Programmalıq támiynat sapasın támiyinlew / 8-lekciya_ST
.pdf8-lekciya. Programmalıq támiynattı sertifikatlaw.
Jobası:
1.Programmalıq támiynattı sertifikatlawdıń mánisi, maqseti hám túrleri.
2.Sertifikatlaw processiniń basqıshları: Arza beriwden sertifikat alıwǵa shekem.
3.Májbúriy hám ıqtıyarlı sertifikatlawdıń ayırmashılıǵı hám qollanılıw tarawları.
4.Programmalıq támiynat qáwipsizligin (Security) sertifikatlaw (Common
Criteria).
Sertifikatlawdıń mánisi hám áhmiyeti
Programmalıq támiynattı sertifikatlaw – bul programmalıq ónimniń yamasa onı islep shıǵıw procesiniń belgili bir standartlarǵa, texnikalıq talaplarǵa hám normativ hújjetlerge sáykesligin rásmiy túrde tastıyıqlaw procesi. Sertifikatlaw ǵárezsiz, akkreditaciyadan ótken "Sertifikatlaw organı" tárepinen ámelge asırıladı. Eger programma barlıq sınaqlardan tabıslı ótse, oǵan "Sáykeslik sertifikatı" beriledi. Bul hújjet paydalanıwshılarǵa ónimniń sapalı, qáwipsiz hám isenimli ekenine kepillik beredi. Sertifikatlawdıń tiykarǵı maqseti
– "Isenim" (Trust) jaratıw. Dúkannan azıq-awqat alǵanda onıń sapa sertifikatına qaraǵanımız sıyaqlı, programmalıq támiynat satıp alǵanda da klientler (ásirese mámleketlik shólkemler hám iri korporaciyalar) onıń rásmiy tastıyıqlanǵan sapasın talap etedi. Sertifikatlaw ónimniń bazarǵa kiriwin ańsatlastıradı, onıń básekileslik qábiletin arttıradı hám paydalanıwshılardıń qorqınıshların (viruslar, qáteler, maǵlıwmat urlanıwı) azaytadı.
Sertifikatlaw eki obyektti qamtıwı múmkin: "Ónimdi" hám "Processti". Ónimdi sertifikatlawda (Product Certification) anıq bir programmanıń (mısalı, antivirus yamasa buxgalteriya programması) funkciyaları, islew tezligi hám qáwipsizligi tekseriledi. Processti sertifikatlawda (Process Certification) bolsa, kompaniyanıń islep shıǵıw processleri (Sapa menedjmenti sisteması - ISO 9001) tekseriledi. Eger kompaniya ISO 9001 sertifikatına iye bolsa, bul onıń sapalı ónim jaratıw qábiletin tastıyıqlaydı, biraq hárbir ónimniń sapasın tikkeley dálillemeydi.
Sertifikatlawdıń huqıqıy tiykarı bar. Kóp mámleketlerde, sonıń ishinde Ózbekstanda da, "Texnikalıq reglamentler" ámel etedi. Bul reglamentler geybir
túrdegi programmalar ushın (mısalı, maǵlıwmatlardı qorǵaw quralı, kriptografiyalıq qural) sertifikat alıwdı májbúriy etip qoyadı. Sertifikatlaw – bul tek texnikalıq tekseriw emes, al nızamshılıq talabı.
Sertifikatlaw procesiniń basqıshları
Sertifikatlaw procesi standartlastırılǵan hám bir neshe basqıshlardan turadı. Birinshi basqısh – "Arza beriw" (Application). Islep shıǵıwshı (yamasa satıwshı) sertifikatlaw organına rásmiy arza jiberedi. Arzaǵa programmanıń texnikalıq hújjetleri (paydalanıwshı qollanbası, texnikalıq pasport), islep shıǵıwshı haqqında maǵlıwmatlar hám sınaq ushın programmanıń nusqası (distributiv) qosıladı. Ekinshi basqısh – "Hújjetlerdi ekspertiza etiw". Sertifikatlaw organınıń qánigeleri (ekspertler) usınılǵan hújjetlerdiń tolıqlıǵın, durıslıǵın hám standartlarǵa sáykesligin tekseredi. Eger hújjetlerde kemshilik bolsa, olar qaytarıladı. Bul basqıshta "Sertifikatlaw sxeması" tańlanadı (bir ónim ushın ba, seriyalı óndiris ushın ba?).
