Конструктивные характеристики качества сложных программных средств

сложных систем и ПС являются:

— системные ошибки при  постановке целей и задач проектирования

системы, формулировке требований к функциям и характеристикам  средств

защиты решения задач, определении условий и параметров внешней среды,

в которой предстоит применять программный продукт;

— алгоритмические ошибки проектирования при непосредственной

алгоритмизации функций  защиты программных средств и  баз данных, при

определении структуры и взаимодействия компонентов комплексов программ,

а также при использовании  информации баз данных;

— ошибки программирования в текстах программ и описаниях  данных,

а также в исходной и  результирующей документации на компоненты ПС;

— недостаточная эффективность  используемых методов и средств

оперативной защиты программ и данных и обеспечения безопасности функционирования

системы в условиях случайных  и предумышленных негативных

воздействий от внешней среды.

Полное устранение иор^чися^иных угроз характеристикам безопасности

функционирования критических ПС принципиально невозможно.

При проектировании проблема состоит в выявлении факторов, от которых

они зависят, в создании методов  и средств уменьшения их влияния  на

безопасность ПС, а также в эффективном распределении ресурсов на

средства  защиты. Необходимо оценивать уязвимость функциональных

компонентов системы для различных предумышленных, негативных

воздействий и степень  их влияния на основные характеристики безопасности.

В зависимости от этого  следует распределять ресурсы средств  защиты

для создания проекта системы, равнопрочной по безопасности функционирования

при любых внешних воздействиях.

Величина и рациональное распределение ресурсов ЭВМ на отдельные

виды защиты оказывает  значительное влияние на достигаемую комплексную

безопасность системы. Наиболее общим видом ресурсов, который

приходится учитывать  при проектировании, являются допустимые

финансово-экономические  затраты или сметная стоимость  разработки

и функционирования системы обеспечения безопасности и

средств программной защиты. Для размещения средств защиты в объектной

ЭВМ при проектировании должна быть предусмотрена программная

и информационная избыточность в виде ресурсов внешней и внутренней

памяти ЭВМ. Кроме того, для функционирования средств защиты необходима

временная избыточность —  дополнительная производительность ЭВМ.

При проектировании целесообразно  разделять вычислительные ресурсы,

необходимые для непосредственного  решения основных, функциональных

задач системы, и ресурсы, требующиеся для защиты и обеспечения  корректного, безопасного функционирования программного продукта.

Соотношение между этими  видами ресурсов в реальных крупномасштабных

системах зависит от сложности и состава решаемых функциональных

задач, степени их критичности  и требований к характеристикам  безопасности

всей системы. В различных  классах систем ресурсы на обеспечение

безопасности могут составлять от 5—20% до 100—300% от ресурсов,

используемых на решение  основных, функциональных задач, т.е. в особых

случаях (критические военные  системы) могут превышать последние  в

2—4 раза. В административных  и организационных системах средства

обеспечения безопасности обычно используют 10—20% всех видов трудовых,

аппаратных и вычислительных ресурсов.

Одна из трудностей планирования процессов для достижения высокого

качества защиты состоит  обычно в отсутствии полной совокупности

достоверных требований заказчика  к характеристикам безопасности на

начальных этапах проектирования и разработки, а также итерационный

процесс их конкретизации  в течение всего жизненного цикла  ПС. В результате

первично сформулированные требования к характеристикам

качества  системы защиты и обеспечения  безопасности крупных ПС

последовательно уточняются и корректируются в процессе взаимодействия

заказчика и разработчика с учетом объективно изменяющихся характеристик

развивающегося проекта.

Проектирование системы  защиты тесно связано с определением понятия

и функций администратора безопасности системы. Администратор

безопасности — субъект доступа, ответственный за защиту охраняемых

ресурсов и эффективное  использование имеющихся функций  защиты

системы пользователями. Без  постоянного присутствия администратора

при применении крупных систем меры защиты могут быть неэффективными,

так как злоумышленник  получает возможность в течение  неограниченного

времени осуществлять попытки  несанкционированного доступа.

Поэтому в системы обеспечения безопасности вводятся:

— административные функции  и интерфейсы, доступные администратору

по безопасности;

— принципы и средства для  последовательного, эффективного использования

и адаптации функций компонентов  системы безопасности;

— средства конфигурирования функций системы и комплекса  обеспечения

безопасности;

— контроль допустимого  поведения пользователей и предотвращение

нештатного применения процедур, влияющих на безопасность.

В системах с большим количеством  объектов, требующих разных

уровней защиты, может быть несколько администраторов, объединенных

в службу администрации безопасности. Важным свойством системы

управления доступом должна являться способность создавать  так называемый

след  контроля, т.е. совокупность сведений о состоянии и функционировании

средств защиты, накапливаемых  во времени и предназначенных

для анализа и управления средствами защиты. Для хранения этих

сведений у администраторов  обычно организуются контрольные журналы

учета и регистрации событий  защиты. Основными сведениями, накапливаемыми

в этих журналах, являются данные о работе пользователей и

попытках несанкционированных действий, выходящих за рамки представленных

им полномочий, или от объектов внешней среды.

Чтобы гарантии безопасности достигались при минимальных  затратах,

необходимы целенаправленное, координируемое планирование и управление

для предотвращения дефектов и ошибок проектирования, а также

для их выявления и устранения на самых ранних этапах разработки.

Поэтому план и мероприятия, обеспечивающие качество программ защиты,

должны охватывать не только завершающие испытания, а весь жизненный

цикл программ обеспечения  безопасности. Для этого в процессе

формирования технического задания следует сформулировать основные

поло:нсения методологии и план последовательного повышения характеристик

безопасности путем наращивания комплекса средств защиты,

поэтапных испытаний компонентов  и определения характеристик  безопасности,

допустимых для продолжения  работ на следующих этапах.

Проекты комплексов защиты зависят от конкретных характеристик  и

назначения объектов, подлежащих защите, а также от применяемых нормативных

документов и их требований. Проектирование средств обеспечения

безопасности функционирования ПС — творческий процесс, зависящий

от множества факторов, что определяет ограниченную стандартизацию

совокупности  ряда методов и задач. Наиболее широко и детально

методологические и системные  задачи проектирования комплексной  защиты

систем изложены в трех частях стандарта ISO 15408:1-3:1999 —

Методы и средства обеспечения  безопасности. Критерии оценки безопасности информационных технологий. В первой, относительно небольшой

части представлены цели и  концепция обеспечения безопасности, а также

общая модель построения защиты, которая отличается гибкостью и  динамичностью

формирования требований и оценивания функций и компонентов

системы безопасности. В  ней выделены: окружающая среда; объекты

защиты; требования и спецификации функций защиты; задачи инструментальных

средств обеспечения системы  защиты. Изложены общие требования

к критериям и характеристикам  оценки результатов защиты, к Профилю

по безопасности, к целям  оценки требований и к использованию  их

результатов. Предложен проект комплекса общих целей, задач  и критериев

обеспечения безопасности конкретных систем.

В наибольшей, второй части стандарта представлена парадигма построения

и реализации, структурированных и детализированных функциональных

требований к компонентам  защиты систем. Выделены и классифицированы

одиннадцать базовых классов требований обеспечения безопасности

систем. Каждый класс детализирован  функциональным

семейством требований, которые реализуют соответствующую часть целей

обеспечения безопасности и, в свою очередь, структурированы  наборами

требований к более  мелким компонентам частных задач.

Профили семейств и компонентов служат базой для дальнейшей конкретизации функциональных требований в Задании по безопасности для

определенного проекта системы  и помогают избегать грубых ошибок и

пробелов при формировании набора таких требований. Обобщения  оценок

спецификации требований Задания по безопасности должны обеспечивать

возможность делать общий  вывод заказчиками, разработчиками и

испытателями проекта  об уровне соответствия безопасности функциональным требованиям и требованиям гарантированности защиты. Профиль и Задание по безопасности являются основными исходными документами при сертификации на соответствие требованиям заказчика к характеристикам безопасности применения конкретной системы.

Третья часть стандарта посвящена целям, методам и уровням обеспечения

гарантий качества систем защиты, при разработке и реализации

требований к функциям обеспечения безопасности в системе. Определены

методы и средства, которые  целесообразно использовать для  обеспечения

корректной реализации Задания  по безопасности, жизненного цикла  средств

 

11.5. Характеристики защиты  и безопасности функционирования  программных средств

защиты и эффективного их применения. Изложены детальные  требования

по обеспечению гарантии качества создания и применения систем безопасности.

Таким образом, методологически  решение задач обеспечения характеристик

безопасности должно осуществляться как проектирование aiojfc-

ной, достаточно автономной программно-аппаратной системы в окружении

и взаимодействии с основными, функциональными задачами и

компонентами системы  Защита должна быть ориентирована

на комплексное обеспечение  эффективного решения основных, функциональных

задач безопасности всей системы. При этом следует определять

приоритеты и ранжировать  по степени необходимой защиты функциональные

компоненты, оценивать опасность  различных внешних и внутренних

угроз безопасности, выделять методы, средства и нормативные

документы, адекватные видам  угроз и требуемой защите, оценивать  необходимые

и доступные для этого  ресурсы различных видов.