Подход к разработке требований к программным продуктам, используемых в защищенных информационных системах

Корт С.С., Семьянов П.В.

Подход к разработке требований к программным продуктам, используемых в защищенных информационных системах
СЦЗИ СПбГТУ

(тезисы)

В данном докладе рассматривается опыт участия авторов в разработке нормативных документов, связанных с требованиями к программным продуктам, используемым в защищенных информационных системах, в частности с разработкой требований к антивирусным средствам (АВС).

Необходимо отметить, что требования к программным продуктам разрабатываются с целью:

сравнения продуктов между собой;

отнесение продуктов к некоторому классу защищенности;

определения возможности использования программного продукта в некоторых специфичных условиях.

Таким образом, требования помогают: разработчику - внести в программный продукт соответствующие функциональные возможности, а также, возможно, выработать методы разработки защищенного продукта; пользователю - выбрать продукт, обладающий необходимыми функциями; сертификационной лаборатории - провести анализ программного продукта.

В связи с описанными выше целями разработки требований, в их основу идеально заложить шкалу для сравнения программных продуктов между собой. К сожалению, это невозможно в силу специфики предметной области (сложные программные системы), для которой разрабатываются требования.

Следовательно, требования могут быть разработаны на основании классификации функциональных признаков, которыми должен обладать программный продукт (т.е. необходимо разработать классификацию функциональных признаков для данного типа программных средств), а также набора классов, определяющих минимальный набор требований к программному продукту для работы в некоторых определяемых данным классом условиях.

Классический пример применения данного подхода для программных продуктов, относящихся к защите информации впервые описан в [1], а в России - в требованиях Гостехкомиссии России [2], [3]. Особо следует отметить документ [2], формулирующий требования к автоматизированным системам и определяющий 3 группы и 9 классов защищенности АС. Любой продукт, включаемый в АС, защищенную в соответствии с некоторым классом, должен помимо некоторых функциональных признаков, определяемых непосредственно типом программного продукта, содержать характеристики, не ослабляющие защищенность АС соответствующего класса.

Как было отмечено, в требованиях должны быть учтены моменты, относящиеся к проверке адекватности выполнения продуктом своих функций. Очевидно, что чем более защищенным является класс программного продукта, тем более жесткие должны быть условия его испытания. Как показывает практика, целесообразно выделить три основных метода проверки:

функциональный анализ продукта при работе в обычном режиме (для низших классов защищенности);

функциональный анализ продукта при работе в экстремальных или граничных условиях (типовые воздействия на продукт);

формальный анализ продукта (для высших классов защищенности).

Приведем пример данного подхода к разработке требований к АВС. Были выделены следующие основные признаки деления АВС по классам:

функциональность АВС;

работа АВС в многопользовательском, в том числе сетевом окружении;

работа АВС в системах, обрабатывающих секретную информацию.

Более детальное рассмотрение данных признаков и заложено в основе классификации АВС. В соответствии с практикой построения АВС можно, например, выделить следующие функциональные признаки АВС, относящиеся непосредственно к работе АВС с вирусами:

обнаружение вирусов, использующих различные функции среды;

обнаружение вирусов, использующих различные средства противодействия;

обнаружение неизвестных вирусов;

обнаружение вирусов в различных объектах системы;

лечение вирусов, использующих различные функции среды;

лечение вирусов, использующих различные средства противодействия;

качество обнаружения и лечения;

методы пополнения базы данных вирусов;

Необходимо отметить, что классы АВС можно построить, комбинируя основные признаки АВС (например: АВС, работающее в многопользовательской среде с расширенной функциональностью).

Следует отметить, что предлагаемая классификация не обязательно будет являться монотонной. Это означает, что некоторые свойства АВС, улучшающие его функциональность, могут входить в противоречие с требованиями безопасности. Примером данного утверждения может служить следующее противоречие между функциональностью и безопасностью: удобное пополнение базы данных вирусов через глобальную сеть может нарушить безопасность системы, в которой используется АВС.

Предложенные авторами идеи были учтены при разработке нормативного документа "Антивирусные средства. Классификация и требования к антивирусным средствам".

Литература

Trusted Computer System Evaluation Criteria. US Department of Defense 5200.28-STD, 1993.

РД. АС. Защита от НСД к информации. Классификация АС и требования по защите информации.

РД. СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации.