Документ представляет собой учебное пособие по системной инженерии и информационной безопасности, обсуждая ключевые проблемы и подходы к их решению. В нем рассматриваются различные источники проблем, такие как управленческие, междисциплинарные и сложность систем, а также выделяются основные роли системных инженеров. Также подчеркивается важность интеграции инженерии безопасности и защиты на всех стадиях жизненного цикла разработки систем.

1. 101 курс 101 курса Системной Инжинирии для CISO
Конференция UISGCON10
Владимир Гнинюк
ген. директор ООО «Глобал АйТи Сервис»

2. Современное Предприятие
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 2
Технологии бизнес-инжиниринга : учеб. пособие / Д. В. Кудрявцев, М. Ю. Арзуманян, Л. Ю. Григорьев.

3. Источники проблем СУИБ
•Онтологические
•Управленческие
•Междисциплинарные
•Сложность
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 3

4. Источники проблем: Что есть ИБ?
Інформаційна безпека (information security)
Збереження конфіденційності, цілісності та доступності інформації; крім того, можуть враховуватися інші властивості, такі, як автентичність, спостержність, неспростовність та надійність (СОУ Н НБУ 65.1 СУІБ 1.0:2010)
-----------------------------------------------------------------------------
Інформаційна безпека - це захист інформації від широкого діапазону загроз з метою забезпечення безперервності бізнесу, мінімізації бізнес-ризику і отримання максимальних рентабельності інвестицій і бізнес-можливостей. (СОУ Н НБУ 65.1 СУІБ 2.0:2010)
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 4

5. Шаблоны Картины мира
© Владимир Гнинюк, 2012
Конференция UISGCON8
Страница 5
Понятия ИБ ГОСТ Р ИСО/МЭК 15408-1-2002
Business Model for Information Security от ISACA (2010)

6. Источники проблем: Управление
•где написано, что надо создавать "подразделение ИБ"?
•управление требованиями
•описание систем (целевой, обеспечивающей, операционного окружения): функциональные, архитектурные, моделирование, и т.п.
•управление конфигурацией и целостностью: управление изменениями, issues vs требований, валидация vs верификации, обьединение информационных систем
•управление жизненным циклом
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 6

7. Источники проблем: Междисциплинарные
•SCADA
•СКУД, Видеонаблюдение
•GSM-навигация
•IoT
•Разные носители и формы
•Строительные конструкции
•Кондиционирование
•Энергетика
•Геология и Климат
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 7

8. Источники проблем: Сложность
•Бизнес-системы
•Инфраструктура: своя, аутсорсинг, облака, …
•Границы системы - система в глазах смотрящего
… все это перемножить с выше сказанным
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 8

9. Поиск решения
Что делать?
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 9

10. Поиск решения: Системная Инженерия
междисциплинарный подход и средства для создания успешных систем
Systems Engineering Handbook, version 2a. — INCOSE, 2004
междисциплинарный подход, охватывающий все технические усилия по развитию и верификации интегрированного и сбалансированного в жизненном цикле множества системных решений, касающихся людей, продукта и процесса, которые удовлетворяют потребности стейкхолдеров
MIL-STD-499 Military Standard System Engineering
Management. — Department of Defense, 1969.
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 10

11. Поиск решения: Системная Инженерия
Правильная деятельность благодаря системноинженерному мышлению:
•Целостность, междисциплинарность и эмерджентность
•Система без стейкхолдера не существует
•Система – это всегда холон, входящей в холархию
•Жизненный цикл
Главный вопрос: ЗАЧЕМ?
Главный принцип:
Сначала думать, а затем делать
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 11

12. СИ vs Project Management
Мотивация:
«Что делать?» vs «Как делать?»
Ориентиры:
«Цели» vs «Ресурсы»
Продолжительность:
«Жизненный Цикл» vs «Стадия»
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 12

13. Стадии жизненного цикла (ISO/IEC 15288)
a) стадия замысла;
b) стадия разработки;
c) стадия производства;
d) стадия применения;
e) стадия поддержки применения;
f) стадия прекращения применения и списания
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 13

14. Практики: V-model процесса СИ
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 14
Концепция
Проектирование
Архитектуры
Детальное
проектирование
Реализация
Модульное тестирование и интеграция
Тестирование и проверка системы
Введение в эксплуатацию и поддержка
Валидация системы
Верификация системы
Верификация компонент
В р е м я

15. Практики: Языки моделирования
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 15
•ArchiMate
•Essence
•SysML
•Modelica
•AADL
•etc, etc, etc

16. Практики: ISO/IEC 15288
Процесс приобретения Процесс поставки Процессы предприятия
•управления средой предприятия
•управления инвестициями
•управления процессами ЖЦ системы
•управления ресурсами
•управления качеством
Процессы проекта
•планирования проекта
•оценки проекта
•контроля проекта
•принятия решений
•управления рисками
•управления конфигурацией
•управления информацией
Технические процессы
•определения требований стейкхолдеров
•анализа требований
•проектирования архитектуры
•реализации элементов системы
•комплексирования
•верификации
•передачи
•валидации
•функционирования
•обслуживания
•изъятия и списания
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 16

17. Практики: OMG Essence и СИ
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 17
А. Левенчук Системноинженерное мышление в управлении жизненным циклом, TechInvestLab, 2014

18. Основные Роли Системных Инженеров
Инженер по требованиям
Инженер системной архитекторы
Инженер по управлению конфигурацией
Инженер по испытаниям
Инженер по безопасности
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 18

19. Инженерия защитоспособности
Инженерия безопасности - дисциплина системной инженерии, связанная с уменьшением риска ненамеренного несанкционированного ущерба ценным активам до приемлемого для стейкхолдеров системы уровня путем предупреждения, выявления и соответствующего реагирования на такой ущерб, происшествия (то есть несчастные случаи и аварийные ситуации), уязвимости, нарушителей, опасности и риски безопасности
Инженерия защиты - дисциплина системной инженерии, связанная с понижением риска намеренного несанкционированного ущерба ценным активам до приемлемого для стейкхолдеров системы уровня путем предупреждения, выявления и соответствующего реагирования на такой ущерб, злоупотребления (то есть атаки и аварийные ситуации), уязвимости, гражданских нарушителей, угрозы и риски защиты.
Инженерия живучести - дисциплина системной инженерии, связанная с понижением риска намеренного несанкционированного ущерба ценным активам до приемлемого для стейкхолдеров системы уровня путем предупреждения, выявления и соответствующего реагирования на такой ущерб, злоупотребления (то есть атаки и аварийные ситуации), уязвимости, военных нарушителей, угрозы и риски живучести.
Donald Firesmith, SEI, Carnegie Mellon University
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 19

20. Проблема: Инженерии безопасности и защиты
•Обычно рассматриваются как вторичные дисциплины специальной инженерии
•Выполняются отдельно, по большей части независимо и с отставанием от первичного инженерного хода работ: (требования, архитектура, проектирование, реализация, интеграция, испытания, разворачивание, поддержка)
Безопасность и защита слишком часто испытываются в существующих системах (реактивно), нежели адекватно встраиваются в системы в ходе разработки (проактивно)
Donald Firesmith, SEI, Carnegie Mellon University
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 20

21. Проблема: Разделение инженерий
Разделение инженерии требований и инженерии безопасности и защиты вызывает:
Плохие требования безопасности и защиты, которые часто:
•Расплывчаты, непроверяемы, и не истинные требования, а неосуществимые возможности или цели
•Неудовлетворительны для направления архитектуры, проектирования и реализации
•Определены и управляемы отдельно от всех остальных требований
•Игнорируются инженерами по требованиям и архитекторами
•Производятся слишком поздно для архитектуры и испытаний
Donald Firesmith, SEI, Carnegie Mellon University
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 21

22. Пример: Типы систем
Donald Firesmith, SEI, Carnegie Mellon University
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 22

23. Пример: Активы
Donald Firesmith, SEI, Carnegie Mellon University
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 23

24. Пример : Уязвимости
Donald Firesmith, SEI, Carnegie Mellon University
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 24

25. Пример : Анализ Нарушений
Donald Firesmith, SEI, Carnegie Mellon University
© Владимир Гнинюк, 2014
Конференция UISGCON10
Страница 25

26. В поисках взаимопонимания ИБ и Бизнеса Вопросы
Владимир Гнинюк
e-mail: vgninyuk@global-it-service.com.ua
Блог: «Make IT Secure» http://vgninyuk.blogspot.com/
Тел. +380 50 44 008 44