ГОСТы в программной безопасности и магазинах

Каждая компьютерная система представляет собой совокупность программного обеспечения и информационных компонентов. В процессе функционирования она может подвергнуться вредоносному воздействию, в результате чего целостность, конфиденциальность и доступность данных, которые в ней обрабатываются и хранятся, может оказаться под угрозой. Степень защищенности и надежности системы во многом зависит от уровня безопасности используемого ПО.

Программное обеспечение должно разрабатываться в соответствии с определенными стандартами безопасности ГОСТами. Иначе, оно переходит в ряд потенциально опасных программ. Главным источником требований безопасности являются общепринятые международные ГОСТы. Помимо этого, существуют внутригосударственные нормативные документы, которые регламентируют разработку ПО. Разработчики обязаны следовать общепринятым стандартам.

Как уже говорилось выше, компьютерные системы содержат в себе программное обеспечение и отдельные информационные компоненты (например, базы данных). Наиболее вероятное атакующее воздействие было бы направлено именно на уязвимости ПО, потому что в нем заложены все взаимодействия с данными. На сегодняшний день одним из крайне опасных средств информационного воздействия на компьютерные системы являются вирусы. Их воздействие можно условно разделить на 3 категории: изменение функционирования системы, несанкционированное считывание и модификация информации. Так легальные программы, содержащие в себе бреши и ошибки, могут стать потенциально опасными программами под воздействием вирусов и нанести вред компьютеру. По госту и при оценке уровня защищенности компьютерной системы смотрят в первую очередь на способность ПО противостоять атакам.

Для того, чтобы подтвердить соответствие ПО показателям качества (в том числе и стандартам безопасности) проводятся сертификационные испытания. Рассматривается вероятность внедрения закладок – информационных воздействий, суть которых состоит в завуалированном искажении какого-либо алгоритма или исполняемого кода на каждом этапе создания. Разработчик должен выполнить моделирование угроз безопасности для выявления потенциальных уязвимостей. Архитектура программы должна учитывать необходимость нейтрализации найденных брешей, четко идентифицировать все компоненты и связи между ними. Помимо этого, для проверки на наличие уязвимых конструкций анализу подвергается исходный код. Только после проведения всех сертификационных испытаний, соответствующих госту ПО считается безопасным и защищенным. Сегодня применяемость стандартов не только видна в сложных продуктах, так компании Деловой Интернет (разработчик коммерческих каталогов) публикуют недавно выпущенный гост интернет магазина на своём сайте delinet.ru.

Безопасность компьютерной системы и сайта определяется прежде всего надежностью ПО, которое входит в ее состав. Для того, чтобы назвать ПО, сайт или интернен магазин безопасным необходимо, чтобы оно соответствовало определенным стандартам безопасности. Ответственность за выполнение предписанных требований целиком лежит на разработчике. Соответствие проверяется через проведение ряда сертификационных испытаний.