Безопасность информационных технологий

Вследствие возрастающей сложности информационных систем актуальными становятся угрозы безопасности информации, сопряженные с наличием уязвимостей программного обеспечения, применяемого в составе систем информационной инфраструктуры. В целях защиты от такого типа угроз сегодня, как правило, применяют целый комплекс мер, реализуемый в процессе эксплуатации и сопровождения программного обеспечения. Вместе с тем для обеспечения требуемого уровня защиты данных необходима реализация мер, нацеленных на предотвращение возникновения уязвимостей в процессе жизненного цикла программного обеспечения. Безопасная разработка программного обеспечения является основой доверия к информационно-коммуникационным технологиям в условиях современных киберугроз. Целью статьи является обобщение и анализ проблем создания доверенного программного обеспечения, применяемого на объектах критической информационной инфраструктуры, и поиск возможных путей их решения. В статье рассмотрены организационные и методические аспекты создания доверенного программного обеспечения, применяемого на объектах критической информационной инфраструктуры, описаны основные проблемы, стратегии и технологии обеспечения доверенности различных компонентов программного обеспечения. Вопрос обеспечения доверенности инструментальных средств, общесистемного и специального программного обеспечения пока остается открытым как в методическом, так и в организационном плане. Для решения этих проблем необходима долговременная государственная политика, разработка и уточнение нормативных правовых документов, определяющих общие подходы и конкретные пути обеспечения надежности и безопасности программного обеспечения, применяемого на объектах критической информационной инфраструктуры, с учетом реальных условий их эксплуатации.

доверенное программное обеспечение, автоматизированные системы, информационная безопасность, защита информации, сертификация.

1. Хабибуллин, И.В. Основные проблемные вопросы создания доверенной программно-аппаратной среды для АСУ органов военного и государственного управления. Вопросы кибербезопасности, 2014. № 3. URL: http://cyberrus.com/wp-content/uploads/2014/11/vkb_04_03.pdf (дата обращения: 18.09.2018).

2. Барабанов, А.В., Марков, А.С., Цирлов, В.Л. 28 магических мер разработки безопасного программного обеспечения. Вопросы кибербезопасности, 2015. № 5. С. 2 – 10. URL: http://cyberrus.com/wp-content/uploads/2015/12/02-10-513-15_1.-Барабанов.pdf (дата обращения: 18.09.2018).

3. Барабанов, А.В., Марков, А.С., Цирлов, В.Л. Методический аппарат анализа и синтеза комплекса мер разработки безопасного программного обеспечения. Программные продукты и системы, 2015. № 4. С. 166 – 174. URL: http://www.swsys.ru/index.php?page=article&id=4086〈=; DOI:10.15827/0236-235X.112.166-174. (дата обращения: 18.09.2018).

4. Барабанов, А.В., Марков, А.С., Цирлов, В.Л. Актуальные вопросы выявления уязвимостей и недекларированных возможностей в программном обеспечении. Системы высокой доступности, 2018. №3. С. 12 – 17. DOI: 10.18127/j20729472-201803-03. URL: http://www.radiotec.ru/article/22223

5. Грюнталь, А. И. Информационно безопасное программное обеспечение систем реального времени. Известия ЮФУ. Технические науки. 2007. №1. URL: https://cyberleninka.ru/article/n/informatsionno-bezopasnoe-programmnoe-obespechenie-sistem-realnogo-vremeni (дата обращения: 18.09.2018).

6. Тыкушин, А.В., Калинкин, Е.О., Кузнецов, Е.В., Смирнов, В.Г. Проблемы обеспечения доверенной среды при проектировании программно-аппаратных комплексов. Теория и практика имитационного моделирования и создания тренажёров, 2015. С. 79 – 82. ISBN 978-5-9907043-3-6. URL: http://www.penzgtu.ru/fileadmin/filemounts/science/konf_roganov/modelirovanie/__Сборник_печатный_по_
тренажёрам.pdf

7. Старовойтов, А. В. Кибербезопасность как актуальная проблема современности. Информатизация и связь, 2011. №. 6. С. 4 – 7. URL: https://elibrary.ru/item.asp?id=17268244 (дата обращения: 18.09.2018)

8. Dmitry P. Zegzhda, Peter D. Zegzhda, Maxim O. Kalinin Clarifying Integrity Control at the Trusted Information Environment, MMM-ACNS 2010. Lecture Notes in Computer Science, vol 6258. Springer, Berlin, Heidelberg. DOI: 10.1007/978-3-642-14706-7_27

9. Сабанов, А.Г. Доверенные системы как средство противодействия киберугрозам. Защита информации. Инсайд, 2015. № 3 (63). С. 17 – 21. URL: http://www.inside-zi.ru/pages/3_2015/17.html (дата обращения: 18.09.2018)

10. Барабанов, А.В. Задание требований к процессу безопасной разработки программного обеспечения. ИТ-Стандарт, 2015. № 3 (4). С. 1 – 6. URL: https://elibrary.ru/item.asp?id=25727955& (дата обращения: 18.09.2018)

11. Жидков, И.В., Кадушкин, И.В., Шубенин, А.А. Обоснование подхода к созданию доверенной программно- аппаратной среды. ИТ-Стандарт, 2015. № 2 (3). С. 60-67. URL: https://elibrary.ru/item.asp?id=25727952 (дата обращения: 18.09.2018).

12. Antoni Lluís Mesquida, Antonia Mas Implementing information security best practices on software lifecycle processes: The ISO/IEC 15504 Security, Extension Computers & Security, Volume 48, February 2015, Pages 19-34. DOI: 10.1016/j.cose.2014.09.003

13. Кузьмин, А.С., Романов, А.А., Напеденина, Е.Ю. Перенос (перевод) информационных систем в доверенную (отечественную) операционную среду: подводные камни. // Приборы и системы. Управление, контроль, диагностика, 2016. № 4. С. 1 – 9. URL: https://elibrary.ru/item.asp?id=25838794 (дата обращения: 18.09.2018).

14. Кузьмин, А.С., Романов, А.А. Проблемы перевода унаследованных информационных систем в отечественные операционные среды. Прикладная физика и математика, 2016. № 2. С. 39 – 48. URL: https://elibrary.ru/item.asp?id=25864276 (дата обращения: 18.09.2018).

15. Гончаров, А.А. Использование нового стандарта ГОСТ Р 56939-2016 как основной шаг к безрисковой сертификации средств защиты информации. Теоретические исследования и экспериментальные разработки студентов и аспирантов ТвГТУ Материалы научно-практической конференции, приуроченной ко Дню российской науки, 2017. С. 3 – 7. URL: https://elibrary.ru/item.asp?id=32259213 (дата обращения: 18.09.2018).

16. Марков, А.С., Рауткин, Ю.В. Сертификация средств защиты информации по требованиям безопасности информации. Новая парадигма // Информационные и математические технологии в науке и управлении. 2016. № 1. С. 94 – 102. URL: https://elibrary.ru/item.asp?id=27283988 (дата обращения: 18.09.2018).