- •Показатели технологической безопасности информационных систем
- •Требования к архитектуре информационных систем и их компонентам для обеспечения безопасности функционирования
- •Ресурсы, необходимые для обеспечения технологической безопасности информационных систем
- •Методы снижения угроз безопасности ис, вызванных дефектами программных средств и баз данных
- •Оперативные методы повышения безопасности функционирования программных средств и баз данных
- •Особенности обеспечения технологической безопасности импортных программных средств и баз данных
- •Обработка результатов испытаний
- •Методы определения технологической безопасности критических информационных систем
- •Технологическая безопасность и жизненный цикл информационных систем
- •Международные стандарты, поддерживающие испытания технологической безопасности информационных систем
- •Выводы и рекомендации
Технологическая безопасность и жизненный цикл информационных систем
При эксплуатации системы накапливаются замечания и дополнительные требования, а также возрастает опыт разработчиков, что стимулирует проведение доработок программ и баз данных. Эти доработки подготавливаются для очередной версии и вводятся в нее. В начале эксплуатации новой версии обнаруживается некоторое число вторичных ошибок и недоработок, что вынуждает проектировщиков ограничивать расширение функций системы и сосредоточивать усилия на повышение надежности и других показателей качества функционирования. В результате могут появляться две-три промежуточные версии, близкие по объему и функциям и отличающиеся, в основном, уровнем отлаженности. После того как сокращается количество претензий пользователей к качеству функционирования, появляется возможность удовлетворить новые требования по развитию функциональных характеристик ИС. Наличие такой обратной связи с запаздыванием может приводить к появлению периодической составляющей в характеристиках надежности и безопасности версий.
На величину интервала времени между отработанными версиями влияют также административные планы, запаздывание оформления полной документации и инерционность в передаче версий пользователям. В худшем случае возможно явление распада системы, когда чрезмерный рост доработок в версии системы делает ее развитие неуправляемым и резко ухудшает эксплуатационные характеристики и безопасность. Период колебаний объема изменений и соответствующих им характеристик качества для больших ИС в разных проектах операционных систем [32] составляет 1-2 года. Это можно объяснить некоторой моделью административной деятельности при сопровождении ИС. Для сопровождения коллектив специалистов имеет ограниченные ресурсы, которые обобщенно можно характеризовать бюджетом. Для введения новых функций и программных компонент необходимы усилия, которые должны увеличиваться по мере роста сложности ИС. Прогрессивному развитию программ способствует пропорциональный рост числа вносимых при этом ошибок. Рост сложности ПС способствует увеличению энтропии, которая требует затрат на "антирегрессионную" деятельность – борьбу с ошибками и отставанием корректировок документации, затрат на повышение квалификации специалистов и т.д. Пренебрежение "антирегрессионной" деятельностью приводит к накоплению потребностей в этой работе в условиях повышающейся сложности программ и ограниченного бюджета. В результате приходится временно снижать деятельность по развитию программ, с тем чтобы не выйти за допустимые ресурсы. При ограниченных трудовых ресурсах возможна предельная критическая сложность сопровождаемых программ, при которой устанавливается динамическое равновесие между доработками и вносимыми ошибками, вследствие чего качество и безопасность ИС не улучшается.
Международные стандарты, поддерживающие испытания технологической безопасности информационных систем
Основой развития процесса стандартизации обеспечения технологической безопасности ПС и БД является формирование рационального по составу, структуре и уровням требований комплекса нормативно-технической документации (НТД), обеспечивающего нормативную основу создания и применения информационных систем. Приоритетной работой в этом направлении является модернизация фонда отечественных НТД в этой области на основе введения международных стандартов в качестве национальных НТД России. Уровень введения и применения международных норм, правил и требований в действующие отечественные НТД на сегодняшний день очень низок. В этих условиях реализация проектов информатизации без учета требований и рекомендаций международных стандартов приводит к большим потерям технических и финансовых ресурсов из-за несовместимости технических и программных средств, необходимости доработки (адаптации) импортируемой продукции, увеличения длительности проектирования и производства средств информатизации.
Ниже представлены некоторые, наиболее важные группы международных стандартов (табл. 1), регламентирующих:
-
показатели качества программных средств;
-
жизненный цикл и технологический процесс создания критических комплексов программ, способствующие их высокому качеству и предотвращению непредумышленных дефектов;
-
тестирование программных средств для обнаружения и устранения дефектов программ и данных;
-
испытания и сертификацию программ для удостоверения достигнутого качества и безопасности их функционирования.
Таблица 1. Международные стандарты, направленные на обеспечение технологической безопасности
|
ISO 09126:1991. ИТ. |
Оценка программного продукта. Характеристики качества и руководство по их применению. |
|
DOD-STD-2168. |
Программа обеспечения качества оборонных программных средств. |
|
ISO 09000-3:1991. |
Общее руководство качеством и стандарты по обеспечению качества. Ч. 3: Руководящие указания по применению ISO 09001 при разработке, поставке и обслуживании программного обеспечения. |
|
ISO 12207:1995. |
Процессы жизненного цикла программных средств. |
|
DOD-STD 2167 A:1988. |
Разработка программных средств для систем военного назначения. |
|
ISO 09646 – 1-6: 1991. ИТ. ВОС. |
Методология и основы аттестационного тестирования ВОС. |
|
ANSI/IEEE 829 – 1983. |
Документация при тестировании программ. |
|
ANSI/IEEE 1008 – 1986. |
Тестирование программных модулей и компонент ПС. |
|
ANSI/IEEE 1012 – 1986. |
Планирование проверки (оценки) (verification) и подтверждения достоверности (validation) программных средств. |
Технологическая безопасность функционирования ПС и БД при непредумышленных угрозах косвенно поддерживается еще многими десятками стандартов, которые, в той или иной степени, обеспечивают жизненный цикл и технологию разработки и сопровождения, качество, тестирование, испытания и сертификацию ПС и БД, а также унификацию их интерфейсов с операционной и внешней средой. В этих и ряде других стандартов предусматривается обеспечение качества программ и данных в широком смысле слова и отсутствует акцент на технологическую безопасность. Однако многие тезисы и рекомендации стандартов способствуют обеспечению безопасного функционирования ИС.