Методичні вказівки до лабораторних занять з дисципліни "Стандартизація та сертифікація в галузі захисту інформації", страница 32

Життєвий цикл ІТ-продукту (системи) складається з таких етапів:

-  визначення призначення ІТ-продукту (системи), умов його застосування, формування цілей та вимог безпеки;

-  проектування та розроблення ІТ-продукту (системи);

-  впровадження та експлуатація ІТ-продукту (системи).

Формування вимог

Етап формування вимог безпеки ІТ-продукту (системи) є принципово важливим, оскільки від якісного його проведення залежить рівень всіх подальших проектних рішень та рівень безпеки, що буде досягнутий.

До множини вимог безпеки висуваються такі вимоги:

-  повнота, якщо вимоги безпеки висунуті не в повній мірі, то ІТ-продукт (системи) не може відповідати своєму призначенню;

-  узгодженість з цілями та умовами застосування ІТ-продукту (системи);

-  відповідність вимогам нормативних документів (стандартів);

-  перспективність, вимоги безпеки повинні враховувати перспективи розвитку можливостей зловмисників.

Підтримка життєвого циклу

Підтримка життєвого циклу це аспект встановлення дисципліни виконання та управління процесами вдосконалення ІТ-продукту (системи) під час його розроблення та супроводження. Гарантії відповідності ІТ-продукту (системи) вимогам безпеки більш надійні, якщо аналіз безпеки та формування відповідних свідчень (доказів) здійснюється на регулярній основі, як невід’ємна частина дій під час розроблення та супроводження.

Підтримка життєвого циклу здійснюється на основі прийняття повністю визначеної моделі життєвого циклу.

Розробка

Розробка – це процес створення зразка ІТ-продукту (системи), який задовольняє функціональним вимогам та вимогам гарантій.

Забезпечення безпеки у процесі розробки полягає у послідовній реалізації комплексу організаційно-технічних заходів у відповідності до технологічних етапів розробки на основі моделі життєвого циклу.

Оцінка безпеки

Оцінка безпеки ІТ-продукту (системи) здійснюється з метою перевірки можливостей функцій безпеки та вжитих під час розробки заходів забезпечення гарантій та відповідність вимогам, що визначені у технічному завданні з безпеки.

Експлуатація

Під час експлуатація безпека ІТ-продукту (системи) досягається:

-  строгим виконанням оперативним персоналом вимог експлуатаційної документації на засоби захисту;

-  додержанням всіх умов, які визначені для зовнішнього середовища;

-  реалізацію розробниками заходів підтримки гарантій безпеки під час експлуатації.

На рисунку 3.3 надано структуру життєвого циклу ІТ-продукту (системи).

Рисунок 3.4­ – Структура життєвого циклу ІТ-продукту

3.3.4 Загальний порядок формування вимог безпеки ІТ-продуктів (систем)

Міжнародний стандарт визначає загальний порядок формування вимог безпеки та базову структуру, в якій ці вимоги містяться.

На рисунку  3.4 надано загальний порядок формування вимог безпеки

Рисунок 3.4­ – Порядок формування вимог безпеки ІТ-продукту (системи)

Основними етапами формування вимог безпеки є:

І етап

Аналіз середовища безпека ІТ-продукту (системи)

ІІ етап

Визначення та формулювання цілей безпеки

ІІІ етап

Встановлення вимог безпеки

ІV этап

Розроблення специфікацій функцій безпеки

Аналіз середовища безпеки здійснюються з метою:

-  відмежування комплексу засобів захисту ІТ-продукту (системи) від зовнішнього середовища;

-  визначення ступеню небезпечності середовища для функціонування ІТ-продукту (системи);

-  формування вихідних посилок для визначення цілей безпеки.

Середовище безпеки це сукупність фізичних, інформаційних, технічних об’єктів та систем, зовнішніх та внутрішніх по відношенню до ІТ-продукту (системи), а також організаційних заходів, правових норм, умов експлуатації та технологічних особливостей застосування ІТ-продукту (системи), що здійснюють фізичний, інформаційний, енергетичний та інші види впливу на функціонування ІТ-продукту (системи).