YII Международная научная конференция
"Наука, техника, медицина и биоэтика
в стратегии жизнедеятельности человека"
В.Благодатских, Г.Черней, С.Охрименко, Т.Топор
|
Оценка качества программного обеспечения
Одной из проблем при обеспечении информационной
безопасности в автоматизированных системах является быстрая
смена используемых программно-аппаратных платформ. Такая
смена диктуется ростом объемов и сложности решаемых задач
при постоянном сокращении времени, отводимого на их решение.
При этом в большинстве случаев специфика автоматизированных
систем не позволяет отказаться от использования импортных
программных и аппаратных средств.
В докладе анализируются характеристики программного
обеспечения (ПО) для различных категорий пользователей с
точки зрения информационной безопасности. В их числе
выделены основные: функциональные возможности, надежность,
эффективность, практичность, сопровождаемость и мобильность.
Основное внимание уделено рассмотрению проблемы
оценивания защищенности ПО - определение полноты и
эффективности использования методов, средств и ресурсов для
защиты ПО от различных потенциальных угроз и достигнутой при
этом безопасности информационной системы (ИС). Для этого
необходим всесторонний анализ данных и факторов,
определяющих безопасное функционирование ИС:
- критерии, характеризующие уровень безопасности ИС;
- характеристики потенциальных дестабилизирующих
воздействий, способных изменить необходимый и достаточный
уровень безопасности ИС;
- состав задач защиты, перекрывающих потенциальные угрозы
и определение их эффективности;
- методы и средства повышения безопасности
функционирования ПО;
- ресурсы, необходимые для обеспечения безопасного
функционирования ПО и ИС;
- стандарты и методики оценивания характеристик ПО.
Оценивание качества и эффективности ПО охватывает
комплекс работ, объединяющий следующие этапы:
- Анализ и оценка исходных данных - угроз, критериев
защиты, ресурсов и их влияние на безопасность ИС.
- Выделение и оценка объектов защиты ИС и управление их
взаимодействием.
- Оценка методов и средств защиты и их интеграция для
обеспечения комплексной безопасности ИС.
- Анализ и оценка обязательств поставщиков ПО и
обязанностей администраторов ИС по обеспечению безопасности.
- Оценка концепции безопасности ИС с точки зрения
моделирования вариантов взаимодействия системы
информационной безопасности и уровня допустимого риска.
- Оценка реализации комплекса методов и средств
обеспечения информационной безопасности.
- Анализ достигнутого уровня защищенности ИС в целом,
отдельных компонент (технических, программных,
коммуникационных и др.), а также качества сопровождения ПО,
регистрация и мониторинг событий.