Международные стандарты, поддерживающие испытания технологической безопасности информационных систем
Основой развития процесса стандартизации обеспечения технологической безопасности ПС и БД является формирование рационального по составу, структуре и уровням требований комплекса нормативно-технической документации (НТД), обеспечивающего нормативную основу создания и применения информационных систем. Приоритетной работой в этом направлении является модернизация фонда отечественных НТД в этой области на основе введения международных стандартов в качестве национальных НТД России. Уровень введения и применения международных норм, правил и требований в действующие отечественные НТД на сегодняшний день очень низок. В этих условиях реализация проектов информатизации без учета требований и рекомендаций международных стандартов приводит к большим потерям технических и финансовых ресурсов из-за несовместимости технических и программных средств, необходимости доработки (адаптации) импортируемой продукции, увеличения длительности проектирования и производства средств информатизации.
Ниже представлены некоторые, наиболее важные группы международных стандартов (Табл. 1), регламентирующих:
· показатели качества программных средств;
· жизненный цикл и технологический процесс создания критических комплексов программ, способствующие их высокому качеству и предотвращению непредумышленных дефектов;
· тестирование программных средств для обнаружения и устранения дефектов программ и данных;
· испытания и сертификацию программ для удостоверения достигнутого качества и безопасности их функционирования.
·
Таблица 1. Международные стандарты, направленные на обеспечение технологической безопасности
| ISO 09126:1991. ИТ. | Оценка программного продукта. Характеристики качества и руководство по их применению. |
| DOD-STD-2168. | Программа обеспечения качества оборонных программных средств. |
| ISO 09000-3:1991. | Общее руководство качеством и стандарты по обеспечению качества. Ч. 3: Руководящие указания по применению ISO 09001 при разработке, поставке и обслуживании программного обеспечения. |
| ISO 12207:1995. | Процессы жизненного цикла программных средств. |
| DOD-STD 2167 A:1988. | Разработка программных средств для систем военногоназначения. |
| ISO 09646 — 1-6: 1991. ИТ. ВОС. | Методология и основы аттестационного тестирования ВОС. |
| ANSI/IEEE 829 — 1983. | Документация при тестировании программ. |
| ANSI/IEEE 1008 — 1986. | Тестирование программных модулей и компонент ПС. |
| ANSI/IEEE 1012 — 1986. | Планирование проверки (оценки) (verification) иподтверждения достоверности (validation) программных средств. |
Технологическая безопасность функционирования ПС и БД при непредумышленных угрозах косвенно поддерживается еще многими десятками стандартов, которые, в той или иной степени, обеспечивают жизненный цикл и технологию разработки и сопровождения, качество, тестирование, испытания и сертификацию ПС и БД, а также унификацию их интерфейсов с операционной и внешней средой. В этих и ряде других стандартов предусматривается обеспечение качества программ и данных в широком смысле слова и отсутствует акцент на технологическую безопасность. Однако многие тезисы и рекомендации стандартов способствуют обеспечению безопасного функционирования ИС.
Контрольные вопросы
1. Назовите и поясните виды тестирования для определения технологической безопасности информационных систем.
2. Прямые экспериментальные и статистические методы определения технологической безопасности критических информационных систем.
3. Методы определения технологической безопасности критических информационных систем