CC BY
333
УДК 004.056
А. В. Ревнивых, А. М. Федотов
Новосибирский государственный университет ул. Пирогова, 2, Новосибирск, 630090, Россия
E-mail: alexchr@mail.ru; fedotov@nsu.ru
ПОЛИТИКИ ОБНОВЛЕНИЯ РЕСУРСОВ В ИНФОРМАЦИОННЫХ СИСТЕМАХ *
Работа посвящена описанию подхода к классификации политик обновления ресурсов в информационных системах.
Ключевые слова: информационная безопасность, политика информационной безопасности, обновление ресурсов, профили системы.
Введение
Важное значение в современных информационных системах (ИС) имеет эффективное применение политик обновления. Информационные технологии (ИТ) постоянно развиваются, у ИС появляются новые функции. Постоянно обновляется системное и прикладное программное обеспечение (ПО), при этом, как правило, требования новых версий к оборудованию растут. Кроме того, в программном обеспечении обнаруживаются ошибки, недоработки, которые необходимо устранять, причем таким способом, чтобы по возможности не останавливать функционирование всей ИС на время обновления.
Ресурсы ИС целесообразно разделить по критерию обновляемости на обновляемые и необ-новляемые. В данном случае под обновляемостью следует понимать возможность и целесообразность изменения части ресурса без полной его замены на новый. Например, современные операционные системы (ОС) являются обновляемыми, так как существует возможность и необходимость обновлять отдельные части системы без ее полной замены. Замена же производится по мере необходимости после завершения жизненного цикла текущей версии ОС. В качестве примера необновляемого ресурса можно привести неуправляемый концентратор, который в случае необходимости меняется в сборе - обновление его программных компонентов или какой-то части элементной базы не предусматривается, да и нецелесообразно. Еще один пример: иТР-кабель, изоляция которого со временем пересыхает.
При этом по отношению ко всей ИС в целом обновлением может являться и замена какого-либо ресурса, входящего в состав ИС. Например, замена того же неуправляемого концентратора на новый (например, управляемый), вполне можно считать обновлением ИС. Этот пример иллюстрирует относительность понятия о необновляемости ресурсов.
* Работа выполнена при финансовой поддержке Министерства образования и науки Российской Федерации (контракт № 02.G25.31.0054).
Ревнивых А. В.,Федотов А. М. Политики обновления ресурсов в информационных системах // Вестн. Новосиб. гос. ун-та. Серия: Информационные технологии. 2013. Т. 11, вып. 2. С. 82-108.
ISSN 1818-7900. Вестник НГУ. Серия: Информационные технологии. 2013. Том 11, выпуск 2 © А. В. Ревнивых, А. М. Федотов, 2013
Терминология политики обновлений
Виды ресурсов ИС. Итак, политика обновлений относится к политикам ИБ и распространяется на ресурсы, которые бывают пяти видов: подаппаратные; аппаратные; программно-аппаратные; прикладные; профили системы.
Подаппаратные ресурсы - это ресурсы, не зависящие от ПО, которые работают в инфраструктуре, обеспечиваемой ими. К ним относятся принтеры, плоттеры, концентраторы, коммутаторы и т. д. Такие ресурсы могут иметь встроенное ПО.
Аппаратные ресурсы - это оборудование, на котором запускается системное и прикладное ПО, т. е. оборудование мобильного, стационарного или встраиваемого компьютера.
Программно-аппаратные ресурсы формируют платформу, т. е. сочетание оборудования и ОС.
Прикладные ресурсы - это прикладное ПО, запускаемое на определенной платформе. Кроме того, к прикладным ресурсам отнесем данные, которые содержит ИС [1].
Профили системы представляют из себя инструкции, руководства пользователя, нормативно-правовую документацию, журналы и протоколы учета, различного рода кадровые документы, связанные с деятельностью ИС [2].
Цели обновления ресурсов. Основные цели обновления ресурсов можно разделить на следующие группы:
• моральное устаревание;
• физический износ;
• устранение недостатков (поломок оборудования, ошибок ПО, неточностей документации, модификация функциональности).
Будем считать ресурс морально устаревшим в случае, если он перестает удовлетворительно выполнять свои функции с точки зрения пользователей. Обычно в новых версиях добавляются функции, устраняются недочеты предыдущих версий, улучшаются технические характеристики, дизайн, удобство пользования. Моральному устареванию подвержены все виды ресурсов. При этом скорость морального устаревания различного рода ресурсов может быть весьма разной. Медленнее всего устаревают подаппаратные ресурсы. Например, коммутаторы практически не подвержены моральному устареванию (они, как правило, выходят из строя раньше, чем меняются сетевые протоколы). Из составных частей компьютеров медленнее всего морально устаревают блоки питания и корпуса системного блока.
Физическому износу подвержены ресурсы, в составе которых имеются аппаратные компоненты (т. е. подаппаратные, аппаратные и программно-аппаратные ресурсы). Ускоренный физический износ может проявиться в случае заводского брака при производстве оборудования либо в результате воздействия на изделие внешних раздражителей (например, температуры, влаги, давления, ударов и вибрации, пыли и т. п.). Устранение недостатков актуально для всех видов ресурсов и заключается в улучшении пользовательских свойств, технических характеристик, дизайна, устранении ошибок, неточностей, недоработок и поломок, обнаруженных в предыдущих версиях ресурсов.
Очевидно, что понятие о физическом износе не применимо к ПО (т. е. прикладным ресурсам), а устранение ошибок вряд ли можно отнести напрямую к подаппаратным и аппаратным ресурсам, не имеющим в своем составе ПО.
Надо отметить, что составные части аппаратных ресурсов имеют разный период использования. Например, жесткий диск компьютера выходит из строя, как правило, гораздо быстрее, чем центральный процессор или корпус системного блока. И все же вечных аппаратных компонентов не существует, поэтому можно с уверенностью заявлять о том, что рано или поздно любая аппаратная часть износится, сломается и потеряет свои свойства.
Цели обновления ресурсов взаимосвязаны между собой. Например, недостатки в аппаратной части ресурсов могут возникнуть из-за поломок компонентов, а также в связи с частичным обнолением других частей ИС и несовместимостью этих новых частей с сопряженными с ними старыми. Кроме того, в связи с моральным устареванием ресурсов в них могут быть обнаружены недостатки, которые ранее (до выхода новой версии) таковыми не считались.
Способы обновления ресурсов подразделяются на полные и частичные. При этом имеет смысл упомянуть, что в данном случае понятие о полном обновлении будет очень относительным, так как в рамках ИС возможно говорить лишь о полной замене того или иного компонента общей ИС, что по смыслу в какой-то степени пересекается с понятием о частичном обновлении.
Стратегии обновления оборудования и программного обеспечения. Возможно три основных стратегии обновления оборудования: аварийная, плановая, аварийно-плановая.
• При аварийной стратегии обновления оборудования оно заменяется новым только в случае серьезной поломки или уязвимости, при которой ремонтировать аппаратные компоненты становится нецелесообразным в силу экономических или каких-либо других причин. Профилактическая замена оборудования на новое не предусматривается. Кроме того, возможна внеплановая замена оборудования, если оно категорически перестает устраивать по производительности или каким-то другим характеристикам.
• При плановой стратегии обновления оборудования каждому аппаратному компоненту устанавливается срок службы, по истечению которого этот компонент обязательно заменяется новым. При поломке или обнаружении уязвимости ранее этого срока возможность замены на полностью новое оборудование не предусматривается, заменяются лишь некоторые элементы либо же неисправный или уязвимый комплект полностью выводится из эксплуатации до наступления срока планового обновления.
• В большинстве случаев используется аварийно-плановая стратегия обновления, которая предусматривает сочетание установки максимальных сроков службы аппаратных компонентов, но при этом не исключает их замены на новые в случае значительных неисправностей, появления серьезных уязвимостей или неожиданного категорического морального устаревания до истечения планового срока эксплуатации.
ПО также подвержено риску поломки и повреждения, поэтому те же три стратегии обновления справедливы и для него. По отношению к ПО выделим две основных стратегии обновления: по уязвимости и моральному устареванию.
Обновление по уязвимости производится для устранения ошибок и недоработок, которые могут приводить к сбоям в работе, а также потенциальным уязвимостям системы. Обычно производители ПО выпускают регулярные обновления, установка которых может производиться вручную или автоматически.
