Стандартизация технологии безопасности информационных систем

К методам и средствам информационной борьбы в настоящее время относят:

• воздействие боевых компьютерных вирусов и преднамеренных дефектов диверсионного типа;
• несанкционированный доступ к информации;
• проявление непреднамеренных ошибок ПО и операторов компьютерных систем;
• использование средств информационно-психологического воздействия на личный состав;
• воздействие радиоэлектронными излучениями;

физические разрушения систем обработки информации.

 

Год	События, цифры, факты
1985	Разведслужбой ФРГ с засекреченного объекта в пригороде Франкфурта успешно проведена операция "Project RAHAB" по проникновению в ИВС и базы данных государственных учреждений и промышленных компаний Великобритании, Италии, СССР, США, Франции и Японии.
1985	Спецподразделение LAKAM разведслужбы Израиля МОССАД осуществило НСД к ИВС Центра по обеспечению разведывательных операций ВМС США (US Naval Intelligence Support Center - NISC).
1988	Матиас Шпеер из Ганновера осуществил НСД к информации о программе СОИ и разработках ядерного, химического и биологического оружия из секретных электронных досье Пентагона.
Декабрь 1988	В Ливерморской лаборатории США (Lawrence Livermore National Laboratories - LLNL), занимающейся разработкой ядерного оружия, было зафиксировано 10 попыток НСД через каналы связи с INTERNET.
1989	Во Франции зарегистрированы попытки НСД в информационные банки данных военного арсенала в Шербуре.
Конец 80-х	Группа компьютерных взломщиков из ГДР (Д. Бржезинский, П. Карл, М. Хесс и К. Кох) овладели паролями и кодами доступа к военным и исследовательским компьютерам в США, Франции, Италии, Швейцарии, Великобритании, ФРГ, Японии.
1995	В космическом центре NASA им. Джонсона (Johnson Space Center) регистрировалось 3-4 попытки НСД в сутки (на 50% больше чем в 1994 г.), 349.2 часов затрачено на восстановление функционирования сети.
1995	Центр информационной борьбы ВВС (Air Force Information Warfare Center) за первых 3 недели после создания зарегистрировал более 150 попыток НСД только к одному сетевому узлу.
Январь 1997	Через Internet выведена из строя главная машина для хранения информационного архива по проекту FreeBSD (freefall.freebsd.org).

Таблица 2.

 

Таким образом, в большинстве развитых стран мира в рамках концепции информационной войны разрабатывается совокупность разнородных средств, которые можно отнести к информационному оружию. Такие средства могут использоваться в совокупности с другими боевыми средствами во всех возможных формах ведения информационной войны. Кроме существовавших ранее средств поражающего воздействия в настоящее время разрабатываются принципиально новые средства информационной борьбы, а именно бое вые компьютерные вирусы и преднамеренные программные дефекты диверсионного типа.

 

2.5. Психология программирования

При создании высокоэффективных и надежных программ (программных комплексов), отвечающих самым современным требованиям к их разработке, эксплуатации и модернизации необходимо не только умело пользоваться предоставляемой вычислительной и программной базой современных компьютеров, но и учитывать интуицию и опыт разработчиков языков программирования и прикладных систем. Помимо этого, целесообразно дополнять процесс разработки программ экспериментальными исследованиями, которые основываются на применении концепции психологии мышления при исследовании проблем вычислительной математики и информатики. Такой союз вычислительных, информационных систем и программирования принято называть психологией программирования.

Психология программирования - это наука о действиях человека, имеющего дело с вычислительными и информационными ресурсами автоматизированных систем, в которой знания о возможностях и способностях человека как разработчика данных систем могут быть углублены с помощью методов экспериментальной психологии, анализа процессов мышления и восприятия, методов социальной, индивидуальной и производственной психологии.

К целям психологии программирования наряду с улучшением использования компьютера, основанного на глубоком знании свойств мышления человека, относится и определение, как правило, экспериментальным путем, склонностей и способностей программиста как личности. Особенности личности играют критическую роль в определении (исследовании) рабочего стиля отдельного программиста, а также особенностей его поведения в коллективе разработчиков программного обеспечения. Ниже приводится список характеристик личности и их предполагаемых связей с программированием. При этом особое внимание уделяется тем личным качествам программиста, которые могут, в той или иной степени, оказать влияние на надежность и безопасность разрабатываемого им программного обеспечения.

