Оценка рисков на различных этапах жизненного цикла ИС
Жизненный цикл информационных систем – это период их создания и использования, охватывающий различные состояния, начиная с момента возникновения необходимости в такой системе и заканчивая моментом ее полного выхода из употребления у пользователей.
Полный жизненный цикл информационной системы включает в себя, как правило, стратегическое планирование, анализ, проектирование, реализацию, внедрение и эксплуатацию. В общем случае жизненный цикл можно в свою очередь разбить на ряд стадий. В принципе, это деление на стадии достаточно произвольно.
- Анализ рисков проводится для выявления рисков, связанных с продуктом, и возможных последствий их реализации, с которыми клиент может столкнуться при использовании этого разрабатываемого продукта. Обычно в рамках процесса анализа рисков задается множество вопросов, составляется длинный список уязвимостей и угроз, с указанием вероятности эксплуатации этих уязвимостей и последствий реализации каждой из угроз. Для различных продуктов задаются разные вопросы, они зависят от таких факторов, как цель продукта, ожидания в отношении среды, в которой он будет функционировать, задействованного персонала, а также типа бизнеса компаний, которые будут приобретать и использовать этот продукт. Ниже приводится краткий список вопросов, которые должны быть заданы в процессе анализа рисков программного обеспечения:
- Существует ли возможность переполнения буфера, как ее избежать и протестировать?
- Выполняет ли продукт надлежащую проверку формата / правильности всех данных, вводимых пользователем?
- Какие источники угроз существуют во внешней и внутренней среде? Что это за источники?
- Бизнес какого типа зависит от этого продукта, в бизнесе какого типа может возникнуть ущерб, если продукт не будет работать некоторое время?
- Существуют ли угрозы утечки информации через скрытые каналы, которые должны быть учтены?
- Отказоустойчивость какого типа должен обеспечивать продукт, и когда реализация этого будет инициирована?
- Необходимо ли шифрование? Какого типа? Какая требуется стойкость?
- Нужны ли планы действий на случай экстренных ситуаций?
- Будет другая сторона (например, интернет - провайдер или хостинг-провайдер) сопровождать этот продукт для клиента?
- Необходим ли мобильный код? Зачем? Как он может быть реализован?
- Будет ли этот продукт работать в среде, подключенной к сети Интернет? Какие последствия это может иметь для продукта?
- Нужно ли этому продукту взаимодействовать с уязвимыми системами?
- Уязвим ли этот продукт к DoS-атакам? …..итд
Одним из наиболее важных аспектов управления рисками, является умение задавать правильные вопросы. Мы уже рассматривали управление рисками в Домене 01, поэтому в этом Домене мы рассмотрим только те риски, которые непосредственно влияют на бизнес в целом. Управление рисками должно продолжаться на этапах разработки и внедрения программного обеспечения.
В процессе разработки программного обеспечения, обычно все фокусируются на создании богатой функциональности и скорейшем выпуске продукта на рынок. Очень часто безопасность не учитывается должным образом или она быстро отходит на второй план, когда начинают «поджимать» сроки. Для обеспечения безопасности продукта недостаточно только того, чтобы программисты знали о методах безопасного программирования, безопасность должна пронизывать весь проект. Разработчики программного обеспечения должны учесть сценарии реализации угроз безопасности и предусмотреть соответствующие решения. Однако в действительности безопасность никогда не рассматривается, как один из важных компонентов процесса разработки. Разработчики не вспоминают про безопасность, пока продукт не купят, а покупатели не столкнуться с успешными атаками, основанными на уязвимостях, вызванных организацией процесса разработки продукта. Но будет уже слишком поздно, чтобы надлежащим образом интегрировать безопасность в проект. Вместо этого разработчики подготовят и выпустят патч.
Первыми шагами в управлении рисками является выявление угроз и уязвимостей, расчет уровня риска. После оценки всех рисков, руководство должно принять решение о приемлемом уровне риска. Конечно, было бы неплохо, чтобы руководство не принимало вообще никаких рисков, чтобы продукт был разработан максимально качественно и все стороне протестирован и защищен «от дурака», однако это слишком сильно увеличило бы сроки разработки продукта и значительно повысило бы его стоимость. Необходимо пойти на определенные компромиссы и принять соответствующие решения, чтобы обеспечить баланс между рисками и экономической целесообразностью.
- Цели деятельности бизнеса
- Роль психологии в формировании толерантности учащихся
- Характер и карьера
- Социальные сети: польза или вред?
- Meine Lieblingsessen und Getränke
- Стратегии деятельности российских банков на рынке ценных бумаг. Ключевые стратегии российских банков при осуществлении инвестиций на рынке ценных бумаг
- The Flag is one of the main symbols of the state that represents its sovereignty and identity
- I think this question has no definitive answer
- How should you use your time?
- My Home
- What specific things can you do to achieve your goal?
- Who is a hero for you?