Úshinshi hám eń áhmiyetli basqısh – "Sınaqlar" (Testing). Programma akkreditaciyadan ótken "Sınaq laboratoriyasına" jiberiledi. Laboratoriyada qánigeler programmanı haqıyqıy kompyuterlerge ornatıp, onıń jumısın tekseredi. Funkcional testlew, júkleme testlew, qáwipsizlik testlewi ótkeriledi. Sınaq nátiyjeleri "Sınaq protokollarına" jazıladı. Eger programma talaplarǵa juwap bermese (mısalı, qáteler shıqsa yamasa qáwipsizlik talabı buzılsa), sertifikat berilmeydi. Tórtinshi basqısh – "Qarar qabıllaw hám Sertifikat beriw". Sertifikatlaw organı sınaq protokolları hám ekspertiza juwmaqları tiykarında sertifikat beriw yamasa bermew haqqında qarar qabıllaydı. Eger qarar unamlı bolsa, sertifikat rásmiy dizimge (Reestrge) kirgiziledi hám buyırtpashıǵa beriledi. Sertifikat ádette belgili bir múddetke (mısalı, 3 jılǵa) beriledi.
Besinshi basqısh – "Inspeksiyalıq qadaǵalaw" (Surveillance). Sertifikat berilgennen keyin de organ waqtı-waqtı menen (jılına bir ret) tekseriw ótkerip turıwı múmkin. Maqset – islep shıǵıwshınıń sapa standartların saqlap atırǵanına kóz jetkiziw. Eger sapa túsip ketse, sertifikat biykar etiliwi múmkin.
Májbúriy hám Íqtıyarlı sertifikatlaw
Sertifikatlawdıń eki túri bar: "Májbúriy" (Mandatory) hám "Íqtıyarlı" (Voluntary). Májbúriy sertifikatlaw nızam menen belgilengen bolıp, onıń maqseti – adamlardıń ómirine, densawlıǵına, múlkine hám qorshaǵan ortalıqqa zıyan keltiriwi múmkin bolǵan ónimlerdiń qáwipsizligin támiyinlew. Programmalıq támiynat tarawında májbúriy sertifikatlawǵa kóbinese "Informaciyalıq qáwipsizliq quraları" (Information Security tools) kiredi. Mısalı, antiviruslar, firewall-lar, elektron qoltańba quraları, bank sistemaları hám
mámleketlik sır menen islesetuǵın programmalar májbúriy sertifikatlanıwı shárt. Sertifikatsız bunday programmalardı satıw yamasa qollanıw qadaǵan etiledi.
Íqtıyarlı sertifikatlaw islep shıǵıwshınıń óz qálewi menen ámelge asırıladı. Nızam boyınsha májbúriy bolmasa da, kompaniyalar óz ónimleriniń abıroyın kóteriw hám básekileslerden ozıp ketiw ushın sertifikat aladı. Mısalı, buxgalteriya programmasın islep shıǵıwshı kompaniya "Meniń programmam buxgalteriya esabı standartlarına tolıq juwap beredi" dep ǵárezsiz auditordan sertifikat alıwı múmkin. Bul klientlerge qosımsha isenim beredi. Íqtıyarlı sertifikatlawda qaysı standartlarǵa tekseriwdi kompaniyanıń ózi tańlaydı (mısalı, "paydalanıwǵa qolaylılıq" yamasa "ónimlilik" boyınsha).
Sertifikatlawdıń taǵı bir túri – "Jeke sertifikatlaw" (Personal Certification). Bul programmalıq ónimniń emes, al qánigelerdiń (programmistlerdiń, testerlerdiń, menedjerlerdiń) bilim hám kónlikpelerin tastıyıqlaw. Mısalı, ISTQB (testerler ushın), PMP (proekt menedjerleri ushın), Oracle Certified Professional (Java programmistleri ushın). Kompaniyanıń sertifikatlanǵan qánigelerge iye bolıwı, onıń sapalı ónim jaratıw potencialın kórsetedi.
