Формирование понятийного базиса в области информационной безопасности
визуальных интерфейсов пользователя
Доклад на VII Международной конференции Право и Интернет -
Гращенко Леонид Александрович, инженер, Орловский государственный университет
С 2000 года официально определены цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации1, ставшие нормативной основой для формирования стратегических и текущих задач внешней и внутренней политики государства по обеспечению информационной безопасности (ИБ). Три из четырех составляющих национальных интересов Российской Федерации в информационной области определяют круг задач, на пересечении предметных областей которых находится актуальная задача оценки защищенности визуального интерфейса пользователя2 (ВИП) автоматизированных систем обработки информации и управления (АСОИУ), рис. 1.
Рис. 1. Место задачи оценки защищенности визуального интерфейса пользователя
среди составляющих национальных интересов России
В этой предметной области прежде всего очевидна необходимость формирования и развития понятийного базиса, и его центральных понятий. Для этой задачи удобно воспользоваться отечественной, зарубежной и международной нормативной и правовой базами.
С учетом известных угроз информационной безопасности визуального взаимодействия человек-компьютер (ВЧК) и основных классов средств защиты информации (СрЗИ), предотвращающих возникновение указанных угроз3, можно говорить;
- о значительном информационном ресурсе зарубежной и отечественной правовой и нормативной базы в развитии представлений в области ИБ ВЧК;
- значительном информационном ресурсе современной научной мысли в области ИБ ВЧК в развитии отечественной правовой и нормативной базы.
Впервые изданный в России Федеральный закон от 04.06.96 г. № 85-ФЗ Об участии России в международном информационном обмене позволяет связать отечественное и зарубежное законодательства, прежде всего США, являющиеся отражением ранее накопленных знаний в области ИБ, для решения поставленных задач.
В рамках решения задачи оценки качества ВИП на основании его защищенности необходимо осуществить синтез понятия функциональной безопасности ВИП, разработать понятийный аппарат ИБ ВЧК, проанализировать существующие и разработать новые модели ИБ ВЧК и моделей оценки качества ВИП4.
Анализ отечественной правовой базы позволяет выделить ряд законодательных актов, создающих информационную основу для синтеза понятия функциональной безопасности ВИП и расширения содержания услуг защиты ВИП:
- Закон РФ от 05.03.1992 г. О безопасности;
- Закон РФ от 23.09.1992 г. №3523-1 О правовой охране программ для электронно вычислительных машин и баз данных;
- ФЗ РФ от 20.02.95 г. № 24-ФЗ Об информации, информатизации и защите информации;
- ФЗ РФ от 13.12.96 г. № 150-ФЗ Об оружии;
- ФЗ РФ от 06.10.97 г. № 131-ФЗ О государственной тайне;
- ФЗ РФ от 27.12.02 г. № 184-ФЗ О техническом регулировании.
Последний из приведенных законов вводит понятие безопасной продукции, которое с учетом прочих законодательных актов может быть расширено и на программную продукцию. Дальнейшее решение задачи синтеза понятия функциональной безопасности может быть получено отображением понятия безопасной программной продукции на понятийный базис ИБ с учетом соотношения понятий программного обеспечения (ПО), автоматизированной системы, человеко-машинной системы, человеко-компьютерного интерфейса и визуального интерфейса пользователя5. Кроме того, эмпирические размышления приводят к выводу, что критерий функциональной безопасности ВИП будет являться композицией уже известных критериев качества ПО и ВИП, таких как надежность, защищенность, совокупности требований к графическим интерфейсам пользователя.
Следующим уровнем информационного обеспечения разработки понятия функциональной безопасности является нормативная база, представленная государственными и отраслевыми стандартами, руководящими документами федеральных ведомств в области защиты информации, ИБ и защиты труда. Здесь могут быть выделены следующие наиболее значимые отечественные, международные и зарубежные документы:
- Руководящий документ ГТК РФ Защита от несанкционированного доступа к информации №114 от 4.06.99 г.
- Инструкция Международной организации труда Факторы окружающей среды на рабочем месте, 2001.
- Р 50.1.022-2000 ИТ. Государственный профиль взаимосвязи открытых систем России.
- ГОСТ Р 50922 – 96. Защита информации. Основные термины и определения.
- ГОСТ Р 51275 – 99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
- ГОСТ Р ИСО 7498-2-99. ИТ. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации.
- ГОСТ 12-0-003-74 ССБТ. Опасные и вредные производственные факторы. Классификация.
- ГОСТ Р ИСО/МЭК ТО 15408-1-3-2002. ИТ. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
- ИСО 13335-1-5: 1996-98. ИТ. Руководство по управлению безопасностью.
- ИСО 10181-1-7: 1996-98. ИТ. Структура работ по безопасности в открытых системах.
- ИСО 17799-2000. Менеджмент информационной безопасности.
- US DoD 5200.28-STD, 1993 Trusted Computer System Evaluation Criteria.
- USA DISA DoD TAFIM Volume 8: DoD Human Computer Interface>
- Department of Defense Intelligence Information System (DODIIS) Profile.
- FIPS PUB 158-1:1993.
