Geum.ru

Доклад на VII международной конференции «Право и Интернет»

Вид материалаДоклад
Подобный материал:
Формирование понятийного базиса в области информационной безопасности

визуальных интерфейсов пользователя


Доклад на VII Международной конференции «Право и Интернет» - ru/pi/07/


Гращенко Леонид Александрович, инженер, Орловский государственный университет


С 2000 года официально определены цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации1, ставшие нормативной основой для формирования стратегических и текущих задач внешней и внутренней политики государства по обеспечению информационной безопасности (ИБ). Три из четырех составляющих национальных интересов Российской Федерации в информационной области определяют круг задач, на пересечении предметных областей которых находится актуальная задача оценки защищенности визуального интерфейса пользователя2 (ВИП) автоматизированных систем обработки информации и управления (АСОИУ), рис. 1.





Рис. 1. Место задачи оценки защищенности визуального интерфейса пользователя

среди составляющих национальных интересов России


В этой предметной области прежде всего очевидна необходимость формирования и развития понятийного базиса, и его центральных понятий. Для этой задачи удобно воспользоваться отечественной, зарубежной и международной нормативной и правовой базами.

С учетом известных угроз информационной безопасности визуального взаимодействия человек-компьютер (ВЧК) и основных классов средств защиты информации (СрЗИ), предотвращающих возникновение указанных угроз3, можно говорить;

- о значительном информационном ресурсе зарубежной и отечественной правовой и нормативной базы в развитии представлений в области ИБ ВЧК;

- значительном информационном ресурсе современной научной мысли в области ИБ ВЧК в развитии отечественной правовой и нормативной базы.


Впервые изданный в России Федеральный закон от 04.06.96 г. № 85-ФЗ «Об участии России в международном информационном обмене» позволяет связать отечественное и зарубежное законодательства, прежде всего США, являющиеся отражением ранее накопленных знаний в области ИБ, для решения поставленных задач.


В рамках решения задачи оценки качества ВИП на основании его защищенности необходимо осуществить синтез понятия функциональной безопасности ВИП, разработать понятийный аппарат ИБ ВЧК, проанализировать существующие и разработать новые модели ИБ ВЧК и моделей оценки качества ВИП4.


Анализ отечественной правовой базы позволяет выделить ряд законодательных актов, создающих информационную основу для синтеза понятия функциональной безопасности ВИП и расширения содержания услуг защиты ВИП:

- Закон РФ от 05.03.1992 г. «О безопасности»;

- Закон РФ от 23.09.1992 г. №3523-1 «О правовой охране программ для электронно вычислительных машин и баз данных»;

- ФЗ РФ от 20.02.95 г. № 24-ФЗ «Об информации, информатизации и защите информации»;

- ФЗ РФ от 13.12.96 г. № 150-ФЗ «Об оружии»;

- ФЗ РФ от 06.10.97 г. № 131-ФЗ «О государственной тайне»;

- ФЗ РФ от 27.12.02 г. № 184-ФЗ «О техническом регулировании».


Последний из приведенных законов вводит понятие безопасной продукции, которое с учетом прочих законодательных актов может быть расширено и на программную продукцию. Дальнейшее решение задачи синтеза понятия функциональной безопасности может быть получено отображением понятия безопасной программной продукции на понятийный базис ИБ с учетом соотношения понятий программного обеспечения (ПО), автоматизированной системы, человеко-машинной системы, человеко-компьютерного интерфейса и визуального интерфейса пользователя5. Кроме того, эмпирические размышления приводят к выводу, что критерий функциональной безопасности ВИП будет являться композицией уже известных критериев качества ПО и ВИП, таких как надежность, защищенность, совокупности требований к графическим интерфейсам пользователя.


Следующим уровнем информационного обеспечения разработки понятия функциональной безопасности является нормативная база, представленная государственными и отраслевыми стандартами, руководящими документами федеральных ведомств в области защиты информации, ИБ и защиты труда. Здесь могут быть выделены следующие наиболее значимые отечественные, международные и зарубежные документы:

- Руководящий документ ГТК РФ «Защита от несанкционированного доступа к информации» №114 от 4.06.99 г.

- Инструкция Международной организации труда «Факторы окружающей среды на рабочем месте», 2001.

- Р 50.1.022-2000 ИТ. Государственный профиль взаимосвязи открытых систем России.

- ГОСТ Р 50922 – 96. Защита информации. Основные термины и определения.

- ГОСТ Р 51275 – 99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.

- ГОСТ Р ИСО 7498-2-99. ИТ. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации.

- ГОСТ 12-0-003-74 ССБТ. Опасные и вредные производственные факторы. Классификация.

- ГОСТ Р ИСО/МЭК ТО 15408-1-3-2002. ИТ. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.

- ИСО 13335-1-5: 1996-98. ИТ. Руководство по управлению безопасностью.

- ИСО 10181-1-7: 1996-98. ИТ. Структура работ по безопасности в открытых системах.

- ИСО 17799-2000. Менеджмент информационной безопасности.

- US DoD 5200.28-STD, 1993 «Trusted Computer System Evaluation Criteria».

- USA DISA DoD TAFIM Volume 8: «DoD Human Computer Interface Style Guide».

- Department of Defense Intelligence Information System (DODIIS) Profile.

- FIPS PUB 158-1:1993.

- DIA Memorandum U-15, 284/DSE-3, DoD HCI Stile Guide, appendix A.

- DDS-2600-6215-91.

- DDS-2600-6216-93.

- DDS-2600-6243-91 appendix E.


Параллельной ветвью исследований является анализ документов, содержащих методологические принципы оценки качества программной продукции. Здесь могут быть выделены следующие наиболее значимые отечественные, международные и зарубежные нормативные документы6:

- ГОСТ 28195-89. Оценка качества программных средств. Общие положения.

- ГОСТ 28806-90. Качество программных средств. Термины и определения.

- ГОСТ Р ИСО/МЭК 9126-93. Оценка программного продукта. Характеристики качества и руководящие указания по их применению.

- ГОСТ Р ИСО/МЭК 12207-99. ИТ. Процессы жизненного цикла программных средств.

- ГОСТ Р ИСО/МЭК 12119-2000 ИТ. Пакеты программ. Требования к качеству и тестирование.

- ГОСТ Р ИСО 9000-2001. Системы менеджмента качества. Основные положения и словарь.

- ГОСТ Р ИСО 9001-2001. Системы менеджмента качества. Требования.

- ГОСТ Р ИСО 9004-2001. Системы менеджмента качества. Рекомендации по улучшению деятельности.

- ГОСТ Р ИСО/МЭК 15504-2002. ИТ. Оценка разработки программных средств.

- ГОСТ ИСО 10005-95. Административное управление качеством. Руководящие указания по программам качества.

- ИСО 10006-97. Административное управление качеством. Руководящие указания по обеспечению качества при управлении проектом.

- ИСО 10007-95. Административное управление качеством. Руководящие указания по управлению конфигурацией.

- ИСО 14598-1-6: 1998-2000. Оценивание программного продукта.

- ИСО 13210-94. ИТ. Методы тестирования для измерения соответствия стандартам POSIX.

- ИСО 13210-94. ИТ. Методы тестирования для измерения соответствия стандартам POSIX.

- ИСО 10576-1. Статистические методы. Руководящие указания по оцениванию соответствия установленным требованиям. Часть 1. Общие принципы.

- ИСО 9241-11. Эргономические требования к визуальным дисплейным терминалам для офисной работы. Часть 11. Руководство по применимости.

- МЭК 60300-1. Управление общей надежностью. Часть 1. Управление программой общей надежности.

- ANSI/IEEE 1008-1986. Тестирование программных модулей и компонентов программных средств.

- ANSI/IEEE 1012-1986. Планирование верификации и подтверждения достоверности качества (валидации) программных средств.

- ОСТ 115.1.7-96 ИТ. Сертификация программной продукции. Методы обоснования базовых значений показателей качества программного обеспечения.

- ОСТ 115.010-2001 ИТ. Модель обеспечения качества программных средств при проектировании и сопровождении.

- UK MoD Defense Standard 00-25 «Human factors for designers of equipment».


Стоит отметить, что стандарты ГОСТ Р ИСО/МЭК ТО 15408-1-3-2002 являются информационной базой сразу для обеих ветвей исследований в области информационной безопасности визуального ВЧК. С учетом сказанного, обобщенную структуру исследований нормативной и правовой базы с целью решения задачи оценки качества ВИП на основе критерия функциональной безопасности можно представить графически так, как показано на рисунке 2.





Рис. 2. Формирование понятийного базиса информационной безопасности

визуальных интерфейсов пользователя


* * *


1. Доктрина информационной безопасности Российской Федерации от 9 сентября 2000 года № ПР-1895.

2. Гращенко Л.А. Определение услуг защиты и защищенности графического интерфейса пользователя // Техника и технология связи. Сборник докладов – СПб: Санкт-Петербургский государственный университет телекоммуникаций им. М.А. Бонч-Бруевича, 2000. – с. 391 – 393.

3. Фисун А.П., Гращенко Л.А., Джевага К.А., Фисун Р.А. Разработка модели угроз информационной безопасности визуального взаимодействия человек-компьютер для системы правовых, технических, программных и организационных методов и средств защиты информации // Информационные технологии и право: Материалы II Международной научно-практической конференции / Под ред. Ю.И. Кашинского. – Мн.: НЦПИ, 2004. – с. 221 – 223.

4. Фисун А.П., Гращенко Л.А. Модель угроз информационной безопасности пользователя в автоматизированных системах управления и документооборота // Актуальные проблемы документоведения: Сборник материалов регионального научно-практического семинара. – Орел: ОГУ, 2004. – с. 19 – 20.

5. Фисун А.П., Гращенко Л.А., Митяев В.В., Джевага К.А., Петренко А.В., Фисун Р.А. Теоретические и практические основы человеко-компьютерного взаимодействия: базовые понятия человеко-компьютерных систем в информатике и информационной безопасности: Монография / Под ред. д.т.н. А.П.Фисуна; Орловский государственный университет. – Орел, 2004. – 169 с.: ил. – Библиогр.: 109 назв. – Рус. – Деп. в ВИНИТИ 15.10.04. № 1624 – В2004.

6. Липаев В.В. Качество программных средств. - М.: Янус-К, 2002.