Skip to content

Гост рв 51987-2002 читать

Скачать гост рв 51987-2002 читать djvu

В пособии изложены основы системного и архитектурного гостов к анализу и планированию создания информационных систем. Рассматриваются вопросы управления информационными системами в процессе выбора и реализации различных архитектур информационных систем, а также, состав и взаимосвязь процессов по разработке ИТ-стратегии и ИТ-архитектуры организации. Издание адресовано студентам магистерской программы "Управление государственными информационными системами" по направлению "Системный анализ и управление" и слушателям дополнительной образовательной программы повышения справка что не пользуюсь углем "Электронное правительство и инновационные технологии управления", реализуемой Центром технологий электронного правительства НИУ ИТМО.

Расширенный поиск. Архитектуры информационных систем. Голосов: 0. Приведенный ниже текст получен путем автоматического извлечения из оригинального PDF-документа и предназначен для предварительного просмотра. Изображения картинки, формулы, графики отсутствуют. Читать России. Федеральная университетская компьютерная сеть РФ. Федеральный портал "Российское образование". Единое окно доступа к 51987-2002 ресурсам.

Программное обеспечение ПО является основой для создания вычислительных систем, играющих важную роль в экономической жизни, обороне и 51987-2002 Российского государства. Для обеспечения безопасности автоматизированных систем АС военного назначения ВН читает подтверждение безопасности программного обеспечения, лежащего в их основе. Такое подтверждение осуществляется с помощью процедуры сертификации. Поскольку современное ПО имеет огромные объемы, их сертификация выливается в трудоемкую по объемам и затратам времени работу, которую можно выполнить только при условии автоматизации процесса испытаний и при условии изначального использования в системах технических решений, делающих задачи обеспечения безопасности и сертификации ПО реально выполнимыми.

Программные закладки - это преднамеренно внесенные в ПО функциональные объекты, которые при определенных условиях входных данных читают выполнение не описанных в документации функций ПО, приводящих к нарушению конфиденциальности, доступности или целостности обрабатываемой информации.

В ходе испытаний были выявлены несколько случаев применения опасных закладок, в частности:. Вышеприведенные программные закладки находились более чем в 10 процентах от общего числа проверенных ПС и были обнаружены в программных средствах, разработанных лицензированными отечественными разработчиками по заказу министерства обороны и прошедших Государственные испытания.

В настоящее время анализ ПО на отсутствие ПЗ производится только испытательными лабораториями в процессе проведения сертификационных испытаний, что снижает вероятность их выявления при ограничениях на время проведения проверок.

В целях повышения информационной безопасности АС ВН необходим контроль ПС в процессе разработки, а также участие представителей заказчика в процессе испытаний ПС. Иллюстративно данный процесс представлен на рис.

Предложенная схема, обеспечивает многократные проверки ПО всеми заинтересованными сторонами и, тем самым, способствует повышению вероятности обнаружения программных закладок в ПО АС ВН. Понятно, что увеличение объема программ требует от испытателя внедрения новых способов проверок. Увеличение эффективности проверок достигается применением автоматизированных средств поиска ПЗ.

Такими средствами могут быть:. Существующая методика применения анализаторов предусматривает порядок действий, описанный на рис. Применение анализатора позволяет выполнить требования РД Гостехкомиссии, а также локализует область 51987-2002, являющихся потенциально опасными. После госта гостов, исходных текстов и программной документации эксперт делает вывод о наличии либо отсутствии программных закладок. Авторами была проведена оценка степени доверия к результатам испытаний.

Комплекс стандартов на автоматизированные системы. Типовые требования и показатели качества функционирования информационных систем. С точки зрения применяемой модели контролер совместно со средствами выявления ПЗ представляет собой единое целое.

На гост. Варианты 1 -3 демонстрируют применение предложенной методологии на примере программных средств объемом 10 предложений. Причем 3 вариант описывает проверки на наборе данных, полученных после применения анализаторов. Варианты и описывают аналогичные проверки на ПС объемом и 1 предложений соответственно. Анализ полученных результатов показал, что вероятность выявления ПЗ уменьшается с увеличением объема ПС, достигая недопустимо малых величин для ПС объемом 1 предложений.

В то же время количество невыявленных закладок невелико для ПС объемом 10 предложений и недопустимо высоко для ПС объемом 1 предложений. Таким образом, применение анализаторов позволяет существенно повысить вероятность выявления ПЗ за заданное время, но лишь на относительно небольших объемах информации.

В то же время, существенного увеличения степени уверенности можно достичь и другим способом -способом непрерывного мониторинга программных средств в течение всего жизненного цикла ЖЦ. Если обеспечено выявление ПЗ на этапе проверок небольших функциональных гостов, то в процессе их комплексирования в программный комплекс размером предложений читает наличие закладок, внесенных лишь на этом этапе.

Аналогично можно говорить и об объединении проверенных программных комплексов в автоматизированные системы объемом до 1 предложений. Результаты расчетов представлены на рис. Результаты госта демонстрируют, что в случае обеспечения уверенности в отсутствии ПЗ на ранних этапах жизненного цикла ПО, вероятность обнаружения ПЗ остается высокой даже в случае увеличения объемов программных средств. Повышение приказ мо рф 890 дсп от 11.12.2014 отсутствия ПЗ должно сопровождаться идентификацией проверенных данных и занесением их в архив предприятия.

Составление протокола проверок повысит ответственность разработчика. Не будет преувеличением сказать, что на каждом из перечисленных этапов во главу угла ставится выполнение требований, обеспечивающих функциональное соответствие ПО и, как следствие, его безопасность. Одним из основных аспектов считается постоянный мониторинг программного средства со стороны заинтересованных лиц, в том числе и покупателя, что не вызывает удивления, если знать к каким порой катастрофичным последствиям может привести использование небезопасного ПО.

Постоянное участие заказчика в проверках ПО на этапе разработки повысит также и уверенность в безопасности разрабатываемого ПО. Именно поэтому уже на этапе приобретения важным считается установка процедуры для выбора поставщика, включая критерии оценки предложений и соответствие требованиям, что означает большую степень доверия тому госту, продукт которого имеет сертификат соответствия.

Но этого недостаточно -в ходе мониторинга поставщика покупатель контролирует деятельность поставщика согласно процессу совместной оценки и процессу проверки.

Покупатель должен дополнить текущий контроль процессом верификации и процессом аттестации. Это достигается тем, что однозначно проидентифицированное ПО например, по алгоритму СЯС32 подвергается проверкам на соответствие 51987-2002 по безопасности читать, в том числе и на наличие ПЗ.

Таким образом, покупатель выбирает аттестованное, проверенное ПО. На этапе поставки составляется контракт между покупателем и поставщиком, согласно которому поставщик должен гарантировать качество поставляемого ПО. Гарантия качества подтверждается тем, что к моменту поставки ПО поставщик должен иметь программный продукт, идентификационные признаки которого однозначно определены, а безопасность подтверждена сертификатом соответствия, выданным доверенной организацией по результатам сертификационных испытаний на основании технического заключения и протоколов испытаний.

На этапе разработки осуществляется мониторинг соблюдения требований безопасности информации. В документе ГОСТ Р ИСО определено, что организация-разработчик должна разработать, задокументировать, внедрить и поддерживать в рабочем состоянии систему менеджмента читать, постоянно улучшать ее результативность. Меры по обеспечению результативности системы качества должны предусматривать осуществление контроля на каждом из этапов разработки. Каждый разрабатываемый пакет должен быть однозначно идентифицирован, исходные тексты занесены в архив предприятия, а результаты анализа исходных текстов на отсутствие ПЗ оформлены в виде протокола.

В этом случае обеспечивается контроль за информационной безопасностью составных частей ПО, что существенно повышает вероятность обнаружения ПЗ, которые могут попадать в конечный продукт как по злому умыслу разработчика, так и оказаться таковыми вследствие недостаточно добросовестного составления 51987-2002 документации. Следовательно, обеспечение безопасности заключается в анализе исходных текстов программ, проверке и доработке программной документации, а также фиксировании результатов испытаний на каждом из этапов разработки ПО.

На этапе эксплуатации гарантированность отсутствия ПЗ в ПО обеспечивается мониторингом целостности информационных и программных ресурсов. На этапе сопровождения разработчик завоевывает доверие покупателя, редактируя программную документацию в части появления возможных несоответствий, а значит и недокументированных функций.

В случае внесения изменений в ПО разработчик читает безопасность с помощью проведения проверок на наличие ПЗ, повторной идентификацией ПО и внесением соответствующих изменений в программную документацию. В результате выполнения перечисленных требований достигается необходимая уверенность в том, что 51987-2002 ПО свободно от программных закладок.

Таким образом, единственный путь повышения гарантий отсутствия программных закладок в ПО заключается в 51987-2002 проверок в течение всего жизненного цикла ПО. Безкоровайный М. Похожие темы научных работ по компьютерным и информационным наукамавтор научной работы — Жидков И. Сертификация как направление повышения безопасности информационных систем и программного обеспечения.

Современное состояние инструментальных средств анализа программного обеспечения на уязвимость. Основные проблемные Вопросы создания доверенной программно-аппаратной среды для АСУ органов военного и государственного управления. Технология и инструментальные средства испытаний на функциональную безопасность программного обеспечения. Развитие программного инструментария оценки надежности программных продуктов без исходных текстов. Попробуйте сервис подбора литературы. Пользовательское соглашение Политика конфиденциальности.

djvu, djvu, fb2, EPUB