Методы и способы реализации автоматизированной поддержки проведения испытаний компьютерной системы защиты информации (КСЗИ)
Рассматриваются этапы создания КСЗИ, описывается их технология проведения испытаний КСЗИ, а также подход к разработке программного средства поддержки проведения испытаний КСЗИ, выделяются задачи, которые могут быть реализованы с использованием автоматизированного средства поддержки. Также, предлагае...
Збережено в:
| Опубліковано в: : | Проблеми програмування |
|---|---|
| Дата: | 2013 |
| Автор: | |
| Мова: | Російська |
| Опубліковано: |
Інститут програмних систем НАН України
2013
|
| Теми: | |
| Онлайн доступ: | https://nasplib.isofts.kiev.ua/handle/123456789/86655 |
| Теги: |
Додати тег
Немає тегів, Будьте першим, хто поставить тег для цього запису!
|
| Назва журналу: | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| Цитувати: | Методы и способы реализации автоматизированной поддержки проведения испытаний компьютерной системы защиты информации (КСЗИ) / М.А. Колтик // Проблеми програмування. — 2013. — № 1. — С. 85-99. — Бібліогр.: 9 назв. — рос. |
Репозитарії
Digital Library of Periodicals of National Academy of Sciences of Ukraine| _version_ | 1859640467076939776 |
|---|---|
| author | Колтик, М.А. |
| author_facet | Колтик, М.А. |
| citation_txt | Методы и способы реализации автоматизированной поддержки проведения испытаний компьютерной системы защиты информации (КСЗИ) / М.А. Колтик // Проблеми програмування. — 2013. — № 1. — С. 85-99. — Бібліогр.: 9 назв. — рос. |
| collection | DSpace DC |
| container_title | Проблеми програмування |
| description | Рассматриваются этапы создания КСЗИ, описывается их технология проведения испытаний КСЗИ, а также подход к разработке программного средства поддержки проведения испытаний КСЗИ, выделяются задачи, которые могут быть реализованы с использованием автоматизированного средства поддержки. Также, предлагается возможная методология (алгоритм) автоматизированного проведения испытаний и краткая характеристика функциональных модулей входящих в предложенный алгоритм работы программы. Проводится анализ основных требований к программе, которые должны учитываться при ее разработке.
|
| first_indexed | 2025-12-07T13:20:59Z |
| fulltext |
Програмні системи захисту інформації
© М.А. Колтик, 2013
ISSN 1727-4907. Проблеми програмування. 2013. № 1 85
УДК 004.056:061.68
М.А. Колтик
МЕТОДЫ И СПОСОБЫ РЕАЛИЗАЦИИ
АВТОМАТИЗИРОВАННОЙ ПОДДЕРЖКИ ПРОВЕДЕНИЯ
ИСПЫТАНИЙ КОМПЬЮТЕРНОЙ СИСТЕМЫ ЗАЩИТЫ
ИНФОРМАЦИИ (КСЗИ)
Рассматриваются этапы создания КСЗИ, описывается их технология проведения испытаний КСЗИ, а
также подход к разработке программного средства поддержки проведения испытаний КСЗИ, выделя-
ются задачи, которые могут быть реализованы с использованием автоматизированного средства под-
держки. Также, предлагается возможная методология (алгоритм) автоматизированного проведения ис-
пытаний и краткая характеристика функциональных модулей входящих в предложенный алгоритм ра-
боты программы. Проводится анализ основных требований к программе, которые должны учитываться
при ее разработке.
Введение
В современных условиях, во всех
сферах жизнедеятельности, все большее
значение приобретает информационный
ресурс, наряду с уже традиционными ре-
сурсами, такими как: материальные, тру-
довые, финансовые.
Специфика информации, как и лю-
бого другого не материального актива, со-
стоит в том, что она не имеет материаль-
ной формы и, как правило, жесткой при-
вязки к носителю, а ее хищение может
быть произведено путем простого копиро-
вания, то есть без физического изъятия
объекта. Такие особые свойства, а также
ценность информационного ресурса за-
ставляет уделять все больше внимания во-
просам защиты информации.
Среди угроз, которые могут привес-
ти к потере или разглашению информации,
особое место занимает несанкционирован-
ный доступ к информации, которая цирку-
лирует в информационно-телеком-
муникационных системах.
Очевидным является тот факт, что
проблемы связанные с безопасностью
информации, требуют для своего реше-
ния комплексного подхода, суть которо-
го – учет всех возможных угроз безопас-
ности информации и одновременное ис-
пользование взаимосвязанной совокупно-
сти правовых, организационных, матема-
тических, программных, технических ме-
тодов и средств защиты информации
путём создания (КСЗИ).
Создание КСЗИ подразумевает про-
ведение определенного перечня работ,
среди которых можно выделить следую-
щие этапы:
1) обследование информационной
инфраструктуры Заказчика;
2) разработка организационно-
распорядительной документации;
3) разработка Плана защиты ин-
формации;
4) разработка Технического зада-
ния на создание КСЗИ;
5) разработка Проекта КСЗИ;
6) приведение информационной
инфраструктуры Заказчика в соответствие
с Проектом КСЗИ;
7) разработка эксплуатационной
документации КСЗИ;
8) внедрение КСЗИ;
9) предварительные испытания
КСЗИ;
10) проведение государственной
экспертизы КСЗИ, которая является от-
дельным этапом приёмочных испытаний
АС;
11) поддержка и обслуживание
КСЗИ [1].
Испытания КСЗИ являются одним
из важнейших этапов в её создании, кото-
рый дает возможность оценить уровень
защищенности автоматизированной сис-
темы. В качестве критериев оценки могут
выступать существующие нормативные
документы и стандарты или требования,
Програмні системи захисту інформації
выдвигаемые собственником автоматизи-
рованной системы (АС) или информации,
которая в ней обрабатывается.
Испытания КСЗИ представляют со-
бой процесс подтверждения эффективно-
сти её работы и соответствия положениям,
определённым в «Техническом задании на
создание КСЗИ» или других нормативных
документов используемых в качестве кри-
териев оценки.
После успешного завершения испы-
таний КСЗИ может быть введена в экс-
плуатацию в составе автоматизированной
системы или же должны быть устранены
выявленные в ней недостатки, с учётом
предложенных дополнительных мер по
доработке КСЗИ.
В Украине наблюдается устойчивая
тенденция к увеличению потребности в
разработке КСЗИ для различных автома-
тизированных систем. Поэтому проблема
качественного проведения испытаний
КСЗИ является на сегодня достаточно ак-
туальной.
Проблемы, связанные
с проведением испытаний КСЗИ
и возможные пути их решения
Для проведения отдельных видов
работ, связанных с испытанием КСЗИ, ак-
туальной и своевременной задачей являет-
ся разработка и применение средств их ав-
томатизированной поддержки.
Актуальность данного решения
обусловлена рядом проблем, которые воз-
никают при проведении подобных видов
работ традиционным способом, с привле-
чением специалистов в этой области. Их
проведение связано с целым рядом труд-
ностей, как экономического, так и психо-
логического характера [2].
При анализе защищенности авто-
матизированных систем необходимо учи-
тывать большое количество различных
факторов и проводить большое количество
рутинных операций, что в свою очередь
приводит к увеличению вероятности появ-
ления ошибок, которые допускаются спе-
циалистами во время проведения испыта-
ний КСЗИ.
Необходимость массового построе-
ния КСЗИ и их дальнейшего сопровожде-
ния, в чем в настоящий момент нуждается
все больше компаний отечественного рын-
ка и государственных организаций, также
порождает проблему, которая связана с
необходимостью привлечения достаточно
большого количества специалистов в сфе-
ре защиты информации. Их подготовка
требует больших затрат организации, ко-
торая проводит переподготовку своих ра-
ботников. К тому же подготовка квалифи-
цированного специалиста занимает доста-
точно много времени.
Данные проблемы подталкивают
организации, создающие и оценивающие
КСЗИ различных автоматизированных си-
стем, к поиску их решений. И одним из та-
ких решений является разработка и ис-
пользование при проведении испытаний
КСЗИ автоматизированных средств под-
держки (АСР), что является, бесспорно,
конкурентным преимуществом любого
предприятия за счёт оптимизации расхо-
дов и полученных результатов при выпол-
нении проектов.
Автоматизированные средства под-
держки испытаний позволяют облегчить
реализацию поставленных задач, повысить
качество выполняемых работ, уменьшить
рабочую нагрузку на специалистов, осо-
бенно, молодых и не имеющих достаточ-
ного опыта работы, помочь менее опыт-
ным работникам выполнять более слож-
ные задачи.
Использование автоматизирован-
ных средства поддержки ведёт к уменьше-
нию сроков выполнения проекта, оптими-
зации количества и уровня квалификации
специалистов, выполняющих проект,
обеспечивает эффективное руководство
процессом реализации проекта за счёт
оперативного исправления проблем и не-
гативных тенденций, которые появляются.
В основе разработки соответст-
вующего программного обеспечения ле-
жит анализ специфики основных видов ра-
бот, выделяемых при проведении испыта-
ний КСЗИ, выявление методов и способов
формализации соответствующих задач.
Цель данной работы – рассмотрение
возможных методов и средств, примени-
86
Програмні системи захисту інформації
мых для реализации автоматизированной
поддержки испытаний КСЗИ.
Задачи: провести анализ техноло-
гии проведения испытаний КСЗИ, разра-
ботать методологию автоматизированного
проведения испытаний КСЗИ, разработать
требования к программному обеспечению
автоматизированной поддержки проведе-
ния испытаний КСЗИ.
Понятие защищенности
и характеристика оценки
уровня защищенности
автоматизированной системы
Защищенность является одним из
важнейших показателей эффективности
функционирования автоматизированной
системы, наряду с такими показателями
как надежность, отказоустойчивость, про-
изводительность и т. п.
Под защищенностью системы под-
разумевается ее способность противодей-
ствовать несанкционированному вмеша-
тельству в нормальный процесс её функ-
ционирования, а также попыткам хищения,
незаконной модификации, использования,
копирования или разрушения информации,
а также других ее составляющих входящих
в состав системы, доступных в процессе
выполнения задач или заложенных в сис-
тему во время разработки [3].
Под защищенностью автоматизи-
рованной системы (АС) будем пони-
мать степень адекватности реализован-
ных в ней механизмов защиты инфор-
мации существующим в данной среде
функционирования рискам, связанным с
осуществлением угроз безопасности ин-
формации.
Под угрозами безопасности инфор-
мации традиционно понимается возмож-
ность нарушения таких свойств информа-
ции, как конфиденциальность, целостность
и доступность.
Можно выделить несколько факто-
ров, которые определяют защищенность
автоматизированной системы. В идеале
каждый путь осуществления угрозы дол-
жен быть перекрыт соответствующим ме-
ханизмом защиты. Данное условие являет-
ся первым фактором, определяющим
защищенность автоматизированной систе-
мы. Вторым фактором является “проч-
ность” существующих механизмов защи-
ты, характеризующаяся степенью устой-
чивости этих механизмов к попыткам их
обхода либо преодоления. Третьим факто-
ром является величина ущерба, наносимо-
го владельцу автоматизированной системы
в случае успешного осуществления угроз
безопасности [4].
Чтобы гарантировать эффективную
защиту от информационных угроз, необ-
ходимо иметь объективную оценку теку-
щего уровня информационной безопас-
ности. Именно для этих целей и при-
меняется оценка уровня защищенности
системы.
Официально признаваемой оценкой
защищенности АС являются классы за-
щищенности, описание которых приведено
в стандартах защищенности [5]. К таким
стандартам можно отнести: НДТЗІ 2.5-005-
99, НДТЗІ 2.5-004-99.
Оценка уровня защищенности – это
процесс проведения конкретных меро-
приятий направленных на получение объ-
ективной информации о состоянии ин-
формационной безопасности в АС.
В большинстве случаев оценка
уровня защищенности автоматизирован-
ной системы, которая реализуется КСЗИ,
требуется, когда автоматизированная сис-
тема предназначена для обработки инфор-
мации с ограниченным доступом.
Следует отметить, что оценку уров-
ня защищенности рекомендуется прово-
дить периодически, так как состояние
любой автоматизированной системы из-
меняется с течением времени и к момен-
ту очередной оценки она может не иметь
ничего общего с тем, что было зафикси-
ровано ранее. Как правило, повторную
оценку уровня защищенности проводят
при изменении архитектуры автоматизи-
рованной системы, при изменении ее
конфигурации, при выявлении недоста-
точности реализованных средств защиты,
а также, в случае если в автоматизирован-
ной системе изменяются требования к за-
щищенности той информации, которая
в ней циркулирует [6].
87
Програмні системи захисту інформації
Характеристика технологии
проведения испытаний КСЗИ
Технология испытаний КСЗИ про-
водимая экспертами, состоит из отдельных
взаимосвязанных процедур, а именно:
1) анализ совокупности показате-
лей об автоматизированной системе и реа-
лизованных в ней средствах защиты ин-
формации;
2) анализ циркулирующей в авто-
матизированной системе информации;
3) выбор критериев для оценива-
ния защищенности автоматизированной
системы;
4) анализ проектной документа-
ции по созданию КСЗИ предоставленной
собственником АС;
5) проведение испытаний в соот-
ветствии с разработанной программой и
методикой;
6) предоставление выводов о реа-
лизованных средствах защиты и рекомен-
дациях, которые касаются устранения вы-
явленных недостатков КСЗИ.
