Корнієнко Б.Я., Шумицький Д.В., Марголін М.В.

Національний авіаційний університет, Україна

Аудит безпеки програмного забезпечення в комп’ютерній системі

 

На сьогоднішній день гострою проблемою стала вразливість і ненадійність комп’ютерних систем в сфері інформаційної безпеки з боку програмного забезпечення і зокрема, прикладних програм, що встановлюються на робочі станції комп'ютерної мережі. Безперечно, що роль прикладних програм у функціонуванні комп'ютерної  системи достатньо важлива, так як саме за допомогою них можливе виконання загальних та специфічних функцій. Прикладні програми — це частина програмного забезпечення, яка виконує конкретні завдання або функції, такі, як обробка текстової інформації, створення електронних таблиць, генерація графіки, обробка електронної пошти та інші спеціалізовані функції.

Значна частина атак зловмисників, які призводять до втрати, перекручення чи витоку даних, порушення працездатності комп'ютерної системи або окремих її характеристик проводяться за допомогою використання уразливостей програмного забезпечення або шляхом використання навмисно шкідливого програмного забезпечення, розповсюджуваного в мережах та яке переноситься на носіях.

Саме для уникнення ризиків, коли мова йде про встановлення нового програмного продукту на робочі станції підприємств, науково-дослідних лабораторій, державних організацій, необхідно проводити попереднє тестування і аудит, тобто перевірку, безпеки цього програмного забезпечення. Дана процедура істотно знижує ризик:

1)                    зараження комп'ютерів вірусами, програмами-шпигунами, рекламними програмами, черв'яками, "троянськими кіньми" та іншими шкідливими програмами;

2)                    витоку, спотворення чи знищення даних, які становлять комерційну або наукову цінність для підприємств, організацій або науково-дослідних лабораторій, державних структур та підрозділів;

3)                    порушення цілісності і працездатності комп'ютерної системи в цілому, що може привести до збою роботи підприємств або порушення неперервності бізнесу.

Метою дослідження є розробка комплексної процедури аудиту безпеки програмного забезпечення, що встановлюється на робочі станції користувачів комп'ютерної системи.

В ході дослідження для досягнення поставленої мети необхідно:

1)                    розглянути загрози безпеки в комп'ютерних системах з боку нового потенційно шкідливого або уразливого програмного забезпечення для визначення характеристик, які будуть піддаватися перевірці в ході процедури аудиту безпеки програмного забезпечення;

2)                    вивчити існуючі стандарти з комп'ютерної безпеки й тестування програмного забезпечення і на їх основі побудувати низку організаційних заходів з проведення аудиту;

3)                    на основі існуючих проблем і уразливостей в комп'ютерних системах необхідно скласти перелік технічних заходів з перевірки програмного забезпечення на безпеку, використовуючи актуальні утиліти та антивірусне програмного забезпечення.

Для досягнення поставленої мети використовувалися:

1. Аналіз існуючих загроз безпеки комп'ютерній системі, пов'язаних з установкою нового неперевіреного на безпечність, потенційно небезпечного, шкідливого або уразливого програмного забезпечення. Ця процедура дозволяє оцінити необхідність проведення аудиту безпеки програмного забезпечення і визначити параметри для перевірки програмного забезпечення на безпеку [1-2].

2. Розгляд існуючих категорій уразливостей в комп'ютерних системах, які найбільш часто використовують зловмисники при створенні шкідливих програм, таких як віруси, програми-шпигуни, "троянські коні" та ін. Ця процедура дозволяє оцінити наслідки, до яких може призвести випадкова або навмисна установка та використання шкідливого програмного забезпечення.

3. Аналіз існуючих міжнародних стандартів з безпеки комп'ютерних систем; з аудиту, тестування та оцінки програмного забезпечення; управління безпекою в комп'ютерних системах і мережах і ін. Дані стандарти являють собою сукупність задокументованого накопиченого досвіду в сфері інформаційної безпеки і зокрема, у сфері перевірки програмного забезпечення на безпеку. Ця процедура лягає в основу організаційної частини комплексної процедури аудиту безпеки програмного забезпечення в комп'ютерній системі.

4. Побудова ряду організаційних заходів з аудиту програмного забезпечення, що встановлюється на робочі станції комп'ютерної системи. Дана процедура проводиться з метою виявлення та запобігання проникненню шкідливого програмного забезпечення до комп’ютерних мереж, необхідністю планування та реалізації заходів з управління інформаційною безпекою, а також з формування процедур, що забезпечують відповідну обізнаність користувачів.

5. Складання ряду технічних заходів з аудиту програмного забезпечення. Розгляд існуючих утиліт та програмного забезпечення, яке допомагає виявити уразливості в програмному забезпеченні, протестувати його працездатність, вплив на роботу комп’ютерної системи або виявити шкідливий характер даного програмного забезпечення.

Література

1.    Корниенко Б.Я. Информационная безопасность и технологии компьютерных сетей : монография / Б.Я. Корниенко // ISBN 978-3-330-02028-3, LAMBERT Academic Publishing, Saarbrucken, Deutschland. − 2016. – 102 с.

2.    Корниенко Б.Я. Кибернетическая безопасность – операционные системы и протоколы / Б.Я. Корниенко // ISBN 978-3-330-08397-4, LAMBERT Academic Publishing, Saarbrucken, Deutschland. − 2017. – 122 с.