Новые версии оборудования и ПО выходят с двумя целями: устранения ошибок и неточностей существующих версий или для изменения самой парадигмы. При этом далеко не всегда целесообразно обновлять аппаратные компоненты, ОС или прикладное ПО до следующей версии непосредственно после ее появления. Производители обычно продолжают техническую поддержку оборудования и выпуск обновлений для предыдущих версий ПО в течение нескольких лет после появления новых версий.
Практика показывает, что работоспособность нового ПО зависит от номера версии. Обычно номер версии состоит из двух-трех частей, разделенных точками: главный номер (major), второстепенный (вспомогательный) номер (minor) и номер сборки (build number). Главный номер версии увеличивается только при очень серьёзном изменении функционала или интерфейса (при этом второстепенный номер обнуляется). В связи со сложностью современного ПО, как правило, производителям не удается сразу сделать первый же существенно обновленный продукт качественным и стабильно работающим, поэтому обычно версии ПО с второстепенным номером «0» работают нестабильно либо же вообще запускаются далеко не на всех конфигурациях целевых компьютеров. Недоработки устраняются в следующих версиях. Чаще всего, работоспособными оказываются продукты с вспомогательным номером версии «2» и выше.
Иногда производители ПО применяют буквенные обозначения номера сборки: «alpha» (соответствует номеру «0»), «beta» (соответствует номеру «1»), «release candidate» (соответствует номеру «2»), «release to manufacturing» (соответствует номеру «3»). В данном случае первые три версии сам производитель позиционирует лишь для тестирования, а не для коммерческого применения.
В некоторых случаях выход более свежей версии продукта не означает, что морально устарела предыдущая. В качестве примера приведем продукт Microsoft Word версий 2007 и 2010. По функциональности данные версии одинаковы (даже библиотеки системные используются одинаковые, пользовательский интерфейс очень похож), несколько изменился лишь способ обработки данных. Еще примером незначительных изменений продукта от версии к версии может служить Adobe Photoshop. Функционал данного продукта не менялся начиная с первой версии CS, при том что на данный момент актуальна версия CS 6.0. Менялся лишь способ обработки данных (например, стало возможно подключение графического процессора-ускорителя).
Длительность исправного функционирования некоторых ресурсов зависит от выполнения профилактических работ, направленных на раннюю диагностику возникающих ошибок и износа. Например, профилактическим работам целесообразно подвергать жесткие диски компьютеров и серверов, а также компоненты систем охлаждения.
Также отметим, что в современных условиях полностью заменить компонент оборудования на аналогичный новый оказывается дешевле, чем подвергать ремонту неисправный. Например, раньше профилактике и ремонту подвергались блоки питания компьютеров, но теперь, в большинстве случаев, их просто меняют на новые.
Суть обновления ресурсов
Обновление подаппаратных ресурсов. Как уже упоминалось, подаппаратные ресурсы (принтеры, плоттеры, концентраторы, коммутаторы, источники бесперебойного питания) могут иметь встроенное ПО. При этом к подаппаратным ресурсам относится также, например, иТР-кабель, который не имеет в своем составе никакого ПО.
Обновление подаппаратных ресурсов может включать взаимодействие с компонентами оборудования или ПО данного ресурса.
Среди подаппаратных ресурсов можно выделить как обновляемые, так и необновляемые. В качестве примеров частично не обновляемых ресурсов выше приведены неуправляемый концентратор и иТР-кабель (их можно только заменить целиком). Примером обновляемого подаппаратного ресурса является источник бесперебойного питания. Современный источник бесперебойного питания состоит из блока аккумуляторов и управляющей электроники (с ПО). Поскольку гарантийный срок службы современного блока аккумуляторных батарей, как правило, составляет лишь три года, то наиболее частой операцией обновления аппаратной части источников бесперебойного питания является замена аккумуляторов. К источникам бесперебойного питания может быть применено и обновление программной составляющей -системной прошивки.
Теоретически обновление ресурсов подаппаратного уровня не должно существенно отражаться на режиме функционирования ресурсов ИС более высоких уровней, как правило, ОС и прикладному ПО нет совершенно никакой разницы, по какому сетевому кабелю передаются данные, которые они отправляют в сеть, каким роутером осуществляется маршрутизация пакетов и т. д. На практике же из этого правила бывают существенные исключения. Например, существуют «умные» источники бесперебойного питания, которые поддерживают взаимодействие с ОС оборудования, к ним подключенного, с целью информирования о произошедших событиях, относящихся к режиму энергообеспечения оборудования, на платформе которого функционирует ОС. Для корректного взаимодействия с такими источниками бесперебойного питания в ОС должен быть установлен специальный драйвер. Обновление системной прошивки источника бесперебойного питания может подразумевать и необходимость обновления драйвера, установленного в ОС.
Отметим также, что если рассматривать манипуляции по замене «умного» источника бесперебойного питания относительно функционирования всей ИС, то такая операция вполне может подходить под понятие об обновлении ИС. Тогда получается, что при замене источника бесперебойного питания новым продуктом другого производителя может возникнуть необходимость полной замены драйвера (и, возможно, прикладного ПО для взаимодействия с данным новым ресурсом).
Обновление аппаратных ресурсов. На оборудовании, из которого состоят аппаратные ресурсы ИС, работает системное и прикладное ПО. Кроме того, в составе некоторых составляющих этого оборудования имеются системные прошивки (например, в видеокарте, 8С81-корзине).
Аппаратные ресурсы ИС обновляемы. Обновление может осуществляться на уровне оборудования и на уровне ПО, когда речь идет о замене системной прошивки. Обновлением аппаратных ресурсов будем считать замену каких-либо компонентов, из которых эти ресурсы состоят. Например, замена вентилятора процессора.
Обновление аппаратных ресурсов в большинстве случаев связано с вмешательством в режим работы ресурсов более высоких уровней. Например, замена видеокарты наверняка вызовет необходимость замены драйвера, с помощью которого она взаимодействует с ОС
(и даже может потребоваться пересборка ядра ОС). Данная операция может отразиться и на прикладном ПО: современные игровые программы рассчитаны на определенные видеокарты и замена этого устройства может привести к неработоспособности части из них (и наоборот -другие игровые программы с новой видеокартой начнут работать корректно и быстро). Кроме прочего, замена видеокарты практически наверняка вызовет необходимость перезагрузки ОС и всего прикладного ПО.
Обновление аппаратных ресурсов может отразиться на необходимости взаимодействия и с ресурсами более низкого - подаппаратного - уровня. Например, до недавнего времени стандартом де-факто для подключения принтеров к системным блокам служил интерфейс параллельного коммуникационного порта (так называемый «LPT-порт»). Для многих принтеров он обеспечивал единственный возможный вариант подключения. В последние несколько лет компьютеры все реже оснащаются параллельным коммуникационным портом такого типа (к настоящему времени это в равной степени относится к стационарным и портативным компьютерам), поэтому при обновлении парка компьютеров придется предусматривать закупку и установку специальных USB-параллельных портов, устанавливать параллельные порты в виде плат расширения или переводить принтеры на режим работы через соответствующие сетевые устройства.
Обновление программно-аппаратных ресурсов. В объем и содержание понятия «платформа» включаются программно-аппаратные ресурсы, состоящие из сочетания оборудования и работающей на нем ОС. В отдельных случаях в понятие о платформе могут входить иные компоненты (СУБД, Java, Eclipse и т. п.).
Программно-аппаратные ресурсы, как правило, являются обновляемыми.
Под обновлением ресурсов программно-аппаратного уровня будем понимать взаимодействие с ОС или системой управления базами данных. Такие обновления производятся чаще всего с целью устранения найденных ошибок, улучшения пользовательского интерфейса, добавления новых функциональных возможностей.
Можно разделить обновления по критерию целесообразности применения на два типа: обязательные (устраняющие ошибки и уязвимости) и опциональные (добавляющие или изменяющие функциональные возможности).
Обновление программно-аппаратных ресурсов может быть связано с вмешательством в режим работы ресурсов более высокого уровня. Например, прикладная программа для корректной работы может нуждаться в строго определенной версии какого-либо компонента ОС (скажем, .Net, Framework или набора драйверов DirectX в MS Windows). Изменение версии такого компонента может отразиться на работоспособности прикладного ПО.
Обновление программно-аппаратных ресурсов может вызвать необходимость взаимодействия и с ресурсами более низких уровней. Например, ОС и серверы управления базами данных имеют тенденцию к увеличению требований к минимально необходимым аппаратным ресурсам для собственной корректной работы. Кроме того, взаимодействие с ресурсами по-даппаратного уровня производится с помощью драйверов. Производители ОС стремятся включать в свои продукты широкий спектр драйверов для актуальных на момент выхода новой версии ОС аппаратных и подаппаратных ресурсов, но за несколько десятилетий бурного развития индустрии ИТ скопилось такое количество устройств, что обеспечить поддержку их всех в каждой последующей версии ОС становится малореальным (как для производителей ОС, так и для производителей устройств, тем более что многие производители старых устройств уже прекратили свое существование и, следовательно, любую поддержку выпущенной ранее продукции). Поэтому может возникнуть ситуация, когда после обновления ОС необходимо озаботиться закупкой новых аппаратных или подаппаратных ресурсов.
Современные ОС состоят из множества компонентов, каждый из которых имеет определенную версию. Для корректной работы разных прикладных программ могут требоваться разные версии одного и того же компонента ОС. При этом маловероятно, что разные версии одного и того же компонента ОС могут сосуществовать на одном компьютере. Несколько версий прикладных программ могут быть установленными и запускаться в одной системе.
Обновление прикладных ресурсов. Прикладное ПО является, пожалуй, наиболее интенсивно обновляемым ресурсом. Обновления производятся с целью устранения ошибок, допущенных в предыдущих версиях, а также расширения функциональных возможностей (например, улучшения пользовательского интерфейса).
Прикладное ПО можно разделить на три типа:
• автономные программы, не затрагивающие окружение;
• программы, которые пользуются внешними библиотеками (например, Acrobat Reader пользуется шрифтами, XML);
• интегрированные в ОС программы (например, пакет ПО Microsoft Office).
Для разного типа программ должна быть разная политика обновления.
Автономным программам требуется обновление лишь в том случае, если найдена ошибка. Они вряд ли могут быть источником нарушения безопасности, так как у них нет взаимодействия с сетевыми интерфейсами (хотя и в такие программы авторы порой умудряются встраивать «закладки»). Достоинство такого рода ПО: если написано грамотно, то оно будет работать в любой программной среде окружения. В качестве примера грамотно написанной автономной программы можно привести FAR, любая версия которого работает в любой версии MS Windows, а также многие программы-архиваторы. Часть автономных программ относится к категории портируемых между программно-аппаратными платформами, когда исходный код разработан таким образом, что может быть собран и скомпилирован для использования под управлением различных ОС на различных видах оборудования.
Программы, использующие для своей работы внешние библиотеки, очевидно становятся зависимыми от этих библиотек и при их изменении могут стать несовместимыми с ними. На такого рода программы влияют и имеющиеся во внешних библиотеках ошибки, уязвимости, закладки и т. д.
Интегрированные в ОС прикладные программы, будучи зависимыми от ее компонентов, должны обновляться вместе с ОС.
Обновления прикладного ПО могут влиять на необходимость взаимодействия с ресурсами более низких уровней. Например, новой версии прикладной программы может потребоваться новая версия ОС или какого-либо ее компонента, а также установка нового устройства, которое относится к подаппаратному или аппаратному уровню.
Как и ОС, современные прикладные программы могут состоять из множества компонентов, каждый из которых имеет определенную версию. При этом для корректной работы разных модулей прикладных программ могут требоваться разные версии одного и того же компонента другой прикладной программы. Если необходим запуск этих нескольких прикладных программ на одном компьютере, то необходимо, чтобы на одном и том же компьютере функционировали несколько версий одного и того же компонента системы (причем в некоторых случаях эти версии могут быть созданы разными производителями).
Обновление профилей системы. Функционирование любой ИС должно быть обеспечено нормативно-правовой документацией, которая включает описание использованных в ней стандартов и соответствующие правила эксплуатации, функционал, функциональные требования, разграничение зон ответственности администраторов и пользователей ИС [2].
Основными функциями профилей системы являются юридическое обоснование функционирования ИС, а также документирование процессов, связанных с ним. Сами по себе политики ИБ тоже должны быть закреплены в виде профилей системы - только тогда есть возможность сделать их вполне конкретными и обязательными для исполнения.
Следует отметить, что в современных организациях, пожалуй, практически любые документы в той или иной степени, хотя бы косвенно, связаны с деятельностью ИС. Например, документы отдела кадров (скажем, штатное расписание) участвуют в формировании списков доступа к ресурсам ИС, в соответствии с ними пользователям выдаются полномочия, ограничения и т. д. Кроме того, в ИС создаются, обрабатываются и хранятся документы.
Политика обновлений
Политика обновлений должна рассматриваться в сочетании с другими политиками ИБ. Необходимо отметить, что есть ресурсы, обновляемые в рамках всех политик, а есть те, которые обновляются только по определенной политике.
По основным механизмам функционирования политики ИБ можно разделить на две категории:
• политики технологического обеспечения;
• организационные политики.
Политики технологического обеспечения включают учет, эксплуатацию и защиту оборудования, ПО и информационных ресурсов. В свою очередь, они делятся на инфраструктурные (связанные с оборудованием, системным ПО и сетевыми сервисами) и прикладные (связанные с прикладным ПО и пользовательскими информационными ресурсами).
Представим классификационную схему политик ИБ в виде рубрикатора. Такая схема позволяет при необходимости расширять понятия, находящиеся в узлах дерева рубрикатора [3].
0. Политики ИБ.
0.1. Политики технологического обеспечения.
0.1.1. Политики инфраструктурного технологического обеспечения.
0.1.1.1. Политика обновления инфраструктуры.
0.1.1.2. Политика учета инфраструктурных ресурсов.
0.1.1.3. Политика мониторинга инфраструктуры.
0.1.1.4. Политика предоставления и разграничения доступа к инфраструктурным ресурсам.
0.1.1.5. Политика защиты от вторжений.
0.1.1.6. Политика обеспечения целостности информации.
0.1.1.7. Политика защиты от нарушений доступности.
0.1.1.8. Политика резервного копирования.
0.1.2. Политики прикладного технологического обеспечения.
0.1.2.1. Политика обновления прикладных ресурсов.
0.1.2.2. Политика учета пользовательских ресурсов.
0.1.2.3. Политика мониторинга пользовательских ресурсов.
0.1.2.4. Политика мониторинга прикладных ресурсов.
0.1.2.5. Политика предоставления и разграничения доступа к прикладным ресурсам.
0.1.2.6. Политика предоставления и разграничения доступа к информационным ресурсам.
0.1.2.7. Политика использования средств криптографической защиты.
0.1.2.8. Политика обеспечения актуальности информации.
0.1.2.9. Политика управления версиями.
0.2. Организационные политики.
0.2.1. Кадровая политика.
0.2.2. Политика обеспечения конфиденциальности служебной информации.
0.2.3. Экономическая политика.
0.2.4. Политика обновления профилей системы.
Рассмотрим взаимосвязи между указанными политиками ИБ и политиками обновлений.
Политики инфраструктурного технологического обеспечения.
Политика обновления инфраструктуры. Характерным следствием любых обновлений оборудования и системного ПО является временная неработоспособность обновляемой части системы или всей системы. Для обновления аппаратных компонентов оборудование необходимо выключать, после обслуживания компонентов системного ПО обычно требуется перезагрузка ОС.
Необходимо отметить также и тот факт, что при каждом обновлении как оборудования, так и системного ПО существенно повышается риск отказа в работе обновленной системы - нет исчерпывающей гарантии, что обновление будет установлено штатно, и, кроме того, новый компонент оборудования или системного ПО всегда обладает меньшим временем тестирования, поэтому возникновение непредвиденных проблем с ним вполне возможно [4].
Политика учета инфраструктурных ресурсов. В соответствии с политикой учета инфраструктурных ресурсов учитываются версии программных и аппаратных компонентов, из которых состоит ИС (подаппаратный, аппаратный, программно-аппаратный уровни). При обновлении модулей ИС, учтенных в соответствии с этой политикой, необходимо отражать в учетных документах соответствующие изменения. Кроме того, при обновлениях имеет смысл учитывать совместимость версий оборудования и ПО.
Политика мониторинга инфраструктуры. Используя данные, полученные из систем, развернутых в соответствии с политикой мониторинга инфраструктуры, можно выбирать для обновления наиболее изношенные ресурсы подаппаратного и аппаратного уровней, а также наименее актуальные ресурсы программно-аппаратного уровня. Кроме того, во время обновления того или иного ресурса он, как правило, становится недоступным, это важно учитывать в политике мониторинга инфраструктуры.
Политика предоставления и разграничения доступа к инфраструктурным ресурсам предусматривает разграничение полномочий пользователей к различным ресурсам подаппарат-ного, аппаратного и программно-аппаратного уровней в соответствии с квалификацией и служебными обязанностями. В данной политике должны быть оговорены возможности пользователей по обновлению инфраструктурных ресурсов. Например, как правило, нет ничего предосудительного в том, чтобы у пользователя была возможность запустить автоматическую установку обновлений MS Windows. Однако процесс установки обновлений подразумевает соблюдение определенных условий (питание от розетки, а не от аккумуляторов, закрывание обновляемых приложений на время этого процесса, резервное копирование основных данных и т. д.), ожидать стопроцентное следование которым от пользователей было бы наивным.
Политика защиты от вторжений. Важным аспектом политики защиты от вторжений является обновление ресурсов подаппаратного, аппаратного и программно-аппаратного уровня до актуального уровня. По сути, необходимо предусмотреть возможность регулярного обновления системного ПО и системных прошивок, причем сугубо из официальных, проверенных источников, которым принято решение доверять. Кроме того, поскольку непосредственно во время обновления некоторые ресурсы (в том числе и ресурсы, отвечающие за ИБ) могут быть недоступными, то необходимо предусматривать альтернативные методы защиты ИБ во время обновлений основных средств обеспечения ИБ.
Политика обеспечения целостности информации, наряду с политикой резервного копирования, должна предусматривать алгоритм действий в случае неудачного обновления того или иного компонента ИС, который может обеспечивать целостность информации.
Политика защиты от нарушений доступности. Как уже упоминалось, обновление ресурсов подаппаратного, аппаратного и программно-аппаратного уровней может вызывать частичную или полную недоступность ИС. В случае удачного обновления нарушение доступности будет лишь на период непосредственно операций по обновлению, в случае же неудачного обновления нарушение доступности может быть длительным. Политика защиты от нарушений доступности должна предусматривать оба случая.
Политика резервного копирования. Важную роль в восстановлении работоспособности системы играет возможность оперативного восстановления информации. Резервному копированию могут подвергаться дистрибутивы системного и прикладного ПО, развернутые версии системного и прикладного ПО, настройки системного и прикладного ПО, а также базы данных и документы прикладного ПО.
Политики прикладного технологического обеспечения.
Политика обновления прикладных ресурсов. Прикладное ПО, наряду с системным, нуждается в обновлениях по причине морального устаревания или обнаружения уязвимостей.
Моральное устаревание прикладного ПО может быть вызвано наличием запросов на новые функции, а также на нюансы работы уже реализованных возможностей со стороны его пользователей. Оно происходит обычно при выходе новой версии программы. При этом далеко не всегда целесообразно обновлять прикладную программу до следующей версии непосредственно после ее появления. Производители обычно продолжают техническую поддержку и выпуск обновлений для предыдущих версий прикладного ПО в течение нескольких лет после появления новых версий.
Многие программы, которые можно классифицировать как прикладные, имеют доступ к ресурсам сети. В некоторых случаях к этим программам можно даже подключаться по сети. Следовательно, на прикладное ПО распространяется необходимость защиты от удаленных и локальных уязвимостей. Обновление в связи с уязвимостью производится для устранения ошибок и недоработок прикладного ПО, которые могут приводить к сбоям в работе ПО, а также потенциальным уязвимостям системы (при взломе прикладной программы в некото-
рых случаях злоумышленник получает доступ к системе с полномочиями той учетной записи, из-под которой была запущена прикладная программа). Обычно производители прикладного ПО выпускают регулярные обновления, установка которых может производиться вручную или автоматически [1].
Политика учета пользовательских ресурсов проявляется в том, что в соответствии с ней учитываются версии прикладных программ, из которых состоит прикладной уровень ИС. При обновлении модулей ИС, учтенных в соответствии с этой политикой, изменения необходимо отражать в учетных документах. Кроме того, при обновлениях имеет смысл учитывать совместимость версий прикладного ПО, в этом отношении политика учета пользовательских ресурсов очень тесно связана с политикой управления версиями.
Политика мониторинга пользовательских ресурсов. Используя данные, полученные из систем, развернутых в соответствии с политикой мониторинга пользовательских ресурсов, можно выбирать для обновления наименее функциональные, актуальные прикладные программы. Кроме того, необходимо учитывать, что во время обновления того или иного ресурса, он, как правило, становится недоступным.
Политика мониторинга прикладных ресурсов применяется для учета работоспособности, а также установленных версий прикладного ПО и необходимости обновления до более свежих версий. Тесную связь политика мониторинга прикладных ресурсов имеет с политикой управления версиями.
Политика предоставления и разграничения доступа к прикладным ресурсам предусматривает разграничение полномочий пользователей к различному прикладному ПО в соответствии с квалификацией и служебными обязанностями. В данной политике должны быть оговорены возможности пользователей по обновлению прикладного ПО.
Предусматривается разграничение доступа как к самим прикладным программам, так и к различным внутрипрограммным функциям.
Политика предоставления и разграничения доступа к информационным ресурсам предусматривает разграничение полномочий пользователей к различным ресурсам прикладного уровня в соответствии с квалификацией и служебными обязанностями. В данной политике должны быть оговорены возможности пользователей по обновлению прикладных ресурсов.
Политика использования средств криптографической защиты должна предусматривать возможность обновления алгоритмов шифрования данных, средств шифрования, в которых эти алгоритмы реализованы. Кроме того, необходимо учитывать, что во время обновления средств шифрования данных использование их по прямому назначению вряд ли будет возможно.
Политика обеспечения актуальности информации. Актуальность информации, с которой работает ИС, может быть нарушена на период обновления того или иного компонента ИС. Временная недоступность всей системы или ее компонентов, обусловленная необходимость обновления тех или иных ресурсов ИС должны быть предусмотрены в политике обеспечения актуальности информации.
Политика управления версиями. В практике применения современных прикладных ресурсов встречаются случаи, когда в одной и той же системе (вплоть до того, что на одном и том же физическом компьютере) необходимо применение сразу нескольких версий одного и того же программного продукта или набора данных. При этом у каждой версии могут быть свои требования к программно-аппаратному окружению. Например, старая версия MS Word для ОС DOS не может полноценно работать в MS Windows 8 (нет толкового полноэкранного режима, введена масса ограничений на обращение к областям дисковой памяти, слишком уж расширенные возможности файловой системы и т. д.), при этом MS Word 2012 невозможно запустить на ОС Windows'98, на которой упомянутый ранее Word для DOS еще более-менее корректно функционировал.
Соблюдение политики управления версиями подразумевает наличие информации о требуемом программно-аппаратном окружении для каждой из необходимых версий прикладной программы или набора данных. Именно политика управления версиями имеет самую тесную связь с политиками обновления (а также с экономической политикой и политикой мониторинга прикладных ресурсов), так как необходимо предусматривать отслеживание целесообразности ис-
пользования старых версий при условии наличия новых и, наоборот, целесообразность обновления версии ресурса при условии, что и старая версия устраивает пользователей.
Организационные политики. В настоящее время в большинстве организаций всех форм собственности и направлений деятельности ИС используются для выполнения основных функций. Как минимум, информационные технологии применяются для управленческого и бухгалтерского учета, кадровой работы и связи, что обусловлено удобством и массой возможностей, предоставляемых современными электронными средствами (хранение большого объема информации в малом физическом объеме, моментальный поиск, контекстная зависимость интерфейса приложений и т. д.).
Существуют также экономические (снижаются простои, связанные с долгой доставкой корреспонденции как внутри организации, так и внешним контрагентам; в результате внедрения дополнительного функционала, который был бы недоступен без ИТ, повышается коэффициент полезного действия персонала) и законодательные (органы государственной власти предпочитают принимать отчетность и другие документы в электронном виде) причины распространения ИТ.
