Обзор методов оценки уровня риска программного обеспечения Текст научной статьи по специальности «Компьютерные и информационные науки»

Обзор методов оценки уровня риска программного обеспечения

Рассматривается проблема безопасности и защищенности современных средств измерений, говорится о необходимости применения риск-ориентированного подхода при испытаниях измерительных приборов с программным управлением. Анализируется методология оценки рисков и их минимизации в контексте нормативных документов

И.В. Лазарева1

ФГБУ «Всероссийский научно-исследовательский институт метрологической службы» (ФГБУ ВНИИМС), i.lazareva@vniims.ru

А.Н. Паньков2, 3, 4

ФГБУ ВНИИМС, ФГАОУ ДПО «Академия стандартизации, метрологии и сертификации (учебная)», ФГБОУ ВО «МИРЭА — Российский технологический университет», канд. техн. наук, apankov@vniims.ru

1 лаборант отделения, Москва, Россия

2 начальник лаборатории, Москва, Россия

3 заместитель заведующего кафедрой, Москва, Россия

4 доцент кафедры, Москва, Россия

Для цитирования: Лазарева И.В., Паньков А.Н. Обзор методов оценки уровня риска программного обеспечения // Компетентность / Competency (Russia). — 2023. — № 7. DOI: 10.24412/1993-8780-2023-7-13-17

ключевые слова

метрология, средства измерений, оценка риска, защита программного обеспечения, информационные технологии

егодня измерительные приборы часто интегрируются в открытые информационные сети и даже становятся компонентами облачных вычислительных решений в интернете. Хорошо известно, что использование программного обепечения (ПО) в средствах измерений (СИ) приводит к появлению рисков, связанных не только с внутренними свойствами самого ПО, но и с возможностью внешнего воздействия на него. Благодаря выходу СИ в интернет, вместе с удобствами и новыми возможностями их использования, мы получили и проблемы безопасности и защищенности СИ. Поэтому все чаще возникает вопрос об оценке степени доверия к результатам измерений, полученным с применением таких СИ, степени воздействия программного обеспечения на метрологические характеристики СИ и степени защищенности от внешних воздействий, которые могут привести к искажению измерительной информации.

Таким образом, одной из основных задач работников метрологических служб сегодня является оценка и минимизация рисков при использовании ПО в СИ.

В ее решении может помочь риск-ориентированный взгляд на оценку ПО СИ. Этот подход предполагает снижение рисков: контроль на местах повышенного риска возрастает, а в менее безопасных зонах — снижается или отсутствует. Это позволяет своевременно принимать меры именно там, где необходимо, а также существенно экономить ресурсы. С помощью оценки риска можно ответить на основные вопросы, связанные с: ► событием, которое может произойти, и его причиной (идентификация опасных событий);

► последствиями этого события;

► вероятностью их возникновения;

► определением факторов, которые снижают негативность последствий и вероятность возникновения опасных ситуаций.

Кроме того, оценка риска помогает понять: его уровень является приемлемым или требуется уменьшение.

Применительно к защищенности ПО СИ риск-ориентированный подход к оценке ПО будет заключаться в более тщательной проверке СИ, наиболее подверженных внешним воздействиям, а также в более легкой процедуре проверки для СИ, угроза безопасности ПО которых минимальна.

Стоит отметить, что в российском законодательстве применение риск-ориентированного подхода при испытаниях ПО СИ еще не рассматривалось, хотя такая необходимость давно назрела. Примером может служить новая версия международного документа OIML D 31:2019, где в пятом разделе говорится о необходимости использования риск-ориентированного подхода при испытаниях измерительных приборов с программным управлением.

Необходимо определить, какого рода оценка рисков требуется в контексте нормативных документов.

D 31 и ряд отечественных документов в области ПО СИ — ГОСТ Р 8.654-2015, ГОСТ Р 8.839-2013, Р 50.2.077-2014 — устанавливают общую базовую линию основных требований, которые должны соблюдаться по отношению к измерительным приборам с программным обеспечением. Эти требования направлены на соблюдение точности и прослеживаемо-сти измерений, защиту их результатов от случайных и непреднамеренных манипуляций для обеспечения свободы

и справедливости торговли и прав потребителя.

В настоящее время не существует готовых к использованию методов оценки риска программного обеспечения СИ. Однако есть ряд стандартов и подходов к оценке риска в информационных технологиях, где описываются этапы оценки риска, в первую очередь это ГОСТ Р ИСО/МЭК серии 27000. Кроме того, имеются альтернативные методы оценки уровня риска программного обеспечения, которые могут применяться при определенных условиях (например, большое количество известных исходных данных). Разберем их подробнее.

ГОСТ Р ИСО/МЭК 27000

Наиболее важным является семейство стандартов ГОСТ Р ИСО/МЭК 27000, которое охватывает все аспекты системы менеджмента информационной безопасностью. Согласно ГОСТ Р ИСО/МЭК 27005-2010, риск — это совокупность последствий нежелательного события и вероятности его наступления. Таким образом, для расчета риска необходимы три различных компонента:

► список нежелательных событий;

► последствия, вытекающие из таких событий;

► вероятность возникновения отдельных событий.

Стандарт помещает оценку риска в логическую цепочку, включающую в себя идентификацию риска, его оценку и обработку.

На этапе идентификации рисков в первую очередь должны быть обозначены активы. Активы — это свойства ПО, которые подлежат защите. Активами могут являться данные измерений, метрологически значимая часть ПО, идентификатор ПО, метрологически значимые параметры, хранимые или передаваемые (целостность и подлинность). Затем для каждого возможного актива собираются угрозы. В число распространенных угроз входят действия злоумышленника — хакерские атаки, использование программ-шпионов, вредоносный код; угрозой также

могут стать неумышленные действия сотрудника.

Идентификация рисков завершается выявлением уязвимостей (слабых мест) ПО, которые могут быть использованы для реализации определенных угроз.

Следующая часть стандарта ГОСТ Р ИСО/МЭК 27005-2010 посвящена оценке рисков. Стандарт рассматривает как качественный, так и количественный подход к оценке вероятности риска, причем последний использует шкалу с числовыми значениями последствий и вероятностей, анализируя данные из различных источников. Примеры возможных последствий включают в себя потерю конфиденциальности определенных активов, а также нарушение их целостности. На заключительном этапе оценивается вероятность, с которой реализуется угроза.

Конечными компонентами оценки риска в соответствии с ГОСТ Р ИСО/ МЭК 27005-2010 являются оценка уровня риска и обработка риска. Стандарт охватывает все аспекты оценки рисков ПО в разных направлениях. Он учитывает изначальные условия использования ПО, риски, которые могут быть выявлены на стадии проверки предоставленной документации, а также оценку риска как качественный, так и количественный показатель. Таким образом, стандарт представляет собой один из действенных способов оценки рисков ПО.

Руководство WELMEC 5.3

Зтот документ содержит рекомендации, относящиеся к средствам измерений, которые подпадают под действие Директивы Европейского парламента и Совета об измерительных приборах — The Measuring Instruments Directive 2014/32/EU, но в первую очередь к средствам измерений, оснащенным программным обеспечением. Он адресован как изготовителям средств измерений, так и организациям, ответственным за оценку их соответствия.

Рассматриваемая рекомендация устанавливает перечень критериев

оценки, которые должны помочь органу по надзору за рынком обозначить приоритеты и выбор стратегий для достижения своих целей.

Риск определяется как вероятность того, что событие может произойти и каково будет его воздействие. Обобщая весь документ, можно выделить некоторую последовательность действий при оценке уровня риска согласно Руководству WELMEC 5.3:

1. Выбор области исследования (производство, тип СИ, группа СИ).

2. Выбор сферы влияния (экономические последствия, финансовые потери, здравоохранение, доверие потребителей) — юридический интерес.

3. Оценка воздействия несоблюдения требований для каждого юридического интереса по отношению к области исследования (5-балльная шкала).

4. Определение среднего. Суммируются все воздействия и определяется средний балл воздействия.

5. Оценка вероятности того, как часто нарушение будет иметь место (5-балльная шкала) на основании опросника.

6. Вычисление риска по матрице путем умножения общего воздействия на вероятность. Риск представляется в виде числа, которое затем можно отобразить на диаграмме рисков (см. рисунок).