Májbúriy sertifikatlawdıń qatańlıǵı tarawǵa baylanıslı. "Kritik sistemalar"
(Safety-critical systems) – aviaciya (DO-178C), medicina (IEC 62304), temir jol hám atom energetikası ushın programmalıq támiynat júdá qatań hám qımbat sertifikatlaw processinen ótedi. Bul jerde hárbir qatar kod hám hárbir test nátiyjesi tekseriledi, sebebi qáte adam ómirine qáwip tuwdıradı.
Qáwipsizlikti sertifikatlaw: Common Criteria
Programmalıq támiynat qáwipsizligin (Security) sertifikatlawdıń eń abıroylı hám xalıqaralıq standartı – bul "Common Criteria" (ISO/IEC 15408).
Bul standart dúnyanıń kóp mámleketleri (AQSH, Evropa, Kanada, Yaponiya hám t.b.) tárepinen qabıl etilgen. Common Criteria (CC) programmalıq ónimniń qáwipsizlik talaplarına sáykesligin bahalawdıń ulıwma metodologiyasın usınadı.
Common Criteria boyınsha sertifikat alıw ushın islep shıǵıwshı "Qáwipsizlik maqsetlerin" (Security Target - ST) jazıwı kerek. Bul hújjette ónimniń qanday qáwiplerden qorǵaytuǵını hám qanday qáwipsizlik funkciyalarına iye ekeni kórsetiledi. Keyin ǵárezsiz laboratoriya ónimdi tekseredi hám oǵan "EAL" (Evaluation Assurance Level - Bahalaw isenimlilik dárejesi) beredi. EAL 1 den 7 ge shekemgi dárejege iye. EAL 1 – eń tómengi (funkcional testlew), EAL 7 – eń joqarı (formal dálillew hám dizayn).
Kóbinese kommerciyalıq ónimler (Windows, Linux, Oracle DB) EAL 4+ dárejesine sertifikatlanadı. Bul dáreje ónimniń qáwipsizligi jobalastırılǵan,
testlengen hám kodtıń qayta tekserilgenin bildiredi. Common Criteria sertifikatı xalıqaralıq bazarǵa shıǵıw ushın "altın bilet" esaplanadı.
Basqa qáwipsizlik standartları da bar. Mısalı, "FIPS 140-2" (AQSH) – kriptografiyalıq modullerdi sertifikatlaw ushın. "PCI DSS" – tólem kartaları menen islesetuǵın sistemalar ushın. Bul standartlar programmalıq támiynattıń shifrlaw, parollardı saqlaw hám tarmaq qáwipsizligi boyınsha eń jaqsı ámeliyatlarǵa sáykesligin tekseredi. Juwmaqlap aytqanda, sertifikatlaw – bul sapanıń "móri". Ol islep shıǵıwshıǵa óz ónimine isenim beredi, al paydalanıwshıǵa tınıshlıq beredi. Sertifikatlaw procesi qımbat hám uzaq bolıwı múmkin, biraq ol bazardaǵı abıroy hám nızamlılıq ushın zárúr investiciya. Sapalı programma – bul tek durıs isleytuǵın programma emes, al sapası dálillengen programma.
BAQLAW SORAWLARÍ:
1.Programmalıq támiynattı sertifikatlawdıń tiykarǵı maqseti (isenim, nızamlılıq) nede?
2.Májbúriy sertifikatlaw qanday túrdegi programmalıq ónimler ushın qollanıladı?
3.Sertifikatlaw procesiniń "Sınaqlar" (Testing) basqıshında ne jumıslar atqarıladı?
4."Common Criteria" (ISO/IEC 15408) standartı neni bahalaw ushın qollanıladı hám EAL dárejesi neni bildiredi?
5.Íqtıyarlı sertifikatlawdıń islep shıǵıwshı kompaniya ushın qanday paydası bar?