того, чтобы извлечь максимум выгоды и уменьшить риск от использования криптографических методов, а также избежать неправомерного и неправильного использования.

При разработке политики необходимо учитывать следующее:

· отношение руководства к применению криптографических средств в организации, в том числе общие принципы защиты информации, принадлежащей организации;

· подход методам управления ключевой информацией, в том числе методы восстановления зашифрованной информации в случае утери, компрометирования или повреждения ключей;

· должности и обязанности, например, назначение сотрудников, ответственных за реализацию политики и управление ключами;

· метод определения необходимого уровня криптографической защиты;

· стандарты, которые должны быть приняты для эффективной реализации во всей организации (соответствие выбранных решений и бизнес-процессов).

При реализации криптографической политики в организации следует учитывать законы и государственные ограничения в отношении использования криптографических методов, которые могут существовать в разных странах.

В случаях, когда для разработки программного обеспечения привлекается сторонняя организация, необходимо применять следующие меры обеспечения информационной безопасности:
- контроль наличия лицензионных соглашений и определенности в вопросах собственности на программы и соблюдения прав интеллектуальной собственности;
- сертификацию качества и правильности выполненных работ;

- обеспечение прав доступа для аудита с целью проверки качества и точности выполненной работы;

- документирование требований к качеству программ в договорной форме;
- тестирование перед установкой программ на предмет обнаружения "Троянского коня".