Одной из проблем при обеспечении информационной безопасности в автоматизированных системах является быстрая смена используемых программно-аппаратных платформ. Такая смена диктуется ростом объемов и сложности решаемых задач при постоянном сокращении времени, отводимого на их решение. При этом в большинстве случаев специфика автоматизированных систем не позволяет отказаться от использования импортных программных и аппаратных средств.

В докладе анализируются характеристики программного обеспечения (ПО) для различных категорий пользователей с точки зрения информационной безопасности. В их числе выделены основные: функциональные возможности, надежность, эффективность, практичность, сопровождаемость и мобильность.

Основное внимание уделено рассмотрению проблемы оценивания защищенности ПО - определение полноты и эффективности использования методов, средств и ресурсов для защиты ПО от различных потенциальных угроз и достигнутой при этом безопасности информационной системы (ИС). Для этого необходим всесторонний анализ данных и факторов, определяющих безопасное функционирование ИС:

• критерии, характеризующие уровень безопасности ИС;
• характеристики потенциальных дестабилизирующих воздействий, способных изменить необходимый и достаточный уровень безопасности ИС;
• состав задач защиты, перекрывающих потенциальные угрозы и определение их эффективности;
• методы и средства повышения безопасности функционирования ПО;
• ресурсы, необходимые для обеспечения безопасного функционирования ПО и ИС;
• стандарты и методики оценивания характеристик ПО.

Оценивание качества и эффективности ПО охватывает комплекс работ, объединяющий следующие этапы:

1. Анализ и оценка исходных данных - угроз, критериев защиты, ресурсов и их влияние на безопасность ИС.
2. Выделение и оценка объектов защиты ИС и управление их взаимодействием.
3. Оценка методов и средств защиты и их интеграция для обеспечения комплексной безопасности ИС.
4. Анализ и оценка обязательств поставщиков ПО и обязанностей администраторов ИС по обеспечению безопасности.
5. Оценка концепции безопасности ИС с точки зрения моделирования вариантов взаимодействия системы информационной безопасности и уровня допустимого риска.
6. Оценка реализации комплекса методов и средств обеспечения информационной безопасности.
7. Анализ достигнутого уровня защищенности ИС в целом, отдельных компонент (технических, программных, коммуникационных и др.), а также качества сопровождения ПО, регистрация и мониторинг событий.