30) Модели угроз технологической безопасности ПО | MetodPro.ru

Реклама на сайте

30) Модели угроз технологической безопасности ПО


Модель угроз должна включать:
- Полный реестр типов возможных программных закладок;
- Описание наиболее технологически уязвимых мест компьютерных систем
- Описание мест и технологические карты разработки программных средств, а также критических этапов, при которых наиболее вероятно скрытое внедрение программных закладок;
- Психологический портрет потенциального диверсанта в компьютерных системах.

Типовая модель.
Проектные решения
Злоумышленный выбор нерациональных алгоритмов работы:
- Облегчение внесения закладок и затруднение их обнаружения.
- Внедрение злоумышленников в коллективы, разрабатывающие наиболее ответственные части ПО.
- Внедрение злоумышленников, в совершенстве знающих "слабые" места

Используемые аппаратно-технические средства:
- Поставка вычислительных средств, содержащих программные, аппаратные или программно-аппаратные закладки.
- Поставка вычислительных средств с низкими реальными характеристиками.
- Поставка вычислительных средств, имеющих высокий уровень экологической опасности.
- Вербовка сотрудников путем подкупа, шантажа и т.п.

КОДИРОВАНИЕ
- Доступ к "чужим" подпрограммам и данным.
- Нерациональная организация вычислительного процесса.
- Организация параллельных вычислительных процессов.
- Технология записи программного обеспечения и исходных данных
- Поставка программного обеспечения и технических средств со встроенными дефектами

ОТЛАДКА И ИСПЫТАНИЯ
- Назначение, функционирование, архитектура программной системы
- Сведения о процессе испытаний (набор тестовых данных, используемые вычислительные средства, подразделения и лица, проводящие испытания, используемые модели

КОНТРОЛЬ
Используемые процедуры и методы контроля
- Маскировка программной закладки путем внесения в программную систему ложных непреднамеренных" дефектов.
- Формирование программной закладки в ветвях программной системы, не проверяемых при контроле.
- Формирование "вирусных" программ, не позволяющих выявить их внедрение в программную систему путем контрольного суммирования.
- Поставка программного обеспечения и вычислительной техники, содержащих программные, аппаратные закладки.

ЭКСПЛУАТАЦИЯ
- Внедрение злоумышленников в контролирующее подразделение.
- Вербовка сотрудников контролирующего подразделения.
- Сбор информации о испытываемой программной системе.



Методические пособия

  • Системы автоматизированного проектирования
  • Социология молодёжи
  • Общая социология
  • Криптография
  • Проектирование трансляторов
  • Компьютерная графика
  • Моделирование систем
  • Информационная безопасность
  • Теория вычислительных процессов
  • Логические основы искусственного интелекта
  • Проектирование распределённых информационных систем