Наибольшее распространение получают ИС, созданные в соответствии с принципами открытых систем. Основополагающим документом, описывающим такие системы, является стандарт 180/1ЕС ТЯ 14252-1995 в соответствии с которым главным принципом открытых систем является создание среды, состоящей из программно-аппаратных компонентов, средств связи, интерфейсов, форматов данных и протоколов, которая в основе имеет развивающиеся, доступные и общепризнанные стандарты, а также обеспечивает переносимость, взаимодействие и масштабируемость данных. Кроме того, в открытых системах предполагается использование методов функциональной стандартизации: построение и применение профиля - согласованного набора базовых стандартов, необходимых для решения конкретной задачи или определенного класса задач.
Принципы открытых систем позволяют строить ИС экономичным образом, так как нет необходимости разрабатывать дополнительные интерфейсы программных и аппаратных средств, а также за счет возможности реинжиниринга (т. е. использования одного и того же ПО при переходе с одной платформы на другую) [4].
ИС не могут корректно функционировать без документации. Перечень необходимых документов может включать документы трех видов - описательного, предписывающего и протоколирующего характера. Приведем пример перечня документов в виде классификационной схемы.
0. Документация ИС.
0.1. Документы описательного характера.
0.1.1. Положение об ИС, ее назначении и функциях.
0.1.2. Модели угроз безопасности ИС.
0.1.3. Логические схемы компьютерных сетей, входящих в состав ИС.
0.1.4. Перечень подразделений и должностей, допущенных к работе с ПДн.
0.1.5. Перечень ПДн, обрабатываемых в ИСПДн.
0.1.6. Перечень мест хранения материальных носителей ПДн.
0.2. Документы предписывающего характера (регламентирующие, распорядительные).
0.2.1. Инструкции администратора системы.
0.2.2. Правила использования корпоративной ИС (инструкции пользователя системы).
0.2.3. План внутренних проверок работоспособности и безопасности ИС.
0.2.4. Инструкция по физической охране помещений ИС, ее компонентов, а также
контролю доступа.
0.2.5. Регламент ИБ организации.
0.2.6. Перечень сведений, составляющих коммерческую тайну организации.
0.2.7. Положение о резервном копировании данных.
0.2.8. Положение по разграничению доступа к ресурсам ИС.
1 ISO/IEC TR 14252-1995 Guide to the POSIX Open System Environment.
0.2.9. Положение об обновлении ресурсов ИС. 0.3. Документы протоколирующего характера.
0.3.1. Журнал периодического тестирования ИС.
0.3.2. Информация об административных аккаунтах ИС (в конверте, хранящемся в
сейфе у руководителя).
0.3.3. Журнал учета ознакомления с регламентом ИБ организации.
0.3.4. Журнал учета программно-аппаратных ресурсов серверных комнат.
0.3.4.1. Паспорта серверов.
0.3.4.2. Формуляры рабочих станций.
0.3.5. Журнал учета автоматизированных рабочих мест.
0.3.5.1. Формуляры рабочих станций.
0.3.6. Журнал учета полномочий пользователей и администраторов ИС.
0.3.7. Журнал учета данных и средств защиты (шифрования).
Кадровая политика организации должна предусматривать санкции за невыполнение требований политик ИБ, а также подбор и поощрение сотрудников с соответствующей квалификацией и личными качествами.
Безусловно, политика обновлений организации имеет связь с кадровой, так как для качественного создания и последующего соблюдения политики обновления нужны сотрудники с соответствующими личностными и деловыми качествами, а также продуманная система контроля, мотивации и демотивации.
Политика обеспечения конфиденциальности служебной информации должна предусматривать своевременное обновление алгоритмов шифрования информации. В рамках этой же политики необходимо обеспечить обязательность применения средств шифрования информации для определенных операций, которые обычно связаны с передачей информации между модулями ИС или разными ИС.
Для разных направлений обмена данными (например, с разными контрагентами) могут применяться разные средства шифрования. Именно в рамках политики обеспечения конфиденциальности служебной информации предусматривается учет и контроль наличия и применения строго определенных средств шифрования по строго определенным направлениям и по отношению к необходимому характеру передаваемых / получаемых данных.
В соответствии с экономической политикой производится выбор и обоснование необходимости средств, способов и целесообразности обновления тех или иных компонентов ИС. Экономическая политика имеет тесную взаимосвязь с политиками обновления и управления версиями ресурсов.
Схема политики обновлений
Представим классификационную схему ресурсов ИС.
0. Ресурсы ИС.
0.1. Подаппаратные. 0.1.1. Обновляемые.
0.1.1.1. Коммуникационное оборудование (маршрутизаторы, концентраторы, коммутаторы).
0.1.1.2. Устройства вывода информации (принтеры, плоттеры). 0.1.1.3. Источники бесперебойного питания. 0.1.1.4. Устройства резервного копирования. 0.1.1.5. Климатическое оборудование. 0.1.2. Необновляемые.
0.1.2.1. Устройства ввода информации (клавиатуры, манипуляторы «мышь», сканеры). 0.1.2.2. Устройства вывода информации (принтеры, плоттеры). 0.2. Аппаратные. 0.2.1. Обновляемые.
0.2.1.1. Стационарные компьютеры - серверы.
0.2.1.2. Стационарные компьютеры - рабочие станции.
0.2.1.3. Мобильные компьютеры (ноутбуки, нетбуки).
0.2.1.4. Планшетные компьютеры.
0.2.1.5. Мобильные средства связи (смартфоны).
0.2.1.6. Встраиваемые компьютеры.
0.3. Программно-аппаратные (платформа).
0.3.1. Обновляемые.
0.3.1.1. Программно-аппаратная платформа Intel-Windows.
0.3.1.2. Программно-аппаратная платформа Intel-UNIX.
0.3.1.3. Программно-аппаратная платформа Apple.
0.3.1.4. Программно-аппаратная платформа SUN.
0.3.1.5. Программно-аппаратная платформа IBM.
0.4. Прикладные.
0.4.1. Обновляемые.
0.4.1.1. Автономные программы.
0.4.1.2. Прикладное ПО, пользующееся внешними библиотеками
0.4.1.3. Интегрированное в ОС прикладное ПО.
0.4.2. Необновляемые.
0.4.2.1. Автономные программы.
0.5. Организационные.
0.5.1. Обновляемые.
0.5.1.1. Сотрудники.
0.5.1.2. Служебная информация.
0.5.1.3. Экономическая политика.
Политику обновлений и ее взаимосвязи с другими политиками можно кратко представить в виде следующей схемы. 0. Политика обновления.
0.1. Включает в себя и включена в (является частью)... 0.1.1. Политика обновления инфраструктуры.
0.1.1.1. Политика учета инфраструктурных ресурсов. 0.1.1.2. Политика мониторинга инфраструктуры. 0.1.2. Политика обновления прикладных ресурсов.
0.1.2.1. Политика учета пользовательских ресурсов. 0.1.2.2. Политика мониторинга пользовательских ресурсов. 0.1.2.3. Политика мониторинга прикладных ресурсов. 0.1.2.4. Политика управления версиями. 0.1.3. Политика обновления профилей системы. 0.2. Зависит от.
0.2.1. Политика предоставления и разграничения доступа к инфраструктурным ресурсам.
0.2.2. Политика защиты от вторжений .
0.2.3. Политика обеспечения целостности информации.
0.2.4. Политика защиты от нарушений доступности.
0.2.5. Политика резервного копирования.
0.2.6. Политика предоставления и разграничения доступа к прикладным ресурсам. 0.2.7. Политика предоставления и разграничения доступа к информационным ресурсам. 0.2.9. Политика использования средств криптографической защиты. 0.2.10. Политика обеспечения актуальности информации.
0.2.11. Политика обновления профилей системы.
0.2.12. Кадровая политика.
0.2.13. Политика обеспечения конфиденциальности служебной информации.
0.2.14. Экономическая политика.