- DIA Memorandum U-15, 284/DSE-3, DoD HCI Stile Guide, appendix A.
- DDS-2600-6215-91.
- DDS-2600-6216-93.
- DDS-2600-6243-91 appendix E.
Параллельной ветвью исследований является анализ документов, содержащих методологические принципы оценки качества программной продукции. Здесь могут быть выделены следующие наиболее значимые отечественные, международные и зарубежные нормативные документы6:
- ГОСТ 28195-89. Оценка качества программных средств. Общие положения.
- ГОСТ 28806-90. Качество программных средств. Термины и определения.
- ГОСТ Р ИСО/МЭК 9126-93. Оценка программного продукта. Характеристики качества и руководящие указания по их применению.
- ГОСТ Р ИСО/МЭК 12207-99. ИТ. Процессы жизненного цикла программных средств.
- ГОСТ Р ИСО/МЭК 12119-2000 ИТ. Пакеты программ. Требования к качеству и тестирование.
- ГОСТ Р ИСО 9000-2001. Системы менеджмента качества. Основные положения и словарь.
- ГОСТ Р ИСО 9001-2001. Системы менеджмента качества. Требования.
- ГОСТ Р ИСО 9004-2001. Системы менеджмента качества. Рекомендации по улучшению деятельности.
- ГОСТ Р ИСО/МЭК 15504-2002. ИТ. Оценка разработки программных средств.
- ГОСТ ИСО 10005-95. Административное управление качеством. Руководящие указания по программам качества.
- ИСО 10006-97. Административное управление качеством. Руководящие указания по обеспечению качества при управлении проектом.
- ИСО 10007-95. Административное управление качеством. Руководящие указания по управлению конфигурацией.
- ИСО 14598-1-6: 1998-2000. Оценивание программного продукта.
- ИСО 13210-94. ИТ. Методы тестирования для измерения соответствия стандартам POSIX.
- ИСО 13210-94. ИТ. Методы тестирования для измерения соответствия стандартам POSIX.
- ИСО 10576-1. Статистические методы. Руководящие указания по оцениванию соответствия установленным требованиям. Часть 1. Общие принципы.
- ИСО 9241-11. Эргономические требования к визуальным дисплейным терминалам для офисной работы. Часть 11. Руководство по применимости.
- МЭК 60300-1. Управление общей надежностью. Часть 1. Управление программой общей надежности.
- ANSI/IEEE 1008-1986. Тестирование программных модулей и компонентов программных средств.
- ANSI/IEEE 1012-1986. Планирование верификации и подтверждения достоверности качества (валидации) программных средств.
- ОСТ 115.1.7-96 ИТ. Сертификация программной продукции. Методы обоснования базовых значений показателей качества программного обеспечения.
- ОСТ 115.010-2001 ИТ. Модель обеспечения качества программных средств при проектировании и сопровождении.
- UK MoD Defense Standard 00-25 Human factors for designers of equipment.
Стоит отметить, что стандарты ГОСТ Р ИСО/МЭК ТО 15408-1-3-2002 являются информационной базой сразу для обеих ветвей исследований в области информационной безопасности визуального ВЧК. С учетом сказанного, обобщенную структуру исследований нормативной и правовой базы с целью решения задачи оценки качества ВИП на основе критерия функциональной безопасности можно представить графически так, как показано на рисунке 2.
Рис. 2. Формирование понятийного базиса информационной безопасности
визуальных интерфейсов пользователя
* * *
1. Доктрина информационной безопасности Российской Федерации от 9 сентября 2000 года № ПР-1895.
2. Гращенко Л.А. Определение услуг защиты и защищенности графического интерфейса пользователя // Техника и технология связи. Сборник докладов – СПб: Санкт-Петербургский государственный университет телекоммуникаций им. М.А. Бонч-Бруевича, 2000. – с. 391 – 393.
3. Фисун А.П., Гращенко Л.А., Джевага К.А., Фисун Р.А. Разработка модели угроз информационной безопасности визуального взаимодействия человек-компьютер для системы правовых, технических, программных и организационных методов и средств защиты информации // Информационные технологии и право: Материалы II Международной научно-практической конференции / Под ред. Ю.И. Кашинского. – Мн.: НЦПИ, 2004. – с. 221 – 223.
4. Фисун А.П., Гращенко Л.А. Модель угроз информационной безопасности пользователя в автоматизированных системах управления и документооборота // Актуальные проблемы документоведения: Сборник материалов регионального научно-практического семинара. – Орел: ОГУ, 2004. – с. 19 – 20.
5. Фисун А.П., Гращенко Л.А., Митяев В.В., Джевага К.А., Петренко А.В., Фисун Р.А. Теоретические и практические основы человеко-компьютерного взаимодействия: базовые понятия человеко-компьютерных систем в информатике и информационной безопасности: Монография / Под ред. д.т.н. А.П.Фисуна; Орловский государственный университет. – Орел, 2004. – 169 с.: ил. – Библиогр.: 109 назв. – Рус. – Деп. в ВИНИТИ 15.10.04. № 1624 – В2004.
6. Липаев В.В. Качество программных средств. - М.: Янус-К, 2002.
Книги по разным темам