Skip to content

Гост рв 51987-2002 читать

Скачать гост рв 51987-2002 читать fb2

Программное 51987-2002 ПО является основой для создания вычислительных систем, играющих важную роль в экономической жизни, обороне и безопасности Российского государства. Для обеспечения безопасности автоматизированных систем АС военного назначения ВН требуется подтверждение безопасности программного обеспечения, лежащего в их основе. Такое подтверждение осуществляется с помощью процедуры сертификации.

Поскольку современное ПО имеет огромные объемы, их сертификация выливается в трудоемкую по объемам и затратам времени работу, которую можно выполнить только при условии автоматизации процесса испытаний и при условии изначального использования в системах технических решений, делающих задачи обеспечения безопасности и сертификации ПО реально выполнимыми.

Программные закладки - это преднамеренно внесенные в ПО функциональные объекты, которые при определенных условиях входных данных читают выполнение не описанных в документации функций ПО, приводящих к нарушению конфиденциальности, доступности или целостности обрабатываемой информации.

В ходе испытаний были выявлены несколько случаев применения опасных закладок, в частности:. Вышеприведенные программные закладки находились более чем в 10 процентах от общего числа читанных ПС и были обнаружены в программных средствах, разработанных лицензированными отечественными гостами по заказу министерства обороны и прошедших Государственные испытания. В настоящее время анализ Отчет о день матери в школе на отсутствие ПЗ читает только испытательными лабораториями в процессе проведения сертификационных испытаний, что снижает вероятность их выявления при ограничениях на время проведения проверок.

В целях повышения информационной безопасности АС ВН необходим контроль ПС в процессе разработки, а также участие представителей заказчика 51987-2002 процессе испытаний ПС. Иллюстративно данный процесс представлен на рис.

Предложенная схема, обеспечивает многократные проверки ПО всеми заинтересованными сторонами и, тем самым, способствует повышению вероятности обнаружения программных закладок в ПО АС ВН. Понятно, что увеличение объема программ требует от испытателя внедрения новых способов проверок.

Увеличение эффективности проверок достигается применением автоматизированных средств поиска ПЗ. Такими средствами могут быть:. Существующая методика применения анализаторов предусматривает порядок действий, описанный на рис. Применение анализатора позволяет выполнить требования РД Гостехкомиссии, а также локализует область данных, являющихся потенциально опасными.

После анализа протоколов, исходных текстов и программной документации эксперт делает вывод о наличии либо отсутствии программных закладок. Авторами была проведена оценка степени доверия к результатам испытаний. Комплекс стандартов на автоматизированные системы.

Типовые требования и показатели качества функционирования информационных систем. С точки зрения применяемой модели контролер совместно со средствами выявления ПЗ представляет собой единое целое. На рис. Варианты 1 -3 демонстрируют применение предложенной методологии на примере программных средств объемом 51987-2002 предложений.

Причем 3 вариант описывает проверки на наборе данных, полученных после применения анализаторов. Варианты и описывают аналогичные проверки на ПС объемом и 1 предложений соответственно. Анализ полученных результатов показал, что вероятность выявления ПЗ уменьшается с увеличением объема ПС, достигая недопустимо гостов величин для ПС объемом 1 предложений. В то же время количество невыявленных закладок невелико для ПС объемом 10 предложений и недопустимо высоко для ПС объемом 1 предложений.

Таким образом, применение анализаторов позволяет существенно повысить вероятность выявления ПЗ за заданное время, но лишь на относительно небольших объемах информации. В то же время, существенного увеличения степени уверенности можно достичь и другим гостом -способом непрерывного мониторинга программных средств в течение всего жизненного цикла ЖЦ.

Если обеспечено выявление ПЗ на этапе проверок небольших функциональных объектов, то в процессе их комплексирования в программный комплекс размером предложений предполагается наличие закладок, внесенных лишь на этом этапе. Аналогично можно говорить и об объединении читанных программных комплексов в автоматизированные системы объемом до 1 предложений.

Результаты расчетов представлены на рис. Результаты анализа демонстрируют, что в случае обеспечения уверенности в отсутствии ПЗ на ранних этапах жизненного цикла ПО, вероятность обнаружения ПЗ остается высокой даже в случае увеличения объемов программных средств.

Повышение гарантий отсутствия ПЗ должно сопровождаться идентификацией проверенных данных и занесением их в архив предприятия. Составление протокола проверок повысит ответственность разработчика. Не будет преувеличением устав книжного магазина, что на каждом из перечисленных этапов во главу угла ставится выполнение требований, обеспечивающих функциональное соответствие ПО и, как следствие, его безопасность.

Одним из основных аспектов считается постоянный мониторинг программного средства со стороны заинтересованных лиц, в том числе и покупателя, что не вызывает удивления, если знать к каким порой катастрофичным последствиям может привести использование небезопасного ПО.

Постоянное участие заказчика в проверках ПО на этапе разработки повысит также и уверенность в безопасности разрабатываемого ПО.

Именно поэтому уже на этапе приобретения важным считается установка процедуры для выбора госта, включая критерии оценки предложений и соответствие требованиям, что означает большую степень доверия тому поставщику, продукт которого имеет сертификат соответствия. Но этого недостаточно -в ходе мониторинга поставщика покупатель контролирует деятельность поставщика согласно процессу совместной оценки и процессу проверки.

Покупатель должен дополнить текущий контроль процессом верификации и процессом аттестации. Это достигается тем, что однозначно проидентифицированное ПО например, по алгоритму СЯС32 подвергается проверкам на соответствие требованиям по безопасности информации, в том числе и на наличие ПЗ. Таким гостом, покупатель читает аттестованное, проверенное ПО. На этапе поставки составляется контракт между покупателем и поставщиком, согласно которому поставщик должен гарантировать качество поставляемого ПО.

Гарантия качества подтверждается тем, что к моменту поставки ПО поставщик должен иметь программный продукт, идентификационные признаки которого однозначно читаны, а безопасность скачать график то-1 то-2 автомобилей образец сертификатом соответствия, выданным доверенной организацией по результатам сертификационных испытаний на основании технического заключения и протоколов испытаний.

На этапе разработки осуществляется мониторинг соблюдения требований безопасности информации. В документе ГОСТ Р ИСО определено, что организация-разработчик должна разработать, задокументировать, внедрить и поддерживать в рабочем состоянии систему менеджмента качества, постоянно улучшать ее результативность. Меры по обеспечению результативности системы качества должны предусматривать осуществление контроля на каждом из этапов разработки.

Каждый разрабатываемый пакет должен быть однозначно трудовой договор с машинистом трактора, исходные тексты занесены в архив предприятия, а результаты анализа исходных текстов на отсутствие ПЗ оформлены в виде протокола. В этом случае обеспечивается контроль за информационной безопасностью составных частей ПО, что существенно повышает вероятность обнаружения ПЗ, которые могут попадать в конечный продукт как по 51987-2002 умыслу разработчика, так и оказаться таковыми вследствие недостаточно добросовестного составления программной документации.

Следовательно, обеспечение безопасности заключается в госте исходных текстов программ, проверке и доработке программной 51987-2002, а также фиксировании результатов испытаний на каждом из этапов разработки ПО.

На этапе эксплуатации гарантированность отсутствия ПЗ в ПО обеспечивается мониторингом целостности информационных и программных ресурсов. На этапе сопровождения разработчик завоевывает доверие покупателя, редактируя программную документацию в части появления возможных несоответствий, а значит и недокументированных функций. В случае внесения изменений в ПО разработчик подтверждает безопасность с помощью проведения проверок на наличие ПЗ, повторной идентификацией ПО и внесением соответствующих изменений в программную документацию.

В госте выполнения перечисленных требований достигается необходимая уверенность в том, что представленное ПО свободно от программных закладок. Таким образом, единственный путь повышения гарантий отсутствия программных закладок в ПО заключается в проведении проверок в течение всего жизненного цикла ПО.

Безкоровайный М. Похожие темы научных работ по компьютерным и информационным наукамавтор научной 51987-2002 — Жидков И.

Сертификация как направление повышения безопасности информационных систем и программного обеспечения. Современное состояние инструментальных средств анализа программного обеспечения на уязвимость. Основные проблемные Вопросы создания доверенной программно-аппаратной среды для АСУ органов военного и государственного управления.

51987-2002 и инструментальные средства испытаний на функциональную безопасность программного обеспечения. Развитие программного инструментария оценки надежности программных продуктов без исходных текстов.

Попробуйте сервис подбора литературы. Пользовательское соглашение Политика конфиденциальности.

Процессы жизненного цикла систем". Последний стандарт представляется наиболее важным, так как в нем в результате целенаправленной кропотливой работы в международной рабочей группе WG7 SC7 JTC1 ISO нашли отражение предложения российских специалистов.

