Информационное письмо


Классификация нарушений информационной безопасности по этапам возникновения и внедрения



бет72/78
Дата10.10.2022
өлшемі5,22 Mb.
#42177
түріПротокол
1   ...   68   69   70   71   72   73   74   75   ...   78
Байланысты:
ИБ и МЗИ УМКД 2022 (1)

Классификация нарушений информационной безопасности по этапам возникновения и внедрения
Таксономия нарушений ИБ по этапу внедрения, основанная на этих положениях, приведена в табл. 5.
Таблица 5
Таксономия нарушений информационной безопасности по этапу возникновения 

Возникновение нарушений информационной безопасности на этапе разработки системы.
Процесс разработки программной системы включает этапы:
1) составление требований и спецификаций;
2) создание исходных текстов программ;
3) генерация исполняемого кода.
На каждом из этих этапов в создаваемую систему могут быть внесены ошибки, которые приводят к возникновению нарушений информационной безопасности.
Составление требований и спецификаций. Требования к программному обеспечению описывают, что должна делать каждая из программ в составе системы. Спецификации определяют, каким образом эти действия должны выполняться.
Требования или спецификации не могут содержать положения, явно обусловливающие преднамеренные ошибки и каналы утечки информации. Требования и спецификации должны быть открыты и понятны, а также позволять относительно легко выявить и устранить ошибки типа «черного хода» и им подобные.
В основном ошибки возникают из-за необходимости одновременного выполнения как требований по защите, так и общих функциональных требований к системе. Конкуренция этих требований и неизбежно возникающие противоречия между этими требованиями требуют от разработчиков принятия компромиссных решений, в которых предпочтение может быть отдано функциональности системы в ущерб ее безопасности.
Создание исходных текстов программ. Большинство ошибок в исходных текстах, как случайных, так и внесенных преднамеренно, может быть обнаружено при тщательном их изучении. Наиболее распространены случайные ошибки в исходных текстах программ. Они возникают в результате неадекватной реализации определенных в требованиях интерфейсов модулей, либо просто из-за ошибок программистов.
Преднамеренные ошибки могут быть внесены программистом. Программист может внедрить в систему код, не предусмотренный ее спецификациями, но нужный ему для отладки и тестирования разрабатываемой программы. Если по завершению разработки программы этот код не будет удален из нее, он превратится в канал утечки информации и может быть использован злоумышленником.


Достарыңызбен бөлісу:
1   ...   68   69   70   71   72   73   74   75   ...   78




©emirsaba.org 2024
әкімшілігінің қараңыз

    Басты бет