YII Международная научная конференция
"Наука, техника, медицина и биоэтика  в стратегии жизнедеятельности человека"




В.Благодатских, Г.Черней, С.Охрименко, Т.Топор

Оценка качества программного обеспечения



Одной из проблем при обеспечении информационной безопасности в автоматизированных системах является быстрая смена используемых программно-аппаратных платформ. Такая смена диктуется ростом объемов и сложности решаемых задач при постоянном сокращении времени, отводимого на их решение. При этом в большинстве случаев специфика автоматизированных систем не позволяет отказаться от использования импортных программных и аппаратных средств.

В докладе анализируются характеристики программного обеспечения (ПО) для различных категорий пользователей с точки зрения информационной безопасности. В их числе выделены основные: функциональные возможности, надежность, эффективность, практичность, сопровождаемость и мобильность.

Основное внимание уделено рассмотрению проблемы оценивания защищенности ПО - определение полноты и эффективности использования методов, средств и ресурсов для защиты ПО от различных потенциальных угроз и достигнутой при этом безопасности информационной системы (ИС). Для этого необходим всесторонний анализ данных и факторов, определяющих безопасное функционирование ИС:

Оценивание качества и эффективности ПО охватывает комплекс работ, объединяющий следующие этапы:

  1. Анализ и оценка исходных данных - угроз, критериев защиты, ресурсов и их влияние на безопасность ИС.
  2. Выделение и оценка объектов защиты ИС и управление их взаимодействием.
  3. Оценка методов и средств защиты и их интеграция для обеспечения комплексной безопасности ИС.
  4. Анализ и оценка обязательств поставщиков ПО и обязанностей администраторов ИС по обеспечению безопасности.
  5. Оценка концепции безопасности ИС с точки зрения моделирования вариантов взаимодействия системы информационной безопасности и уровня допустимого риска.
  6. Оценка реализации комплекса методов и средств обеспечения информационной безопасности.
  7. Анализ достигнутого уровня защищенности ИС в целом, отдельных компонент (технических, программных, коммуникационных и др.), а также качества сопровождения ПО, регистрация и мониторинг событий.