Испытания могут проводиться, как
КСЗИ в целом, так и отдельных ее моду-
лей или компонентов.
Испытания КСЗИ проводится в со-
ответствии с критериями, выбранными ее
собственником. Выбор критериев, как пра-
вило, осуществляется, в соответствии с
теми задачами, которые должна выполнять
автоматизированная система, частью кото-
рой является КСЗИ.
Для АС, собственником которой
является государственная организация,
критерием оценивания выступают, как
правило, государственные нормативные
документы по защите информации. Если
собственником АС выступает коммерче-
ская организация, а собственником ин-
формации, которая циркулирует в автома-
тизированной системе, является государ-
ство, то такая КСЗИ, также должна отве-
чать государственным стандартам по за-
щите информации, которые прописаны в
соответствующих нормативных докумен-
тах.
КСЗИ может проходить испытания
на соответствие национальным критериям,
а также международным или внутренним.
Однако, национальные критерии защи-
щенности информации, в большинстве
случаев, являются основными для под-
тверждения качества защищенности ин-
формации в автоматизированной системе,
которая функционирует на территории
Украины.
Автоматизация процесса проведе-
ния испытаний КСЗИ или отдельных
ее процедур, при использовании нацио-
нальных критериев оценки защищенности
системы, является достаточно актуальной
задачей, результатом которой будет яв-
ляться разработка и внедрение в эксплуа-
тацию специального программного обес-
печения.
Описание похода к разработке
автоматизированной поддержки
испытаний КСЗИ
Данный подход описывает основ-
ные принципы, которые должны быть
реализованы в программном обеспечении
для автоматизированной поддержки про-
ведения испытаний в соответствии с госу-
дарственными стандартами НД ТЗИ
и определить достаточность и полноту
применяемых средств защиты, с предос-
тавлением результатов испытаний КСЗИ
пользователю.
Применение данного подхода
должно относиться к компонентам входя-
щих в состав КСЗИ направленным на уст-
ранение угроз от несанкционированного
доступа (НСД).
Разработка программного обеспе-
чения для автоматизированной поддержки
проведения испытаний КСЗИ должна быть
реализована в соответствии с такими
принципами:
1) программное обеспечение
должно позволять вводить и обрабатывать
совокупность показателей, характеризую-
щих конкретную автоматизированную си-
стему (объект испытаний (ОИ)) и средства
ее защиты;
2) в программном обеспечении
должны быть реализованы критерии оцен-
ки, под которыми следует понимать сово-
купность требований (шкалы оценки), ко-
торые используются для оценки эффек-
тивности функций защиты информации и
корректности их реализации;
88
Програмні системи захисту інформації
3) программное обеспечение дол-
жно быть разработано в соответствии с
определенной методологией оценки, кото-
рая определяет последовательность дейст-
вий (алгоритм), выполняемый программой
при проведении оценки уровня защищен-
ности системы, эффективности и коррект-
ности реализации функций защиты ин-
формации;
4) в программном обеспечении
должна быть реализована форма представ-
ления результатов оценки, которая вклю-
чает совокупность показателей, характери-
зующих уровень защищенности АС, их до-
статочность и полноту;
5) программное обеспечение дол-
жно предоставлять пользователю интуи-
тивно понятный интерфейс.
Результатом проведенных испыта-
ний должно быть соответствующее заклю-
чение, на основании которого владельцы
АС и обрабатываемых в них информаци-
онных ресурсов могут принимать решения
о приемлемости и достаточности, приня-
тых мер и реализованных средств касаю-
щихся защищенности системы [7].
Описанный подход позволяет полу-
чать количественные и качественные
оценки уровня защищенности АС, путем
сопоставления характеристик, свойств и
параметров АС и ее комплексных средств
защиты с многократно апробированными
на практике и стандартизированными на-
циональными критериями оценки защи-
щенности, которые используются в каче-
стве критериев.
Методика (алгоритм)
функционирования программного
обеспечения для автоматизиро-
ванной поддержки проведения
испытаний КСЗИ
Данное программное обеспечение
должно состоять из следующих функцио-
нальных модулей:
первый модуль – ввод пользовате-
лем информации об автоматизированной
системе, реализованных в ней средствах
защиты и вывод (предоставление) пользо-
вателю, обработанной информации об ав-
томатизированной системе. Информация,
которая вводится пользователем, должна
содержать описание подсистем автомати-
зированной системы и ее элементов, а
также характеристику информации, кото-
рая циркулирует в этих элементах и требу-
ет защиты;
второй модуль – ввод-вывод дан-
ных об угрозах для информации, кото-
рая обрабатывается в системе. Данный
модуль должен предоставить пользовате-
лю возможность создать поле угроз
(модель угроз) для информации и осу-
ществить их классификацию по несколь-
ким параметрам. Модель угроз должна
предоставлять возможность пользовате-
лю определить вероятность реализации уг-
роз и относительный уровень ущерба при
их реализации;
третий модуль – ввод-вывод дан-
ных о нарушителях безопасности. Данный
модуль должен предоставить пользовате-
лю возможность построения модели нару-
шителя с их классификацией. Модель на-
рушителя должна быть разработана при
взаимодействии с моделью угроз и пользо-
ватель должен иметь возможность опреде-
лить, какую из угроз может реализовать
отдельный вид нарушителя;
четвертый модуль – ввод-вывод
данных об отношении между ОИ с цир-
кулирующей в нём информацией, угро-
зами для ОИ, определения функций за-
щиты, которые должна реализовать КСЗИ,
услуг и функционального профиля защи-
щенности;
пятый модуль – пользователь дол-
жен определить механизмы защиты в со-
ставе ОИ, проанализировать и оценить це-
лесообразность их применения, в соответ-
ствии с выделенной моделью угроз, выде-
ленными функциями защиты, которые
формируют услуги определенных уровней,
входящих в функциональный профиль за-
щищенности. Пользователь должен иметь
возможность ввести или выбрать те сред-
ства защиты, которые должны быть реали-
зованы в ОИ, а также определить, какие
функции защиты они выполняют и от ка-
ких угроз защищают;
шестой модуль – пользователю
предоставляется оценка уровня защищен-
ности системы. Она выражается в предос-
89
Програмні системи захисту інформації
тавлении пользователю количественных
показателей (данных о количестве угроз,
которые были устранены и их характе-
ристика) и качественных показателей
(данных об оценке вероятности возникно-
вения этих угроз) касающихся устранен-
ных угроз.
В случае если программа выявила
угрозы, которые не устранены с помо-
щью указанных средств защиты, про-
грамма рассматривает это как уязви-
мость ОИ и предоставляет пользователю
количественную и качественную оценку
защищенности, с учетом выявленных уяз-
вимостей. Пользователю предоставляется
информация о количественных показате-
лях (данных о количестве обнаруженных
уязвимостей и их характеристика) и ка-
чественных показателях (вероятность их
реализации и уровень относительного
ущерба в случае их реализации) уязви-
мостей ОИ.
Также, пользователю предоставля-
ется сводная информация об устраненных
угрозах, выявленных уязвимостях и их ха-
рактеристика;
седьмой модуль – пользователю
предоставляется возможность доработать
КСЗИ и сохранить проект.
Пользователю предоставляется воз-
можность после выявления уязвимостей,
выбрать функции защиты, которые долж-
ны реализовываться КСЗИ для защиты
ОИ и устранения выявленных уязвимо-
стей, после чего данные функции долж-
ны быть включены в состав услуг и
функциональный профиль защищенно-
сти. Выбор новых функций может повли-
ять на уровень определенных услуг, вхо-
дящих в функциональный профиль защи-
щенности.
На основе выбранных функций
пользователю предоставляется возмож-
ность указать средства защиты, которые
должны будут реализовывать эти функции.
После чего, программа предоставляет
пользователю обновленные показатели
уровня защищенности системы.
Пользователю также предоставля-
ется возможность просмотра средств за-
щиты, которые входят в состав КСЗИ и ре-
ализуют указанные функции защиты.
На рис. 1 представлен алгоритм ра-
боты и взаимодействия проектных моду-
лей программного обеспечения по автома-
тизированной поддержке проведения ис-
пытаний КСЗИ.
Рис. 1. Характеристика алгоритма работы
и взаимодействия проектных модулей про-
граммного обеспечения по автоматизиро-
ванной поддержке проведения испытаний
КСЗИ
Характеристика структурно-
функциональных модулей
алгоритма
S1 – Начало алгоритма;
Первый модуль – ввод-вывод дан-
ных относительно архитектуры ОИ, реали-
зованных средств защиты и информации,
которая в нем циркулирует.
Операция R1 – ввод данных поль-
зователем относительно архитектуры ОИ,
реализованных средств защиты и инфор-
мации, которая в нем циркулирует;
Операция Z1 – анализ вводимых
данных программным обеспечением. В
случае ввода некорректных данных,
программа отказывается переходить на
следующий этап работы и выводит поль-
зователю на экран соответствующее сооб-
щение;
Операция P1 – обработка програм-
мой данных введенных пользователем от-
носительно архитектуры ОИ, реализован-
ных средств защиты и информации, кото-
рая в нем циркулирует;
90
Програмні системи захисту інформації
Операция R2 – вывод данных отно-
сительно архитектуры ОИ, реализованных
средств защиты и информации, которая в
нем циркулирует.
Второй модуль – Ввод-вывод дан-
ных об угрозах для информации,
которая обрабатывается в ОИ. Создание
пользователем модели угроз, анализ веро-
ятности их реализации и относительного
уровня ущерба.
Операция R3 – ввод данных поль-
зователем об угрозах для информации, ко-
торая обрабатывается в ОИ;
Операция Z2 – анализ вводимых
данных программным обеспечением. В
случае ввода некорректных данных, про-
грамма отказывается переходить на сле-
дующий этап работы и выводит пользова-
телю на экран соответствующее сообще-
ние;
Операция P2 – обработка програм-
мой данных введенных пользователем от-
носительно угроз для информации, кото-
рая обрабатывается в ОИ, формирование
модели угроз;
Операция P3 – анализ вероятности
реализации выявленных угроз и относи-
тельного уровня ущерба в случае их реали-
зации;
Операция R4 – вывод данных отно-
сительно сформированной модели угроз,
анализа вероятности реализации выявлен-
ных угроз и относительного уровня ущер-
ба в случае их реализации.
Третий модуль – ввод-вывод дан-
ных о нарушителях безопасности. По-
строение модели нарушителя и осуществ-
ление их классификации. Определение
взаимосвязи класса нарушителей и воз-
можного перечня рисков, которые могут
быть ими реализованы.
Операция R5 – ввод данных поль-
зователем об нарушителях безопасности;
Операция Z3 – анализ вводимых
данных программным обеспечением. В
случае ввода некорректных данных, про-
грамма отказывается переходить на сле-
дующий этап работы и выводит пользова-
телю на экран соответствующее сообще-
ние;
Операция P4 – обработка програм-
мой данных введенных пользователем от-
носительно нарушителей безопасности,
формирование модели нарушителя;
Операция P5 – определение взаи-
мосвязи перечня угроз и класса нарушите-
лей, которые могут их реализовать;
Операция R6 – вывод данных отно-
сительно сформированной модели нару-
шителей и перечня угроз, которые могут
быть ими реализованы.
Четвертый модуль – ввод-вывод
данных об отношении между ОИ и реали-
зованными в нем средствами защиты, а
также угрозами для объекта экспертизы, на
основе данного взаимоотношения пользо-
вателем определяются функции защиты,
которые должны быть реализованы КСЗИ,
а также уровень услуг и функциональный
профиль защищенности.
Операция R7 – ввод (выбор) дан-
ных пользователем о функциях защиты,
которые реализованы в соответствии с ре-
ализованными средствами защиты, а также
функции защиты, которые должны быть
реализованы КСЗИ данного ОИ;
Операция Z4 – анализ вводимых
данных программным обеспечением. В
случае ввода некорректных данных, про-
грамма отказывается переходить на сле-
дующий этап работы и выводит пользова-
телю на экран соответствующее сообще-
ние;
Операция P6 – обработка програм-
мой данных введенных пользователем от-
носительно функций защиты, которые ре-
ализованы в ОИ, а также тех функций за-
щиты, что должны быть реализованы для
обеспечения более полной защищенности
ОИ;
Операция P7 – определение про-
граммой реального и необходимого уровня
услуг и функционального профиля защи-
щенности;
Операция P8 – определение про-
граммой соотношения между ОИ, угроза-
ми для ОИ и функциями защиты которые
уже реализованы и должны быть реализо-
ваны;
Операция R8 – вывод данных отно-
сительно соотношения между ОИ, угроза-
ми для ОИ и функций защиты которые
должны быть реализованы. Программа
предоставляет сформированный функцио-
91
Програмні системи захисту інформації
нальный профиль защищенности. Про-
грамма предоставляет сообщения, в случае
если пользователь выбрал (или указал) не
достаточное количество функций защиты
для минимально необходимого уровня ус-
луги.
