Методы анализа защищённости программного обеспечения

В данной статье рассмотрены типичные примеры угроз, возникающих при работе с прикладным программным обеспечением. В качестве результата проведенного исследование представлены методы анализа угроз и их устранения.

Ключевые слова: ошибки, поиск, информация, целостность, системы.

Необычайный эволюционный рост сложности и динамичности ИТ-продукции показал не только неотвратимость, но и гипер сложность оценки соответствия ИТ-продукции требованиям по безопасности информации. Несмотря на героические усилия ведущих разработчиков, проблема безопасности программных систем не получила своего окончательного решения: число критических уязвимостей не уменьшается, а процесс анализа кода становится чрезвычайно сложной задачей, которую необходимо перманентно решать в рамках периода жизненного цикла программной системы [1, c.3].

В этом плане основным механизмом управления информационной безопасностью систем остается сертификация средств защиты информации, эффективность которой в реальной жизни пока зависит от предельной организованности и мозгового штурма экспертов испытательных лабораторий и органов по сертификации. Поэтому применение адекватных методов, метрик и методических приемов может быть весьма полезно, что и является основной целью подготовки монографии. [2, c.34].

Кроме факторов технической эволюции, следует отметить необычайный социальный интерес к данной проблеме, отмеченный в нашей стране за последние несколько лет, например, достаточно упомянуть несколько общественных явлений:

-          вступление страны в ВТО и неотвратимость исполнения Закона «О персональных данных» глубоко изменили отношение всех юридических лиц страны к защите информации конфиденциального характера со всеми вытекающими последствиями;

-          открытая публикация новейших нормативных документов и других регуляторов инициировала всеобщее информирование и внедрение новых современных методологий, методов и средств защиты информации в различных сегментах ИТ-области;

-          диалектическое возникновение «сертификационных войн» побудило разработчиков средств защиты к соблюдению правил сертификации на российском рынке компьютерной безопасности и даже раскрытию ведущими западными компаниями (Microsoft, IBM, Oracle, SAP и др.) тайн их исходного кода. [1, c.17].

Легитимность обработки информации на объектах информатизации подтверждается путем их аттестации, основное содержание которой составляют аттестационные испытания, представляющие собой комплексную проверку защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации [1, c. 22].

Если в области оценки надежности и устойчивости технических систем основополагающими понятиями являются ошибки и отказы, то в области информационной безопасности таковыми понятиями являются угрозы. Негативное последствие угрозы безопасности ресурсу оценивается величиной соответствующего риска, под которым понимается комбинация вероятности «нежелательного» события и его последствий.

Следует отметить, что нарушение правил оценки соответствия тоже может быть риском правового и технического характера.

Систематическое использование информации для идентификации источников и оценки величины риска называется анализом риска. Методы анализа риска могут быть качественными, полуколичественными и количественными. В качественных методах используются вербальные понятия уровней риска, например: «маленький», «большой», «очень большой» и т. д. В полуколичественных методах используются численные шкалы (линейные или логарифмические). Количественные манипулируют конкретными числовыми единицами. Заметим, что полный количественный анализ не всегда возможен вследствие эргатичности систем информационной безопасности, сложности получения представительной статистики и др.

Анализ риска включает этапы инвентаризации и категорирования ресурсов, идентификации значимых угроз и уязвимостей, а также оценку вероятностей реализации угроз и уязвимостей. Оценивание риска заключается в вычислении риска и собственно оценивание его по заданной n-бальной или табличной шкале.

Показатели защищенности от несанкционированного доступа к информации» устанавливает требования к составу документации, а также номенклатуру показателей защищенности средств вычислительной техники (СВТ), описываемых совокупностью требований к защите и определяющих классификацию СВТ по уровню защищенности от НСД к информации. В рамках документа под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем, и предназначенных для предотвращения или существенного затруднения несанкционированного доступа к информации. СВТ как комплексное средство защиты информации от НСД может включать ряд подсистем (механизмов) безопасности, таких как: идентификация, аутентификация, разграничение доступом, контроль целостности, протоколирование и другие механизмы противодействия актуальным угрозам информационной безопасности.

Документ определяет 7 классов защищенности. Каждый класс характеризуется заданными значениями показателей защищенности СВТ, которые описываются соответствующими требованиями. Формально требования можно разделить на 4 группы:

-          требования к подсистемам идентификации, аутентификации, авторизации;

-          требования к подсистеме протоколирования;

-          требования к гарантиям разработки;

-          требования к документации.

Классификация автоматизированных систем и требования по защите информации» определяет требования к защищенности информации в АС. Следует сказать, что данный документ может быть основным в случае сертификации системы, но только дополнительным — в случае аттестации. Это связано с тем, что требования по аттестации уточнены специальными нормативными документами и национальными стандартами ограниченного доступа.

