Шляхи удосконалення тестування спеціального програмного забезпечення інформаційної системи управління оборонними ресурсами на етапі експлуатації

Автор(и)

  • Г. Руденська Центр воєнно-стратегічних досліджень Національного університету оборони України імені Івана Черняховського

DOI:

https://doi.org/10.33099/2304-2745/2021-1-71/93-98

Ключові слова:

Управління оборонними ресурсами; інформаційна система; спеціальне програмне забезпечення; тестування; уразливість; ймовірність уразливості; надійність експлуатації; міжнародні стандарти; система менеджменту.

Анотація

З ростом ролі сучасних інформаційних систем (ІС) зростає складність спеціального програмного забезпечення (СПЗ) та підвищується ймовірність його уразливості. Експлуатація DRMIS, яка побудована на СПЗ з уразливістю може мати такі наслідки, як отримання доступу до конфіденційної інформації неавторизованими користувачами, порушення режиму функціонування та інші.

Метою статті є аналіз процедур тестування та виявлення уразливості СПЗ з метою підвищення рівня безпеки експлуатації DRMIS.

Тестування СПЗ DRMIS з метою виявлення уразливості включає три послідовні етапи: виявлення потенційної уразливості СПЗ і оцінювання можливості їх реалізації методом моделювання кібератак різного призначення; виявлення та реагування на інциденти, які пов’язані з проведеними кібератаками; ліквідація наслідків успішних кібератак. В процесі тестування СПЗ DRMIS встановлені наступні причини виникнення уразливості СПЗ DRMIS:

низький рівень менеджменту розробника;

критична структурна складність СПЗ DRMIS;

відсутність доступу до вихідного коду СПЗ;

недоліки проєктування, помилки програмування, ненадійні паролі, віруси та інші шкідливі програми;

розширення спектру навмисних загроз;

недостатня результативність формальних методів аналізу і тестування;

використання розробниками послуг краудсорсингу, проведення відкритих конкурсів по виявленню уразливості в СПЗ;

протиріччями між вимогами по колаборативній сертифікації і вимогами міжнародних стандартів;

використання програмної продукції, яка пройшла сертифікацію в Китаї і Росії;

політика імпортозаміщення і обмежень щодо використання імпортного СПЗ;

дискредитація міжнародної системи технічного та правового регулювання інформаційної та кібербезпеки.

Надійна експлуатація DRMIS передбачає, що ІС розроблена з урахуванням процедур, які дозволяють знизити рівень уразливості, а в разі їх виявлення оперативно доопрацювати СПЗ.

Біографія автора

Г. Руденська, Центр воєнно-стратегічних досліджень Національного університету оборони України імені Івана Черняховського

G. Rudenska

Посилання

Scambray J., Shema M. Hacking exposed web applications. California : McGraw-Hill, 2002. 416с.

ISO/IEC TR 20004:2015. Інформаційна технологія. Методи і засоби забезпечення безпеки. Уточнений аналіз уразливості програмного забезпечення по ISO/IEC 15408 та ISO/IEC 18045.

Барабанов А. В., Марков А. С., Цирлов В. Л. Международная сертификация в области информационной безопасности. Стандарты и качество. 2016. № 7. С. 30–33

Шерстюк В. П. XIV научная конференция Международного исследовательского консорциума информационной безопасности // Международная жизнь. 2017. № 14. С. 42–180.

Марков А. С., Шеремет И. А. Теоретические аспекты сертификации средств защиты информации. Оборонный комплекс – научно-техническому прогрессу 2015. № 4 (128). С. 7–15.

Клянчин А. И. Каталог закладок АНБ (Spigel). Часть 1. Инфраструктура. Вопросы кибербезопасности. 2014. № 2 (3). С. 60–65.

ДСТУ ISO/IEC 27032:2016. Інформаційні технології. Методи захисту. Настанови щодо кібербезпеки (ISO/IEC 27032:2012, IDT). [Чинний від 2018-01-01]. Вид. офіц. Київ, 2018.

Руденська Г. В. Моделі і процеси життєвого циклу інформаційної системи управління оборонними ресурсами. Збірник наукових праць Центру воєнно-стратегічних досліджень Національного університету оборони України імені Івана Черняховського. Київ, 2020. № 1 (68). С. 59–65.

Баранов А. В., Марков А. С. Статистика выявления уязвимостей программного обеспечения при проведении сертификационных испытаний. Вопросы кибербезопасности, 2017. № 2 (20). С. 2–8.

Сиротенко А. М. Інформаційна система управління оборонним плануванням на спроможностях J-DARTS і можливості її впровадження у Збройних Силах України. Наука і оборона. 2018. № 4. С. 29–34.

Common Vulnerabilities and Exposures (CVE) – база даних загальновідомої уразливості інформаційної безпеки. URL: https://cve.mitre.org (дата звернення: 20.07.2020).

Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу. НД ТЗІ 1.1-003-99 : затв. наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28.04.1999 р. № 22. Київ : ДСТСЗІ СБ України, 1999. 30 c.

Основні вразливості програмного забезпечення (за версією проєкту ТОП 10 OWASP). URL: https://beasthackerz.ru/uk/skype/uyazvimost-eto-chto-takoe.html (дата звернення: 20.07.2020).

Левшенко О. С., Руденська Г. В. Питання воєнно-наукового супроводження створення інформаційних систем військового призначення. Збірник наукових праць Центру воєнно-стратегічних досліджень Національного університету оборони України імені Івана Черняховського. Київ, 2016. № 2 (57). С. 61–66.

##submission.downloads##

Опубліковано

2021-06-07

Номер

Розділ

ІНФОРМАТИЗАЦІЯ ЗБРОЙНИХ СИЛ