Глава 3. Разработка архитектуры разработанной системы
Требования к системе
-
Веб-сервис
-
Бесплатность для пользователя
-
Возможность выбора стандарта
-
Простой ввод информации аудита
-
Понятный отчет
-
Наличие рекомендаций по выполнению требований стандарта
-
В виде советов других пользователей
-
В виде предложений от поставщиков услуг ИБ
-
Возможность обсуждения с другими пользователями требований стандарта
Описание системы
Система представляет собой веб-сервис, предоставляющий услугу аудита ИС на соответствие стандартам ИБ. Система ориентирована на два типа пользователей: системных администраторов малых предприятий и поставщиков услуг обеспечения ИБ.
Первой группе пользователей – системным администраторам – система предоставляет интерактивный интерфейс для выбора стандарта и проведения процедуры сбора информации аудита. Затем система проводит анализ информации аудита и предоставляет отчет, содержащий оценку уровня соответствия системы выбранному стандарту с предупреждениями о возможных угрозах безопасности и предложении средств их решения.
Второй группе пользователей – поставщикам услуг обеспечения ИБ – система предоставляет возможность разместить рекламу своих услуг, которая будет добавляться в отчет пользователя. Модератор системы отвечает за соответствие рекламируемых услуг пунктам в отчете системы.
Система бесплатна для первой группы пользователей и платна для второй.
Структура системы (диаграмма классов)
Сценарии использования системы (модель прецедентов)
Пользователь
-
Регистрируется в системе
-
Выбирает стандарт (присутствует вариант по умолчанию для новичков)
-
Вводит информацию аудита
-
В возможности входит ответы «выполнено», «не выполнено», «не применимо для данной ИС»
-
Знакомится с отчетом
-
Просматривает рекомендации, относящиеся к выполнению требования стандарта.
-
Выбирает поставщика или поставщиков услуг для выполнения требований системы.
-
Обсуждает с другими пользователями требования стандарта.
-
Обсуждение угроз, связанных с невыполнением требований.
-
Обсуждение рекомендаций дальнейших действий.
-
Для каждого требования аудита при желании пользователя отображается текст стандарта, в котором данное требование сформулировано.
-
При повторном аудите при желании пользователь оставляет собственные рекомендации по выполнению определенных требований стандарта.
Поставщик услуг ИБ
-
Регистрируется в системе
-
Заполняет список базовых услуг-рекомендаций.
-
Просматривает отчет, содержащий информацию о том, к каким требованиям стандартов относятся предоставляемые им услуги.
-
При желании добавляет уникальные услуги, привязывая их к определенным требованиям стандарта.
-
Производит оплату услуг
-
Либо покупает абонемент на временной период и неограниченное число показов.
-
Либо оплачивает определенное число показов.
-
Регулярно получает статистику просмотров рекомендаций и переходов по ссылкам.
-
Участвует в обсуждениях требований.
Модератор системы
Модератор является штатным специалистом по информационной безопасности. В обсуждениях является независимой стороной.
-
Производит наполнение базы данных стандартов.
-
Выполняет необходимую разметку.
-
Формулирует требования.
-
При необходимости разрабатывает функции обработки пользовательских данных.
-
Заполняет список базовых услуг, относящихся к каждому требованию.
-
Проверяет, соответствуют ли предложения поставщиков требованиям стандартов.
-
Либо утверждает, либо советует отнести к другим требованиям.
-
Участвует в обсуждении требований, отвечает на вопросы пользователей.
|