7.1.4. Защищенность
Оценивание защищенности ПС состоит из определения полноты и эффективности использования доступных методов, средств и ресурсов для защиты ПС от различных потенциальных угроз и достигнутой при этом безопасности функционирования информационной системы.
Создание системы защиты должно предусматривать планирование, реализацию и оценивание целенаправленной политики комплексного обеспечения безопасности информационной системы. При этом должны быть предприняты меры для эффективного распределения системных требований к защите между аппаратными и программными компонентами обеспечения безопасности.
Методологически решение этих задач должно осуществляться как проектирование и оценивание сложной автономной программно-аппаратной системы в окружении и взаимодействии с основными функциональными задачами информационной системы. При этом следует:
определять и ранжировать функциональные компоненты ПС по степени необходимой защиты;
оценивать опасность различных внешних и внутренних угроз безопасности;
выделять методы, средства и нормативные документы, адекватные видам угроз и требуемой защите;
оценивать необходимые для этого ресурсы различных видов для комплексного сбалансированного обеспечения безопасности функциональных ПС.
В процессе системного проектирования ПС необходимо решать целый ряд технических и организационных проблем создания равнопрочной системы защиты и поддерживающего ее комплекта методологических, правовых, нормативных документов и инструкций.
Процессы проектирования и оценивания программ обеспечения безопасности информационных систем принципиально не отличаются от проектирования любых других программных комплексов (см. ISO/IEC 12207). Для этого необходимо анализировать, конкретизировать и оценивать задачи, исходные данные и факторы, определяющие безопасность функционирования программ:
критерии и их значения, характеризующие необходимый и достаточный уровень безопасности информационной системы в целом и каждого из ее основных функциональных компонентов в соответствии с условиями среды применения информационной системы и требованиями спецификаций заказчика;
состав и характеристики возможных внутренних и внешних дестабилизирующих факторов и угроз, способных влиять на безопасность функционирования ПС и БД проектируемой информационной системы;
состав и содержание подлежащих решению задач защиты, перекрывающих все потенциально возможные угрозы и оценки эффективности решения отдельных задач, необходимых для обеспечения равнопрочной защиты информационной системы с заданной эффективностью;
оперативные методы и средства повышения безопасности функционирования программ в течение всего ЖЦ информационной системы путем введения временной, программной и информационной избыточности для реализации системы защиты от актуальных видов угроз;
ресурсы, необходимые и доступные для разработки и размещения программных компонентов системы обеспечения безопасности информационной системы (финансово-экономические, ограниченная квалификация специалистов и вычислительные ресурсы ЭВМ);
стандарты, нормативные документы и методики воспроизводимых измерений и оценивания характеристик защиты, а также состав и значения исходных и результирующих данных, обязательных для проведения испытаний защиты.
Качество защищенности оценивается множеством параметров, из которых на атрибуты этой субхарактеристики наибольшее влияние оказывают представленные в табл.4.1. Кроме того, следует оценивать влияние средств защиты на функциональные и временные характеристики информационной системы при автоматизированной обработке информации.
Оценивание достигнутой эффективности реализованной системы защиты информационной системы начинается с анализа и регистрации (рис.7.1):
возможных угроз безопасности функционирования ПС;
требуемых критериев и характеристик качества защиты;
доступных и использованных ресурсов на реализацию защиты;
характеристик и особенностей объектов, подлежащих защите.
Далее должны быть оценены выбранные методы и инструментальные средства для реализации защиты. Реализацию такой защиты следует сопоставить с требованиями заказчика и обязательствами ее поставщика, а также оценить степень поддержки руководствами для пользователей и специалистов-администраторов по полному и корректному применению всего комплекса методов и средств защиты.
Рис.7.1. Процесс оценивания эффективности реализованной системы защиты
Проведенные оценки и документы обобщаются в необходимых уточнениях и корректировках концепции построения и организации системы обеспечения безопасности функционирования и применения информационной системы.
Завершающий анализ и оценивание реализации концепции и всего комплекса методов, средств и их взаимодействия в системе защиты информационной системы приводит к возможности определения достигнутых характеристик и атрибутов качества комплексной защищенности информационной системы, а также к их сопоставлению с требованиями заказчика проекта.
