Источник Itsec.Ru, Москва
Заголовок Автоматизация и экономика для обеспечения жизненного цикла безопасного ПО
Дата 20241030

Этим цветом    обозначаются известные системе слова и выражения, принимавшие участие в анализе данного текста, а таким    - идентифицированные, то есть соотнесенные с каким-либо объектом онтологической базы

============= Обработанный текст:
Автоматизация• Информационные технологии » Автоматизированная система и экономика• Экономика для обеспечения жизненного цикла безопасного ПО

Автоматизация• Информационные технологии » Автоматизированная система и экономика• Экономика для обеспечения жизненного цикла безопасного ПО

Борис Позин , 30/10/24

Проблема обнаружения уязвимостей и недекларированных возможностей
специалистами в жизненном цикле ПО автоматизированных систем• Информационные технологии » Автоматизированная система становится все
более актуальной в последние годы, особенно в связи с активизацией работ по
импортозамещению• Экономика » Мировая экономика » Международная торговля » Импортозамещение

• Экономика » Международная торговля » Импортозамещение

• Политика » Геополитика » Международные отношения » Международная торговля » Импортозамещение

• Политика » Экономическая политика » Импортозамещение

• Торговля » Международная торговля » Импортозамещение
, использованием свободного ПО• Информационные технологии » Информатика » Программирование » Программное обеспечение » Свободное программное обеспечение

• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение

• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение
, развитием масштабных проектов
систем корпоративного уровня• Метрология » Измерительные приборы и оборудование » Уровень (инструмент) в различных отраслях народного хозяйства.

Автор: Борис Позин , технический директор ЗАО "ЕС-лизинг", д.т.н., профессор
базовой кафедрыИнформационно-аналитические системы• Информационные технологии » Информационно-коммуникационные технологии » Информационно-телекоммуникационные системы » Информационно-аналитическая системаМИЭМ НИУ ВШЭ• Объект организация » Организации по алфавиту » Организации на Мо » Московский институт электроники и математики им. А.Н. Тихонова

• Объект организация » Организации по алфавиту » Организации на Вш » Высшая школа экономики (НИУ ВШЭ) » Московский институт электроники и математики им. А.Н. Тихонова
, главный
научный сотрудник
ИСП РАН• Объект организация » Организации по алфавиту » Организации на Ин » Институт системного программирования РАН

Особенностью проектов во многих случаях являются масштаб разработки и сложная
архитектура ПО, состоящего из нескольких взаимодействующих доверенных
приложений• Информационные технологии » Автоматизированная система, разработанных разными командами, возможно, на разных языках
программирования• Информационные технологии » Информатика » Программирование » Программное обеспечение » Языки программирования

• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Языки программирования

• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Языки программирования
. Ожидаемая длительность эксплуатации таких систем составляет
десятки лет при необходимости внесения изменений в доверенное ПО без остановки
его использования.

Эти факторы действуют одновременно, в разной степени для разных отраслей и
требуют отработки вопросов создания такого ПО как технологически (на уровне• Метрология » Измерительные приборы и оборудование » Уровень (инструмент)
регламентации процессов), так и на уровне• Метрология » Измерительные приборы и оборудование » Уровень (инструмент) формирования инструментальных
комплексов для автоматизации• Информационные технологии » Автоматизированная система. Такие автоматизированные технологические
процессы
должны функционировать в течение длительного периода и в
разрабатывающей, и в эксплуатирующей организациях.

Нормативная база (ГОСТ Р 56939–2016 и последующие по этому направлению от ТК
362) и уровень• Метрология » Измерительные приборы и оборудование » Уровень (инструмент) освоения специалистами отрасли современных методов разработки
предполагают, что существенное повышение качества обнаружения уязвимостей и
недекларированных возможностей может быть достигнуто на основе применением
комплекса инструментальных средств как разработчиками, так и специалистами,
осуществляющими интеграцию, эксплуатацию и сопровождение прикладного ПО• Информационные технологии » Информатика » Программирование » Программное обеспечение

• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение

• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение
.

Стратегически внедрение автоматизированного технологического процесса
позволит:

Получить инструменты для быстрого и глубокого анализа наличия уязвимостей в
разрабатываемом, сопровождаемом или развиваемом приложении• Информационные технологии » Автоматизированная система, одновременно
повысив квалификацию персонала, который этим занимается.

Разработать и реализовать системное решение в области реализации доверенного
ПО.

Поставить под контроль количество и качество заимствованных компонентов
свободного ПО• Информационные технологии » Информатика » Программирование » Программное обеспечение » Свободное программное обеспечение

• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение

• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение
и используемых библиотек Open Source• Информационные технологии » Информатика » Программирование » Программное обеспечение » Свободное программное обеспечение » Политика Открытого Кода

• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » Политика Открытого Кода

• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » Политика Открытого Кода
.

Вместе с тем средства автоматизации• Информационные технологии » Автоматизированная система, доступные на рынке, являются довольно
сложными с точки зрения их освоения, осмысления их технологических
особенностей и возможности использования в конкретной организации. К тому же в
настоящее время в отраслях пока еще не образованы службы, ответственные за
технологию создания, сопровождения и развития доверенного ПО. Они еще только
формируются с учетом особенностей технологии ведения работ, возможностей
инструментальных средств и режимов их использования.

Стоит отметить, что инструментальные средства покупаются для проекта на все
время жизненного цикла ПО: то есть на 10–20 лет в зависимости от типа
разрабатываемой системы. С этой точки зрения приобретение комплекса
инструментальных средств – это стратегические инвестиции в технологию
жизненного цикла доверенного ПО, а также и в его качество.

Но в настоящее время для решения задачи поиска уязвимостей заказчик, по сути,
может приобрести только набор инструментов, который ему самостоятельно
придется встраивать в свою инфраструктуру, попутно ее совершенствуя. Отдельные
инструментальные средства необходимо интегрировать между собой в рамках
технологического процесса. Это весьма трудоемкая работа, которая требует
довольно высокой квалификации системных администраторов, технологов по
разработке безопасного ПО и по изучению инструментальных средств.

Естественно, инструментальные средства внедряются медленно, снижая ожидаемую
эффективность на начальном этапе.

Возможен ли другой подход?

Альтернативным решением может стать продукт, в котором заранее интегрированы
несколько инструментальных средств. Интеграция предполагает согласование
типовых технологических сценариев применения инструментальных средств при
выполнении некоторых фрагментов технологического процесса, актуальных для
типовых архитектур• Архитектура » Типовая архитектура ПО и стадий его сопровождения или развития. В таком случае
заказчику не нужно осуществлять работы по интеграции инструментальных средств,
поскольку это уже сделано поставщиком• Экономика » Бизнес » Поставщик с участием опытных системных
администраторов
, вендоров• Экономика » Бизнес и подтверждено комплексными тестами.

Дополнительно можно получить от интегратора курсы переподготовки и пилотные
проекты на собственных примерах.

Такое решение реализовано в рамках разработанной совместно компанией ЕС-лизинг
(интегратор) и ИСП РАН• Объект организация » Организации по алфавиту » Организации на Ин » Институт системного программирования РАН автоматизированной системы• Информационные технологии » Автоматизированная система "Центр Кибербезопасности"
(АС ЦКБ). АС ЦКБ является результатом интеграции преимущественно отечественных
инструментальных средств компаний ИСП РАН• Объект организация » Организации по алфавиту » Организации на Ин » Институт системного программирования РАН, "Профископ", работающих в средах ОС
Альт• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Альт (операционная система)

• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Альт (операционная система)

• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Альт (операционная система)
и Astra Linux, а также включает необходимые официальные версии
компиляторов С, С++, Java• Информационные технологии » Информатика » Программирование » Java

• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Java

• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Java
(Axiom JDK• Информационные технологии » Информатика » Программирование » Java » Java Development Kit

• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Java » Java Development Kit

• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Java » Java Development Kit
), Go, Python. В качестве СУБД• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Базы данных

• Высокие технологии » Информационные технологии и телекоммуникации » Базы данных

используется PostgreSQL• Информационные технологии » Информатика » Программирование » Программное обеспечение » Свободное программное обеспечение » PostgreSQL

• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Базы данных » PostgreSQL

• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » PostgreSQL

• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » PostgreSQL

• Высокие технологии » Информационные технологии и телекоммуникации » Базы данных » PostgreSQL
Enterprise.

АС ЦКБ оснащена комплектом документации, в том числе технологической.
Разработаны учебные курсы по применению основных инструментальных средств,
готовится их версия для преподавания специалистами МИЭМ НИУ ВШЭ• Объект организация » Организации по алфавиту » Организации на Мо » Московский институт электроники и математики им. А.Н. Тихонова

• Объект организация » Организации по алфавиту » Организации на Вш » Высшая школа экономики (НИУ ВШЭ) » Московский институт электроники и математики им. А.Н. Тихонова
с выдачей
государственных сертификатов о прохождении программ обучения и переподготовки.
В процессе обучения все участники работают на защищенном стенде и используют
тестовые примеры на вышеуказанных языках общим объемом порядка 5,5 млн строк.

============= Итог: 5,3063 ; Информационные технологии#Автоматизированная система 4,6775 ; Информационные технологии#Информационно-коммуникационные технологии #Информационные технологии и телекоммуникации#Программирование #Программное обеспечение#Свободное программное обеспечение#PostgreSQL 4,2801 ; Информационные технологии#Информационно-коммуникационные технологии #Информационные технологии и телекоммуникации#Программирование#Java #Java Development Kit 3,4775 ; Информационные технологии#Информационно-коммуникационные технологии #Информационные технологии и телекоммуникации#Программирование #Программное обеспечение#Свободное программное обеспечение #Политика Открытого Кода 3,4551 ; Информационные технологии#Информационно-коммуникационные технологии #Информационные технологии и телекоммуникации#Программирование #Программное обеспечение#Языки программирования 1,9453 ; Информационные технологии#Информационно-коммуникационные технологии #Информационно-телекоммуникационные системы #Информационно-аналитическая система 1,8525 ; Информационные технологии#Информационно-коммуникационные технологии #Информационные технологии и телекоммуникации#Программирование #Платформы программирования#Операционные системы #Альт (операционная система) 5,3000 ; Экономика#Импортозамещение 2,6250 ; Экономика#Бизнес#Поставщик 3,2250 ; Метрология#Измерительные приборы и оборудование#Уровень (инструмент) 3,0953 ; Политика#Геополитика#Международные отношения#Международная торговля #Импортозамещение#Экономика 1,2500 ; Архитектура#Типовая архитектура

============= Объекты: организации Институт системного программирования РАН Московский институт электроники и математики им. А.Н. Тихонова Высшая школа экономики (НИУ ВШЭ)

============= Географические объекты: 1 55.728611111,37.635277778 Объект организация#Организации по алфавиту#Организации на Мо #Московский институт электроники и математики им. А.Н. Тихонова

============= Связи: Экономика # ассоциации-4 # Импортозамещение


Copyright © 2007-2024 ООО «RelTeam»