問題の歴史:
情報セキュリティの要求事項は、大規模なITプロジェクトの重要な要素であり、最初のセキュリティ監査基準(例えば、ISO 27001やロシアの連邦法152号の要件)が登場した時から重要視されています。要求事項の明確な分析と形式化がないと、システムのセキュリティは宣言的で実践的に適用できないリスクがあります。
問題:
セキュリティの要求はしばしば抽象的に formulされ(「すべてが保護されるべき」)、実際のビジネスプロセスやアーキテクチャを考慮せず、組織的、技術的、ユーザー的レベルで解読されていません。さらに、依頼者と開発者は同じ要求を異なる解釈をすることがあり、実現性と規制の不一致が生じます。
解決策:
システムアナリストは、企業、国家、業界の標準(例:GOST、GDPR、PCI DSS、ISO 27001)を研究することから始めます。その後、設計者やセキュリティ専門家と共にビジネスクリティカルなプロセス、データの保存・転送地点、潜在的な脅威を特定し、関連するリスクのリストを定義します。その基に、アナリストはアクセス、保存、ログ記録、暗号化に関する詳細な要求マトリックスを準備し、インシデントシナリオを作成します。合意された後、それらを文書に形式化します。こうして、各要求がテストや監査の際に検証できるようにします。
主な特徴:
なぜ、情報セキュリティを確保するための技術的手段(アンチウイルス、ファイアウォール、SIEM)のみに依存することはできないのか?
なぜなら、情報セキュリティはプロセスであり、単なるシステムのセットではないからです。組織的な手続き、人間の要因、定期的なチェック、ユーザー教育が重要な役割を果たします。
システムが内部テストを通過しただけで、要求は満たされたと考えられますか?
いいえ — 規制に準拠するためには、しばしば外部監査、認証、時には規制当局の管理下でのストレステストが必要です。
「システムは152-FZに従って保護されるべき」という要求をただ仕様書に渡すだけで十分ですか?
十分ではありません — 具体的な措置(アクセスコントロール、イベントログの保存、データの暗号化)、実施場所、検証基準を示す必要があります。
ネガティブケース: インターネットバンキングプロジェクトで、アナリストは仕様書に「152-FZの要求を守るべき」という一般的なフレーズだけを渡しました。請負業者は標準的な認証とSSL証明書を実装しましたが、外部監査の段階でデータ保存の管理がなく、認証ログが保護されていないことが明らかになりました。
プラス:
マイナス:
ポジティブケース:
プロジェクト開始時に、システムアナリストはセキュリティスペシャリストや依頼者と脅威の一覧を合意し、各シナリオに対して詳細な暗号化と監査の要求を開発し、責任者を特定しました。最終的に、システムは指摘なしで監査を通過しました。
プラス:
マイナス: