Методика оценки качества программного средства

 

Стандартом ГОСТ 28195–99 рекомендован метод интегральной оценки качества программных средств, основанный на иерархической модели качества. В соответствии с данным методом выбор номенклатуры показателей качества для конкретного программного средства осуществляется с учетом его назначения и требований области применения в зависимости от принадлежности ПС к тому или иному подклассу.

Существуют следующие подклассы программных средств:

- 5011 – операционные системы и средства их расширения;

- 5012 – ПС управления базами данных;

- 5013 – инструментально-технологические средства программирования;

- 5014 – ПС интерфейса и управления коммуникациями;

- 5015 – ПС организации вычислительного процесса (например, планирования, контроля);

- 5016 – сервисные программы;

- 5017 – ПС обслуживания вычислительной техники;

- 503 – прикладные программы для научных исследований;

- 504 – прикладные программы для проектирования;

- 505 – прикладные программы для управления техническими устройствами и технологическими процессами;

- 506 – прикладные программы для решения экономических задач;

- 509 – прочие ПС.

Оценка качества ПС производится на всех фазах ЖЦ. ГОСТ 28195-99 базируется на следующих процессах и фазах ЖЦ ПС:

- процесс разработки:  

• фаза анализа А;

• фаза проектирования П;

• фаза реализации Р;

• фаза тестирования Т;

• фаза изготовления И.

- процесс применения:

• фаза внедрения;

• фаза эксплуатации;

• фаза сопровождения О.

Оценка качества ПС заключается в выборе номенклатуры показателей, их оценке и сопоставлении с базовыми значениями.

Четырёхуровневая иерархическая модель качества, описанная в ГОСТ 28195-99 предлагает следующую терминологию для показателей качества каждого уровня:

- уровень 1 - факторы качества (в терминологии, принятой в международных стандартах, соответствуют характеристикам качества;

- уровень 2 - критерии качества (в международной терминологии – подхарактеристики качества);

- уровень 3 - метрики (соответствует международной терминологии);

- уровень 4 - оценочные элементы или единичные показатели (данный уровень в международных стандартах отсутствует).

Критерии качества определяются одной или несколькими метриками (третий уровень). Если критерий качества определяется одной метрикой, то уровень метрики опускается.

Метрики составляются из оценочных элементов (единичных показателей – четвёртый уровень), определяющих заданное в метрике свойство. Число оценочных элементов, входящих в метрику, неограниченно. Взаимосвязь факторов, критериев и метрик с фазами жизненного цикла ПС приведена в таблицах А.2-А.9 Приложения А ГОСТ 28195-99.

Выбор оценочных элементов в метрике зависит от функционального назначения ПС и проводится с учетом данных, полученных при проведении испытаний различных видов, а также по результатам эксплуатации ПС.

Для выбора оценочных элементов используются таблицы А.10-А.15 Приложения А ГОСТ 28195-99.

ГОСТ 28195-99 рекомендует следующую методику оценки качества ПС.

1. На фазе анализа проводят выбор показателей и их базовых значений.

2. Для показателей качества на всех уровнях (факторы, критерии, метрики, оценочные элементы) принимают единую шкалу оценки от нуля до единицы.

3. Показатели качества на каждом вышестоящем уровне (кроме уровня оценочных элементов) определяются показателями качества нижестоящего уровня, т. е.:

- результаты оценки каждого фактора определяются результатами оценки соответствующих ему критериев;

- результаты оценки каждого критерия определяются результатами оценки соответствующих ему метрик;

- результаты оценки каждой метрики определяются результатами оценки определяющих её оценочных элементов.

4. В процессе оценки качества ПС на каждом уровне (кроме оценочных элементов) проводят вычисления показателей качества ПС, т. е. определение количественных значений абсолютных показателей (Р _ij), где j – порядковый номер показателя данного уровня для i-го показателя вышестоящего уровня и относительных показателей (K_ij), являющихся функцией показателя Р _ij и базового значения P .

5. Каждый показатель качества второго и третьего уровней (критерий и метрика) характеризуется двумя числовыми параметрами – количественным значением и весовым коэффициентом (V_ij).

6. Сумма весовых коэффициентов показателей уровня (l), относящихся к i-му показателю вышестоящего уровня (l – 1), есть величина постоянная. Сумма весовых коэффициентов V_ij принимается равной единице в соответствии с выражением

 

                                   (2.1)

 

где n – число показателей уровня l, относящихся к i-му показателю вышестоящего уровня (l – 1).

 

7. Общая оценка качества ПС в целом формируется экспертами по набору полученных значений оценок факторов качества ПС.

8. Для оценки качества ПС различного назначения методом экспертного опроса составляется таблица значений базовых показателей качества ПС.

9. Определение усредненной оценки m_kq оценочного элемента по нескольким его значениям (m _э) проводят по формуле

 

,                                      (2.2)

 

где k – порядковый номер метрики;

q – порядковый номер оценочного элемента;

э – индекс суммирования;

t – число значений оценочного элемента.

10. Итоговую оценку k-й метрики j -го критерия Р  проводят по формуле

 

,                                              (2.3)

 

где М – признак метрики;

Q – число оценочных элементов в k-й метрике.

11. Абсолютный показатель критерия i-го фактора качества P_ij определяют по формуле

,                                          (2.4)

 

где n – число метрик, отнесенных к j-му критерию.

12. Относительный показатель j-го критерия i-го фактора качества K_ij вычисляют по формуле

.                                       (2.5)

А.3.13 Фактор качества R  вычисляют по формуле

,                                        (2.6)

 

где ф – признак фактора;

N – число критериев качества, отнесенных к i-му фактору;

К – признак критерия.

14. Качество ПС определяют путем сравнения полученных расчетных значений показателей с соответствующими базовыми значениями показателей существующего аналога или расчетного ПС, принимаемого за эталонный образец.

- Базовые значения показателей качества ПС должны соответствовать значениям показателей, отражающих современный уровень качества и прогнозируемый мировой уровень.

- В качестве аналогов выбирают реально существующие сертифицированные ПС того же функционального назначения, с такими же основными параметрами, подобной структуры и применяемые в тех же условиях эксплуатации, что и сравниваемые.

 

2.3.5. Программные средства защиты от воздействия вредоносных программ и антивирусные програм­мные средства. Оценка их качества

2.3.5.1. Основные понятия и определения

 

Антивирусное программное средство (АПС) – ПС, предназначенное для
выявления и предотвращения вирусного воздействия на объект информационной технологии (объект ИТ);

Объект ИТ – комплекс технических и ПС, предназначенных для выполнения функций сбора, обработки, хранения, передачи и использования данных;

Программное средство защиты от воздействия вредоносных программ (ПСЗВВП) – ПС, предназначенное для выявления и предотвращения вредоносного воздействия на объекты информационной технологии.

Вредоносная программа (ВП) – программный код (исполняемый или интерпретируемый), обладающий свойством несанкционированного воздействия на объект ИТ.

2.3.5.2. Классификация п рограммных средств защиты от воздействия вредоносных программ и антивирусных програм­мных средств

 

Классификацию ПСЗВВП и АПС отечественного и импортного производства и общие требования к ним устанавливает государственный стандарт СТБ 34.101.8-2006.

Стандарт может применяться для разработки дополнительных требований к ПСЗВВП и АПС при об работке информации, отнесенной к государственным секретам Республики Беларусь.

Классификация осуществляется то функциональным возможностям ПСЗВВП или АПС. В общем случае ПСЗВВП и АПС должны состоять из следующих подсистем:

- контроля изменений;

- обнаружения;

- обезвреживания;

- обеспечения гарантированности свойств;

- регистрации.

ПСЗВВП и АПС должны функционировать в одном или нескольких режимах:

- обработки объекта информационных технологий (ИТ) по запросу пользователя;

- обработки объекта ИТ в реальном масштабе времени;

 Устанавливаются три типа ПСЗВВП и АПС.

-   ПСЗВВП и АПС первого типа после запуска по запросу пользователя должны обнаружить изменения элементов объектов ИТ;

-   ПСЗВВП и АП С второго типа после запуска то запросу  пользователя должны обеспечивать проверку элементов объекта ИТ на наличие ВП и обезвреживание обнаруженных ВП;

-   ПСЗВВП и АПС третьего типа в течение работы объекта ИТ  должны обеспечивать в реальном масштабе времени автоматическую проверку элементов объекта ИТ на наличие ВП, выделение вредоносного воздействия и обезвреживание обнаруженных ВП.

Оценка качества ПСЗВВП и АПС осуществляется с соблюдением требований государственного стандарта СТБ 34.101.12-2007. Стандарт устанавливает:

- порядок оценки качества ПСЗВВП и АПС;

- перечень показателей качества программных средств защиты от воздействия вредоносных программ и антивирусных программных средств.

Стандарт предназначен для:

- разработчиков ПСЗВВП и АПС;

- сотрудников центров и лабораторий, занимающихся сертификационными испытаниями и экспертизами ПСЗВВП и АПС;

- персонала организаций, занимающихся разработкой и оценкой систем защиты информационных технологий;

- персонала организаций, занимающихся разработкой и оценкой профилей защиты и заданий по обеспечению безопасности объектов ИТ;

- руководителей и сотрудников служб безопасности государственных органов и юридических лиц Республики Беларусь при оценке качества ПСЗВВП и АПС.

На основе стандарта могут быть разработаны типовые программы и методики оценки качества программных средств защиты от воздействия вредоносных программ и антивирусных программных средств. Стандарт не распространяется на программно-аппаратные средства защиты от воздействия вредоносных программ и программно-аппаратные антивирусные средства.

 

 

2.3.5.3. Оценка качества п рограммных средств защиты от воздействия вредоносных программ и антивирусных програм­мных средств

 

Качество ПСЗВВП и АПС оценивается по ГОСТ 28195-99 с применением дополнительных показателей качества, изложенных в СТБ 34.101.12-2007.

Работоспособность ПСЗВВП Н2.1 – способность ПСЗВВП обрабатывать объект ИТ без потери функциональности и нарушения работоспособности объекта ИТ.

Восстанавливаемость ПСЗВВП Н2.2 – способность ПСЗВВП восстанавливать свои поврежденные данные в течение декларируемого времени и способность функционирования в заданных режимах после своих отказов.

Наличие документации С5.1 – соответствие перечня документации на ПСЗВВП требованиям СТБ 34.101.8-2006.

Информативность документации С5.2 – отражение в документации всех требуемых характеристик ПСЗВВП и особенностей взаимодействия с программами внешних объектов ИТ.

Совместимость У3.1 – возможность использования ПСЗВВП из интерфейсов прикладных программ.

Генерация отчётов У3.2 – отражение в отчете событий и параметров работы ПСЗВВП в соответствии с требованиями СТБ 34.101.8-2006.

Подобие интерфейсов У3.3 – схожесть идеологии (подобие) пользовательского интерфейса ПСЗВВП и пользовательских интерфейсов, предоставляемых внешними объектами ИТ.

Функционирование системы регистрации событий Э1.1 – выдача предупреждений об изменениях в элементах объекта ИТ, об обнаружении и обезвреживании ВП.

Управление конфигурацией ПСЗВВП Э1.2 – возможность управления настройками и распределенными компонентами ПСЗВВП.

Обработка объекта ИТ по запросу пользователя Э1.3 – возможность однократной обработки элементов объекта ИТ.

Обработка объекта ИТ в реальном времени Э1.4 – возможность постоянной автоматической обработки элементов объекта  ИТ в течение работы объекта ИТ или периодической автоматической обработки элементов объекта ИТ согласно заданному расписанию.

Эффективность обработки Э2.1 – количество элементов объекта ИТ, обработанных ПСЗВВП конкретного типа на объекте ИТ в единицу времени.

Число обслуживающего персонала Э3.1 – возможность обеспечения эксплуатации ПСЗВВП количеством персонала, соответствующим количеству «ролей» безопасности на объекте ИТ.

Применяемость Г1.1 – возможность интеграции (встраивания) ПСЗВВП в систему комплексной защиты объекта ИТ, отвечающую требованиям профиля защиты типового объекта ИТ

Зависимость от операционной системы Г2.1 – возможность применения ПСЗВВП в средах различных операционных систем.

Наличие системы обновления Г3.1 – возможность обновления образцов ВП и модулей ПСЗВВП, ответственных за обработку ВП.

Обнаружение известных типов ВП К1.1 – возможность контроля и локализации известных типов ВП с учетом способов их распространения.

Обнаружение известных ВП К1.2 – возможность контроля и локализации известных ВП на объекте ИТ.

Обнаружение неизвестных ВП К1.3 – возможность контроля и локализации вредоносного воздействия на объекте ИТ.

Идентификация активных и пассивных ВП К1.4 – установление ПСЗВВП соответствия обнаруженных ВП известному образцу.

Ложные срабатывания К1.5 – количество ложных тревог.

Контроль изменений К1.6 – обнаружение изменений, внесенных в обрабатываемые элементы объекта ИТ.

Обезвреживание известных ВП К1.7 – перевод программного кода ВП в безопасное состояние.

Обезвреживание неизвестных ВП К1.8 – прекращение вредоносного воздействия на объект ИТ.

Описание функций К1.9 – достаточность описания функций в документации.

Корректность функционирования К3.1 – соответствие настроек ПСЗВВП выполняемым действиям.

Гарантированность целостности ПСЗВВП К5.1 – способность ПСЗВВП обнаруживать несанкционированные изменения собственных модулей.

Живучесть К5.2 – возможность автоматизированного восстановления поврежденных модулей ПСЗВВП.

Полномочное управление конфигурацией К5.3 – возможность изменения настроек ПСЗВВП и инсталляции распределенных компонентов ПСЗВВП только после предъявления полномочий.

АПС является подклассом ПСЗВВП, поэтому перечисленные дополнительные показатели качества ПСЗВВП распространяются на АПС.

 

Сертификация

 

⇐ Предыдущая12345678910Следующая ⇒

Поделиться: