МЕТОДИЧЕСКИЕ И РЕАЛИЗАЦИОННЫЕ АСПЕКТЫ ВНЕДРЕНИЯ ПРОЦЕССОВ РАЗРАБОТКИ БЕЗОПАСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ

Сас С. Арустамян, Виталий В. Вареница, Алексей С. Марков

Аннотация


В работе представлены результаты исследования состояния выполнения требований по разработке безопасного программного обеспечения, определенные национальными стандартами. Приведены объективные и субъективные причины востребованности внедрения процедур разработки безопасного программного обеспечения в жизненный цикл программно-технических изделий в защищенном исполнении. Отмечена зависимость числа программных ошибок и уязвимостей от зрелости компании-разработчика программного обеспечения. Рассмотрены требования национальных стандартов в области разработки безопасных программ в контексте обязательной и добровольной сертификации программных изделий по требованиям безопасности информации. Выделены процессы разработки безопасного программного обеспечения, имеющие приоритетное значение в деятельности испытательной лаборатории. Показаны особенности гармонизации национальных и международных стандартов по безопасности программных приложений. Отмечены преимущества национальных стандартов относительно зарубежных практик и стандартов. Приведены оригинальные концептуальные модели выбора процедур разработки безопасных программ и внедрения процессов разработки программ. Представлена общая методика проведения аудита системы менеджмента разработки безопасных программ. Приведена статистика по внедрению процедур разработки безопасных программ в процесс серийного производства программных средств защиты информации. Отмечены особенности российского рынка разработки и производства безопасного программного обеспечения. Отмечены типовые организационные ошибки разработчиков программ в процессе реализации требований по безопасности информации. Сформулированы рекомендации по повышению эффективности внедрения процедур разработки безопасного программного обеспечения. Сделан вывод об эффективности и перспективности развития систем менеджмента безопасности программных ресурсов в рамках систем менеджмента качества и информационной безопасности.


Ключевые слова


информационная безопасность, программная безопасность, безопасность приложений, безопасные программы, безопасный жизненный цикл, процессы разработки программ.

Полный текст:

PDF

Литература


1. Марков А.С. Важная веха в безопасности открытого программного обеспечения. Вопросы кибербезопасности. 2023, № 1(53), с. 2–12. DOI: http://dx.doi.org/10.21681/2311-3456-2023-1-2-12.

2. Девянин П.Н., Тележников В.Ю., Хорошилов А.В. Формирование методологии разработки безопасного системного программного обеспечения на примере операционных систем. Труды Института системного программирования РАН. 2021, т. 33, № 5, с. 25–40.
DOI: http://dx.doi.org/10.15514/ISPRAS-2021-33(5)-2.

3. Костогрызов А.И. О моделях и методах вероятностного анализа защиты информации в стандартизованных процессах системной инженерии. Вопросы кибербезопасности. 2022, № 6(52),
c. 71–82. DOI: http://dx.doi.org/10.21681/2311-3456-2022-6-71-82.

4. Барабанов А.В., Марков А.С., Цирлов В.Л. 28 магических мер разработки безопасного программного обеспечения. Вопросы кибербезопасности. 2015, № 5(13), с. 2–10.
DOI: http://dx.doi.org/10.21681/2311-3456-2015-5-2-10.

5. Гладевич А.А., Бармина А.А. Модификация модели жизненного цикла программного обеспечения с учетом требований безопасности. Вопросы устойчивого развития общества. 2022, № 4, c. 1363–1367. – EDN: VZKTKF.

6. Жидков И.В., Зубарев И.В., Хабибуллин И.В. Выбор рациональной модели разработки безопасного программного обеспечения. Вопросы кибербезопасности. 2021, № 5(45), c. 21–29.
DOI: http://dx.doi.org/10.21681/2311-3456-2021-5-21-29. – EDN: RSOCXI.

7. Зегжда Д.П., Александрова Е.Б., Калинин М.О. и др. Кибербезопасность цифровой индустрии. Теория и практика функциональной устойчивости к кибератакам. М.: Горячая линия – Телеком, 2021. – 560 с. – EDN: BLBTDA.

8. Милославская Н.Г., Толстой А.И. Управление информационной безопасностью. М.: НИЯУ МИФИ, 2020. – 536 с.

9. Barabanov A., Grishin M., Markov A., Tsirlov V.A. Current Taxonomy of Information Security Threats in Software Development Life Cycle. IEEE 12th International Conference on Application of Information and Communication Technologies (AICT), Almaty, Kazakhstan. 2018, p. 1–6.
DOI: http://dx.doi.org/10.1109/icaict.2018.8747065.

10. Наталичев Роман В. и др. Эволюция и парадоксы нормативной базы обеспечения безопасности объектов критической информационной инфраструктуры. Безопасность информационных технологий, [S.l.], т. 28, № 3, с. 6–27, 2021. ISSN 2074-7136. DOI: http://dx.doi.org/10.26583/bit.2021.3.01. – EDN: JIMDXU.

11. Соловьев С.В., Язов Ю.К. Информационное обеспечение деятельности по технической защите информации. Вопросы кибербезопасности. 2021, № 1(41), c. 69–79. DOI: http://dx.doi.org/10.21681/2311-3456-2021-1-69-79. – EDN: AOEUFT.

12. Гришин М.И., Марков А.С., Цирлов В.Л. Практические аспекты реализации мер по разработке безопасного программного обеспечения. ИТ-Стандарт. 2019, № 2(19), c. 74–87. – EDN: VWZLDW.

13. Марков А.С., Рауткин Ю.В. Вопросы стандартизации разработки безопасных программ. Труды Пятой Международной научной конференции «Информационные технологии и системы». Челябинск: ЧГУ. 2016, c. 186–188. – EDN: VWWPWR.

14. Ladisa P., Plate H., Martinez M. and Barais O., SoK: Taxonomy of Attacks on Open-Source Software Supply Chains. In 2023 2023 IEEE Symposium on Security and Privacy (SP) (SP), San Francisco, CA, US, 2023,
p. 167-184.
DOI: https://doi.ieeecomputersociety.org/10.1109/SP46215.2023.00010.

15. Иванов А.Е., Спрогис И.А., Шахалов И.Ю. Особенности лицензирования деятельности предприятий и организаций в интересах Министерства обороны Российской Федерации. Вопросы кибербезопасности. 2021, № 5(45), c. 63–74. DOI: http://dx.doi.org/10.21681/2311-3456-2021-5-63-74. – EDN: SWMIFZ.

16. Kostogryzov A., (eds): Probabilistic Modeling in System Engineering. IntechOpen, London (2018).
DOI: http://dx.doi.org/10.5772/intechopen.71396.

17. Барабанов Александр В.; Марков Алексей С.; Цирлов Валентин Л. О систематике информационной безопасности цепей поставки программного обеспечения. Безопасность информационных технологий, [S.l.], т. 26, № 3, с. 68–79, 2019. ISSN 2074-7136. DOI: http://dx.doi.org/10.26583/bit.2019.3.06.

18. Reed M., Miller J.F., and Popick P. Supply Chain Attack Patterns: Framework and Catalog. Office of the Deputy Assistant Secretary of Defense for Systems Engineering, 2014. – 88 p.
URL: https://www.acq.osd.mil/se/docs/Supply-Chain-WP.pdf (дата обращения: 01.04.23).

19. Ross, R. (2012), Guide for Conducting Risk Assessments, Special Publication (NIST SP), National Institute of Standards and Technology, Gaithersburg, MD, [online].
DOI: https://doi.org/10.6028/NIST.SP.800-30r1.

20. Franklin J., Brown C., Dog S.E., McNa N., Voss-Northrop,S., Peck, M.A., & Stidham B. (2016). Assessing Threats to Mobile Devices & Infrastructure: the Mobile Threat Catalogue. URL: https://www.semanticscholar.org/paper/Assessing-Threats-to-Mobile-Devices-%26-the-Mobile-Franklin-Brown/455cbfeca1ebcc54b1e59628e51333d8db7ac26d (дата обращения: 01.04.23).

21. Кондаков С.Е., Рудь И.С. Модель процесса проведения компьютерных атак с использованием специальных информационных воздействий Вопросы кибербезопасности. 2021, № 5(45), c. 12–20.
DOI: http://dx.doi.org/10.21681/2311-3456-2021-5-12-20.

22. Соловьев С.В., Бутрик Е.Е. Подход к определению актуальных угроз безопасности информации в автоматизированных системах управления технологическими процессами с применением банка данных угроз безопасности информации ФСТЭК России. Информация и безопасность. 2018, т. 21, № 2, с. 203–210. – EDN: YNWKSL.

23. Вареница В.В., Марков А.С., Савченко В.В., Цирлов В.Л. Практические аспекты выявления уязвимостей при проведении сертификационных испытаний программных средств защиты информации. Вопросы кибербезопасности. 2021, № 5(45), c. 36–44. DOI: http://dx.doi.org/10.21681/2311-3456-2021-5-36-44.

24. Markov A.S., Varenitca V.V., Arustamyan S.S. Topical Issues in the Implementation of Secure Software Development Processes. In Proceedings of the International Conference on Information Processes and Systems Development and Quality Assurance IPSQDA-2023 (March 22-24, 2023, St. Petersburg Russia), IEEE, 2023, p. 48-54.

25. Горбатов Виктор С.; Дураковский Анатолий П.; Лобанов Максим И. О профессиональных стандартах в интересах подготовки кадров по безопасности объектов критической информационной инфраструктуры. Безопасность информационных технологий, [S.l.], т. 26, № 4, с. 54–68, 2019. ISSN 2074-7136.
DOI: http://dx.doi.org/10.26583/bit.2019.4.04. – EDN: FHLDCE.

26. Белов Е.Б., Лось В.П., Зайцева О.М., Кузора И.В. О необходимости актуализации профессиональных стандартов в области информационной безопасности и информационных технологий. Методы и технические средства обеспечения безопасности информации. 2020, № 29, c. 119. – EDN: BQPCGH.




DOI: http://dx.doi.org/10.26583/bit.2023.2.01

Ссылки

  • На текущий момент ссылки отсутствуют.


Лицензия Creative Commons
Это произведение доступно по лицензии Creative Commons «Attribution» («Атрибуция») 4.0 Всемирная.