Файловый архив студентов. Файловый архив студентов.
1323 вуза, 5415 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский государственный университет путей сообщения
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Концепция испр. А и АЛС / Приложение № 8.doc
Скачиваний:
127
Добавлен:
09.06.2015
Размер:
144.9 Кб
Скачать
►Содержание►

3. Стратегия обеспечения информационной безопасности при работе систем интервального регулирования и безопасности движения

Процесс обеспечения соответствия основным требованиям безопасности информационных систем и программного обеспечения является наиболее сложным на железнодорожном транспорте.

Безопасную информационную систему можно определить как систему, обеспечивающую одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа. Такая система должна фиксировать все события, касающиеся безопасности.

Стандартами ГОСТ Р ИСО/МЭК 15408-2002 определены Общие критерии (ОК), которые воплотили в реальные структуры концепцию типовых профилей защиты. Одной из основных структур ОК является Профиль защиты (ПЗ), определенный как набор требований, который состоит только из компонентов или пакетов функциональных требований и одного из уровней гарантированности. ПЗ специфицирует совокупность требований, которые являются необходимыми и достаточными для достижения поставленных целей безопасности.

Защите подлежат информационные ресурсы следующих технических и программных средств Сетей связи:

- технических и программных средств, предназначенных для построения: систем управления сетью связи; цифровых коммутационных платформ со специальным программным обеспечением; систем управления и каналообразующего оборудования сетей связи, присоединяемых к сети связи общего пользования; систем управления и каналообразующего оборудования сетей оперативно-технологической связи и сетей передачи данных оперативно-технологического назначения; систем передачи данных сетей общетехнологического назначения, по которым могут передаваться сообщения, связанные с обеспечением безопасности;

- технических и программных средств защиты информации, включая средства сбора, передачи и анализа информации о состоянии безопасности объектов;

- распределительных устройств, абонентских линий и терминалов.

Стратегия обеспечения безопасности информационных систем и программного обеспечения на железнодорожном транспорте на всех этапах их жизненного цикла включает в себя соблюдение основных принципов:

  • определение угроз опасностей, риска и критериев риска;

  • определение необходимого снижения рисков для удовлетворения критериям риска;

  • определение технических приёмов и мер, предназначенных для достижения требуемого уровня риска;

  • выбор подходящей архитектуры информационных систем;

  • планирование, наблюдение и управление технической и управленческой деятельностью, необходимой для реализации требований по безопасности информационных систем, в информационных системах с установленным уровнем безопасности.

Целью обеспечения комплексной безопасности информационных систем интервального регулирования лежит интеграция механизмов безопасности в программную сетевую инфраструктуру, в которой все ее элементы — от персонального компьютера до сетевого оборудования, участвуют в процессе обеспечения (доказательности) защищенности, устойчивости и непрерывности безопасности движения железнодорожного транспорта.

Технические средства информационных систем, разрабатываемые, изготавливаемые, или приобретаемые (в том числе ввозимые на территорию Российской Федерации), при условии правильной эксплуатации и технического обслуживания и ремонта, в штатных режимах должны соответствовать утвержденным требованиям.

Архитектура сети систем интервального регулирования и безопасности движения должна с максимальной точностью моделировать функциональные потребности систем и решает следующие задачи (в порядке приоритетности):

  • Безопасность и борьба с атаками на основе политик.

  • Внедрение мер безопасности по всей инфраструктуре (а не только на специализированных устройствах защиты).

  • Безопасное управление и отчетность.

  • Идентификация, аутентификация, авторизация и контроль доступа пользователей и администраторов для доступа к критически важным сетевым ресурсам.

  • Обнаружение атак на критически важные ресурсы и подсети.

  • Поддержка новых сетевых приложений.

С целью обеспечения безопасности информационных систем и программного обеспечения на железнодорожном транспорте должны применяться следующие методы:

  • проектирования «сверху - вниз»;

  • модульности;

  • верификации каждой фазы жизненного цикла информационных систем и программного обеспечения;

  • верифицированные модули и библиотеки модулей;

  • понятности, однозначности, непротиворечивости и проверяемости документации;

  • тестируемости.

Для информационных систем должны быть разработаны специальные требования по безопасности и установлен уровень безопасности, который должен указываться в нормативном техническом документе «Доказательство безопасности».

При разработке требований по безопасности информационных систем и программного обеспечения должен использоваться «Список требований к функциям безопасности информационных систем» и другие нормативные технические документы, включая международные стандарты.

Риск должен определяться как количественная или, при невозможности количественной оценки, как качественная оценка риска конкретных видов потерь и ущербов для каждой идентифицированной опасности.

Для каждого риска конкретных видов потерь должны быть выполнены:

  • анализ прогнозируемой частоты их наступления;

  • ранжирование каждого риска для каждого конкретного вида потерь;

  • определение необходимых мер для снижения рисков и удовлетворения требований к их критериям.

В соответствии с принятыми критериями рисков, должен быть определён уровень безопасности информационных систем и программного обеспечения.

Уровень безопасности информационных систем должен быть определён как:

очень высокий;

  • высокий;

  • средний;

  • низкий;

  • не связано с обеспечением безопасности.

Каждому из требований по безопасности должен соответствовать уровень безопасности программного обеспечения.

Модель жизненного цикла информационных систем должна быть подробно описана в плане обеспечения качества информационных систем. Процедуры обеспечения качества должны выполняться параллельно с функционированием систем в период жизненного цикла.

Функции и условия, осуществляемые в период жизненного цикла, должны определяться до начала эксплуатации. Каждая стадия жизненного цикла информационных систем должна быть разделена на элементарные задачи с хорошо определенным входными и выходными данными и видом деятельности для каждой из них.

План обеспечения качества информационных систем должен описывать, какие требуются верификационные процедуры и отчёты.

При контроле информационных систем необходимо предусматривать специальные средства для защиты рабочих систем и средств аудита.

Соседние файлы в папке Концепция испр. А и АЛС
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности