Сертификация программных средств

Сертификация программного обеспечения (ПО) проводится для установления соответствия по конкретным требованиям и охраны прав пользователя. Согласно поставленной цели при сертификации ПО решаются задачи, связанные с анализом и оценкой программных средств (ПС). Сертификация ПО имеет особенности по сравнению с другими объектами, так как сбои в его функционировании могут привести к катастрофическим последствиям: порче оборудования, большим финансовым потерям, утрате баз данных.

Возможны три варианта, при которых требования безопасности ПО становятся доминирующими:

  • 1. Позиция потребителя: Служба безопасности фирмы требует, чтобы приобретенное ПО не содержало каких-либо угроз для деятельности предприятия.
  • 2. Позиция разработчика: Заказчик требует гарантий того, что разработанное ПС не содержит дефектов (случайных или преднамеренных), которые нанесут ему материальный ущерб.
  • 3. Приобретенное (разработанное) ПС относится к классу программ, который по существующим нормативным актам требует обязательной сертификации (например, ПС защиты информации).

При всех вариантах сертификацию программного обеспечения должна проводить испытательная лаборатория, которая аккредитована на проведение таких работ.

Типовые этапы прохождения сертификации следующие:

  • 1) заключение договора на проведение испытаний ПС;
  • 2) анализ требований заказчика по безопасности;
  • 3) анализ источника получения ПС;
  • 4) анализ условий предполагаемого их применения;
  • 5) определение требований к научно-методическому и инструментальному обеспечению испытаний ПС;
  • 6) испытания этих средств на удовлетворение требованиям по безопасности;
  • 7) предварительная обработка информации;
  • 8) полная обработка испытаний ПС;
  • 9) принятие решения по удовлетворению их заданным требованиям;
  • 10) оформление протокола проведения испытаний ПС.

Анализ требований заказчика по безопасности заключается в их конкретизации, формализации, установлении взаимной корреляции требований, приведения их к количественной мере.

Среди требований по безопасности использования ПС можно выделить типовые, к которым относятся:

  • • допустимый ущерб, который может быть нанесен вычислительной системе за заданное время при использовании ПС с программными помехами;
  • • отсутствие технологических ошибок;
  • • отсутствие процедур, разрушающих защиту.

Кроме этих требований к ПС в конкретных условиях могут быть выдвинуты индивидуальные требования, учитывающие особенности объекта.

По способу получения ПС можно выделить:

  • • закупленное у разработчика;
  • • закупленное у официального дистрибьютора;
  • • полученное от законного пользователя в составе программного комплекса его разработки;
  • • скопированное у законного пользователя;
  • • скопированное у незаконного пользователя.

Программные средства, полученные по двум последним каналам (так называемые «черные» и «серые» копии), не могут быть сертифицированы как безопасные и использоваться в вычислительных системах.

При анализе условий возможного использования программных средств необходимо учитывать данные о типе и категории объекта, на котором допускается применять этих средств на объекте программной и аппаратной среде, системе защиты информации. Кроме того, следует учитывать возможные угрозы со стороны ПС для вычислительных комплексов, среди которых могут оказаться:

  • • непредусмотренное прерывание вычислительного процесса;
  • • стирание полезной информации из памяти ЭВМ или ее искажение;
  • • считывание или перехват ценной информации;
  • • выдача ошибочных (ложных) результатов решения задачи.

Научно-методическое обеспечение процесса испытаний программного обеспечения по требованиям безопасности представляет собой комплекс базовых методик, охватывающих процесс от анализа требований к показателям безопасности до принятия решения о соответствии их требованиям. Круг задач испытательной лаборатории предъявляет высокие требования к квалификации ее сотрудников. Это должны быть специалисты, хорошо подготовленные в вопросах:

  • • действующих отечественных и международных законов в области информатики и авторского права;
  • • состояния отечественного и международного рынков ПО;
  • • системного программирования и языков программирования;
  • • устройства и работы технических средств.

При проведении испытаний особое внимание должно уделяться таким вопросам, как формирование рабочей группы для выполнения конкретного заказа, сохранение в тайне от посторонних каких-либо сведений о тестируемом ПС, доведение до конца программы испытаний даже при обнаружении в их ходе, несоответствий отдельным требованиям. Результатом испытаний является протокол, в котором перечисляются заявленные требования и результаты, полученные в ходе этих испытаний.

В большинстве случаев обработка результатов испытаний сводится к вычислению оценок статистических характеристик случайных величин с применением методов теории вероятностей. При предварительной обработке устраняются различные искажения и погрешности, выявленные в ходе испытаний, проверяется соответствие ранее высказанным утверждениям и выбираются исходные параметры для дальнейших расчетов.

Для определения вероятностных оценок проводится полная обработка результатов испытаний, при которой получают средние значения и среднеквадратические отклонения разных параметров.

Принятие решения о соответствии программных средств требованиям нормативных документов представляет собой выбор на основании некоторого правила одного из двух положений: ПС подлежит использованию и ПС не подлежит использованию, пока в нем не будуг устранены преднамеренные и случайные программные помехи.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >