Автор работы: Пользователь скрыл имя, 19 Сентября 2010 в 08:45, Не определен
Реферат
Меры по обеспечению
безопасности и защищённости ПП
Для предупреждения воздействия угроз, перечисленных в разделе «Источники проблем информационной безопасности программных продуктов», следует применять следующие меры:
а) для защиты интересов потребителей от угроз со стороны разработчика ПП — независимая компетентная экспертиза (тестирование) безопасности и защищённости решений разработчика;
б)
для защиты интересов разработчика
при распространении
В
качестве независимой экспертизы может
применяться процедура
Будущее вопросов независимой аттестации объектов информатизации связывают с новым стандартом ГОСТ Р ИСО/МЭК 15408-1-3 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» (национальная версия международного стандарта ISO/ IEC 15408, общеизвестного под названием "Common criteria"). В РФ сделаны серьезные шаги по практическому применению этих стандартов, на пример, — сертификация продуктов компании Microsoft.
Однако,
независимое тестирование безопасности
и защищённости ПП разработчика —
достаточно сложная процедура, на которую
пойдёт далеко не каждый производитель.
В данной статье хотелось бы сделать акцент
на более доступной для разработчика ПП
процедуре — внутреннем тестировании
безопасности и защищённости ПП, как составной
части более общей задачи тестирования
программного обеспечения. Следует отметить,
что тестирование безопасности и защищённости
ПП в литературе, посвящённой вопросам
тестирования и обеспечения качества
ПО рассматривается лишь номинально, что
и является одной из причин современной
беззащитности ПП перед злоумышленниками
(цифры и факты были приведены во введении
этой статьи). Основной целью данной публикации
автор видит — формирование понимания
в необходимости развития и применения
методов и средств тестирования защищённости
и безопасности ПП.
Недостижимость гарантированной безопасности и защищённости ПП приводит к необходимости разработки методов моделирования угроз, оценки величин риска, потенциального ущерба, связанных с эксплуатацией ПП. Подобные методы следует применять для определения приоритетов защиты информации в ПП и требований к уровню их защиты.
Универсальность принципов безопасности и защищённости ПП приводят к необходимости ориентации разработчиков ПП на обеспечение безопасности и защищённости ПП с самого начала процесса их разработки, что означает необходимость разработки методов и средств разработки безопасных и защищённых приложений.
Сложность современных ПП и многообразие вариантов их использования (как безопасных, так и нет), а также многообразие средств, которые могут быть использованы злоумышленниками для анализа и взлома ПП — приводят к необходимости разработки средств и методов тестирования безопасности и защищённости ПП.
Многосвязность и системность (принцип слабейшего звена) проблемы безопасности ПП приводит к необходимости в разработке формальных подходов к определению понятий защищённости и безопасности ПП, а также формальных методов анализа свойств защищённости и безопасности ПП (формальных методов тестирования безопасности и защищённости ПП).
Потребности пользователей ПП в гарантиях безопасности и защищённости ПП должны, в конечном итоге, сводиться к развитию услуг экспертизы (независимой оценки, тестирования) защищённости и безопасности используемых ПП.