Методы разработки защищенного программного обеспечения

DOI:

В настоящее время информационная безопасность является неотъемлемой частью процесса цифровизации, защиты данных. Компьютерные атаки, которые с каждым годом становятся более частыми (ввиду перехода всех услуг, сервисов в работу в цифровой среде) приводят к снижению уровня защиты программного обеспечения и информационных систем. Программное обеспечение становится объектом атаки по причине свое уязвимости и выходом из такой ситуации может послужить внедрение дополнительной защиты программного обеспечения посредством различных процедур [2].

В настоящее время существует ряд ГОСТов, призванных обеспечить безопас- ность функционирования программного обеспечения. Однако такие стандарты были перенасыщены значительным количеством актов, регулирующих вопросы обеспечения информационной безопасности. Здесь речь идет о различных корпоративных, межотраслевых стандартах, о международных стандартах безопасности. Такие стандарты содержат в себе указания, практические рекомендации по формированию безопасной среды, по устранению причин, которые лежат в основе уязвимости системы и программного обеспечения.

Вместе с тем можно отметить, что существующие документы не содержат четко определенного аппарата, который мог бы использоваться для независимой оценки реализован- ных разработчиком мер требованиям разработки безопасного программного обеспечения. Сегодня этот пробел в документах по разработке защищенного программного обеспечения решает документ ГОСТ Р 58412-2019 [1].

Важным аспектом при создании и разработке программного обеспечения является обеспечение защищенности такой системы. Однако большинство производителей программного обеспечения уделяют недостаточно внимания на задачи обеспечения безопасности и защищенности выпускаемых продуктов.

Сегодня существует ряд методов, которые можно учитывать при разработке защищенного программного обеспечения. Классификация таких методов производится по ряду критериев: например, по границам применения того или иного метода; исходя из конкретной цели создания того или иного программного обеспечения.

Существуют методы, которые целесообразно применять на этапе разработки программного обеспечения, в процессе управления программным обеспечением, на этапе его тестирования или ввода в эксплуатацию. Поэтому выбор того или иного метода осуществляется на основе четко поставленной цели, границ применения и эффективности. На рисунке 1 представлены методы, которые используются в ходе осуществления управления разработкой защищенного программного обеспечения [3].

Если говорить о методе «команды безопасности», то сущность такого метода заключается в том, что в структуре организации выделяется отдельная группа (команда безо- пасности), которая принимает на себя ответственность за развитие и улучшение процесса разработки программного обеспечения с позиции ее информационной защищенности. Такая группа является экспертной по вопросам обеспечения безопасности системы [2].

При разработке любого программного обеспечения важнейшим этапом является разработка технического задания, где и производится описание целей и задач, способов обеспечения защиты программного обеспечения. Именно на такое задание и опираются в своей деятельности разработчики программного обеспечения. На рисунке 2 представлены базовые требования, которые предъявляются к разработке программного обеспечения [2].

Предъявляются и требования к системе безопасности в процессе разработки программного обеспечения. На рисунке 3 представлены такие требования, которые необходимо учесть при разработке защищенного программного обеспечения.

Если говорить о техническом задании на систему безопасности, то в таком задании должны найти отражение такие разделы, как [3]:

• –    общие сведения о задании;

• –    цели и задачи, которые должна решить создаваемая система;

• –    характеристика объекта;

• –    системные требования и перечень работ, которые должны быть произведены в процессе разработки системы, а также порядок контроля системы;

• –    источники разработки и т. д.

  
  
  
  
  
  
  

  Рис. 2. Требования к разработке

  
  
  
  
  

Идентификация и аутентификация

Защита от несанкционированного доступа к информации

Регистрация событий и ошибок

Контроль точности, полноты и правильности данных

Обработка программных ошибок

Рис. 3. Требования к безопасности

На основании технического задания формируется регламент, который служит основой для разработки системы и обеспечения ее защищенности в соответствии с полученным заданием.

Процедура внедрения программного обеспечения в эксплуатацию является завершающей стадией разработки и нередко происходит совместно с отладкой системы.

Ключевой целью поэтапного внедрения разработанной программы становится постепенное выявление необнаруженных ранее ошибок и недочетов кода. В рамках этого этапа разработки программного обеспечения и заказчик, и исполнитель могут столкнуться с рядом достаточно узкого спектра ошибок, связанных с частичной рассогласованностью данных при их загрузке в базы данных, а также срывов выполнения программных процедур в связи с применением многопользова- тельского доступа. Именно на этой стадии выкристаллизовывается окончательная картина взаимодействия пользователя с программой, а также определяется степень лояльности последнего к разработанному интерфейсу.

Если выход системы на проектную мощность после ряда проведенных доработок и улучшений произошел без особых осложнений, значит, предварительная работа над проектом и реализация предыдущих стадий разработки осуществлялась правильно.