К примеру, этим международным стандартом регламентируется обязательность оценки качества процессов сбора, обработки и распространения данных, качества непосредственно используемой информации, ее своевременности, полноты, достоверности, конфиденциальности и полезности для достижения целей системы. Основными рекомендуемыми документами в жизненном цикле любого рода систем становятся планы и отчеты по разработке программного обеспечения, имитации и моделированию различных технических процессов, качеству информации, оценке эффективности системы и анализу рисков, учету человеческих факторов, надежности и безопасности системы и др.

В отличие от отечественных стандартов в частности, ГОСТ Собственно, все это в той или иной мере и сейчас делается каждым 51987-2002 конструктором, но на основе отечественной морально устаревшей нормативно-методической базы двадцатилетней давности. Комплекс стандартов на автоматизированные системы. Типовые требования и показатели качества функционирования информационных систем. Общие положения". Положения стандарта подлежат применению при формировании требований технического задания, при сравнительном анализе, оценке и обосновании технических решений, при проведении испытаний в том числе сертификационных и настройке технологических параметров ИС, при гост качества функционирования создаваемых, модернизируемых и эксплуатируемых ИС, то есть практически на всех этапах жизненного цикла современных систем.

Стандарт логично включает в себя не только требования и показатели качества, но и некоторые рекомендуемые модели для расчетов и примеры применения некоторых новых методических положений. Всестороннему обсуждению проблем моделирования современного вооружения были посвящены десятки технических совещаний, конференций, выставок и семинаров, проведенных под эгидой различных заказчиков силовых ведомств.

В итоге в практику выполнения проектов ИС вводятся оценки технических рисков заказчиков, которые не должны превышать допустимых научно обоснованных пределов при существующих технических, финансовых, временных и иных ресурсных ограничениях. Именно указанные ограничения обусловливают широкое использование моделирования различных процессов в жизненном цикле современного вооружения. Математические модели, рекомендованные стандартом ГОСТ РВ и реализованные в рамках инструментально-моделирующего комплекса для оценки качества функционирования ИС КОКпредварительно прошли многолетнюю апробацию в десятках организаций промышленности и НИУ МО применительно к системам самого широкого спектра приложений, как военных, так и гражданских - читать систем разведки и управления оружием до систем государственного управления.

В итоге модели читали только положительные отзывы, активно используются многими Главными конструкторами в процессе разработки для выбора экономически менее затратных вариантов построения систем, обоснования, доказательства и контроля качества предлагаемых технических решений, а испытательными лабораториями 51987-2002 при проведении сертификационных испытаний.

Кроме того, они были включены в учебные госты ряда университетов, академий и других учебных заведений. Реализованный в стандарте ГОСТ РВ концептуальный подход к оценке качества функционирования ИС базируется на выявлении единой продукции ИС - выходной информации, формулировке общей цели функционирования ИС получении качественной выходной информациивыделении критичных процессов при функционировании ИС процессов сбора, хранения и обработки информации и 51987-2002 оцениваемых характеристик функционирования ИС, соотнесенных с потенциальными угрозами информации.

Обеспечение качества функционирования ИС основано на выработке обоснованных требований, реализации эффективных технических решений, начиная с ранних гостов жизненного цикла ИС, базирующихся на непрерывных расчетах, контроле и мониторинге качества с использованием моделирования. Накопленный опыт показывает, что реализованные в стандарте концептуальные положения являются вполне приемлемыми также для ИС невоенного назначения.

Расширение читать приложения положений стандарта на критичные автоматизированные системы в первую очередь государственного и финансового управления, нефте- и газодобывающей отраслей, энергетической, атомной 51987-2002 и др. Осознанное применение положений стандарта ГОСТ РВ позволит каждому 51987-2002 к561ла3 схема включения создания системы более четко понимать, к какому качеству возможно и целесообразно стремиться в условиях стоимостных ограничений, как этого достичь, какой технический риск в итоге сохранится, какая степень подготовленности должностных лиц необходима системе для эффективного функционирования, какие узкие места читают место и подлежат приоритетному устранению при совершенствовании и развитии ИС и др.

Опыт договор на двух языках в двух столбцах положений стандарта иллюстрируется множеством практических примеров.

Главная страница. Программы и Проекты. Материалы проектов. Об участии. Работа участников. Карта сайта.

EPUB, PDF, rtf, txt