Для эффективного применения и совершенствования системы защиты необходимо также оценивать качество средств обнаружения и регистрации предумышленных нападений на информационную систему, проявлений и реализации угроз безопасности, а также мониторинга инцидентов, угрожавших нарушению и/или преодолению системы защиты.
Для размещения средств защиты информационной системы в ЭВМ при проектировании должна быть предусмотрена программная и информационная избыточности в виде ресурсов внешней и внутренней памяти ЭВМ. Кроме того, для функционирования средств защиты необходима временная избыточность – дополнительная производительность ЭВМ.
Качество комплексов защиты зависит от применения конкретных стандартов и нормативных документов и реализации их требований. Наиболее широко и детально методологические и системные задачи проектирования и оценивания комплексной защиты информационных систем изложены в стандарте ISO 15408:1999–1–3 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». Стандарт представляет детальное комплексное руководство, охватывающее требования к функциям и методам гарантирования и оценивания качества основных современных методов и средств обеспечения безопасности. Его целесообразно использовать при практическом создании систем защиты ПС.
- Стандартизация и сертификация программного обеспечения
- © Уо «пгу», 2007Содержание введение
- Рабочая программа
- Рейтинговая оценка знаний
- Конспект лекций
- 1. Качество как экономическая категория и объект управления
- 1.1. Понятие качества. Предмет и задачи курса
- 1.2. Управление качеством как фактор успеха предприятия в конкурентной борьбе
- 1.3. Стандартизация в системе управления качеством
- 1.3.1. Система стандартизации
- 1.3.2. Категории нормативных документов
- 1.3.3. Уровни стандартизации
- 1.4. Механизм управления качеством
- 1.5. Стандарты исо серии 9000
- 1.5.1. Фундаментальные требования
- 1.5.2. Структура комплекса стандартов
- 1.5.3. Структура документов системы управления качеством
- 1.5.4. Как работает система управления качеством
- 1.6. Сертификация продукции, услуг и систем менеджмента качества
- 1.6.1. Основные предпосылки сертификации
- 1.6.2. Обязательная и добровольная сертификация
- 1.6.3. Национальная система сертификации
- 1.6.4. Схемы сертификации и условия их применения
- 1.6.5. Порядок проведения работ по сертификации
- Вопросы по теме
- 2. Жизненный цикл программнЫх средств
- 2.1. Понятие жизненного цикла
- 2.2. Базовый профиль жизненного цикла программных средств
- 2.3. Особенности стандартизации жизненного цикла программных средств
- 2.4. Методическая основа технологии жизненного цикла программных средств
- 2.5. Преимущества применения стандартов жизненного цикла
- 2.6. Структура профилей стандартов жизненного цикла программных средств
- 2.7. Стандартизация жизненного цикла программных средств
- 2.7.1. Стандарт iso/iec 12207
- 2.7.2. Стандарт iso 15504
- 2.8. Модель жизненного цикла программного продукта
- 2.8.1. Схема модели
- 2.8.2. Каскадная модель
- 2.8.3. Спиральная модель
- 2.8.4. Другие типы моделей
- Вопросы по теме
- 3. Основные понятия и характеристики качества программных средств
- 3.1. Основные факторы, определяющие качество программных средств
- 3.2. Стандарты, регламентирующие характеристики качества
- 3.3. Метрики характеристик качества программных средств
- 3.4. Особенности измерения и оценивания характеристик качества
- 3.5. Негативные факторы, влияющие на качество
- 3.6. Ресурсы, ограничивающие достижимые характеристики качества
- Вопросы по теме
- 4. Выбор мер и шкал характеристик качества программных средств
- 4.1. Принципы выбора характеристик качества
- 4.2. Выбор свойств и атрибутов качества функциональных возможностей
- 4.2.1. Функциональная пригодность
- 4.2.2. Корректность и надежность
- 4.2.3. Способность к взаимодействию
- 4.2.4. Защищенность
- 4.3. Выбор количественных атрибутов характеристик качества
- 4.3.1. Надежность
- 4.3.2. Эффективность
- 4.4. Выбор качественных атрибутов характеристик качества
- 4.4.1. Практичность
- 4.4.2. Сопровождаемость
- 4.4.3. Мобильность
- 4.4.4. Качество документации
- 4.5. Процессы выбора и установления характеристик и мер качества в проектах программных средств
- Вопросы по теме
- 5. Стандартизация оценивания технологических процессов жизненного цикла и характеристик качества программных средств
- 5.1. Оценивание уровня зрелости процессов жизненного цикла и обеспечения качества программных средств
- 5.2. Оценивание жизненного цикла программных средств по стандарту iso 15504
- 5.3. Оценивание качества готового программного продукта по стандарту iso 14598
- 5.4. Организация и средства для оценивания качества комплексов программ
- 5.4.1. Модель внешней среды
- 5.4.2. Испытания программного продукта
- 5.4.3. Альфа– и Бета–тестирование
- 5.4.4. Программная генерация тестов
- 5.4.5. Обработка результатов испытаний
- Вопросы по теме
- 6. Единая система программной документации
- 6.1. Общая характеристика еспд
- 6.2. Структура еспд
- 6.3. Гост 19.101. Виды программ и программных документов
- 6.4. Гост 19.102. Стадии разработки
- 6.5. Гост 19.103. Обозначение программ и программных документов
- 6.6. Гост 19.105. Общие требования к программным документам
- 6.7. Гост 19.104. Основные надписи
- 6.8. Гост 19.106. Требования к программным документам, выполненным печатным способом
- 6.9. Гост 19.201. Техническое задание. Требования к содержанию и оформлению
- 6.10. Гост 19.202. Спецификация. Требования к содержанию и оформлению
- 6.11. Гост 19.301. Программа и методика испытаний. Требования к содержанию, оформлению и контролю качества
- 6.11.1. Требования к содержанию
- 6.11.2. Показатели качества, определяемые на основе результатов анализа раздела «Требования к программе»
- 6.11.3. Показатели качества, определяемые на основе результатов анализа раздела «Требования к программной документации»
- 6.11.4. Показатели качества, определяемые на основе результатов анализа раздела «Средства и порядок испытаний»
- 6.11.5. Показатели качества, определяемые на основе результатов анализа раздела «Методы испытаний»
- 6.12. Гост 19.401. Текст программы. Требования к содержанию и оформлению
- 6.13. Гост 19.402. Описание программы
- 6.14. Гост 19.404. Пояснительная записка. Требования к содержанию и оформлению
- 6.15. Гост 19.502. Описание применения. Требования к содержанию и оформлению
- 6.16. Гост 19.503. Руководство системного программиста. Требования к содержанию и оформлению
- 6.17. Гост 19.504. Руководство программиста. Требования к содержанию и оформлению
- 6.18. Гост 19.505. Руководство оператора. Требования к содержанию и оформлению
- 6.19. Гост 19.508. Руководство по техническому обслуживанию. Требования к содержанию и оформлению
- Вопросы по теме
- 7. Оценивание характеристик качества программных средств
- 7.1. Оценивание функциональных возможностей
- 7.1.1. Функциональная пригодность
- 7.1.2. Корректность
- 7.1.3. Способность к взаимодействию
- 7.1.4. Защищенность
- 7.2. Оценивание надежности функционирования
- 7.3. Оценивание эффективности использования ресурсов эвм
- 7.4. Оценивание практичности
- 7.5. Оценивание сопровождаемости
- 7.6. Оценивание мобильности
- 7.7. Оценивание качества эксплуатационной и технологической документации
- 7.7.1. Документирование в процессах жизненного цикла
- 7.7.2. Технологическая документация
- 7.7.3. Эксплуатационная документация
- 7.8. Оценивание рисков в жизненном цикле
- 7.9. Интегральное оценивание характеристик качества
- Вопросы по теме
- 8. Сертификация программного обеспечения
- 8.1. Организация сертификации программных продуктов
- 8.2. Документирование процессов и результатов сертификации
- Вопросы по теме
- Практические занятия практическая работа № 1 выбор характеристик и мер качества программного средства по стандарту isO 9126
- План практического занятия
- Практическая работа № 2 разработка технического задания на создание программного средства
- План практического занятия
- Практическая работа № 3 разработка технологической документации на программное средство
- План практического занятия
- Практическая работа № 4 разработка эксплуатационной документации на программное средство
- План практического занятия
- Практическая работа № 5 Оценивание качества программного продукта по стандарту гост 28195
- Словарь основных терминов
- Список использованных источников
- Перечень основных международных стандартов в области обеспечения жизенного цикла и качества программных средств
- 211440 Г. Новополоцк, ул. Блохина, 29