Оценка рисков на различных этапах жизненного цикла ИС

Министерство  сельского хозяйства Российской Федерации

Департамент научно-технологической  политики и образования

ФГБОУ ВПО Тверская ГСХА

 

Технологический факультет

КАФЕДРА МАТЕМАТИКИ И ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ

 

Реферативное исследование

на тему: «Оценка рисков на различных этапах жизненного цикла ИС»

по дисциплине «Информационное обеспечение коммерческой деятельности»

 

                                                                                 

 

 

                                                              Выполнила: студентка 15 группы

                                                                       Технологического ф-та

                                                                         Ветрова В.В

                                                                       Проверила: доцент Кочерова Е.В.

 

 

 

 

Тверь, 2013

Оглавление

 

Введение…………………………………………………………………………… .3

1. Жизненный цикл ИС........................................................................................4

1.1.Структура  Жизненного цикла ИС…………………………………………. ..4                                     1.2. Модели Жизненного цикла ИС……………………………………………...5

1.3. Достоинства и недостатки  моделей жизненного цикла ИС……………….8

1.4. Стадии жизненного цикла ИС……………………………………………...10

1.5 Стандарты жизненного цикла  ИС…………………………………………..11

2. Основные этапы управления рисками……………………………………..13

        2.1.Общие положения……………………………………………………...13

        2.2..Подготовительные этапы управления рисками………………………..15

        2.3. Анализ угроз и оценка рисков…………………………………….........18

        2.4. Выбор защитных мер и последующие этапы управления рисками…..21

           2.5. Ключевые роли в процессе управления рисками……………………...22

3. Детальное рассмотрение процесса оценки рисков………………………...24

3.1. Определение характеристик информационной системы…………27

3.2. Идентификация уязвимостей……………………………………….29

3.3 Идентификация угроз……………………………………………......30

3.4 Определение рисков…………………………………………………31

3.5 Рекомендуемые контрмеры…………………………………………32

3.6 Нейтрализация рисков……………………………………………….32

Заключение…………………………………………………………………….37

Список  используемых источников…………………………………………38

Приложение 1………………………………………………………………….39

Введение

Информационная безопасность (ИБ) должна достигаться экономически оправданными мерами. В данной работе представлена методика, позволяющая сопоставить возможные потери от нарушений ИБ со стоимостью защитных средств и выбрать направления, на которых целесообразно сконцентрировать основные ресурсы.

Тема "Управление рисками" рассматривается на административном уровне ИБ, поскольку только руководство  организации может выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих программ.

Вообще говоря, управление рисками, равно как и выработка  собственной политики безопасности, нужны только для тех организаций, информационные системы (ИС) которых и/или обрабатываемые данные можно считать нестандартными.

Типовую организацию  вполне устроит типовой набор  защитных мер, выбранный на основе представления о типичных рисках или вообще без всякого анализа рисков (особенно это верно, с формальной точки зрения, в свете российского законодательства в области информационной безопасности). Можно провести аналогию между индивидуальным строительством и получением квартиры в районе массовой застройки. В первом случае необходимо принять множество решений, оформить большое количество документов, во втором — достаточно определиться лишь с несколькими параметрами.

 

 

 

 

 

 

 

1. ЖИЗНЕННЫЙ ЦИКЛ ИС

1.1. Структура жизненного цикла  ИС

Жизненный цикл информационной системы  — период времени, который начинается с момента принятия решения о необходимости создания информационной системы и заканчивается в момент ее полного изъятия из эксплуатации.

Понятие жизненного цикла является одним из базовых понятий методологии проектирования информационных систем.

Методология проектирования информационных систем описывает процесс создания и сопровождения систем в виде жизненного цикла (ЖЦ) ИС, представляя его как некоторую последовательность стадий и выполняемых на них процессов. Для каждого этапа определяются состав и последовательность выполняемых работ, получаемые результаты, методы и средства, необходимые для выполнения работ, роли и ответственность участников и т.д. Такое формальное описание ЖЦ ИС позволяет спланировать и организовать процесс коллективной разработки и обеспечить управление этим процессом.

Полный жизненный цикл информационной системы включает в себя, как правило, стратегическое планирование, анализ, проектирование, реализацию, внедрение и эксплуатацию. В общем случае жизненный цикл можно в свою очередь разбить на ряд стадий. В принципе, это деление на стадии достаточно произвольно. Мы рассмотрим один из вариантов такого деления, предлагаемый корпорацией Rational Software – одной из ведущих фирм на рынке программного обеспечения средств разработки информационных систем (среди которых большой популярностью заслуженно пользуется универсальное CASE-средство Rational Rose).

 

 

 

1.2. Модели жизненного  цикла ИС

Методология проектирования информационных систем описывает процесс  создания и сопровождения систем в виде жизненного цикла (ЖЦ) ИС, представляя его как некоторую последовательность стадий и выполняемых на них процессов. Для каждого этапа определяются состав и последовательность выполняемых работ, получаемые результаты, методы и средства, необходимые для выполнения работ, роли и ответственность участников и т.д. Такое формальное описание ЖЦ ИС позволяет спланировать и организовать процесс коллективной разработки и обеспечить управление этим процессом. 
Жизненный цикл ИС можно представить как ряд событий, происходящих с системой в процессе ее создания и использования.  
Модель жизненного цикла отражает различные состояния системы, начиная с момента возникновения необходимости в данной ИС и заканчивая моментом ее полного выхода из употребления. Модель жизненного цикла - структура, содержащая процессы, действия и задачи, которые осуществляются в ходе разработки, функционирования и сопровождения программного продукта в течение всей жизни системы, от определения требований до завершения ее использования. 
В настоящее время известны и используются следующие модели жизненного цикла: 
 
Каскадная модель: 
 
Рис. 1. Каскадная схема разработки ПО.

Каскадная модель предусматривает  последовательное выполнение всех этапов проекта в строго фиксированном порядке. Переход на следующий этап означает полное завершение работ на предыдущем этапе. 

Каждый этап завершается  выпуском полного комплекта документации, достаточной для того, чтобы разработка могла быть продолжена другой командой разработчиков. При этом этапы работ выполняются в логичной последовательности, что позволяет планировать сроки завершения всех работ и соответствующие затраты. Этот подход хорошо зарекомендовал себя при построении ИС, для которых в начале разработки можно достаточно точно и полно сформулировать все требования и предоставить разработчикам свободу реализовать их как можно лучше с технической точки зрения.

Его недостатки связаны  с тем, что реальный процесс создания ПО ИС обычно не укладывается в такую жёсткую схему. Практически постоянно возникает потребность возвращаться к предыдущим этапам, уточнять или пересматривать принятые решения. В результате затягиваются сроки выполнения работы, пользователи могут вносить замечания лишь по завершению всех работ с системой. При этом модели автоматизируемого объекта могут устареть к моменту их утверждения.

Для преодоления этих проблем предложена поэтапная модель с промежуточным контролем (рис. 2).

Рис. 2. Поэтапная схема  разработки ПО.

В поэтапной модели с промежуточным контролем разработка ПО ведётся итерациями с циклами обратной связи между этапами. Межэтапные корректировки позволяют уменьшить трудоёмкость процесса разработки по сравнению с каскадной моделью. Время жизни каждого из этапов растягивается на весь период разработки.

Затем появилась спиральная модель ЖЦ (рис. 3), в которой на начальных этапах ЖЦ осуществляются анализ и проектирование.

 

Рис 3. Спиральная модель.

В этой модели особое внимание уделяется начальным этапам разработки – выработке стратегии, анализу  и проектированию, где реализуемость  тех или иных технических решений  проверяется и обосновывается посредством создания прототипов (макетирования). Каждый виток спирали предполагает создание фрагмента (компонента) или версии программного продукта. На них уточняются цели и характеристики проекта, определяется его качество и планируются работы следующего витка спирали. Таким образом, углубляются и последовательно конкретизируются детали проекта и в результате выбирается обоснованный вариант, который доводится до реализации. На практике наибольшее распространение получили две основные модели жизненного цикла: 
каскадная модель (характерна для периода 1970-1985 гг.); 
спиральная модель (характерна для периода после 1986.г.).

 

1.3. Достоинства и недостатки  моделей жизненного цикла ИС

В ранних проектах достаточно простых  ИС каждое приложение представляло собой  единый, функционально и информационно независимый блок. Для разработки такого типа приложений эффективным оказался каскадный способ. Каждый этап завершался после полного выполнения и документального оформления всех предусмотренных работ.

Можно выделить следующие положительные стороны применения каскадного подхода:

на каждом этапе формируется  законченный набор проектной  документации, отвечающий критериям полноты и согласованности;

выполняемые в логической последовательности этапы работ позволяют планировать  сроки завершения всех работ и соответствующие затраты.

Каскадный подход хорошо зарекомендовал себя при  построении относительно простых ИС, когда в самом начале разработки можно достаточно точно и полно сформулировать все требования к системе. Основным недостатком этого подхода является то, что реальный процесс создания системы никогда полностью не укладывается в такую жесткую схему, постоянно возникает потребность в возврате к предыдущим этапам и уточнении или пересмотре ранее принятых решений. В результате реальный процесс создания ИС оказывается соответствующим поэтапной модели с промежуточным контролем.

Спиральная  модель ЖЦ была предложена для преодоления  перечисленных проблем. На этапах анализа  и проектирования реализуемость  технических решений и степень  удовлетворения потребностей заказчика проверяется путем создания прототипов. Каждый виток спирали соответствует созданию работоспособного фрагмента или версии системы. Это позволяет уточнить требования, цели и характеристики проекта, определить качество разработки, спланировать работы следующего витка спирали. Таким образом углубляются и последовательно конкретизируются детали проекта и в результате выбирается обоснованный вариант, который удовлетворяет действительным требованиям заказчика и доводится до реализации.

Основная  проблема спирального цикла - определение  момента перехода на следующий этап. Для ее решения вводятся временные  ограничения на каждый из этапов жизненного цикла, и переход осуществляется в соответствии с планом, даже если не вся запланированная работа закончена. Планирование производится на основе статистических данных, полученных в предыдущих проектах, и личного опыта разработчиков.

Несмотря  на настойчивые рекомендации экспертов  в области проектирования и разработки ИС, многие компании продолжают использовать каскадную модель вместо какого-либо варианта итерационной модели. Основные причины, по которым каскадная модель сохраняет свою популярность, следующие:

  Привычка - многие ИТ-специалисты  получали образование в то  время, когда изучалась только каскадная модель, поэтому она используется ими и в наши дни.

  Иллюзия снижения рисков участников  проекта (заказчика и исполнителя). Каскадная модель предполагает  разработку законченных продуктов  на каждом этапе: технического задания, технического проекта, программного продукта и пользовательской документации. Разработанная документация позволяет не только определить требования к продукту следующего этапа, но и определить обязанности сторон, объем работ и сроки, при этом окончательная оценка сроков и стоимости проекта производится на начальных этапах, после завершения обследования. Очевидно, что если требования к информационной системе меняются в ходе реализации проекта, а качество документов оказывается невысоким (требования неполны и/или противоречивы), то в действительности использование каскадной модели создает лишь иллюзию определенности и на деле увеличивает риски, уменьшая лишь ответственность участников проекта.