Шляхи удосконалення тестування спеціального програмного забезпечення інформаційної системи управління оборонними ресурсами на етапі експлуатації
DOI:
https://doi.org/10.33099/2304-2745/2021-1-71/93-98Ключові слова:
Управління оборонними ресурсами; інформаційна система; спеціальне програмне забезпечення; тестування; уразливість; ймовірність уразливості; надійність експлуатації; міжнародні стандарти; система менеджменту.Анотація
З ростом ролі сучасних інформаційних систем (ІС) зростає складність спеціального програмного забезпечення (СПЗ) та підвищується ймовірність його уразливості. Експлуатація DRMIS, яка побудована на СПЗ з уразливістю може мати такі наслідки, як отримання доступу до конфіденційної інформації неавторизованими користувачами, порушення режиму функціонування та інші.
Метою статті є аналіз процедур тестування та виявлення уразливості СПЗ з метою підвищення рівня безпеки експлуатації DRMIS.
Тестування СПЗ DRMIS з метою виявлення уразливості включає три послідовні етапи: виявлення потенційної уразливості СПЗ і оцінювання можливості їх реалізації методом моделювання кібератак різного призначення; виявлення та реагування на інциденти, які пов’язані з проведеними кібератаками; ліквідація наслідків успішних кібератак. В процесі тестування СПЗ DRMIS встановлені наступні причини виникнення уразливості СПЗ DRMIS:
низький рівень менеджменту розробника;
критична структурна складність СПЗ DRMIS;
відсутність доступу до вихідного коду СПЗ;
недоліки проєктування, помилки програмування, ненадійні паролі, віруси та інші шкідливі програми;
розширення спектру навмисних загроз;
недостатня результативність формальних методів аналізу і тестування;
використання розробниками послуг краудсорсингу, проведення відкритих конкурсів по виявленню уразливості в СПЗ;
протиріччями між вимогами по колаборативній сертифікації і вимогами міжнародних стандартів;
використання програмної продукції, яка пройшла сертифікацію в Китаї і Росії;
політика імпортозаміщення і обмежень щодо використання імпортного СПЗ;
дискредитація міжнародної системи технічного та правового регулювання інформаційної та кібербезпеки.
Надійна експлуатація DRMIS передбачає, що ІС розроблена з урахуванням процедур, які дозволяють знизити рівень уразливості, а в разі їх виявлення оперативно доопрацювати СПЗ.
Посилання
Scambray J., Shema M. Hacking exposed web applications. California : McGraw-Hill, 2002. 416с.
ISO/IEC TR 20004:2015. Інформаційна технологія. Методи і засоби забезпечення безпеки. Уточнений аналіз уразливості програмного забезпечення по ISO/IEC 15408 та ISO/IEC 18045.
Барабанов А. В., Марков А. С., Цирлов В. Л. Международная сертификация в области информационной безопасности. Стандарты и качество. 2016. № 7. С. 30–33
Шерстюк В. П. XIV научная конференция Международного исследовательского консорциума информационной безопасности // Международная жизнь. 2017. № 14. С. 42–180.
Марков А. С., Шеремет И. А. Теоретические аспекты сертификации средств защиты информации. Оборонный комплекс – научно-техническому прогрессу 2015. № 4 (128). С. 7–15.
Клянчин А. И. Каталог закладок АНБ (Spigel). Часть 1. Инфраструктура. Вопросы кибербезопасности. 2014. № 2 (3). С. 60–65.
ДСТУ ISO/IEC 27032:2016. Інформаційні технології. Методи захисту. Настанови щодо кібербезпеки (ISO/IEC 27032:2012, IDT). [Чинний від 2018-01-01]. Вид. офіц. Київ, 2018.
Руденська Г. В. Моделі і процеси життєвого циклу інформаційної системи управління оборонними ресурсами. Збірник наукових праць Центру воєнно-стратегічних досліджень Національного університету оборони України імені Івана Черняховського. Київ, 2020. № 1 (68). С. 59–65.
Баранов А. В., Марков А. С. Статистика выявления уязвимостей программного обеспечения при проведении сертификационных испытаний. Вопросы кибербезопасности, 2017. № 2 (20). С. 2–8.
Сиротенко А. М. Інформаційна система управління оборонним плануванням на спроможностях J-DARTS і можливості її впровадження у Збройних Силах України. Наука і оборона. 2018. № 4. С. 29–34.
Common Vulnerabilities and Exposures (CVE) – база даних загальновідомої уразливості інформаційної безпеки. URL: https://cve.mitre.org (дата звернення: 20.07.2020).
Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу. НД ТЗІ 1.1-003-99 : затв. наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від 28.04.1999 р. № 22. Київ : ДСТСЗІ СБ України, 1999. 30 c.
Основні вразливості програмного забезпечення (за версією проєкту ТОП 10 OWASP). URL: https://beasthackerz.ru/uk/skype/uyazvimost-eto-chto-takoe.html (дата звернення: 20.07.2020).
Левшенко О. С., Руденська Г. В. Питання воєнно-наукового супроводження створення інформаційних систем військового призначення. Збірник наукових праць Центру воєнно-стратегічних досліджень Національного університету оборони України імені Івана Черняховського. Київ, 2016. № 2 (57). С. 61–66.