Пятый модуль – ввод-вывод дан-
ных, в процессе которого пользователь
должен определить дополнительные или
лишние механизмы (средства) защиты ОИ
от определенного ранее перечня угроз, на
основе выделенных функций защиты, ко-
торые формируют определенные уровни
услуг и функциональный профиль защи-
щенности. Пользователь выбирает или
вводит средства защиты, которые должны
быть реализованы в ОИ, а также определя-
ет, какие функции защиты они выполнят и
от каких угроз защищают.
Операция R9 – ввод (или выбор)
данных пользователем относительно необ-
ходимых механизмов (средств) защиты
ОИ;
Операция Z5 – анализ вводимых
данных программным обеспечением. В
случае ввода некорректных данных, про-
грамма отказывается переходить на сле-
дующий этап работы и выводит пользова-
телю на экран соответствующее сообще-
ние;
Операция P9 – обработка програм-
мой данных введенных пользователем от-
носительно необходимых механизмов
(средств) защиты ОИ;
Операция P10 – определение про-
граммой соотношения между ОИ, угро-
зами для ОИ, функциями защиты кото-
рые должны быть реализованы и необ-
ходимыми механизмами (средствами) за-
щиты ОИ;
Операция R10 – вывод данных от-
носительно соотношения необходимых и
реализованных механизмов (средств) за-
щиты ОИ, а также соотношения между
ОИ, угрозами для ОИ, функциями защиты,
которые уже реализованы, а также должны
быть реализованы указанными механиз-
мами (средствами) защиты ОИ.
Шестой модуль – ввод-вывод дан-
ных, в котором пользователю предостав-
ляется оценка уровня защищенности
ОИ. Данная оценка выражается в предос-
тавлении пользователю количественных и
качественных показателей касающихся
устраненных угроз и выявленных уязви-
мостей.
Операция R11 – выбор пользовате-
лем данных относительно количественных
и качественных показателей уровня защи-
щенности ОИ;
Операция P11 – определение про-
граммой выбранных пользователем пара-
метров относительно количественных и
качественных показателей уровня защи-
щенности ОИ;
Операция R12 – вывод данных про-
граммой относительно выбранных пользо-
вателем параметров количественных и
качественных показателей уровня защи-
щенности ОИ. Предоставление пользова-
телю количественных показателей (дан-
ных о количестве угроз, которые были
устранены и их характеристика) и каче-
ственных показателей (данных об оцен-
ке вероятности возникновения этих угроз)
касающихся устраненных угроз. Предос-
тавление пользователю количественных
показателей (данных о количестве обна-
руженных уязвимостей и их характеристи-
ка) и качественных показателей (вероят-
ность их реализации и уровень относи-
тельного ущерба в случае их реализации)
уязвимостей данного ОИ. Предоставление
пользователю информации об устранен-
ных угрозах, выявленных уязвимостях и
их характеристика.
Седьмой модуль – выбор процеду-
ры позволяющей пользователю доработать
проект.
Операция Z6 – выбор пользовате-
лем механизма отката программы на пер-
воначальный этап работы, для доработки
проекта по оценке уровня защищенности
ОИ. Предоставление пользователю воз-
можности заново провести ввод необхо-
димой информации на первом и после-
дующих этапах работы.
S2 – Конец алгоритма.
На рис. 2 показана структурно-
функциональная схема автоматизирован-
ной поддержки проведения испытаний
КСЗИ.
92
Програмні системи захисту інформації
Рис. 2. Структурно-
функциональная схема (модель)
автоматизированной поддержки
проведения испытаний КСЗИ
Описание требований к разраба-
тываемой программе по автома-
тизированной поддержке проведе-
ния испытаний КСЗИ
Цель создания программного обес-
печения – предоставление пользователю
(эксперту, разработчику КСЗИ) возможно-
сти автоматизированной поддержки при
проведении испытаний КСЗИ.
Объектом автоматизации является
процесс проведения испытаний КСЗИ.
Предназначение программного
обеспечения. Программное обеспечение
предназначено для автоматизированного
решения определенных задач, реализуе-
мых в ходе проведения испытаний КСЗИ и
оценки уровня защищенности АС.
Характеристика объекта автома-
тизации. Реализация автоматизированной
поддержки проведения испытаний КСЗИ
подразумевает проектирование, разработ-
ку, внедрение в эксплуатацию и дальней-
шее использование в работе специалиста,
программного обеспечения, с помощью
которого решается отдельная задача или
группа задач выполняемых при проведе-
нии испытаний КСЗИ, что в дальнейшем
позволяет сделать выводы о полноте и до-
статочности уровня защищенности авто-
матизированной системы.
Общие требования к
программному обеспечению
Данное программное обеспечение
должно выполнять следующие общие
требования:
1) предоставлять пользователю
интуитивно понятный и простой интер-
фейс взаимодействия с программой;
2) предоставлять пользователю
возможность диалогового взаимодействия
с программой;
3) в случае некорректного ввода
данных предоставлять пользователю соот-
ветствующие предупреждения;
4) предоставлять пользователю
вспомогательные сообщения для коррект-
ного ввода данных;
5) предоставлять нескольким по-
льзователям возможность пользоваться
данной программой, с возможностью со-
хранения своих проектов, в том числе не
доработанных;
6) предоставлять пользователю
возможность начать работу со своим про-
ектом с того шага на котором он был за-
вершен, без необходимости начинать его
заново.
Функциональные требования к
программному обеспечению для
автоматизированной поддержки
проведения испытаний КСЗИ
Этап ввода данных об автоматизи-
рованной системе.
Качество проводимого оценивания
безопасности во многом зависит от полно-
ты и точности информации, которая полу-
чена в процессе сбора исходных данных.
Данный этап должен предоставлять
пользователю возможность ввести инфор-
мацию, характеризующуюся ОИ в целом,
его предназначение и основные задачи.
93
Програмні системи захисту інформації
Пользователь должен иметь воз-
можность:
1) выбора наиболее приоритетных
свойств информации (конфиденциаль-
ность, целостность, доступность, наблю-
даемость) для каждого из видов информа-
ции, которая циркулирует в ОИ;
2) ввести информацию, которая
характеризует подсистемы ОИ, элементы
подсистем ОИ входящие в их состав.
Последовательность операций вхо-
дящих в состав алгоритма проведения ис-
пытаний должна включать ввод основных
данных описывающих ОИ, а именно:
1) ввод данных характеризирую-
щих основные функциональные модули и
элементы ОИ;
2) ввод данных характеризирую-
щих функциональные подсистемы и эле-
менты комплекса средств защиты, реали-
зованные в ОИ;
3) ввод данных характеризирую-
щих объекты-пользователи, объекты-
процессы, пассивные объекты и их атри-
буты доступа [7].
Характеристика ОИ и реализован-
ных средств защиты, должна рассматри-
ваться на нескольких уровнях:
1) аппаратный;
2) BIOS;
3) операционная система;
4) сетевой;
5) СУБД;
6) прикладного программного
обеспечения.
Пользователь должен иметь воз-
можность:
1) на основе введенных данных об
ОИ и его элементах построить архитектуру
и представить ее в графическом виде;
2) добавить новый элемент в раз-
работанную архитектуру ОИ, в случае ес-
ли она была уже сформирована.
В результате, пользователь должен
получить общее представление об ОИ и
элементах, которые в него входят.
На основе вводимых данных дол-
жен осуществляется следующий этап ана-
лиза ОИ.
Этап ввода данных об обрабаты-
ваемой в автоматизированной системе
информации
На данном этапе необходимо пре-
доставлять пользователю возможность
ввести характеристики информации, кото-
рая циркулирует в ОИ и той информации,
которая требует защиты.
Также, пользователю необходимо
указать все виды информации, которая
циркулирует в ОИ (например, открытая, с
ограниченным доступом).
Пользователь должен иметь воз-
можность указать те подсистемы и их эле-
менты, в которых требующая защиты ин-
формация циркулирует.
Этап ввода данных об угрозах для
информации
Пользователь должен иметь воз-
можность построения модели угроз для
информации, которая циркулирует в ОИ.
После окончания этапа ввода ин-
формации об ОИ, его подсистемах и обра-
батываемой информации, которая в дан-
ном ОИ циркулирует, пользователь дол-
жен перейти к следующему этапу ввода
информации об угрозах.
Программное обеспечение должно
предоставлять возможность для ОИ в це-
лом и его отдельных элементов, учитывая
циркулирующую в нем информацию, вве-
сти возможные угрозы для его безопасно-
сти, которые касаются несанкционирован-
ных действий (доступа, копирования,
модификации, подмены или удаления
информации, блокирования доступа до
информации, потери наблюдаемости за
информацией).
Необходимо, также иметь возмож-
ность провести классификацию выявлен-
ных угроз по нескольким категориям (уг-
розы природного или техногенного проис-
хождения, угрозы для секретной, конфи-
денциальной или открытой информации,
угрозы для конфиденциальности, целост-
ности, доступности, наблюдаемости ин-
формации, угрозы для элемента 1, элемен-
та 2 и т.д.).
Информация должна быть пред-
ставлена, как в текстовом, табличном так и
графическом виде.
94
Програмні системи захисту інформації
Необходимо предусмотреть воз-
можность добавить новую угрозу в разра-
ботанную модель, в случае если модель
была уже сформирована.
Данный этап должен предоставить
пользователю возможность создать поле
угроз (модель угроз) для информации и
осуществить их классификацию по не-
скольким параметрам, а именно:
1) разделение угроз по видам;
2) разделение угроз по типам;
3) по результатам влияния на ин-
формацию;
4) по пути их реализации.
Модель угроз должна предостав-
лять возможность пользователю опреде-
лить вероятность реализации угроз и отно-
сительный уровень ущерба при их реали-
зации.
Этап ввода данных о нарушите-
лях безопасности информации
На данном этапе необходимо пре-
дусмотреть для пользователя возмож-
ность:
1) построения модели нарушителя
для информации, которая циркулирует в
ОИ;
2) после окончания этапа ввода
данных об угрозах для информации, пе-
рейти к следующему этапу построения мо-
дели нарушителя;
3) на основе построенной модели
угроз для информации построить модель
нарушителя;
4) на основе построенной модели
угроз, для каждого вида угроз и отдельно
взятой угрозы, определить потенциального
нарушителя;
5) провести классификацию выяв-
ленных нарушителей по нескольким кате-
гориям (внешний или внутренний наруши-
тель, цель или мотив нарушителя);
6) провести классификацию выяв-
ленных нарушителей по уровню их воз-
можностей, знаний, методам и способам
нарушений, месту совершения действия.
Информация должна быть пред-
ставлена, как в текстовом, табличном так и
графическом виде.
Пользователь должен иметь воз-
можность добавить нового нарушителя в
разработанную модель, в случае если мо-
дель была уже сформирована.
Этап определения подсистем и
элементов автоматизированной систе-
мы, угроз для них, а также путей и ме-
ханизмов их защиты
Программное обеспечение должно
предоставлять возможность:
1) на основе построенной архи-
тектуры ОИ и построенной модели угроз,
определить объекты и элементы, которые
требуют защиты;
2) на следующем этапе работы с
программным обеспечением, на основе по-
строенной модели угроз и определенных
подсистем и элементов ОИ, требующих
защиты, выбрать из предложенного про-
граммой списка те функции защиты, кото-
рые отвечают выявленным угрозам и вы-
деленным элементам ОИ;
3) на основе выбранных функций
защиты, определить на следующем этапе
работы с программным обеспечением те
услуги защищенности, к которым они от-
носятся;
4) на основе выбранных услуг за-
щищенности, сформировать функциональ-
ный профиль защищенности;
5) сравнения необходимого и реа-
лизованного уровня защищенности (срав-
нение заданного и реализованного функ-
ционального профилей защиты);
6) на основе выбранных функций
защиты и анализа архитектуры ОИ, выде-
ленных подсистем и их элементов, вы-
брать те средства защиты, которые входят
в состав ОИ и реализуют выделенные
функции защиты.
Программа должна определять, ка-
кой подсистеме или элементу ОИ соответ-
ствует отдельное средство защиты, какую
полноту защиты это средство обеспечива-
ет, является ли оно достаточным для защи-
ты данного объекта.
Этап классификации не устра-
ненных угроз (уязвимостей системы)
В случае выявления пользователем
отсутствия средств защиты, которые реа-
лизуют выбранные функции защиты, не-
обходимо иметь возможность определить
те угрозы, которые являются не устранен-
ными.
95
Програмні системи захисту інформації
После выявления пользователем не
устраненных угроз (уязвимостей системы),
он должен иметь возможность классифи-
цировать данные угрозы, установить рей-
тинг опасности этих угроз для ОИ, исполь-
зуя определенные критерии, на пример: по
вероятности реализации угроз и степени
ущерба, который может быть нанесен их
реализацией.
Этап вывода результатов испы-
таний и оценки защищенности авто-
матизированной системы
После проведенной классификации
не устраненных угроз (уязвимостей систе-
мы), программа должна предоставить
пользователю в текстовом, табличном или
графическом виде:
1) результаты данной классифика-
ции, а также предоставить перечень собы-
тий и нарушителей, которые могут спо-
собствовать реализации данных угроз;
2) информацию о состоянии дос-
таточности и полноты защищенности ОИ,
перечень защищенных, частично защи-
щенных и незащищенных подсистем и
элементов ОИ;
3) результат оценки степени за-
щищенности как ОИ в целом, так и от-
дельных его подсистем и элементов.
Необходимо предусмотреть воз-
можность предоставления рекомендации
по совершенствованию средств защиты
ОИ. Такие рекомендации должны вклю-
чать в себя следующие типы действий, на-
правленных на минимизацию выявленных
уязвимостей:
1) уменьшение риска за счёт ис-
пользования дополнительных средств за-
щиты, позволяющих снизить вероятность
проведения атаки или уменьшить возмож-
ный ущерб от неё;
2) уклонение от риска путём из-
менения архитектуры или схемы инфор-
мационных потоков ОИ, что позволяет ис-
ключить возможность проведения той или
иной атаки;
3) принятие риска в том случае,
если он уменьшен до того уровня, на кото-
ром он не представляет опасности для ОИ.
Результаты данной процедуры
должны оформляться в виде отчётного до-
кумента, который предоставляется Заказ-
чику. В общем случае этот документ со-
стоит из следующих основных разделов:
1) описание границ, в рамках ко-
торых был проведён аудит безопасности;
2) описание структуры ОИ Заказ-
чика;
3) описание выявленных уязвимо-
стей и недостатков, включая уровень их
риска;
4) рекомендации по совершенст-
вованию КСЗИ;
5) предложения по плану реализа-
ции первоочередных мер, направленных
на минимизацию выявленных рисков [8].
Этап доработки и сохранения
проекта
В случае выявления новых угроз
или уязвимостей, необходимости в повы-
шении уровня защищенности ОИ, а также
изменения его архитектуры, программа
должна предоставлять возможность поль-
зователю ввести новую информацию, ко-
торая касается необходимых изменений
ОИ, и провести доработку по оценке уров-
ня его защищенности, с сохранением всех
необходимых параметров.
После проведения доработки клас-
сификации угроз, пользователь должен
иметь возможность перейти к следующему
этапу работы с программой и выбрать или
указать новые средства защиты, которые
должны входить в состав КСЗИ ОИ, опре-
делить новые функции защиты, которые
они должны будут выполнять и пересмот-
реть уровень услуг к которым данные
функции будут относиться.
После выбора услуг, которые долж-
ны быть реализованы в КСЗИ, пользова-
тель должен иметь возможность составить
новый профиль защищенности ОИ, в соот-
ветствии с новыми выбранными уровнями
услуг.
После доработки КСЗИ, пользова-
тель должен иметь возможность просмот-
реть результаты проведенных доработок.
Программа, должна предоставлять
возможность:
1) сохранить результаты своей ра-
боты. Сохранение результатов проведен-
ных испытаний, позволит проводить даль-
96
Програмні системи захисту інформації
нейший анализ ОИ в случае изменения,
каких либо из его характеристик;
2) сохранять результаты прове-
денных испытаний, даже если проект не
был завершен до конца;
3) сохранять историю проводимых
изменений ОИ, а также создавать архив из
проектов, которые были реализованы пол-
ностью или частично.
Дальнейший анализ ОИ, в случае
последующих изменения его архитектуры,
изменения требований к защите информа-
ции, которая циркулирует в ОИ или дру-
гих его характеристик.
Требования пользователей к
программному обеспечению для
автоматизированной поддержки
проведения испытаний КСЗИ
При проектировании интерфейса
должна учитываться проектируемая функ-
циональность программного обеспечения.
Работа пользователя должна начи-
наться со стартовой страницы программы.
На стартовой странице должны быть обес-
печены средства изменения языка отобра-
жения информации.
На стартовой странице должна пре-
доставляться справочная информация от-
носительно предназначения программы, ее
версии, названия, правила и последова-
тельность работы пользователя с програм-
мой.
Интерфейс пользователя при про-
ведении испытаний КСЗИ должен быть
ориентирован на специалиста в вопросах
защиты информации относительно вопро-
са информационного наполнения и на
обычного пользователя в вопросах просто-
ты использования.
Интерфейс программы должен
иметь три основные компонента:
1) диалог;
2) ввод;
3) вывод.
Интерфейс пользователя должен
обеспечивать пошаговое использование
соответствующих процедур, с предостав-
лением оперативной справочной и анали-
тической информации пользователю о ре-
зультатах проведенной работы.
Диалоговые решения определяют
путь, которым пользователь направляет
работу программы, выполняя введение
данных. Диалог должен быть разработан
для поддержки пользователя в его основ-
ной работе, без отвлечения его внимания
дополнительной работой, обусловленной
спецификой программы. Разработка диа-
логового меню должна использоваться при
разработке структуры меню.
При разработке введения информа-
ции определяются способы введения ин-
формации (цифровая клавиатура, функ-
циональные ключи и т.д.). ISO 9241–14 со-
держит рекомендации относительно ис-
пользования средств ввода информации, а
также относительно способов и требова-
ний к предоставлению информации поль-
зователю.
Вывод информации должен обеспе-
чивать однозначное восприятие информа-
ции.
При разработке интерфейса пользо-
вателя необходимо учитывать семь прин-
ципов построения диалога, которые имеют
принципиальное значение для проектиро-
вания и оценивания диалога пользователя
с программой, а именно:
1) соответствие заданию;
2) информативность;
3) управляемость;
4) соответствие ожиданиям поль-
зователя;
5) не чувствительность к ошиб-
кам;
6) способность к индивидуализа-
ции;
7) способность к обучению.
Принципы диалога необходимо
применять, учитывая такие характеристи-
ки пользователя как:
1) объем внимания пользователя;
2) границы краткосрочной памяти;
3) обучаемость пользователя;
4) квалификация и опыт пользова-
теля;
5) имеющиеся убеждения пользо-
вателя относительно основной структуры
и предназначения системы, с которой он
будет взаимодействовать.
Выполнение задания обеспечивает-
ся особенностями системного диалога [9].
97
Програмні системи захисту інформації
Требования к защите данных
циркулирующих в программном
обеспечении для автоматизиро-
ванной поддержки проведения
испытаний КСЗИ
Вход в программу должен обеспе-
чиваться по логину пользователя и его
специальному паролю.
Программное обеспечение должно
предусматривать защиту данных от
несанкционированного доступа на уро-
вне разграничения различных прав дос-
тупа.
Все операции, проводимые в про-
грамме пользователем должны "привязы-
ваться" к его профилю доступа.
В программе должен быть преду-
смотрен механизм обработки незавершен-
ных транзакций.
В программном обеспечении долж-
на быть реализована процедура резервного
копирования и восстановления содержи-
мого баз данных.
Ошибки в работе программы или
аварийное завершение работы программ-
ного обеспечения, не должны вызывать
потерю, частичное или полное разрушение
базы данных системы.
В программе должно быть преду-
смотрена журнализация всех операций, а
также функций, перечень которых будет
определен в дальнейшем.
Выводы
Испытания являются одним из
ключевых этапов при создании КСЗИ, ко-
торый осуществляется для получения пол-
ной информации о текущем состоянии за-
щищённости АС и для выявления уязви-
мостей информационной безопасности.
Кроме того, результаты испытаний КСЗИ
являются основой для формирования стра-
тегии развития защищенности автоматизи-
рованной системы (ОИ) и обеспечения
информационной безопасности организа-
ции.
Однако, необходимо отметить, что
оценка уровня защищенности не является
однократной процедурой и должна прово-
диться на регулярной основе. Только в
этом случае работа будет приносить ре-
альную отдачу и способствовать повыше-
нию уровня информационной безопасно-
сти. В связи с этим использование специа-
лизированного программного обеспечения
для проведения испытаний КСЗИ более
чем актуально.
В данной статье проведен анализ
этапов создания КСЗИ, описана техноло-
гия проведения испытаний КСЗИ, опи-
сан поход к разработке программного
средства поддержки, выделены задачи,
которые могут быть реализованы с ис-
пользованием автоматизированного сред-
ства поддержки. Также, рассматривается
возможная методология автоматизиро-
ванного проведения испытаний и крат-
кая характеристика функциональных мо-
дулей входящих в предложенный алгоритм
работы программы. Также, рассматрива-
ются основные требования к программе,
которые должны учитываться при ее раз-
работке.
Анализ методологии функциониро-
вания программного средства поддержки
проведения испытаний КСЗИ, а также ана-
лиз требований к его реализации, являются
необходимым условием на начальном эта-
пе создания.
В дальнейшем планируется провес-
ти более детальный анализ методологии
оценивания защищенности ОИ, а также
провести разработку математического ал-
горитма и проектирование модели про-
граммного обеспечения для автоматизиро-
ванной поддержки проведения испытаний
КСЗИ.
1. www.atmnis.com/files/user_files/kszi.pdf
2. Замятин Д., Прокофьев М. Алгоритмиче-
ские особенности экспертных систем, ори-
ентированных на проблемы защиты ин-
формации // Правовое, нормативное и мет-
рологическое обеспечение системы защи-
ты информации в Украине. – Киев: НТУ
Украины “КПИ”. – 2000. – Вып. 1. –
С. 252–253.
3. http://software-testing.ru/library/testing/
security/87
4. www.info-system.ru/security/Analysis_
security_cis.doc
5. http://www.jurnal.org/articles/2008/inf33.
html
98
http://software-testing.ru/library/testing/%0Bsecurity/87
http://software-testing.ru/library/testing/%0Bsecurity/87
Програмні системи захисту інформації
6. Барсуковский Ю. Аудит систем информа-
ционной безопасности – проблемы и ре-
шения // Правовое, нормативное и метро-
логическое обеспечение системы защиты
информации в Украине. – Киев: НТУ Ук-
раины “КПИ”. – 2002. – Вып. 4. –
С. 29–33.
7. Методичні вказівки з оцінювання
функціональних послуг безпеки в засобах
захисту інформації від несанкціонованого
доступу. – НД ТЗІ 2.7 -009-09, ДС СЗЗІ
України Київ, 2009.
8. Домарев В.В. Безопасность информацион-
ных технологий. Системный подход. – Ки-
ев: OOO ”ТИД “ДС”, 2004. – 992 с.
9. http://i-novice.net/sostavlyaem-trebovaniya-
k-po/
Получено 30.04.2012
Об авторе:
Колтик Максим Анатолиевич,
аспирант.
Место работы автора:
Институт программных систем
НАН Украины,
03187, Киев-187,
Проспект Академика Глушкова, 40.
Тел.: 067 218 2809
E-mail: maxfaktor@ua.fm
99
http://i-novice.net/sostavlyaem-trebovaniya-k-po/
http://i-novice.net/sostavlyaem-trebovaniya-k-po/
mailto:maxfaktor@ua.fm
|
| id | nasplib_isofts_kiev_ua-123456789-86655 |
| institution | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| issn | 1727-4907 |
| language | Russian |
| last_indexed | 2025-12-07T13:20:59Z |
| publishDate | 2013 |
| publisher | Інститут програмних систем НАН України |
| record_format | dspace |
| spelling | Колтик, М.А. 2015-09-25T15:00:24Z 2015-09-25T15:00:24Z 2013 Методы и способы реализации автоматизированной поддержки проведения испытаний компьютерной системы защиты информации (КСЗИ) / М.А. Колтик // Проблеми програмування. — 2013. — № 1. — С. 85-99. — Бібліогр.: 9 назв. — рос. 1727-4907 https://nasplib.isofts.kiev.ua/handle/123456789/86655 004.056:061.68 Рассматриваются этапы создания КСЗИ, описывается их технология проведения испытаний КСЗИ, а также подход к разработке программного средства поддержки проведения испытаний КСЗИ, выделяются задачи, которые могут быть реализованы с использованием автоматизированного средства поддержки. Также, предлагается возможная методология (алгоритм) автоматизированного проведения испытаний и краткая характеристика функциональных модулей входящих в предложенный алгоритм работы программы. Проводится анализ основных требований к программе, которые должны учитываться при ее разработке. ru Інститут програмних систем НАН України Проблеми програмування Програмні системи захисту інформації Методы и способы реализации автоматизированной поддержки проведения испытаний компьютерной системы защиты информации (КСЗИ) published earlier |
| spellingShingle | Методы и способы реализации автоматизированной поддержки проведения испытаний компьютерной системы защиты информации (КСЗИ) Колтик, М.А. Програмні системи захисту інформації |
| title | Методы и способы реализации автоматизированной поддержки проведения испытаний компьютерной системы защиты информации (КСЗИ) |
| title_full | Методы и способы реализации автоматизированной поддержки проведения испытаний компьютерной системы защиты информации (КСЗИ) |
| title_fullStr | Методы и способы реализации автоматизированной поддержки проведения испытаний компьютерной системы защиты информации (КСЗИ) |
| title_full_unstemmed | Методы и способы реализации автоматизированной поддержки проведения испытаний компьютерной системы защиты информации (КСЗИ) |
| title_short | Методы и способы реализации автоматизированной поддержки проведения испытаний компьютерной системы защиты информации (КСЗИ) |
| title_sort | методы и способы реализации автоматизированной поддержки проведения испытаний компьютерной системы защиты информации (ксзи) |
| topic | Програмні системи захисту інформації |
| topic_facet | Програмні системи захисту інформації |
| url | https://nasplib.isofts.kiev.ua/handle/123456789/86655 |
| work_keys_str_mv | AT koltikma metodyisposobyrealizaciiavtomatizirovannoipodderžkiprovedeniâispytaniikompʹûternoisistemyzaŝityinformaciikszi |