Международные стандарты как основа процедуры аудита безопасности приложений
In this article we study and analyze the characteristics and the basic procedures of international standards of information security and their use for security auditing software.
Saved in:
| Published in: | Збірник наукових праць Інституту проблем моделювання в енергетиці ім.Г.Є.Пухова НАН України |
|---|---|
| Date: | 2010 |
| Main Authors: | , , |
| Format: | Article |
| Language: | Russian |
| Published: |
Інститут проблем моделювання в енергетиці ім. Г.Є. Пухова НАН України
2010
|
| Online Access: | https://nasplib.isofts.kiev.ua/handle/123456789/27233 |
| Tags: |
Add Tag
No Tags, Be the first to tag this record!
|
| Journal Title: | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| Cite this: | Международные стандарты как основа процедуры аудита безопасности приложений / Б.Я. Корниенко, А.К. Юдин, Ю.Ю. Скумен // Збірник наукових праць Інституту проблем моделювання в енергетиці ім. Г.Є. Пухова НАН України. — К.: ІПМЕ ім. Г.Є. Пухова НАН України, 2010. — Вип. 55. — С. 29-36. — Бібліогр.: 8 назв. — рос. |
Institution
Digital Library of Periodicals of National Academy of Sciences of Ukraine| _version_ | 1859643190137585664 |
|---|---|
| author | Корниенко, Б.Я. Юдин, А.К. Скумен, Ю.Ю. |
| author_facet | Корниенко, Б.Я. Юдин, А.К. Скумен, Ю.Ю. |
| citation_txt | Международные стандарты как основа процедуры аудита безопасности приложений / Б.Я. Корниенко, А.К. Юдин, Ю.Ю. Скумен // Збірник наукових праць Інституту проблем моделювання в енергетиці ім. Г.Є. Пухова НАН України. — К.: ІПМЕ ім. Г.Є. Пухова НАН України, 2010. — Вип. 55. — С. 29-36. — Бібліогр.: 8 назв. — рос. |
| collection | DSpace DC |
| container_title | Збірник наукових праць Інституту проблем моделювання в енергетиці ім.Г.Є.Пухова НАН України |
| description | In this article we study and analyze the characteristics and the basic procedures
of international standards of information security and their use for security auditing software.
|
| first_indexed | 2025-12-07T13:24:50Z |
| format | Article |
| fulltext |
29 © Б. Я. Корниенко, А.К. Юдин, Ю.Ю. Скумен
6. T. Bates, E. Gerich. Representation of IP Routing Policies in a Routing Registry (ripe-
181). - 1994. ftp://ftp.ripe.net/ripe/docs/ripe-181.txt
7. Y. Rekhter, T. Li. RFC1771 – A Border Gateway Protocol 4 (BGP-4). - 1995.
http://rfc.net/rfc1771.html
8. Y. Rekhter, P.Gross. RFC 1772 - Application of the Border Gateway Protocol in the
Internet. - 1995. http://rfc.net/rfc1772.html
9. M. Faloustos, P. Faloustos, C. Faloustos. On Power-Law Relationships of the Internet
Topology. – SIGCOMM, 1999.
http://www.cs.cmu.edu/~christos/PUBLICATIONS/sigcomm99.pdf
10. L. Zhao, K. Park, Y.-Ch. Lai. Attack vulnerability of scale-free networks due to
cascading breakdown. - Physical Review, E 70, 035101(R). – The American Physical
Society, 2004.
11. Ланде Д.В., Зубок В. Ю., Фурашев В.Н. Исследование сетевых параметров
украинского сегмента Интернет. - Открытые информационные и компьютерные
технологии: Сб. науч. трудов. Вып. 40. – Харьков: Нац. аэрокосм. ун-т „ХАИ”: 2008.
Поступила 1.02.2010р.
УДК 004.056.5 (076.5)
Б. Я. Корниенко, к.т.н., НАУ, г. Киев
А.К. Юдин, д.т.н., НАУ, г. Киев
Ю.Ю. Скумен, НАУ, г. Киев
МЕЖДУНАРОДНЫЕ СТАНДАРТЫ КАК ОСНОВА ПРОЦЕДУРЫ
АУДИТА БЕЗОПАСНОСТИ ПРИЛОЖЕНИЙ
In this article we study and analyze the characteristics and the basic procedures
of international standards of information security and their use for security auditing
software.
На сегодняшний день острой проблемой в области безопасности
компьютерных систем является аудит безопасности программного
обеспечения (ПО), устанавливаемого на рабочие станции пользователей или
серверы компьютерных систем или сетей. Здесь под аудитом безопасности
ПО подразумевается техническое оценивание и анализ работы приложения.
Постановка задачи
Целью статьи является исследование и анализ характеристик и
основных процедур международных стандартов информационной
безопасности и их использование для аудита безопасности программного
обеспечения.
Существует два способа проведения аудита безопасности: вручную и
автоматически. Аудит ПО вручную включает в себя:
30
− опрос персонала;
− выполнение сканирования на уязвимость системы безопасности при
запущенном ПО;
− анализ приложений и операционной системы при запущенном ПО;
− анализ системы контроля доступа;
− проверка на соответствие выполняемых ПО процедур с заявленными
в документации;
− проверка гарантийных обязательств, репутации разработчиков и
издателей ПО.
Автоматизированный аудит, предполагает использование систем,
которые генерируют аудиторские отчеты или использование программного
обеспечения для мониторинга и отчетности изменений в файлах и настройках
системы.
Любой специалист по администрированию компьютерных систем и
сетей несет ответственность за безопасность установленного на рабочие
станции и серверы ПО. В своей работе администратор должен следовать
определенному порядку – процедуре аудита программного обеспечения на
безопасность. Основной проблемой для построения такой процедуры
становится отсутствие единого локализированного международного
стандарта по вопросу аудита приложений [1].
Понять необходимость проведения аудита ПО перед установкой на
рабочие станции, поможет рассмотрение угроз безопасности компьютерной
системы со стороны непроверенного, уязвимого или вредоносного ПО [2].
Вредоносный код - это умышленное изменение кода программы,
которое влечет за собой повреждение одной или нескольких характеристик
безопасности системы, в пользу третьей заинтересованной в этом стороны.
Основные параметры безопасности системы, которые подвергаются
опасности при запуске программного обеспечения, содержащего
вредоносный код:
− целостность и достоверность данных,
− конфиденциальность информации,
− процедура аутентификации пользователей и других субъектов,
− процедура авторизации прав доступа и привилегий пользователей.
Существует несколько категорий уязвимостей в безопасности
компьютерной системы, которые используют программисты при
умышленном изменении кода программы:
1. Безопасность доступа к памяти — уязвимости, связанные с
доступом к оперативной памяти компьютера, такие как переполнение буфера
и “висящие указатели”.
Переполнение буфера — явление, возникающее, когда компьютерная
программа записывает данные за пределами выделенного в памяти буфера.
Переполнение буфера является наиболее популярным способом взлома
компьютерных систем. Переполнение буфера может вызывать аварийное
31
завершение или зависание программы, ведущее к отказу обслуживания
(denial of service, DoS).
“Висящие указатели” - это явление, возникающее, когда указатели не
указывают на верный объект соответствующего типа. Как и ошибки
переполнения буфера, "висящие указатели" часто являются уязвимостями в
безопасности компьютерной системы.
2. Состояние гонки - уязвимости (и использующие их типы атак),
позволяющие непривилегированной программе влиять на работу других
программ через возможность изменения общедоступных ресурсов, в
определённое временное окно, в которое файл по ошибке (или злому умыслу)
программиста доступен для записи всем или части пользователей системы.