Взаимосвязи между обновляемыми ресурсами и политиками ИБ:
Обновляемые ресурсы Цели обновления Способы обновления Связанные ресурсы Связанные политики
Подаппаратные ресурсы
Коммуникационное оборудование (маршрутизаторы, концентраторы, коммутаторы) Новые функции, исключение поломок Полная замена, обновление только установленного в них ПО Обычно другие ресурсы не затрагиваются, так как подаппаратные ресурсы относительно независимы. На время обновления могут быть перерывы в обеспечении сервисов для ресурсов более высоких уровней Политика обновления инфраструктуры; политика учета инфраструктурных ресурсов; политика мониторинга инфраструктуры; политика предоставления и разграничения доступа к инфраструктурным ресурсам; политика защиты от вторжений; политика обеспечения целостности информации; политика защиты от нарушений доступности; политика резервного копирования; кадровая политика; политика обеспечения конфиденциальности служебной информации; экономическая политика
Устройства вывода информации (принтеры, плоттеры) Устранение поломок, физического износа, улучшение технических характеристик Полная замена, обновление только установленного в них ПО, частичная замена (например, картриджа и т. п.) Обычно другие ресурсы не затрагиваются, так как подаппаратные ресурсы относительно независимы. На время обновления могут быть перерывы в обеспечении сервисов для ресурсов более высоких уровней. Есть вероятность, что потребуется установка новых драйверов для обновленных устройств Политика обновления инфраструктуры; политика учета инфраструктурных ресурсов; политика мониторинга инфраструктуры; политика предоставления и разграничения доступа к инфраструктурным ресурсам; политика защиты от нарушений доступности; политика резервного копирования; кадровая политика; политика обеспечения конфиденциальности служебной информации; экономическая политика
Устройства ввода информации (клавиатуры, манипуляторы «мышь», сканеры) Устранение поломок, физического износа, улучшение технических характеристик Полная замена, обновление только установленного в них ПО, частичная замена (например, блока питания сканера и т. п.) Обычно другие ресурсы не затрагиваются, так как подаппаратные ресурсы относительно независимы. На время обновления могут быть перерывы в обеспечении сервисов для ресурсов более высоких уровней. Есть вероятность, что потребуется установка новых драйверов для обновленных устройств Политика обновления инфраструктуры; политика учета инфраструктурных ресурсов; политика мониторинга инфраструктуры; политика предоставления и разграничения доступа к инфраструктурным ресурсам; политика защиты от нарушений доступности; кадровая политика; политика обеспечения конфиденциальности служебной информации; экономическая политика
Обновляемые ресурсы Цели обновления Способы обновления Связанные ресурсы Связанные политики
Источники бесперебойного питания Устранение поломок, физического износа, улучшение технических характеристик Полная замена, обновление только установленного в них ПО, частичная замена (например, аккумуляторов и т. п.) Обычно другие ресурсы не затрагиваются, так как подаппаратные ресурсы относительно независимы. На время обновления могут быть перерывы в обеспечении сервисов для ресурсов более высоких уровней. Есть вероятность, что потребуется установка новых драйверов для обновленных устройств Политика обновления инфраструктуры; политика учета инфраструктурных ресурсов; политика мониторинга инфраструктуры; политика предоставления и разграничения доступа к инфраструктурным ресурсам; политика обеспечения целостности информации; политика защиты от нарушений доступности; политика резервного копирования; кадровая политика; политика обеспечения конфиденциальности служебной информации; экономическая политика
Устройства резервного копирования Устранение поломок, физического износа, улучшение технических характеристик Полная замена, обновление только установленного в них ПО, частичная замена (например, кассет и т. п.) Обычно другие ресурсы не затрагиваются, так как подаппаратные ресурсы относительно независимы. На время обновления могут быть перерывы в обеспечении сервисов для ресурсов более высоких уровней. Есть вероятность, что потребуется установка новых драйверов для обновленных устройств Политика обновления инфраструктуры; политика учета инфраструктурных ресурсов; политика мониторинга инфраструктуры; политика предоставления и разграничения доступа к инфраструктурным ресурсам; политика защиты от вторжений; политика обеспечения целостности информации; политика защиты от нарушений доступности; политика резервного копирования; кадровая политика; политика обеспечения конфиденциальности служебной информации; экономическая политика
Климатическое оборудование Устранение поломок, физического износа, улучшение технических характеристик Полная замена, частичная замена (например, фреона и т. п.) Обычно другие ресурсы не затрагиваются, так как подаппаратные ресурсы относительно независимы. На время обновления могут быть перерывы в обеспечении сервисов для ресурсов более высоких уровней Политика обновления инфраструктуры; политика учета инфраструктурных ресурсов; политика мониторинга инфраструктуры; политика предоставления и разграничения доступа к инфраструктурным ресурсам; политика обеспечения целостности информации; политика защиты от нарушений доступности; кадровая политика; политика обеспечения конфиденциальности служебной информации; экономическая политика
Обновляемые ресурсы Цели обновления Способы обновления Связанные ресурсы Связанные политики
Аппаратные ресурсы
Стационарные компьютеры -серверы Новые функции оборудования и ПО, устранение поломок и физического износа, морального устаревания Полная замена оборудования и ПО, обновление только установленного ПО, частичная замена оборудования (например, кулера на процессоре сервера и т. п.) При обновлении серверов вероятны перерывы в работе тех сервисов, которые обеспечиваются обновляемыми серверами. Есть вероятность, что после обновления серверного парка придется перенастраивать рабочие станции и установленное на них прикладное ПО Политика обновления инфраструктуры; политика учета инфраструктурных ресурсов; политика мониторинга инфраструктуры; политика предоставления и разграничения доступа к инфраструктурным ресурсам; политика защиты от вторжений; политика обеспечения целостности информации; политика защиты от нарушений доступности; политика резервного копирования; кадровая политика; политика обеспечения конфиденциальности служебной информации; экономическая политика
Стационарные компьютеры -рабочие станции Новые функции оборудования и ПО, устранение поломок и физического износа, морального устаревания Полная замена оборудования и ПО, обновление только установленного ПО, частичная замена оборудования (например, кулера в блоке питания рабочей станции и т. п.) При обновлении рабочих станций вероятны перерывы в работе тех сервисов, которые обеспечиваются обновляемыми рабочими станциями. Например, к рабочим станциям нередко присоединяют сетевые принтеры. Есть вероятность, что после обновления рабочих станций придется перенастраивать установленное на них прикладное ПО Политика обновления прикладных ресурсов; политика учета пользовательских ресурсов; политика мониторинга пользовательских ресурсов; политика мониторинга прикладных ресурсов; политика предоставления и разграничения доступа к прикладным ресурсам; политика предоставления и разграничения доступа к информационным ресурсам; политика использования средств криптографической защиты; политика обеспечения актуальности информации; кадровая политика; политика обеспечения конфиденциальности служебной информации; экономическая политика
Мобильные компьютеры (ноутбуки, нетбуки) Новые функции оборудования и ПО, устранение поломок и физического износа, морального устаревания Полная замена оборудования и ПО, обновление только установленного ПО, частичная замена оборудования (например, жесткого диска в ноутбуке и т. п.) При обновлении мобильных рабочих станций вероятны перерывы в работе тех сервисов, которые обеспечиваются обновляемыми рабочими станциями. Например, к рабочим станциям нередко присоединяют сетевые принтеры. Есть вероятность, что после обновления рабочих станций придется перенастраивать установленное на них прикладное ПО Политика обновления прикладных ресурсов; политика учета пользовательских ресурсов; политика мониторинга пользовательских ресурсов; политика мониторинга прикладных ресурсов; политика предоставления и разграничения доступа к прикладным ресурсам; политика предоставления и разграничения доступа к информационным ресурсам; политика использования средств криптографической защиты; политика обеспечения актуальности информации; кадровая политика; политика обеспечения конфиденциальности служебной информации; экономическая политика
Обновляемые ресурсы Цели обновления Способы обновления Связанные ресурсы Связанные политики
Планшетные компьютеры Новые функции оборудования и ПО, устранение поломок и физического износа, морального устаревания Полная замена оборудования и ПО, обновление только установленного ПО, частичная замена оборудования (например, аккумулятора в планшете и т. п.) При обновлении планшетных компьютеров, есть вероятность, что после обновления придется перенастраивать установленное на них прикладное ПО Политика обновления прикладных ресурсов; политика учета пользовательских ресурсов; политика мониторинга пользовательских ресурсов; политика мониторинга прикладных ресурсов; политика предоставления и разграничения доступа к прикладным ресурсам; политика предоставления и разграничения доступа к информационным ресурсам; политика использования средств криптографической защиты; политика обеспечения актуальности информации; кадровая политика; политика обеспечения конфиденциальности служебной информации; экономическая политика