Документ устанавливает требования к группам подсистем безопасности:

-          — подсистеме управления доступом (включая идентификацию, аутентификацию и авторизацию);

-          подсистеме протоколирования;

-          криптографической системе;

-          подсистеме обеспечения целостности, а также подсистеме физической защиты, администрирования, тестирования и резервирования.

В настоящее время к категории конфиденциальной информации, имеющей характер персональных данных (составляющих личную и семейную тайну), предъявляются особые нормативно-методические требования к оценке соответствия их средств защиты.

В нормативно-методических документах регуляторов указаны следующие средства защиты информации:

-          средства предотвращения несанкционированного доступа;

-          средства защиты информации при межсетевом взаимодействии;

-          антивирусные средства;

-          средства анализа защищенности;

-          средства обнаружения вторжений;

-          криптографические средства.

В настоящее время в различных системах сертификации проводятся изыскания по созданию и внедрению международной нормативной базы оценки соответствия. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий». Особенность стандарта состоит в том, что он является фактически метастандартом, позволяющим создавать нормативные документы к ИТ-продуктам, причем включающим конкретные требования как по безопасности (функциональные 49 требования), так и по качеству (требования доверия), и которые можно представить в полуформализованном виде.

В соответствии с общепринятой практикой, в документе выделяются два типа систем обнаружения вторжений: это системы обнаружения вторжений уровня сети и системы обнаружения вторжений уровня узла. Основной задачей системы обнаружения вторжений уровня сети является сбор информации о сетевом трафике, передаваемом в пределах информационной системы, и ее дальнейший анализ с целью выявления вторжений. Система обнаружения вторжений уровня узла должна обнаруживать вторжения на основе анализа данных с узлов контролируемой информационной системы, включающих: сетевой трафик, проходящий через контролируемые узлы, события, регистрируемые в журналах аудита операционной системы и прикладного программного обеспечения, вызовы функций, обращения к ресурсам.

Модели роста надежности (reliability growth model) относят к вероятностным динамическим моделям дискретных систем с непрерывным или дискретным временем. Большинство популярных моделей данного класса можно свести к Марковским однородным, неоднородным или полумарковским моделям массового обслуживания.

В однородных Марковских моделях полагается, что общее число ошибок ПО — неизвестная конечная постоянная величина. Число ошибок, оставшихся в ПО в процессе тестирования и отладки, описывается экспоненциальным законом распределения.

Экспоненциальная модель роста надежности, получившая название модели Елинского-Моранды (Jelinski-Moranda, JM-модель), основана на допущениях, что в процессе тестирования ПО длительность интервалов времени между обнаружением двух ошибок имеет экспоненциальное распределение с интенсивностью отказов, пропорциональной числу необнаруженных ошибок. Все ошибки одного типа, равновероятны и независимы друг от друга. Каждая обнаруженная ошибка мгновенно устраняется, число оставшихся ошибок уменьшается на единицу.

Экспоненциальная модель роста надежности, получившая название модели Елинского-Моранды (Jelinski-Moranda, JM-модель), основана на допущениях, что в процессе тестирования ПО длительность интервалов времени между обнаружением двух ошибок имеет экспоненциальное распределение с интенсивностью отказов, пропорциональной числу необнаруженных ошибок. Все ошибки одного типа, равновероятны и независимы друг от друга. Каждая обнаруженная ошибка мгновенно устраняется, число оставшихся ошибок уменьшается на единицу.

В настоящее время одной из самых популярных NHPP-моделей роста надежности является S-образная NHPP-модель Ямады (Yamada), в которой, в отличие от JM- и SW-подобных выпуклых моделей, делается дополнительное предположение о S-образной зависимости числа ошибок от времени тестирования. Понятийно S-образная зависимость числа обнаруженных ошибок от времени объясняется тем, что в начальной стадии тестирования имеется фаза изучения экспертом ПО.

После формирования перечня маршрутов проводится анализ критических маршрутов выполнения функциональных объектов. В качестве критических маршрутов выполнения должны рассматриваться маршруты выполнения функциональных объектов, в которых происходит обработка защищаемой информации. Защищаемая информация может содержать критически важные сведения о ПО (пароли, лицензии, работа с базой данных). По результатам анализа должно быть установлено соответствие порядка выполнения критических маршрутов заявленному алгоритму функционирования программного продукта, представленного в документации. Также к критическим маршрутам должны быть отнесены те маршруты, в которых выполняются функциональные объекты, попавшие в список потенциально опасных конструкций.

Литература:

1.         Глоба Л. С. Розробка інформаційних ресурсів та систем. Київ / Політехніка, 2013. — 22 с.

2.         Голощапов. А., Системные компоненты и сетевые коммуникации / БХВ Петербург, 2012, — 384 с.