Атакующая программа может разрушить содержимое файла, вызвав
аварийное завершение программы-жертвы, или, подменив данные, заставить
программу выполнить какое-либо действие на уровне своих привилегий.
3. Безопасность ввода/вывода – уязвимости системы ввода приводят к
таким атакам как внедрение кода, отслеживание директорий и др.;
уязвимости системы вывода приводят к атакам типа межсайтовый скриптинг.
Внедрение кода - это метод использования уязвимости компьютерной
системы, вызванной неправильным вводом данных. Внедрение кода может
быть использована злоумышленником, чтобы ввести код в запущенную на
компьютере программу и изменить ход ее исполнения. Например, атака
внедрение кода используется для размножения компьютерных червей.
Отслеживание директорий использует уязвимость в системе, когда
имена пользовательских входных файлов указывают путь к родительскому
каталогу. Целью данной атаки является доступ к файлам, которые являются
недоступными, через доступные файлы.
XSS (Сross Site Sсriрting— «межсайтовый скриптинг»)— тип
уязвимости интерактивных информационных систем в вебе. XSS возникает,
когда в генерируемые сервером страницы по какой-то причине попадают
пользовательские скрипты. Специфика подобных атак заключается в том, что
вместо непосредственной атаки сервера они используют уязвимый сервер в
качестве средства атаки на клиента.
Решением вышеописанных проблем может стать, как уже указывалось,
использование автоматизированных систем аудита безопасности ПО, таких,
как например, антивирусные продукты, сканеры, программы логирования и
др. Но более эффективным является процедурный ручной аудит
безопасности ПО. Автоматизированные решения, к сожалению, не обладают
аналитическими свойствами человеческого интеллекта, а лишь способны
сравнивать получаемые результаты с имеющимися в их распоряжении.
Процедурный же подход подразумевает постоянное совершенствование
процесса аудита, оценки, анализа приложений, учитывая последние новости
об уязвимостях в программном обеспечении и операционных системах, а
32
также новых попытках и удавшихся атаках злоумышленников. Основой
процедуры аудита безопасности приложений должны стать положения
международных стандартов по компьютерной безопасности и тестированию
ПО [3].
Одним из подходов для проверки безопасности устанавливаемого ПО
является оценка соответствующих атрибутов качества, связанных с
безопасностью, определённых в стандартах Международной организации
стандартизации: ISO/IEC 9126 и ISO/IEC 14598 “Информационные
технологии. Оценка программного продукта. Характеристики качества и
руководство по их применению”.
Стандарты определяют базовую терминологию и общий подход к
проблеме оценки качества ПО (характеристики качества, метрики для их
измерения, методологию оценки) [4,5]. Безопасность ПО в данном стандарте
является одним из четырех основных показателей функциональной
пригодности приложения. Характеристика как внутреннего, так и внешнего
качества «безопасность» используется в стандартах в значении: способность
ПО защищать информацию и данные так, чтобы неавторизованные субъекты
или процессы не смогли читать или модифицировать их, а авторизованным
пользователям и процессам не было отказано в доступе к ним [6-8]. В
стандартах подчеркивается, что данное требование также относится и к
данным, которые находятся в процессе пересылки.
Таблица 1
Метрики характеристик качества «безопасность»
Метрика Формула Примечания из стандарта
1.Внешние
метрики
безопасности:
1.1 протоколи-
рование доступа;
Х = А / В;
А = число «фактов доступа
пользователя к системе и
данным», зафиксированных в
протоколе системы;
В = число «фактов доступа
пользователя к системе и
данным», которые были
произведены во время
оценки;
1. рекомендуется использовать
«тесты на проникновения» для
эмуляции атак на систему;
2. под записью протокола «факт
доступа пользователя к системе и
данным» может подразумеваться
запись «факт обнаружения вируса»
для обеспечения антивирусной
безопасности системы;
1.2 контролируе-
мость доступа;
Х = А / В;
А = число обнаруженных
видов несанкционирован-ного
доступа;
В = число видов
несанкционированного
доступа в спецификации;
1. необходимо проверить
способность системы определять
факты несанкционированного
доступа при неправильном
применении функций системы;
2. рекомендуется использовать
«тесты на проникновения» для
эмуляции атак на систему;
33
1.3 предотвраще-
ние повреждения
данных;
а) Х = 1 – А / N;
A = число фактов
существенного повреждения
данных;
N = число видов тестов, при
помощи которых пытались
спровоцировать факт
повреждения данных;
b) Y = 1 – B / N;
B = число фактов
незначительного повреждения
данных;
c) Х = A / T или B / T;
T = время выполнения
операции;
1. необходимо проверить
корректность работы системы при
неправильном применении её
функций;
2. необходимо построить
классификацию эффекта от событий
повреждения данных;
3. для вычисления внешних метрик
следует использовать информацию,
доступную извне системы. Порядок
подсчёта событий здесь отличается
от порядка подсчёта событий при
оценке аналогичных внутренних
данных;
4. рекомендуется использовать
«тесты на проникновения» для
эмуляции атак на систему;
Таким образом, стандарты ISO/ IEC 9126 и ISO/ IEC 14598 описывают
параметры, по соответствию которым программный продукт можно отнести
к “безопасным”.
ISO/IEC 27000 — серия международных стандартов, включающая
стандарты по информационной безопасности опубликованные совместно
Международной Организацией по Стандартизации (ISO) и Международной
Электротехнической Комиссии (IEC). Серия содержит лучшие практики и
рекомендации в области информационной безопасности для создания,
развития и поддержания Системы Менеджмента Информационной
Безопасности.
Стандарт 27001 предполагает процедуры по реализации аудита
устанавливаемого на рабочие станции программного обеспечения, указанные
в таблице 2.
Стандарт ISO/IEC 27002 (ранее ISO/IEC 17799:2005) “Информационные
технологии — Технологии безопасности — Практические правила
менеджмента информационной безопасности” (англ. Information technology
— Security techniques — Code of practice for information security management).
Рассмотрим основные положения данного стандарта в разрезе аудита ПО.
Стандарт предполагает, что защита от вредоносного кода должна быть
основана на:
− детектировании вредоносного кода и восстановления программного
обеспечения;
− понимании вопросов безопасности;
− соответствующем контроле и управлении изменение и доступом к
системе.
34
Таблица 2
Процедуры управления программным обеспечением
A.12.2 Правильная обработка данных в приложении
A.12.2.1 Проверка правильности
входных данных
Необходимо производить проверку
достоверности входных данных
приложений, чтобы гарантировать
правильность и соответствие данных.
A.12.2.2 Контроль внутренней
обработки данных
Проверки правильности должны быть
встроены в приложения для обнаружения
какого-либо искажения информации из-
за ошибок обработки или
предумышленных действий.
A.12.2.4 Проверка правильности
выходных данных
Необходимо производить проверку
достоверности входных данных
приложений, чтобы гарантировать, что
обработка хранимой информации является
правильной и соответствующей
обстоятельствам.
A.12.4 Защита системных файлов
Цель: Обеспечить защиту системных файлов.
A.12.4.1 Управление программным
обеспечением
Должны иметься процедуры для
управления установкой программного
обеспечения в операционных системах.
A.12.4.3
Управление доступом к
исходным кодам
программ
Необходимо ограничить доступ к исходным
кодам программ.
A.12.5.2
Специальный осмотр
программных
приложений после
изменений в опера-
ционной системе
После внесения изменений в операционные
системы необходимо пересмотреть и
протестировать критичные для бизнеса
приложения, чтобы убедиться, что не было
оказано неблагоприятного воздействия на
деятельность или безопасность
организации.
A.12.5.3
Ограничения на
изменения пакетов
программного
обеспечения
Изменения пакетов программного
обеспечения нужно избегать,
ограничиться самыми необходимыми
изменениями, а также все изменения
должны строго контролироваться.
Также вводятся следующие руководства по контролу и управлению
аудита приложений:
a) установление официальной политики безопасности, запрещающей
использование неутвержденного программного обеспечения;
b) установление официальной политики безопасности против рисков,
связанных с получением файлов и программного обеспечения через внешние
35
сети или от любой другой среды, указывающей, какие защитные меры
должны, предприняты;
c) проведение регулярного анализа программного обеспечения и
содержания данных систем, поддерживающих критично важные бизнес
процессы; должно быть официально исследовано присутствие любых
неутвержденных файлов или неуполномоченных изменений;
d) инсталляционные версии программ детектирования вредоносного
кода, программное обеспечение лечения и управление их обновлением
должно проводиться на регулярной стандартной основе и должны включать:
1) проверку перед использованием любых файлов на электронных
или оптических носителях и файлов, полученных по сетям, на предмет
наличия вредоносного кода;
2) проверка вложений электронной почты локальной сети и
закладок на наличие вредоносного кода перед использованием; эта
проверка должна быть вынесена в различных местах, например в
серверах электронной почты, настольных компьютерах и при входе в
сеть учреждения;
3) Проверка web-страниц на наличие вредоносного кода;
e) определение процедур управления и обязанностей для сотрудников,
имеющих дело с защитой от вредоносного кода в системах, обучение в их
использовании, сообщении об атаках и блокирование атак вредоносного
кода;
f) подготовка соответствующих планов непрерывности бизнеса и
блокирования атак вредоносного кода, включая все необходимые данные и
программы резервного копирования и восстановления;
g) осуществление процедур регулярного сбора информации, типа
подписки на рассылки и/или новостных информационных узлов, дающих
информацию относительно нового вредоносного кода;
h) осуществления процедур, чтобы проверить информацию, касающейся
вредоносного кода и гарантирующей, что бюллетени предупреждения
являются точными и информативными; управляющий персонал должны
гарантировать, что используются квалифицировали источники, например
журналы с уважаемой репутацией, достоверные сайты Internet или компании
-поставщики, производящие защиту программного обеспечения от
вредоносного кода, чтобы дифференцироваться между обманным и реальным
умышленным кодом; все пользователи должны быть оповещены о проблеме
обманных кодов и действиях при получении их.
Таким образом группа стандартов ISO 27000 определяет процедуры:
− по защите от умышленных ошибок и лёгкости изменения в коде
программ;
− правильной обработки данных в приложениях;
− защита системных файлов;
− защита от вредоносного программного обеспечения.
36 © А.Ф. Бугаев
Выводы
Таким образом, совокупность накопленного опыта и знаний
специалистов по безопасности, разработчиков ПО, воплощена в перечне
международных стандартов таких авторитетных организаций как:
Международная организация по стандартизации (International Organization for
Standardization, ISO) совместно с Международной электротехнической
комиссией (International Electrotechnical Commission, IEC) и Институтом
инженеров по электротехнике и радиоэлектронике (Institute of Electrical and
Electronics Engineers, IEEE). Эти стандарты – основа для построения системы
безопасности и в частности процедуры аудита ПО для любой компьютерной
системы. Такой процедурный подход к аудиту ПО более эффективен, нежели
только лишь автоматический подход и позволяет достичь лучших
результатов в борьбе с вредоносным ПО, как одной из главных угроз
характеристикам безопасности компьютерной системы.
1. Липаев В.В. Стандартизация характеристик и оценивания качества программных
средств— Приложение к журналу «Информационные технологии»-№ 4 - М.: 2001.
С.56-68.
2. Богданов Д.В., Путилов В.А. Показатели качества ПО в ГОСТ 28195 и ГОСТ Р
ИСО/МЭК 9126 - Тестирование и качество ПО – № 3 - М: 2009. С. 82-90.
3. Полаженко С.С. Оценка характеристик безопасности в рамках процесса оценки
качества программных средств в соответствии с международными стандартами
ISO/IEC - Тестирование и качество ПО – № 5 - М: 2008. С. 23-31.
4. IEEE 829-1998 «IEEE standard for software test documentation» /IEEE/1998.
5. ISO/IEC 27000:2009 "Information technology - Security techniques - Information
security management systems - Overview and vocabulary"/ISO/IEC/2009.
6. ISO/IEC 25000:2005 “Software Engineering - Software product Quality Requirements
and Evaluation” /ISO/IEC/2005.
7. ISO/IEC 15408 “Common Criteria for Information Technology Security Evaluation”
/ISO/IEC/2008.
8. IEEE 1028-2008 “IEEE Standard for Software Reviews and Audits”/ IEEE/2008.
Поступила 25.01.2010р.
УДК 621.039.7.001.2
А.Ф. Бугаев
РИСК И КОНЦЕПЦИЯ ПЕРЕХОДНОГО ПЕРИОДА С ПОЗИЦИЙ
СИСТЕМНО-СТРУКТУРНОГО МОДЕЛИРОВАНИЯ
Актуальность
В силу наличия глобального экологического кризиса,
свидетельствующего об изменении геодинамического режима Земли,
перехода планеты в новое состояние, концепция «устойчивого развития» не
|
| id | nasplib_isofts_kiev_ua-123456789-27233 |
| institution | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| issn | XXXX-0067 |
| language | Russian |
| last_indexed | 2025-12-07T13:24:50Z |
| publishDate | 2010 |
| publisher | Інститут проблем моделювання в енергетиці ім. Г.Є. Пухова НАН України |
| record_format | dspace |
| spelling | Корниенко, Б.Я. Юдин, А.К. Скумен, Ю.Ю. 2011-09-28T15:29:16Z 2011-09-28T15:29:16Z 2010 Международные стандарты как основа процедуры аудита безопасности приложений / Б.Я. Корниенко, А.К. Юдин, Ю.Ю. Скумен // Збірник наукових праць Інституту проблем моделювання в енергетиці ім. Г.Є. Пухова НАН України. — К.: ІПМЕ ім. Г.Є. Пухова НАН України, 2010. — Вип. 55. — С. 29-36. — Бібліогр.: 8 назв. — рос. XXXX-0067 https://nasplib.isofts.kiev.ua/handle/123456789/27233 004.056.5 (076.5) In this article we study and analyze the characteristics and the basic procedures of international standards of information security and their use for security auditing software. ru Інститут проблем моделювання в енергетиці ім. Г.Є. Пухова НАН України Збірник наукових праць Інституту проблем моделювання в енергетиці ім.Г.Є.Пухова НАН України Международные стандарты как основа процедуры аудита безопасности приложений Article published earlier |
| spellingShingle | Международные стандарты как основа процедуры аудита безопасности приложений Корниенко, Б.Я. Юдин, А.К. Скумен, Ю.Ю. |
| title | Международные стандарты как основа процедуры аудита безопасности приложений |
| title_full | Международные стандарты как основа процедуры аудита безопасности приложений |
| title_fullStr | Международные стандарты как основа процедуры аудита безопасности приложений |
| title_full_unstemmed | Международные стандарты как основа процедуры аудита безопасности приложений |
| title_short | Международные стандарты как основа процедуры аудита безопасности приложений |
| title_sort | международные стандарты как основа процедуры аудита безопасности приложений |
| url | https://nasplib.isofts.kiev.ua/handle/123456789/27233 |
| work_keys_str_mv | AT kornienkobâ meždunarodnyestandartykakosnovaproceduryauditabezopasnostipriloženii AT ûdinak meždunarodnyestandartykakosnovaproceduryauditabezopasnostipriloženii AT skumenûû meždunarodnyestandartykakosnovaproceduryauditabezopasnostipriloženii |