Мобильные средства связи (смартфоны) Новые функции оборудования и ПО, устранение поломок и физического износа, морального устаревания Полная замена оборудования и ПО, обновление только установленного ПО, частичная замена оборудования (например, аккумулятора в смартфоне и т. п.) При обновлении мобильных средств связи, есть вероятность, что после обновления придется перенастраивать установленное на них прикладное ПО Политика обновления прикладных ресурсов; политика учета пользовательских ресурсов; политика мониторинга пользовательских ресурсов; политика мониторинга прикладных ресурсов; политика предоставления и разграничения доступа к прикладным ресурсам; политика предоставления и разграничения доступа к информационным ресурсам; политика использования средств криптографической защиты; политика обеспечения актуальности информации; кадровая политика; политика обеспечения конфиденциальности служебной информации; экономическая политика
Встраиваемые компьютеры Новые функции оборудования и ПО, устранение поломок и физического износа, морального устаревания Полная замена оборудования и ПО, обновление только установленного ПО При обновлении встраиваемых компьютеров, могут быть перерывы в предоставлении сервисов, обеспечиваемых ими Политика обновления инфраструктуры; политика учета инфраструктурных ресурсов; политика мониторинга инфраструктуры; политика предоставления и разграничения доступа к инфраструктурным ресурсам; политика защиты от вторжений; политика обеспечения целостности информации; политика защиты от нарушений доступности; политика резервного копирования; политика обновления прикладных ресурсов;
Обновляемые ресурсы Цели обновления Способы обновления Связанные ресурсы Связанные политики
политика учета пользовательских ресурсов; политика мониторинга пользовательских ресурсов; политика мониторинга прикладных ресурсов; политика предоставления и разграничения доступа к прикладным ресурсам; политика предоставления и разграничения доступа к информационным ресурсам; политика использования средств криптографической защиты; политика обеспечения актуальности информации; кадровая политика; политика обеспечения конфиденциальности служебной информации; экономическая политика
Программно-аппаратная платформа Intel-Windows
Программно-аппаратные ресурсы
Новые функции, исключение поломок, физического износа и морального устаревания
Полная замена оборудования и ПО, обновление только установленного ПО, частичная замена оборудования
При обновлении серверов и рабочих станций могут быть простои в функционировании связанных с ними сервисов. Также может потребоваться замена или перенастройка ресурсов как более нижних уровней, так и уровня прикладных ресурсов. (Например, после обновления платформы до MS Windows 8 окажется, что под новую платформу нет драйверов для устаревших, хотя еще вполне исправных, принтеров)
Политика обновления инфраструктуры; политика учета инфраструктурных ресурсов; политика мониторинга инфраструктуры;
политика предоставления и разграничения доступа к инфраструктурным ресурсам;
политика защиты от вторжений; политика обеспечения целостности информации; политика защиты от нарушений доступности; политика резервного копирования; политика обновления прикладных ресурсов; политика учета пользовательских ресурсов; политика мониторинга пользовательских ресурсов; политика мониторинга прикладных ресурсов;
политика предоставления и разграничения доступа к прикладным ресурсам; политика предоставления и разграничения доступа к информационным ресурсам;
политика использования средств криптографической защиты; политика обеспечения актуальности информации; политика управления версиями; кадровая политика;
политика обеспечения конфиденциальности служебной информации; экономическая политика
Обновляемые ресурсы Цели обновления Способы обновления Связанные ресурсы Связанные политики
Программно-аппаратная платформа UNIX Новые функции, исключение поломок, физического износа и морального устаревания Полная замена оборудования и ПО, обновление только установленного ПО, частичная замена оборудования При обновлении серверов и рабочих станций могут быть простои в функционировании связанных с ними сервисов. Также может потребоваться замена или перенастройка ресурсов как более нижних уровней, так и уровня прикладных ресурсов (например, после обновления платформы окажется, что под новую платформу нет драйверов для устаревших, хотя еще вполне исправных лабораторных установок) Политика обновления инфраструктуры; политика учета инфраструктурных ресурсов; политика мониторинга инфраструктуры; политика предоставления и разграничения доступа к инфраструктурным ресурсам; политика защиты от вторжений; политика обеспечения целостности информации; политика защиты от нарушений доступности; политика резервного копирования; политика обновления прикладных ресурсов; политика учета пользовательских ресурсов; политика мониторинга пользовательских ресурсов; политика мониторинга прикладных ресурсов; политика предоставления и разграничения доступа к прикладным ресурсам; политика предоставления и разграничения доступа к информационным ресурсам; политика использования средств криптографической защиты; политика обеспечения актуальности информации; политика управления версиями; кадровая политика; политика обеспечения конфиденциальности служебной информации; экономическая политика
Программно-аппаратная платформа Apple Новые функции, исключение поломок, физического износа и морального устаревания Полная замена оборудования и ПО, обновление только установленного ПО, частичная замена оборудования При обновлении серверов и рабочих станций могут быть простои в функционировании связанных с ними сервисов. Также может потребоваться замена или перенастройка ресурсов как более нижних уровней, так и уровня прикладных ресурсов (например, после обновления платформы окажется, что под новую платформу нет драйверов для устаревших, хотя еще вполне исправных сканеров) Политика обновления инфраструктуры; политика учета инфраструктурных ресурсов; политика мониторинга инфраструктуры; политика предоставления и разграничения доступа к инфраструктурным ресурсам; политика защиты от вторжений; политика обеспечения целостности информации; политика защиты от нарушений доступности; политика резервного копирования; политика обновления прикладных ресурсов; политика учета пользовательских ресурсов; политика мониторинга пользовательских ресурсов; политика мониторинга прикладных ресурсов;
Обновляемые ресурсы Цели обновления Способы обновления Связанные ресурсы Связанные политики
политика предоставления и разграничения доступа к прикладным ресурсам; политика предоставления и разграничения доступа к информационным ресурсам; политика использования средств криптографической защиты; политика обеспечения актуальности информации; политика управления версиями; кадровая политика; политика обеспечения конфиденциальности служебной информации; экономическая политика
Программно-аппаратная платформа (например, 1ВМ) Новые функции, исключение поломок, физического износа и морального устаревания Полная замена оборудования и ПО, обновление только установленного ПО, частичная замена оборудования При обновлении серверов и рабочих станций могут быть простои в функционировании связанных с ними сервисов. Также может потребоваться замена или перенастройка ресурсов как более нижних уровней, так и уровня прикладных ресурсов (например, после обновления платформы окажется, что под новую платформу нет драйверов для устаревших, хотя еще вполне исправных лабораторных установок) Политика обновления инфраструктуры; политика учета инфраструктурных ресурсов; политика мониторинга инфраструктуры; политика предоставления и разграничения доступа к инфраструктурным ресурсам; политика защиты от вторжений; политика обеспечения целостности информации; политика защиты от нарушений доступности; политика резервного копирования; политика обновления прикладных ресурсов; политика учета пользовательских ресурсов; политика мониторинга пользовательских ресурсов; политика мониторинга прикладных ресурсов; политика предоставления и разграничения доступа к прикладным ресурсам; политика предоставления и разграничения доступа к информационным ресурсам; политика использования средств криптографической защиты; политика обеспечения актуальности информации; политика управления версиями; кадровая политика; политика обеспечения конфиденциальности служебной информации; экономическая политика
Обновляемые ресурсы Цели обновления Способы обновления Связанные ресурсы Связанные политики
Некоммерческие компьютеры, компьютеры для работы в агрессивной среде (например, «Эльбрус», «Катапульта») Новые функции, исключение поломок, физического износа и морального устаревания Полная замена оборудования и ПО, обновление только установленного ПО При обновлении серверов и рабочих станций могут быть простои в функционировании связанных с ними сервисов. Также может потребоваться замена или перенастройка ресурсов как более нижних уровней, так и уровня прикладных ресурсов (например, после обновления платформы окажется, что под новую платформу нет драйверов для устаревших, хотя еще вполне исправных лабораторных установок) Политика обновления инфраструктуры; политика учета инфраструктурных ресурсов; политика мониторинга инфраструктуры; политика предоставления и разграничения доступа к инфраструктурным ресурсам; политика защиты от вторжений; политика обеспечения целостности информации; политика защиты от нарушений доступности; политика резервного копирования; политика обновления прикладных ресурсов; политика учета пользовательских ресурсов; политика мониторинга пользовательских ресурсов; политика мониторинга прикладных ресурсов; политика предоставления и разграничения доступа к прикладным ресурсам; политика предоставления и разграничения доступа к информационным ресурсам; политика использования средств криптографической защиты; политика обеспечения актуальности информации; политика управления версиями; кадровая политика; политика обеспечения конфиденциальности служебной информации; экономическая политика
Мэйнфреймы (например, IBM серии Z) Новые функции, исключение поломок, физического износа и морального устаревания Полная замена оборудования и ПО При обновлении серверов будут простои в функционировании связанных с ними сервисов Политика обновления инфраструктуры; политика учета инфраструктурных ресурсов; политика мониторинга инфраструктуры; политика предоставления и разграничения доступа к инфраструктурным ресурсам; политика защиты от вторжений; политика обеспечения целостности информации; политика защиты от нарушений доступности; политика резервного копирования; политика обновления прикладных ресурсов; политика учета пользовательских ресурсов; политика мониторинга пользовательских ресурсов; политика мониторинга прикладных ресурсов; политика предоставления и разграничения доступа к прикладным ресурсам;
Продолжение таблицы
Обновляемые ресурсы Цели обновления Способы обновления Связанные ресурсы Связанные политики
политика предоставления и разграничения доступа к информационным ресурсам; политика использования средств криптографической защиты; политика обеспечения актуальности информации; политика управления версиями; кадровая политика; политика обеспечения конфиденциальности служебной информации; экономическая политика
Прикладные ресурсы
Автономные программы Устранение ошибок, добавление новых функций Замена на новую версию, в которой исправлены ошибки или добавлены востребованные функции Автономные программы обычно не влияют на другие ресурсы Политика резервного копирования; политика обновления прикладных ресурсов; политика учета пользовательских ресурсов; политика мониторинга пользовательских ресурсов; политика мониторинга прикладных ресурсов; политика предоставления и разграничения доступа к прикладным ресурсам; политика предоставления и разграничения доступа к информационным ресурсам; политика использования средств криптографической защиты; политика обеспечения актуальности информации; политика управления версиями; кадровая политика; политика обеспечения конфиденциальности служебной информации; экономическая политика
Прикладное ПО, пользующееся внешними библиотеками Устранение ошибок, добавление новых функций, ликвидация морального устаревания Замена на новую версию, в которой исправлены ошибки или добавлены востребованные функции. Прикладное ПО бывает модульным - возможна замена одного или нескольких модулей Обновление прикладного ПО может подразумевать обновление платформы, например, для выполнения требований по производительности системы для новой версии прикладного ПО Политика обновления прикладных ресурсов; политика учета пользовательских ресурсов; политика мониторинга пользовательских ресурсов; политика мониторинга прикладных ресурсов; политика предоставления и разграничения доступа к прикладным ресурсам; политика предоставления и разграничения доступа к информационным ресурсам; политика использования средств криптографической защиты; политика обеспечения актуальности информации; политика управления версиями; кадровая политика; политика обеспечения конфиденциальности служебной информации; экономическая политика
Обновляемые ресурсы Цели обновления Способы обновления Связанные ресурсы Связанные политики
Интегрированное в ОС прикладное ПО Устранение ошибок, добавление новых функций, ликвидация морального устаревания Замена на новую версию, в которой исправлены ошибки или добавлены востребованные функции. Прикладное ПО бывает модульным - возможна замена одного или нескольких модулей Обновление прикладного ПО может подразумевать обновление платформы, например, для выполнения требований по производительности системы для новой версии прикладного ПО Политика обновления прикладных ресурсов; политика учета пользовательских ресурсов; политика мониторинга пользовательских ресурсов; политика мониторинга прикладных ресурсов; политика предоставления и разграничения доступа к прикладным ресурсам; политика предоставления и разграничения доступа к информационным ресурсам; политика использования средств криптографической защиты; политика обеспечения актуальности информации; политика управления версиями; кадровая политика; политика обеспечения конфиденциальности служебной информации; экономическая политика
Профили системы
Сотрудники Реализация кадровой политики, подбор кадров, поощрения, взыскания, контроль за деятельностью сотрудников, выполнением матрицы доступа Проверка соответствия кадровых документов матрице доступа к ресурсам ОС Информационные ресурсы, прикладное ПО Политика обновления инфраструктуры; политика учета инфраструктурных ресурсов; политика мониторинга инфраструктуры; политика предоставления и разграничения доступа к инфраструктурным ресурсам; политика защиты от вторжений; политика обеспечения целостности информации; политика защиты от нарушений доступности; политика резервного копирования; политика обновления прикладных ресурсов; политика учета пользовательских ресурсов; политика мониторинга пользовательских ресурсов; политика мониторинга прикладных ресурсов; политика предоставления и разграничения доступа к прикладным ресурсам; политика предоставления и разграничения доступа к информационным ресурсам; политика использования средств криптографической защиты; политика обеспечения актуальности информации; кадровая политика; политика обеспечения конфиденциальности служебной информации; экономическая политика
Обновляемые ресурсы Цели обновления Способы обновления Связанные ресурсы Связанные политики
Служебная информация Выполнение матрицы доступа к ресурсам ИС, контроль за шифрованием и неизменностью всех данных, имеющих гриф конфиденциальности Технические средства мониторинга, контроль за соответствием перечня данных, имеющих гриф конфиденциальности, с перечнем данных, практически подвергаемым процедурам шифрования Информационные ресурсы, прикладное ПО, кадровые ресурсы Политика обновления инфраструктуры; политика учета инфраструктурных ресурсов; политика мониторинга инфраструктуры; политика предоставления и разграничения доступа к инфраструктурным ресурсам; политика защиты от вторжений; политика обеспечения целостности информации; политика защиты от нарушений доступности; политика резервного копирования; политика обновления прикладных ресурсов; политика учета пользовательских ресурсов; политика мониторинга пользовательских ресурсов; политика мониторинга прикладных ресурсов; политика предоставления и разграничения доступа к прикладным ресурсам; политика предоставления и разграничения доступа к информационным ресурсам; политика использования средств криптографической защиты; политика обеспечения актуальности информации; кадровая политика; политика обеспечения конфиденциальности служебной информации; экономическая политика
Экономическая политика Целесообразное распределение средств бюджетов на содержание ИС Контроль за использованием ресурсов ИС сотрудниками, выходом новых версий оборудования и программного обеспечения Аппаратные ресурсы, программно-аппаратные ресурсы, кадровые ресурсы Политика обновления инфраструктуры; политика учета инфраструктурных ресурсов; политика мониторинга инфраструктуры; политика предоставления и разграничения доступа к инфраструктурным ресурсам; политика защиты от вторжений; политика обеспечения целостности информации; политика защиты от нарушений доступности; политика резервного копирования; политика обновления прикладных ресурсов; политика учета пользовательских ресурсов; политика мониторинга пользовательских ресурсов; политика мониторинга прикладных ресурсов; политика предоставления и разграничения доступа к прикладным ресурсам; политика предоставления и разграничения доступа к информационным ресурсам; политика использования средств криптографической защиты; политика обеспечения актуальности информации; кадровая политика; политика обеспечения конфиденциальности служебной информации; экономическая политика
Список литературы
1. Галатенко В. А. Стандарты информационной безопасности. М.: ИНТУИТ.РУ Интернет-университет информационных технологий, 2006. 208 с.
2. Гуляев Ю. В., Олейников А. Я. Открытые системы: от принципов к технологии // Информационные технологии и вычислительные системы. 2003. Вып. 3. С. 4-12.
3. Ревнивых А. В., Федотов А. М. Обзор политик информационной безопасности // Вестн. Новосиб. гос. ун-та. Серия: Информационные технологии. 2012. Т. 10, вып. 3. С. 66-79.
4. Мазов Н. А., Ревнивых А. В., Федотов А. М. Классификация рисков информационной безопасности // Вестн. Новосиб. гос. ун-та. Серия: Информационные технологии. 2011. Т. 9, вып. 2. С. 80-89.
Материал поступил в редколлегию 22.05.2013
А. V. Revnivykh, А. М. Fedotov RESOURCE UPDATE POLICIES IN INFORMATION SYSTEMS
This paper describes the classification of resource update policies in modern information-processing systems. Keywords: information security, information security policy, resource updates, system profiles.
