Methods and ways for realization of the automated support testing of the integrated information security system
Describesthe steps for creatingof the integrated information security system and an approach to the development of the software for support of testing of the integrated information security system, defined a tasks which canbe implemented with using the method of automatedsupport. Also, it is suggest...
Gespeichert in:
| Datum: | 2025 |
|---|---|
| 1. Verfasser: | |
| Format: | Artikel |
| Sprache: | Russian |
| Veröffentlicht: |
PROBLEMS IN PROGRAMMING
2025
|
| Schlagworte: | |
| Online Zugang: | https://pp.isofts.kiev.ua/index.php/ojs1/article/view/789 |
| Tags: |
Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
|
| Назва журналу: | Problems in programming |
| Завантажити файл: |  |
Institution
Problems in programming| id |
pp_isofts_kiev_ua-article-789 |
|---|---|
| record_format |
ojs |
| resource_txt_mv |
ppisoftskievua/1e/8f22ba0779e016a702a57ccba6b0d01e.pdf |
| spelling |
pp_isofts_kiev_ua-article-7892025-08-27T13:30:47Z Methods and ways for realization of the automated support testing of the integrated information security system Методи та способи реалізації автоматизованої підтримки проведення випробувань комп’ютерної системи захисту інформації Koltyk, M. A. UDC 004.056:061.68 УДК 004.056:061.68 Describesthe steps for creatingof the integrated information security system and an approach to the development of the software for support of testing of the integrated information security system, defined a tasks which canbe implemented with using the method of automatedsupport. Also, it is suggested a possible methodology (algorithm) of automatedtesting and description of the functionalmodulesincluded inthe proposed algorithmof the software.In the article analyzes thebasic requirements forthe program,which should betaken into account inits development.Problems in programming 2013; 1: 85-99 Розглядаються етапи створення КСЗІ, а також підхід до розробки програмного засобу підтримки проведення випробувань КСЗІ, виокремлюються задачі, які можуть бути реалізовані з використанням автоматизованого засобу підтримки. Також, пропонується можлива методологія (алгоритм) автоматизованого проведення випробувань та характеристика функціональних модулів, що входять до запропонованого алгоритму роботи програми. У статті проводиться аналіз основних вимог до програми, які повинні враховуватись під час її розробки. Problems in programming 2013; 1: 85-99 PROBLEMS IN PROGRAMMING ПРОБЛЕМЫ ПРОГРАММИРОВАНИЯ ПРОБЛЕМИ ПРОГРАМУВАННЯ 2025-08-27 Article Article application/pdf https://pp.isofts.kiev.ua/index.php/ojs1/article/view/789 PROBLEMS IN PROGRAMMING; No 1 (2013); 85-99 ПРОБЛЕМЫ ПРОГРАММИРОВАНИЯ; No 1 (2013); 85-99 ПРОБЛЕМИ ПРОГРАМУВАННЯ; No 1 (2013); 85-99 1727-4907 ru https://pp.isofts.kiev.ua/index.php/ojs1/article/view/789/841 Copyright (c) 2025 PROBLEMS IN PROGRAMMING |
| institution |
Problems in programming |
| baseUrl_str |
https://pp.isofts.kiev.ua/index.php/ojs1/oai |
| datestamp_date |
2025-08-27T13:30:47Z |
| collection |
OJS |
| language |
Russian |
| topic |
UDC 004.056:061.68 |
| spellingShingle |
UDC 004.056:061.68 Koltyk, M. A. Methods and ways for realization of the automated support testing of the integrated information security system |
| topic_facet |
UDC 004.056:061.68 УДК 004.056:061.68 |
| format |
Article |
| author |
Koltyk, M. A. |
| author_facet |
Koltyk, M. A. |
| author_sort |
Koltyk, M. A. |
| title |
Methods and ways for realization of the automated support testing of the integrated information security system |
| title_short |
Methods and ways for realization of the automated support testing of the integrated information security system |
| title_full |
Methods and ways for realization of the automated support testing of the integrated information security system |
| title_fullStr |
Methods and ways for realization of the automated support testing of the integrated information security system |
| title_full_unstemmed |
Methods and ways for realization of the automated support testing of the integrated information security system |
| title_sort |
methods and ways for realization of the automated support testing of the integrated information security system |
| title_alt |
Методи та способи реалізації автоматизованої підтримки проведення випробувань комп’ютерної системи захисту інформації |
| description |
Describesthe steps for creatingof the integrated information security system and an approach to the development of the software for support of testing of the integrated information security system, defined a tasks which canbe implemented with using the method of automatedsupport. Also, it is suggested a possible methodology (algorithm) of automatedtesting and description of the functionalmodulesincluded inthe proposed algorithmof the software.In the article analyzes thebasic requirements forthe program,which should betaken into account inits development.Problems in programming 2013; 1: 85-99 |
| publisher |
PROBLEMS IN PROGRAMMING |
| publishDate |
2025 |
| url |
https://pp.isofts.kiev.ua/index.php/ojs1/article/view/789 |
| work_keys_str_mv |
AT koltykma methodsandwaysforrealizationoftheautomatedsupporttestingoftheintegratedinformationsecuritysystem AT koltykma metoditasposobirealízacííavtomatizovanoípídtrimkiprovedennâviprobuvanʹkompûternoísistemizahistuínformacíí |
| first_indexed |
2025-09-17T09:22:46Z |
| last_indexed |
2025-09-17T09:22:46Z |
| _version_ |
1850413009620434944 |
| fulltext |
Програмні системи захисту інформації
© М.А. Колтик, 2013
ISSN 1727-4907. Проблеми програмування. 2013. № 1 85
УДК 004.056:061.68
М.А. Колтик
МЕТОДЫ И СПОСОБЫ РЕАЛИЗАЦИИ
АВТОМАТИЗИРОВАННОЙ ПОДДЕРЖКИ ПРОВЕДЕНИЯ
ИСПЫТАНИЙ КОМПЬЮТЕРНОЙ СИСТЕМЫ ЗАЩИТЫ
ИНФОРМАЦИИ (КСЗИ)
Рассматриваются этапы создания КСЗИ, описывается их технология проведения испытаний КСЗИ, а
также подход к разработке программного средства поддержки проведения испытаний КСЗИ, выделя-
ются задачи, которые могут быть реализованы с использованием автоматизированного средства под-
держки. Также, предлагается возможная методология (алгоритм) автоматизированного проведения ис-
пытаний и краткая характеристика функциональных модулей входящих в предложенный алгоритм ра-
боты программы. Проводится анализ основных требований к программе, которые должны учитываться
при ее разработке.
Введение
В современных условиях, во всех
сферах жизнедеятельности, все большее
значение приобретает информационный
ресурс, наряду с уже традиционными ре-
сурсами, такими как: материальные, тру-
довые, финансовые.
Специфика информации, как и лю-
бого другого не материального актива, со-
стоит в том, что она не имеет материаль-
ной формы и, как правило, жесткой при-
вязки к носителю, а ее хищение может
быть произведено путем простого копиро-
вания, то есть без физического изъятия
объекта. Такие особые свойства, а также
ценность информационного ресурса за-
ставляет уделять все больше внимания во-
просам защиты информации.
Среди угроз, которые могут привес-
ти к потере или разглашению информации,
особое место занимает несанкционирован-
ный доступ к информации, которая цирку-
лирует в информационно-телеком-
муникационных системах.
Очевидным является тот факт, что
проблемы связанные с безопасностью
информации, требуют для своего реше-
ния комплексного подхода, суть которо-
го – учет всех возможных угроз безопас-
ности информации и одновременное ис-
пользование взаимосвязанной совокупно-
сти правовых, организационных, матема-
тических, программных, технических ме-
тодов и средств защиты информации
путём создания (КСЗИ).
Создание КСЗИ подразумевает про-
ведение определенного перечня работ,
среди которых можно выделить следую-
щие этапы:
1) обследование информационной
инфраструктуры Заказчика;
2) разработка организационно-
распорядительной документации;
3) разработка Плана защиты ин-
формации;
4) разработка Технического зада-
ния на создание КСЗИ;
5) разработка Проекта КСЗИ;
6) приведение информационной
инфраструктуры Заказчика в соответствие
с Проектом КСЗИ;
7) разработка эксплуатационной
документации КСЗИ;
8) внедрение КСЗИ;
9) предварительные испытания
КСЗИ;
10) проведение государственной
экспертизы КСЗИ, которая является от-
дельным этапом приёмочных испытаний
АС;
11) поддержка и обслуживание
КСЗИ [1].
Испытания КСЗИ являются одним
из важнейших этапов в её создании, кото-
рый дает возможность оценить уровень
защищенности автоматизированной сис-
темы. В качестве критериев оценки могут
выступать существующие нормативные
документы и стандарты или требования,
Програмні системи захисту інформації
выдвигаемые собственником автоматизи-
рованной системы (АС) или информации,
которая в ней обрабатывается.
Испытания КСЗИ представляют со-
бой процесс подтверждения эффективно-
сти её работы и соответствия положениям,
определённым в «Техническом задании на
создание КСЗИ» или других нормативных
документов используемых в качестве кри-
териев оценки.
После успешного завершения испы-
таний КСЗИ может быть введена в экс-
плуатацию в составе автоматизированной
системы или же должны быть устранены
выявленные в ней недостатки, с учётом
предложенных дополнительных мер по
доработке КСЗИ.
В Украине наблюдается устойчивая
тенденция к увеличению потребности в
разработке КСЗИ для различных автома-
тизированных систем. Поэтому проблема
качественного проведения испытаний
КСЗИ является на сегодня достаточно ак-
туальной.
Проблемы, связанные
с проведением испытаний КСЗИ
и возможные пути их решения
Для проведения отдельных видов
работ, связанных с испытанием КСЗИ, ак-
туальной и своевременной задачей являет-
ся разработка и применение средств их ав-
томатизированной поддержки.
Актуальность данного решения
обусловлена рядом проблем, которые воз-
никают при проведении подобных видов
работ традиционным способом, с привле-
чением специалистов в этой области. Их
проведение связано с целым рядом труд-
ностей, как экономического, так и психо-
логического характера [2].
При анализе защищенности авто-
матизированных систем необходимо учи-
тывать большое количество различных
факторов и проводить большое количество
рутинных операций, что в свою очередь
приводит к увеличению вероятности появ-
ления ошибок, которые допускаются спе-
циалистами во время проведения испыта-
ний КСЗИ.
Необходимость массового построе-
ния КСЗИ и их дальнейшего сопровожде-
ния, в чем в настоящий момент нуждается
все больше компаний отечественного рын-
ка и государственных организаций, также
порождает проблему, которая связана с
необходимостью привлечения достаточно
большого количества специалистов в сфе-
ре защиты информации. Их подготовка
требует больших затрат организации, ко-
торая проводит переподготовку своих ра-
ботников. К тому же подготовка квалифи-
цированного специалиста занимает доста-
точно много времени.
Данные проблемы подталкивают
организации, создающие и оценивающие
КСЗИ различных автоматизированных си-
стем, к поиску их решений. И одним из та-
ких решений является разработка и ис-
пользование при проведении испытаний
КСЗИ автоматизированных средств под-
держки (АСР), что является, бесспорно,
конкурентным преимуществом любого
предприятия за счёт оптимизации расхо-
дов и полученных результатов при выпол-
нении проектов.
Автоматизированные средства под-
держки испытаний позволяют облегчить
реализацию поставленных задач, повысить
качество выполняемых работ, уменьшить
рабочую нагрузку на специалистов, осо-
бенно, молодых и не имеющих достаточ-
ного опыта работы, помочь менее опыт-
ным работникам выполнять более слож-
ные задачи.
Использование автоматизирован-
ных средства поддержки ведёт к уменьше-
нию сроков выполнения проекта, оптими-
зации количества и уровня квалификации
специалистов, выполняющих проект,
обеспечивает эффективное руководство
процессом реализации проекта за счёт
оперативного исправления проблем и не-
гативных тенденций, которые появляются.
В основе разработки соответст-
вующего программного обеспечения ле-
жит анализ специфики основных видов ра-
бот, выделяемых при проведении испыта-
ний КСЗИ, выявление методов и способов
формализации соответствующих задач.
Цель данной работы – рассмотрение
возможных методов и средств, примени-
86
Програмні системи захисту інформації
мых для реализации автоматизированной
поддержки испытаний КСЗИ.
Задачи: провести анализ техноло-
гии проведения испытаний КСЗИ, разра-
ботать методологию автоматизированного
проведения испытаний КСЗИ, разработать
требования к программному обеспечению
автоматизированной поддержки проведе-
ния испытаний КСЗИ.
Понятие защищенности
и характеристика оценки
уровня защищенности
автоматизированной системы
Защищенность является одним из
важнейших показателей эффективности
функционирования автоматизированной
системы, наряду с такими показателями
как надежность, отказоустойчивость, про-
изводительность и т. п.
Под защищенностью системы под-
разумевается ее способность противодей-
ствовать несанкционированному вмеша-
тельству в нормальный процесс её функ-
ционирования, а также попыткам хищения,
незаконной модификации, использования,
копирования или разрушения информации,
а также других ее составляющих входящих
в состав системы, доступных в процессе
выполнения задач или заложенных в сис-
тему во время разработки [3].
Под защищенностью автоматизи-
рованной системы (АС) будем пони-
мать степень адекватности реализован-
ных в ней механизмов защиты инфор-
мации существующим в данной среде
функционирования рискам, связанным с
осуществлением угроз безопасности ин-
формации.
Под угрозами безопасности инфор-
мации традиционно понимается возмож-
ность нарушения таких свойств информа-
ции, как конфиденциальность, целостность
и доступность.
Можно выделить несколько факто-
ров, которые определяют защищенность
автоматизированной системы. В идеале
каждый путь осуществления угрозы дол-
жен быть перекрыт соответствующим ме-
ханизмом защиты. Данное условие являет-
ся первым фактором, определяющим
защищенность автоматизированной систе-
мы. Вторым фактором является “проч-
ность” существующих механизмов защи-
ты, характеризующаяся степенью устой-
чивости этих механизмов к попыткам их
обхода либо преодоления. Третьим факто-
ром является величина ущерба, наносимо-
го владельцу автоматизированной системы
в случае успешного осуществления угроз
безопасности [4].
Чтобы гарантировать эффективную
защиту от информационных угроз, необ-
ходимо иметь объективную оценку теку-
щего уровня информационной безопас-
ности. Именно для этих целей и при-
меняется оценка уровня защищенности
системы.
Официально признаваемой оценкой
защищенности АС являются классы за-
щищенности, описание которых приведено
в стандартах защищенности [5]. К таким
стандартам можно отнести: НДТЗІ 2.5-005-
99, НДТЗІ 2.5-004-99.
Оценка уровня защищенности – это
процесс проведения конкретных меро-
приятий направленных на получение объ-
ективной информации о состоянии ин-
формационной безопасности в АС.
В большинстве случаев оценка
уровня защищенности автоматизирован-
ной системы, которая реализуется КСЗИ,
требуется, когда автоматизированная сис-
тема предназначена для обработки инфор-
мации с ограниченным доступом.
Следует отметить, что оценку уров-
ня защищенности рекомендуется прово-
дить периодически, так как состояние
любой автоматизированной системы из-
меняется с течением времени и к момен-
ту очередной оценки она может не иметь
ничего общего с тем, что было зафикси-
ровано ранее. Как правило, повторную
оценку уровня защищенности проводят
при изменении архитектуры автоматизи-
рованной системы, при изменении ее
конфигурации, при выявлении недоста-
точности реализованных средств защиты,
а также, в случае если в автоматизирован-
ной системе изменяются требования к за-
щищенности той информации, которая
в ней циркулирует [6].
87
Програмні системи захисту інформації
Характеристика технологии
проведения испытаний КСЗИ
Технология испытаний КСЗИ про-
водимая экспертами, состоит из отдельных
взаимосвязанных процедур, а именно:
1) анализ совокупности показате-
лей об автоматизированной системе и реа-
лизованных в ней средствах защиты ин-
формации;
2) анализ циркулирующей в авто-
матизированной системе информации;
3) выбор критериев для оценива-
ния защищенности автоматизированной
системы;
4) анализ проектной документа-
ции по созданию КСЗИ предоставленной
собственником АС;
5) проведение испытаний в соот-
ветствии с разработанной программой и
методикой;
6) предоставление выводов о реа-
лизованных средствах защиты и рекомен-
дациях, которые касаются устранения вы-
явленных недостатков КСЗИ.
Испытания могут проводиться, как
КСЗИ в целом, так и отдельных ее моду-
лей или компонентов.
Испытания КСЗИ проводится в со-
ответствии с критериями, выбранными ее
собственником. Выбор критериев, как пра-
вило, осуществляется, в соответствии с
теми задачами, которые должна выполнять
автоматизированная система, частью кото-
рой является КСЗИ.
Для АС, собственником которой
является государственная организация,
критерием оценивания выступают, как
правило, государственные нормативные
документы по защите информации. Если
собственником АС выступает коммерче-
ская организация, а собственником ин-
формации, которая циркулирует в автома-
тизированной системе, является государ-
ство, то такая КСЗИ, также должна отве-
чать государственным стандартам по за-
щите информации, которые прописаны в
соответствующих нормативных докумен-
тах.
КСЗИ может проходить испытания
на соответствие национальным критериям,
а также международным или внутренним.
Однако, национальные критерии защи-
щенности информации, в большинстве
случаев, являются основными для под-
тверждения качества защищенности ин-
формации в автоматизированной системе,
которая функционирует на территории
Украины.
Автоматизация процесса проведе-
ния испытаний КСЗИ или отдельных
ее процедур, при использовании нацио-
нальных критериев оценки защищенности
системы, является достаточно актуальной
задачей, результатом которой будет яв-
ляться разработка и внедрение в эксплуа-
тацию специального программного обес-
печения.
Описание похода к разработке
автоматизированной поддержки
испытаний КСЗИ
Данный подход описывает основ-
ные принципы, которые должны быть
реализованы в программном обеспечении
для автоматизированной поддержки про-
ведения испытаний в соответствии с госу-
дарственными стандартами НД ТЗИ
и определить достаточность и полноту
применяемых средств защиты, с предос-
тавлением результатов испытаний КСЗИ
пользователю.
Применение данного подхода
должно относиться к компонентам входя-
щих в состав КСЗИ направленным на уст-
ранение угроз от несанкционированного
доступа (НСД).
Разработка программного обеспе-
чения для автоматизированной поддержки
проведения испытаний КСЗИ должна быть
реализована в соответствии с такими
принципами:
1) программное обеспечение
должно позволять вводить и обрабатывать
совокупность показателей, характеризую-
щих конкретную автоматизированную си-
стему (объект испытаний (ОИ)) и средства
ее защиты;
2) в программном обеспечении
должны быть реализованы критерии оцен-
ки, под которыми следует понимать сово-
купность требований (шкалы оценки), ко-
торые используются для оценки эффек-
тивности функций защиты информации и
корректности их реализации;
88
Програмні системи захисту інформації
3) программное обеспечение дол-
жно быть разработано в соответствии с
определенной методологией оценки, кото-
рая определяет последовательность дейст-
вий (алгоритм), выполняемый программой
при проведении оценки уровня защищен-
ности системы, эффективности и коррект-
ности реализации функций защиты ин-
формации;
4) в программном обеспечении
должна быть реализована форма представ-
ления результатов оценки, которая вклю-
чает совокупность показателей, характери-
зующих уровень защищенности АС, их до-
статочность и полноту;
5) программное обеспечение дол-
жно предоставлять пользователю интуи-
тивно понятный интерфейс.
Результатом проведенных испыта-
ний должно быть соответствующее заклю-
чение, на основании которого владельцы
АС и обрабатываемых в них информаци-
онных ресурсов могут принимать решения
о приемлемости и достаточности, приня-
тых мер и реализованных средств касаю-
щихся защищенности системы [7].
Описанный подход позволяет полу-
чать количественные и качественные
оценки уровня защищенности АС, путем
сопоставления характеристик, свойств и
параметров АС и ее комплексных средств
защиты с многократно апробированными
на практике и стандартизированными на-
циональными критериями оценки защи-
щенности, которые используются в каче-
стве критериев.
Методика (алгоритм)
функционирования программного
обеспечения для автоматизиро-
ванной поддержки проведения
испытаний КСЗИ
Данное программное обеспечение
должно состоять из следующих функцио-
нальных модулей:
первый модуль – ввод пользовате-
лем информации об автоматизированной
системе, реализованных в ней средствах
защиты и вывод (предоставление) пользо-
вателю, обработанной информации об ав-
томатизированной системе. Информация,
которая вводится пользователем, должна
содержать описание подсистем автомати-
зированной системы и ее элементов, а
также характеристику информации, кото-
рая циркулирует в этих элементах и требу-
ет защиты;
второй модуль – ввод-вывод дан-
ных об угрозах для информации, кото-
рая обрабатывается в системе. Данный
модуль должен предоставить пользовате-
лю возможность создать поле угроз
(модель угроз) для информации и осу-
ществить их классификацию по несколь-
ким параметрам. Модель угроз должна
предоставлять возможность пользовате-
лю определить вероятность реализации уг-
роз и относительный уровень ущерба при
их реализации;
третий модуль – ввод-вывод дан-
ных о нарушителях безопасности. Данный
модуль должен предоставить пользовате-
лю возможность построения модели нару-
шителя с их классификацией. Модель на-
рушителя должна быть разработана при
взаимодействии с моделью угроз и пользо-
ватель должен иметь возможность опреде-
лить, какую из угроз может реализовать
отдельный вид нарушителя;
четвертый модуль – ввод-вывод
данных об отношении между ОИ с цир-
кулирующей в нём информацией, угро-
зами для ОИ, определения функций за-
щиты, которые должна реализовать КСЗИ,
услуг и функционального профиля защи-
щенности;
пятый модуль – пользователь дол-
жен определить механизмы защиты в со-
ставе ОИ, проанализировать и оценить це-
лесообразность их применения, в соответ-
ствии с выделенной моделью угроз, выде-
ленными функциями защиты, которые
формируют услуги определенных уровней,
входящих в функциональный профиль за-
щищенности. Пользователь должен иметь
возможность ввести или выбрать те сред-
ства защиты, которые должны быть реали-
зованы в ОИ, а также определить, какие
функции защиты они выполняют и от ка-
ких угроз защищают;
шестой модуль – пользователю
предоставляется оценка уровня защищен-
ности системы. Она выражается в предос-
89
Програмні системи захисту інформації
тавлении пользователю количественных
показателей (данных о количестве угроз,
которые были устранены и их характе-
ристика) и качественных показателей
(данных об оценке вероятности возникно-
вения этих угроз) касающихся устранен-
ных угроз.
В случае если программа выявила
угрозы, которые не устранены с помо-
щью указанных средств защиты, про-
грамма рассматривает это как уязви-
мость ОИ и предоставляет пользователю
количественную и качественную оценку
защищенности, с учетом выявленных уяз-
вимостей. Пользователю предоставляется
информация о количественных показате-
лях (данных о количестве обнаруженных
уязвимостей и их характеристика) и ка-
чественных показателях (вероятность их
реализации и уровень относительного
ущерба в случае их реализации) уязви-
мостей ОИ.
Также, пользователю предоставля-
ется сводная информация об устраненных
угрозах, выявленных уязвимостях и их ха-
рактеристика;
седьмой модуль – пользователю
предоставляется возможность доработать
КСЗИ и сохранить проект.
Пользователю предоставляется воз-
можность после выявления уязвимостей,
выбрать функции защиты, которые долж-
ны реализовываться КСЗИ для защиты
ОИ и устранения выявленных уязвимо-
стей, после чего данные функции долж-
ны быть включены в состав услуг и
функциональный профиль защищенно-
сти. Выбор новых функций может повли-
ять на уровень определенных услуг, вхо-
дящих в функциональный профиль защи-
щенности.
На основе выбранных функций
пользователю предоставляется возмож-
ность указать средства защиты, которые
должны будут реализовывать эти функции.
После чего, программа предоставляет
пользователю обновленные показатели
уровня защищенности системы.
Пользователю также предоставля-
ется возможность просмотра средств за-
щиты, которые входят в состав КСЗИ и ре-
ализуют указанные функции защиты.
На рис. 1 представлен алгоритм ра-
боты и взаимодействия проектных моду-
лей программного обеспечения по автома-
тизированной поддержке проведения ис-
пытаний КСЗИ.
Рис. 1. Характеристика алгоритма работы
и взаимодействия проектных модулей про-
граммного обеспечения по автоматизиро-
ванной поддержке проведения испытаний
КСЗИ
Характеристика структурно-
функциональных модулей
алгоритма
S1 – Начало алгоритма;
Первый модуль – ввод-вывод дан-
ных относительно архитектуры ОИ, реали-
зованных средств защиты и информации,
которая в нем циркулирует.
Операция R1 – ввод данных поль-
зователем относительно архитектуры ОИ,
реализованных средств защиты и инфор-
мации, которая в нем циркулирует;
Операция Z1 – анализ вводимых
данных программным обеспечением. В
случае ввода некорректных данных,
программа отказывается переходить на
следующий этап работы и выводит поль-
зователю на экран соответствующее сооб-
щение;
Операция P1 – обработка програм-
мой данных введенных пользователем от-
носительно архитектуры ОИ, реализован-
ных средств защиты и информации, кото-
рая в нем циркулирует;
90
Програмні системи захисту інформації
Операция R2 – вывод данных отно-
сительно архитектуры ОИ, реализованных
средств защиты и информации, которая в
нем циркулирует.
Второй модуль – Ввод-вывод дан-
ных об угрозах для информации,
которая обрабатывается в ОИ. Создание
пользователем модели угроз, анализ веро-
ятности их реализации и относительного
уровня ущерба.
Операция R3 – ввод данных поль-
зователем об угрозах для информации, ко-
торая обрабатывается в ОИ;
Операция Z2 – анализ вводимых
данных программным обеспечением. В
случае ввода некорректных данных, про-
грамма отказывается переходить на сле-
дующий этап работы и выводит пользова-
телю на экран соответствующее сообще-
ние;
Операция P2 – обработка програм-
мой данных введенных пользователем от-
носительно угроз для информации, кото-
рая обрабатывается в ОИ, формирование
модели угроз;
Операция P3 – анализ вероятности
реализации выявленных угроз и относи-
тельного уровня ущерба в случае их реали-
зации;
Операция R4 – вывод данных отно-
сительно сформированной модели угроз,
анализа вероятности реализации выявлен-
ных угроз и относительного уровня ущер-
ба в случае их реализации.
Третий модуль – ввод-вывод дан-
ных о нарушителях безопасности. По-
строение модели нарушителя и осуществ-
ление их классификации. Определение
взаимосвязи класса нарушителей и воз-
можного перечня рисков, которые могут
быть ими реализованы.
Операция R5 – ввод данных поль-
зователем об нарушителях безопасности;
Операция Z3 – анализ вводимых
данных программным обеспечением. В
случае ввода некорректных данных, про-
грамма отказывается переходить на сле-
дующий этап работы и выводит пользова-
телю на экран соответствующее сообще-
ние;
Операция P4 – обработка програм-
мой данных введенных пользователем от-
носительно нарушителей безопасности,
формирование модели нарушителя;
Операция P5 – определение взаи-
мосвязи перечня угроз и класса нарушите-
лей, которые могут их реализовать;
Операция R6 – вывод данных отно-
сительно сформированной модели нару-
шителей и перечня угроз, которые могут
быть ими реализованы.
Четвертый модуль – ввод-вывод
данных об отношении между ОИ и реали-
зованными в нем средствами защиты, а
также угрозами для объекта экспертизы, на
основе данного взаимоотношения пользо-
вателем определяются функции защиты,
которые должны быть реализованы КСЗИ,
а также уровень услуг и функциональный
профиль защищенности.
Операция R7 – ввод (выбор) дан-
ных пользователем о функциях защиты,
которые реализованы в соответствии с ре-
ализованными средствами защиты, а также
функции защиты, которые должны быть
реализованы КСЗИ данного ОИ;
Операция Z4 – анализ вводимых
данных программным обеспечением. В
случае ввода некорректных данных, про-
грамма отказывается переходить на сле-
дующий этап работы и выводит пользова-
телю на экран соответствующее сообще-
ние;
Операция P6 – обработка програм-
мой данных введенных пользователем от-
носительно функций защиты, которые ре-
ализованы в ОИ, а также тех функций за-
щиты, что должны быть реализованы для
обеспечения более полной защищенности
ОИ;
Операция P7 – определение про-
граммой реального и необходимого уровня
услуг и функционального профиля защи-
щенности;
Операция P8 – определение про-
граммой соотношения между ОИ, угроза-
ми для ОИ и функциями защиты которые
уже реализованы и должны быть реализо-
ваны;
Операция R8 – вывод данных отно-
сительно соотношения между ОИ, угроза-
ми для ОИ и функций защиты которые
должны быть реализованы. Программа
предоставляет сформированный функцио-
91
Програмні системи захисту інформації
нальный профиль защищенности. Про-
грамма предоставляет сообщения, в случае
если пользователь выбрал (или указал) не
достаточное количество функций защиты
для минимально необходимого уровня ус-
луги.
Пятый модуль – ввод-вывод дан-
ных, в процессе которого пользователь
должен определить дополнительные или
лишние механизмы (средства) защиты ОИ
от определенного ранее перечня угроз, на
основе выделенных функций защиты, ко-
торые формируют определенные уровни
услуг и функциональный профиль защи-
щенности. Пользователь выбирает или
вводит средства защиты, которые должны
быть реализованы в ОИ, а также определя-
ет, какие функции защиты они выполнят и
от каких угроз защищают.
Операция R9 – ввод (или выбор)
данных пользователем относительно необ-
ходимых механизмов (средств) защиты
ОИ;
Операция Z5 – анализ вводимых
данных программным обеспечением. В
случае ввода некорректных данных, про-
грамма отказывается переходить на сле-
дующий этап работы и выводит пользова-
телю на экран соответствующее сообще-
ние;
Операция P9 – обработка програм-
мой данных введенных пользователем от-
носительно необходимых механизмов
(средств) защиты ОИ;
Операция P10 – определение про-
граммой соотношения между ОИ, угро-
зами для ОИ, функциями защиты кото-
рые должны быть реализованы и необ-
ходимыми механизмами (средствами) за-
щиты ОИ;
Операция R10 – вывод данных от-
носительно соотношения необходимых и
реализованных механизмов (средств) за-
щиты ОИ, а также соотношения между
ОИ, угрозами для ОИ, функциями защиты,
которые уже реализованы, а также должны
быть реализованы указанными механиз-
мами (средствами) защиты ОИ.
Шестой модуль – ввод-вывод дан-
ных, в котором пользователю предостав-
ляется оценка уровня защищенности
ОИ. Данная оценка выражается в предос-
тавлении пользователю количественных и
качественных показателей касающихся
устраненных угроз и выявленных уязви-
мостей.
Операция R11 – выбор пользовате-
лем данных относительно количественных
и качественных показателей уровня защи-
щенности ОИ;
Операция P11 – определение про-
граммой выбранных пользователем пара-
метров относительно количественных и
качественных показателей уровня защи-
щенности ОИ;
Операция R12 – вывод данных про-
граммой относительно выбранных пользо-
вателем параметров количественных и
качественных показателей уровня защи-
щенности ОИ. Предоставление пользова-
телю количественных показателей (дан-
ных о количестве угроз, которые были
устранены и их характеристика) и каче-
ственных показателей (данных об оцен-
ке вероятности возникновения этих угроз)
касающихся устраненных угроз. Предос-
тавление пользователю количественных
показателей (данных о количестве обна-
руженных уязвимостей и их характеристи-
ка) и качественных показателей (вероят-
ность их реализации и уровень относи-
тельного ущерба в случае их реализации)
уязвимостей данного ОИ. Предоставление
пользователю информации об устранен-
ных угрозах, выявленных уязвимостях и
их характеристика.
Седьмой модуль – выбор процеду-
ры позволяющей пользователю доработать
проект.
Операция Z6 – выбор пользовате-
лем механизма отката программы на пер-
воначальный этап работы, для доработки
проекта по оценке уровня защищенности
ОИ. Предоставление пользователю воз-
можности заново провести ввод необхо-
димой информации на первом и после-
дующих этапах работы.
S2 – Конец алгоритма.
На рис. 2 показана структурно-
функциональная схема автоматизирован-
ной поддержки проведения испытаний
КСЗИ.
92
Програмні системи захисту інформації
Рис. 2. Структурно-
функциональная схема (модель)
автоматизированной поддержки
проведения испытаний КСЗИ
Описание требований к разраба-
тываемой программе по автома-
тизированной поддержке проведе-
ния испытаний КСЗИ
Цель создания программного обес-
печения – предоставление пользователю
(эксперту, разработчику КСЗИ) возможно-
сти автоматизированной поддержки при
проведении испытаний КСЗИ.
Объектом автоматизации является
процесс проведения испытаний КСЗИ.
Предназначение программного
обеспечения. Программное обеспечение
предназначено для автоматизированного
решения определенных задач, реализуе-
мых в ходе проведения испытаний КСЗИ и
оценки уровня защищенности АС.
Характеристика объекта автома-
тизации. Реализация автоматизированной
поддержки проведения испытаний КСЗИ
подразумевает проектирование, разработ-
ку, внедрение в эксплуатацию и дальней-
шее использование в работе специалиста,
программного обеспечения, с помощью
которого решается отдельная задача или
группа задач выполняемых при проведе-
нии испытаний КСЗИ, что в дальнейшем
позволяет сделать выводы о полноте и до-
статочности уровня защищенности авто-
матизированной системы.
Общие требования к
программному обеспечению
Данное программное обеспечение
должно выполнять следующие общие
требования:
1) предоставлять пользователю
интуитивно понятный и простой интер-
фейс взаимодействия с программой;
2) предоставлять пользователю
возможность диалогового взаимодействия
с программой;
3) в случае некорректного ввода
данных предоставлять пользователю соот-
ветствующие предупреждения;
4) предоставлять пользователю
вспомогательные сообщения для коррект-
ного ввода данных;
5) предоставлять нескольким по-
льзователям возможность пользоваться
данной программой, с возможностью со-
хранения своих проектов, в том числе не
доработанных;
6) предоставлять пользователю
возможность начать работу со своим про-
ектом с того шага на котором он был за-
вершен, без необходимости начинать его
заново.
Функциональные требования к
программному обеспечению для
автоматизированной поддержки
проведения испытаний КСЗИ
Этап ввода данных об автоматизи-
рованной системе.
Качество проводимого оценивания
безопасности во многом зависит от полно-
ты и точности информации, которая полу-
чена в процессе сбора исходных данных.
Данный этап должен предоставлять
пользователю возможность ввести инфор-
мацию, характеризующуюся ОИ в целом,
его предназначение и основные задачи.
93
Програмні системи захисту інформації
Пользователь должен иметь воз-
можность:
1) выбора наиболее приоритетных
свойств информации (конфиденциаль-
ность, целостность, доступность, наблю-
даемость) для каждого из видов информа-
ции, которая циркулирует в ОИ;
2) ввести информацию, которая
характеризует подсистемы ОИ, элементы
подсистем ОИ входящие в их состав.
Последовательность операций вхо-
дящих в состав алгоритма проведения ис-
пытаний должна включать ввод основных
данных описывающих ОИ, а именно:
1) ввод данных характеризирую-
щих основные функциональные модули и
элементы ОИ;
2) ввод данных характеризирую-
щих функциональные подсистемы и эле-
менты комплекса средств защиты, реали-
зованные в ОИ;
3) ввод данных характеризирую-
щих объекты-пользователи, объекты-
процессы, пассивные объекты и их атри-
буты доступа [7].
Характеристика ОИ и реализован-
ных средств защиты, должна рассматри-
ваться на нескольких уровнях:
1) аппаратный;
2) BIOS;
3) операционная система;
4) сетевой;
5) СУБД;
6) прикладного программного
обеспечения.
Пользователь должен иметь воз-
можность:
1) на основе введенных данных об
ОИ и его элементах построить архитектуру
и представить ее в графическом виде;
2) добавить новый элемент в раз-
работанную архитектуру ОИ, в случае ес-
ли она была уже сформирована.
В результате, пользователь должен
получить общее представление об ОИ и
элементах, которые в него входят.
На основе вводимых данных дол-
жен осуществляется следующий этап ана-
лиза ОИ.
Этап ввода данных об обрабаты-
ваемой в автоматизированной системе
информации
На данном этапе необходимо пре-
доставлять пользователю возможность
ввести характеристики информации, кото-
рая циркулирует в ОИ и той информации,
которая требует защиты.
Также, пользователю необходимо
указать все виды информации, которая
циркулирует в ОИ (например, открытая, с
ограниченным доступом).
Пользователь должен иметь воз-
можность указать те подсистемы и их эле-
менты, в которых требующая защиты ин-
формация циркулирует.
Этап ввода данных об угрозах для
информации
Пользователь должен иметь воз-
можность построения модели угроз для
информации, которая циркулирует в ОИ.
После окончания этапа ввода ин-
формации об ОИ, его подсистемах и обра-
батываемой информации, которая в дан-
ном ОИ циркулирует, пользователь дол-
жен перейти к следующему этапу ввода
информации об угрозах.
Программное обеспечение должно
предоставлять возможность для ОИ в це-
лом и его отдельных элементов, учитывая
циркулирующую в нем информацию, вве-
сти возможные угрозы для его безопасно-
сти, которые касаются несанкционирован-
ных действий (доступа, копирования,
модификации, подмены или удаления
информации, блокирования доступа до
информации, потери наблюдаемости за
информацией).
Необходимо, также иметь возмож-
ность провести классификацию выявлен-
ных угроз по нескольким категориям (уг-
розы природного или техногенного проис-
хождения, угрозы для секретной, конфи-
денциальной или открытой информации,
угрозы для конфиденциальности, целост-
ности, доступности, наблюдаемости ин-
формации, угрозы для элемента 1, элемен-
та 2 и т.д.).
Информация должна быть пред-
ставлена, как в текстовом, табличном так и
графическом виде.
94
Програмні системи захисту інформації
Необходимо предусмотреть воз-
можность добавить новую угрозу в разра-
ботанную модель, в случае если модель
была уже сформирована.
Данный этап должен предоставить
пользователю возможность создать поле
угроз (модель угроз) для информации и
осуществить их классификацию по не-
скольким параметрам, а именно:
1) разделение угроз по видам;
2) разделение угроз по типам;
3) по результатам влияния на ин-
формацию;
4) по пути их реализации.
Модель угроз должна предостав-
лять возможность пользователю опреде-
лить вероятность реализации угроз и отно-
сительный уровень ущерба при их реали-
зации.
Этап ввода данных о нарушите-
лях безопасности информации
На данном этапе необходимо пре-
дусмотреть для пользователя возмож-
ность:
1) построения модели нарушителя
для информации, которая циркулирует в
ОИ;
2) после окончания этапа ввода
данных об угрозах для информации, пе-
рейти к следующему этапу построения мо-
дели нарушителя;
3) на основе построенной модели
угроз для информации построить модель
нарушителя;
4) на основе построенной модели
угроз, для каждого вида угроз и отдельно
взятой угрозы, определить потенциального
нарушителя;
5) провести классификацию выяв-
ленных нарушителей по нескольким кате-
гориям (внешний или внутренний наруши-
тель, цель или мотив нарушителя);
6) провести классификацию выяв-
ленных нарушителей по уровню их воз-
можностей, знаний, методам и способам
нарушений, месту совершения действия.
Информация должна быть пред-
ставлена, как в текстовом, табличном так и
графическом виде.
Пользователь должен иметь воз-
можность добавить нового нарушителя в
разработанную модель, в случае если мо-
дель была уже сформирована.
Этап определения подсистем и
элементов автоматизированной систе-
мы, угроз для них, а также путей и ме-
ханизмов их защиты
Программное обеспечение должно
предоставлять возможность:
1) на основе построенной архи-
тектуры ОИ и построенной модели угроз,
определить объекты и элементы, которые
требуют защиты;
2) на следующем этапе работы с
программным обеспечением, на основе по-
строенной модели угроз и определенных
подсистем и элементов ОИ, требующих
защиты, выбрать из предложенного про-
граммой списка те функции защиты, кото-
рые отвечают выявленным угрозам и вы-
деленным элементам ОИ;
3) на основе выбранных функций
защиты, определить на следующем этапе
работы с программным обеспечением те
услуги защищенности, к которым они от-
носятся;
4) на основе выбранных услуг за-
щищенности, сформировать функциональ-
ный профиль защищенности;
5) сравнения необходимого и реа-
лизованного уровня защищенности (срав-
нение заданного и реализованного функ-
ционального профилей защиты);
6) на основе выбранных функций
защиты и анализа архитектуры ОИ, выде-
ленных подсистем и их элементов, вы-
брать те средства защиты, которые входят
в состав ОИ и реализуют выделенные
функции защиты.
Программа должна определять, ка-
кой подсистеме или элементу ОИ соответ-
ствует отдельное средство защиты, какую
полноту защиты это средство обеспечива-
ет, является ли оно достаточным для защи-
ты данного объекта.
Этап классификации не устра-
ненных угроз (уязвимостей системы)
В случае выявления пользователем
отсутствия средств защиты, которые реа-
лизуют выбранные функции защиты, не-
обходимо иметь возможность определить
те угрозы, которые являются не устранен-
ными.
95
Програмні системи захисту інформації
После выявления пользователем не
устраненных угроз (уязвимостей системы),
он должен иметь возможность классифи-
цировать данные угрозы, установить рей-
тинг опасности этих угроз для ОИ, исполь-
зуя определенные критерии, на пример: по
вероятности реализации угроз и степени
ущерба, который может быть нанесен их
реализацией.
Этап вывода результатов испы-
таний и оценки защищенности авто-
матизированной системы
После проведенной классификации
не устраненных угроз (уязвимостей систе-
мы), программа должна предоставить
пользователю в текстовом, табличном или
графическом виде:
1) результаты данной классифика-
ции, а также предоставить перечень собы-
тий и нарушителей, которые могут спо-
собствовать реализации данных угроз;
2) информацию о состоянии дос-
таточности и полноты защищенности ОИ,
перечень защищенных, частично защи-
щенных и незащищенных подсистем и
элементов ОИ;
3) результат оценки степени за-
щищенности как ОИ в целом, так и от-
дельных его подсистем и элементов.
Необходимо предусмотреть воз-
можность предоставления рекомендации
по совершенствованию средств защиты
ОИ. Такие рекомендации должны вклю-
чать в себя следующие типы действий, на-
правленных на минимизацию выявленных
уязвимостей:
1) уменьшение риска за счёт ис-
пользования дополнительных средств за-
щиты, позволяющих снизить вероятность
проведения атаки или уменьшить возмож-
ный ущерб от неё;
2) уклонение от риска путём из-
менения архитектуры или схемы инфор-
мационных потоков ОИ, что позволяет ис-
ключить возможность проведения той или
иной атаки;
3) принятие риска в том случае,
если он уменьшен до того уровня, на кото-
ром он не представляет опасности для ОИ.
Результаты данной процедуры
должны оформляться в виде отчётного до-
кумента, который предоставляется Заказ-
чику. В общем случае этот документ со-
стоит из следующих основных разделов:
1) описание границ, в рамках ко-
торых был проведён аудит безопасности;
2) описание структуры ОИ Заказ-
чика;
3) описание выявленных уязвимо-
стей и недостатков, включая уровень их
риска;
4) рекомендации по совершенст-
вованию КСЗИ;
5) предложения по плану реализа-
ции первоочередных мер, направленных
на минимизацию выявленных рисков [8].
Этап доработки и сохранения
проекта
В случае выявления новых угроз
или уязвимостей, необходимости в повы-
шении уровня защищенности ОИ, а также
изменения его архитектуры, программа
должна предоставлять возможность поль-
зователю ввести новую информацию, ко-
торая касается необходимых изменений
ОИ, и провести доработку по оценке уров-
ня его защищенности, с сохранением всех
необходимых параметров.
После проведения доработки клас-
сификации угроз, пользователь должен
иметь возможность перейти к следующему
этапу работы с программой и выбрать или
указать новые средства защиты, которые
должны входить в состав КСЗИ ОИ, опре-
делить новые функции защиты, которые
они должны будут выполнять и пересмот-
реть уровень услуг к которым данные
функции будут относиться.
После выбора услуг, которые долж-
ны быть реализованы в КСЗИ, пользова-
тель должен иметь возможность составить
новый профиль защищенности ОИ, в соот-
ветствии с новыми выбранными уровнями
услуг.
После доработки КСЗИ, пользова-
тель должен иметь возможность просмот-
реть результаты проведенных доработок.
Программа, должна предоставлять
возможность:
1) сохранить результаты своей ра-
боты. Сохранение результатов проведен-
ных испытаний, позволит проводить даль-
96
Програмні системи захисту інформації
нейший анализ ОИ в случае изменения,
каких либо из его характеристик;
2) сохранять результаты прове-
денных испытаний, даже если проект не
был завершен до конца;
3) сохранять историю проводимых
изменений ОИ, а также создавать архив из
проектов, которые были реализованы пол-
ностью или частично.
Дальнейший анализ ОИ, в случае
последующих изменения его архитектуры,
изменения требований к защите информа-
ции, которая циркулирует в ОИ или дру-
гих его характеристик.
Требования пользователей к
программному обеспечению для
автоматизированной поддержки
проведения испытаний КСЗИ
При проектировании интерфейса
должна учитываться проектируемая функ-
циональность программного обеспечения.
Работа пользователя должна начи-
наться со стартовой страницы программы.
На стартовой странице должны быть обес-
печены средства изменения языка отобра-
жения информации.
На стартовой странице должна пре-
доставляться справочная информация от-
носительно предназначения программы, ее
версии, названия, правила и последова-
тельность работы пользователя с програм-
мой.
Интерфейс пользователя при про-
ведении испытаний КСЗИ должен быть
ориентирован на специалиста в вопросах
защиты информации относительно вопро-
са информационного наполнения и на
обычного пользователя в вопросах просто-
ты использования.
Интерфейс программы должен
иметь три основные компонента:
1) диалог;
2) ввод;
3) вывод.
Интерфейс пользователя должен
обеспечивать пошаговое использование
соответствующих процедур, с предостав-
лением оперативной справочной и анали-
тической информации пользователю о ре-
зультатах проведенной работы.
Диалоговые решения определяют
путь, которым пользователь направляет
работу программы, выполняя введение
данных. Диалог должен быть разработан
для поддержки пользователя в его основ-
ной работе, без отвлечения его внимания
дополнительной работой, обусловленной
спецификой программы. Разработка диа-
логового меню должна использоваться при
разработке структуры меню.
При разработке введения информа-
ции определяются способы введения ин-
формации (цифровая клавиатура, функ-
циональные ключи и т.д.). ISO 9241–14 со-
держит рекомендации относительно ис-
пользования средств ввода информации, а
также относительно способов и требова-
ний к предоставлению информации поль-
зователю.
Вывод информации должен обеспе-
чивать однозначное восприятие информа-
ции.
При разработке интерфейса пользо-
вателя необходимо учитывать семь прин-
ципов построения диалога, которые имеют
принципиальное значение для проектиро-
вания и оценивания диалога пользователя
с программой, а именно:
1) соответствие заданию;
2) информативность;
3) управляемость;
4) соответствие ожиданиям поль-
зователя;
5) не чувствительность к ошиб-
кам;
6) способность к индивидуализа-
ции;
7) способность к обучению.
Принципы диалога необходимо
применять, учитывая такие характеристи-
ки пользователя как:
1) объем внимания пользователя;
2) границы краткосрочной памяти;
3) обучаемость пользователя;
4) квалификация и опыт пользова-
теля;
5) имеющиеся убеждения пользо-
вателя относительно основной структуры
и предназначения системы, с которой он
будет взаимодействовать.
Выполнение задания обеспечивает-
ся особенностями системного диалога [9].
97
Програмні системи захисту інформації
Требования к защите данных
циркулирующих в программном
обеспечении для автоматизиро-
ванной поддержки проведения
испытаний КСЗИ
Вход в программу должен обеспе-
чиваться по логину пользователя и его
специальному паролю.
Программное обеспечение должно
предусматривать защиту данных от
несанкционированного доступа на уро-
вне разграничения различных прав дос-
тупа.
Все операции, проводимые в про-
грамме пользователем должны "привязы-
ваться" к его профилю доступа.
В программе должен быть преду-
смотрен механизм обработки незавершен-
ных транзакций.
В программном обеспечении долж-
на быть реализована процедура резервного
копирования и восстановления содержи-
мого баз данных.
Ошибки в работе программы или
аварийное завершение работы программ-
ного обеспечения, не должны вызывать
потерю, частичное или полное разрушение
базы данных системы.
В программе должно быть преду-
смотрена журнализация всех операций, а
также функций, перечень которых будет
определен в дальнейшем.
Выводы
Испытания являются одним из
ключевых этапов при создании КСЗИ, ко-
торый осуществляется для получения пол-
ной информации о текущем состоянии за-
щищённости АС и для выявления уязви-
мостей информационной безопасности.
Кроме того, результаты испытаний КСЗИ
являются основой для формирования стра-
тегии развития защищенности автоматизи-
рованной системы (ОИ) и обеспечения
информационной безопасности организа-
ции.
Однако, необходимо отметить, что
оценка уровня защищенности не является
однократной процедурой и должна прово-
диться на регулярной основе. Только в
этом случае работа будет приносить ре-
альную отдачу и способствовать повыше-
нию уровня информационной безопасно-
сти. В связи с этим использование специа-
лизированного программного обеспечения
для проведения испытаний КСЗИ более
чем актуально.
В данной статье проведен анализ
этапов создания КСЗИ, описана техноло-
гия проведения испытаний КСЗИ, опи-
сан поход к разработке программного
средства поддержки, выделены задачи,
которые могут быть реализованы с ис-
пользованием автоматизированного сред-
ства поддержки. Также, рассматривается
возможная методология автоматизиро-
ванного проведения испытаний и крат-
кая характеристика функциональных мо-
дулей входящих в предложенный алгоритм
работы программы. Также, рассматрива-
ются основные требования к программе,
которые должны учитываться при ее раз-
работке.
Анализ методологии функциониро-
вания программного средства поддержки
проведения испытаний КСЗИ, а также ана-
лиз требований к его реализации, являются
необходимым условием на начальном эта-
пе создания.
В дальнейшем планируется провес-
ти более детальный анализ методологии
оценивания защищенности ОИ, а также
провести разработку математического ал-
горитма и проектирование модели про-
граммного обеспечения для автоматизиро-
ванной поддержки проведения испытаний
КСЗИ.
1. www.atmnis.com/files/user_files/kszi.pdf
2. Замятин Д., Прокофьев М. Алгоритмиче-
ские особенности экспертных систем, ори-
ентированных на проблемы защиты ин-
формации // Правовое, нормативное и мет-
рологическое обеспечение системы защи-
ты информации в Украине. – Киев: НТУ
Украины “КПИ”. – 2000. – Вып. 1. –
С. 252–253.
3. http://software-testing.ru/library/testing/
security/87
4. www.info-system.ru/security/Analysis_
security_cis.doc
5. http://www.jurnal.org/articles/2008/inf33.
html
98
http://software-testing.ru/library/testing/%0Bsecurity/87
http://software-testing.ru/library/testing/%0Bsecurity/87
Програмні системи захисту інформації
6. Барсуковский Ю. Аудит систем информа-
ционной безопасности – проблемы и ре-
шения // Правовое, нормативное и метро-
логическое обеспечение системы защиты
информации в Украине. – Киев: НТУ Ук-
раины “КПИ”. – 2002. – Вып. 4. –
С. 29–33.
7. Методичні вказівки з оцінювання
функціональних послуг безпеки в засобах
захисту інформації від несанкціонованого
доступу. – НД ТЗІ 2.7 -009-09, ДС СЗЗІ
України Київ, 2009.
8. Домарев В.В. Безопасность информацион-
ных технологий. Системный подход. – Ки-
ев: OOO ”ТИД “ДС”, 2004. – 992 с.
9. http://i-novice.net/sostavlyaem-trebovaniya-
k-po/
Получено 30.04.2012
Об авторе:
Колтик Максим Анатолиевич,
аспирант.
Место работы автора:
Институт программных систем
НАН Украины,
03187, Киев-187,
Проспект Академика Глушкова, 40.
Тел.: 067 218 2809
E-mail: maxfaktor@ua.fm
99
http://i-novice.net/sostavlyaem-trebovaniya-k-po/
http://i-novice.net/sostavlyaem-trebovaniya-k-po/
mailto:maxfaktor@ua.fm
|