Внутренняя/внешняя управляемость. Личности с выраженной внутренней управляемостью стараются подчинять себе обстоятельства и убеждены в способности сделать это, а также в способности повлиять на свое окружение и управлять событиями. Личности с внешней управляемостью (наиболее уязвимы с точки зрения обеспечения безопасности программного обеспечения) чувствуют себя жертвами не зависящих от них обстоятельств и легко позволяют другим доминировать над ними.

Высокая/низкая мотивация. Личности с высокой степенью мотивации способны разрабатывать очень сложные и сравнительно надежные программы. Руководители, способные повысить уровень мотивации, в то же время, могут стимулировать своих сотрудников к созданию программ с высоким уровнем их безопасности.

Умение быть точным. На завершающих этапах составления программ необходимо особое внимание уделять подробностям и готовности проверить и учесть каждую деталь. Это позволит повысить вероятность обнаружения программных дефектов как привнесенных в программу самим программистом (когда нарушитель может ими воспользоваться в своих целях), так и другими программистами (в случае, если некоторые из них могут быть нарушителями) при создании сложных программных комплексов коллективом разработчиков.

Кроме того, психология программирования изучает, с точки зрения особенностей создания безопасного программного обеспечения, такие характеристики качества личности как исполнительность, терпимость к неопределенности, эгоизм, степень увлеченности, склонность к риску, самооценку программиста и личные отношения в коллективе.

Корпоративная этика

Особый психологический настрой и моральные стимулы программисту может создать особые корпоративные условия его деятельности, в частности различные моральные обязательства, оформленные в виде кодексов чести. Ниже приводится "Кодекс чести пользователя компьютера" .

• Обещаю не использовать компьютер в ущерб другим людям.
• Обещаю не вмешиваться в работу компьютера других людей.
• Обещаю "не совать нос" в компьютерные файлы других людей.
• Обещаю не использовать компьютер для воровства.
• Обещаю не использовать компьютер для лжесвидетельства.
• Обещаю не копировать и не использовать чужие программы, которые были оплачены не мною.
• Обещаю не использовать компьютерные ресурсы других людей без разрешения и соответствующей компенсации.
• Обещаю не присваивать результаты интеллектуального труда других людей.
• Обещаю думать об общественных последствиях разрабатываемых мною программ или систем.
• Обещаю всегда использовать компьютер с наибольшей пользой для живущих ныне и будущих поколений.

 

Заключение

Количество и уровень деструктивности угроз безопасности для программных комплексов компьютерных систем как со стороны внешних, так и со стороны внутренних источников угроз постоянно возрастает. Это объясняется стремительным развитием компьютерных и телекоммуникационных средств, глобальных информационных систем, необходимостью разработки для них сложного программного обеспечения с применение современных средств автоматизации процесса проектирования программ. Кроме того, это объясняется значительным или даже резким повышением в последнее время активности деятельности хакеров и групп хакеров, атакующих компьютерные системы, криминальных групп компьютерных взломщиков, различных специальных подразделений и служб, осуществляющих свою деятельность в области создания средств воздействия на критически уязвимые объекты информатизации.

В данной работе излагаются научно-практические основы обеспечения безопасности программного обеспечения компьютерных систем. Значительная часть материала посвящена выявлению и анализу угроз безопасности программного обеспечения, рассмотрению основ формирования моделей угроз и их вербальному описанию, методов и средств обеспечения технологической и эксплуатационной безопасности программ.

Необходимой составляющей проблемы обеспечения информационной безопасности программного обеспечения является общегосударственная система стандартов и других нормативных и методических документов по безопасности информации (, а также международные стандарты и рекомендации по управлению качеством программного обеспечения, которые позволяет предъявить к создаваемым и эксплуатируемым программных комплексам требуемый уровень реализации защитных функций.

 

Список используемой литературы

1. Абрамов С.А. Элементы анализа программ. Частичные функции на множестве состояний. - М.: Наука, 1986
2. Беневольский С.В., Бетанов В.В. Контроль правильности расчета параметров траектории сложных динамических объектов на основе алгоритмической избыточности// Вопросы защиты информации. - 1996.- №2.- С.66-69.
3. ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.
4. ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма.
5. ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования.