Выработка требований к программному обеспечению подсистемы классификации объектов защиты
В данном разделе определены цели и задачи внедрения ПО подсистемы классификации объектов защиты, приведено его описание, а также сформулированы общие требования к ПО и выполняемым им функциям.
Требования к архитектуре программного обеспечения подсистемы классификации объектов защиты
Целью внедрения ПО подсистемы классификации объектов защиты является автоматизация задач, выполняемых в рамках деятельности по классификации объектов защиты.
ПО подсистемы классификации объектов защиты должно автоматизировать следующие основные функции в рамках процесса классификации объектов защиты:
регистрация и учет объектов защиты;
автоматическое определение уровня критичности объектов защиты;
актуализация результатов классификации объектов защиты;
конструирование отчетных форм и формирование отчетов.
Внедрение ПО подсистемы классификации объектов защиты позволит:
существенно сократить время на проведением мероприятий в рамках процесса классификации объектов защиты;
сократить объем работ, выполняемых специалистами по классификации объектов защиты, за счет их передачи администраторам ИС и секретарю Комиссии;
значительно снизить трудозатраты на организацию учета объектов защиты и проведение повторной классификации объектов защиты.
ПО подсистемы классификации объектов защиты должно иметь клиент-серверную архитектуру и включать следующие компоненты:
электронную базу данных объектов защиты;
серверное ПО, реализующее основные функции подсистемы классификации объектов защиты;
клиентское ПО, предоставляющее доступ пользователей к функциям подсистемы классификации объектов защиты в соответствии с функциональной ролью пользователей.
ВПО подсистемы классификации объектов защиты выделяются следующие роли, в соответствии с которым формируются права доступа пользователей:
администратор подсистемы классификации объектов защиты;
специалист по классификации объектов защиты;
секретарь Комиссии;
администратор ИС;
внешний специалист.
Администратор подсистемы классификации объектов защиты имеет полный доступ к функциям подсистемы и осуществляет назначение прав доступа пользователей к подсистеме. Администратором подсистемы классификации объектов защиты является Руководитель процесса классификации объектов защиты.
Специалист по классификации объектов защиты имеет доступ ко всем основным функциям подсистемы. Он осуществляет редактирование сведений об объектах защиты, ввод сведений о результатах оценки возможного ущерба от нарушения ИБ информационных активов, конструирование и формирование отчетов.
Секретарь Комиссии осуществляет ввод сведений о результатах оценки возможного ущерба от нарушения ИБ информационных активов.
Администратор ИС осуществляет ввод сведений об объектах защиты в составе ИС и инфраструктурных служб, а также регистрирует события над объектами защиты в Журналах учета объектов защиты.
Внешний специалист формирует различные отчеты. Внешними специалистами могут быть сотрудники подразделения информационной безопасности, руководство компании или руководители других подсистем информационной безопасности.
Таким образом, архитектуру ПО подсистемы классификации объектов защиты можно изобразить следующим образом (Рисунок 3.1.):
Рис. 3.1. Архитектура ПО подсистемы классификации объектов защиты