Чтобы принять соответствующие меры, уровень риска в зависимости от балла можно разделить на низкий и высокий. Это позволяет провести классификацию и принять меры в зависимости от общего риска. Таким образом, WELMEC 5.3 содержит четкое правило, позволяющее в конечном итоге рассчитать риск, связанный с несоблюдением требований, но не предоставляет средств для расчета вероятностей отдельных угроз.

Оценка риска программного обеспечения на основе исходного кода

Еще одним методом является метод А. ван Дерсена и Т. Кейпер-са в материалах Международной конференции IEEE «Оценка риска программного обеспечения на основе исходного кода».

В этой работе оценка рисков определяется как независимая оценка рисков, связанных с созданием, эксплуатацией или обслуживанием программной системы. Метод вычисляет риск на основе так называемых первичных и вторичных фактов, где первичные факты — это данные, полученные с помощью автоматического анализа исходного кода, а вторичные факты — с помощью пользовательских анкет. Первичные факты в основном необходимы для идентификации подсистем, которые показывают особенности, обычно не встречающиеся в программных системах. После того как первичные факты были использованы для проверки вторичных данных, можно вычислить конечный результат. Этот метод может быть легко адаптирован для законодательной метрологии.

Однако исходный код обычно не является обязательной частью документации для оценки соответствия MID, следовательно, данный метод может применяться только в том случае, если в документации имеется исходный код.

Модель оценки рисков программного обеспечения

Метод объективной оценки и сравнения рисков, связанных с программным обеспечением, был представлен С.-В. Фу и А. Муру-ганантамом на Международной кон-

16 АКТУДЯЫ_1АЯ ТЕМА Компетентность / Competency (Russia) 7/2023

DOI: 10.24412/1993-8780-2023-7-13-17

ференции IEEE по управлению инновациями и технологиями «Модель оценки рисков программного обеспечения».

Здесь основным методом оценки, используемым авторами, является модель оценки рисков программного обеспечения, построенная на основе обширного опросника. Авторы отмечают, что продуктивность персонала, гибкость графика поставок и, самое главное, сложность программного обеспечения оказывают существенное влияние на оценку рисков.

В данном подходе специалист по оценке рисков должен иметь доступ к таким ресурсам, как исходный код и статистика ошибок, которые недоступны среднему оценщику. Метод может применяться только при соблюдении вышеуказанных условий, а следовательно, не может называться универсальным и широко применимым.

Процесс оценки и обработки рисков ПО с использованием модельного подхода

материалах Международной конференции IEEE по сетям и информационным технологиям «Оценка рисков программного обеспечения и процесс оценки с использованием модельного подхода» М. Садик, М. К. И. Рахмани, М. В. Ахмад и С. Юнг предложили другой метод оценки рисков программного

Список литературы

1. ГОСТ Р 8.839-2013. ГСИ. Общие требования к измерительным приборам с программным управлением. — М., 2014.

2. ГОСТ Р ИСО/МЭК 27000-2012. Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология. — М., 2014.

3. ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. — М., 2011.

4. WELMEC 5.3. Issue 1. Risk assessment guide for market surveillance: weigh and measuring instruments. — 2011.

5. Directive 2014/32/EU of the European Parliament and of the Council of 26 February 2014 On measuring instruments // Official Journal of the European Union L 96. — 2014.

6. OIML D 31 Edition 2008 (E) General requirements for software controlled measuring instruments.

7. Р 50.2.077-2014. ГСИ. Испытания средств измерений в целях утверждения типа. Проверка защиты программного обеспечения. — М., 2014.

8. ГОСТ Р 8.654-2015. ГСИ. Требования к программному обеспечению средств измерений. — М., 2015.

обеспечения, также основанный на модели. Авторы описали процесс оценки и обработки рисков программного обеспечения, основанный на модели оценки и обработки рисков программного обеспечения. Их подход направлен на выявление угроз успешности программного проекта, а не угроз готовому программному продукту.

По мнению авторов, мотивация использования стратегии оценки на основе модели двоякая:

► с помощью модели можно сформулировать точные описания целевой системы, ее контекста и особенностей безопасности. Это необходимые условия для проведения оценки рисков;

► технология моделирования способствует более точному документированию результатов оценки рисков и допущений, от которых зависит их достоверность.

Ожидается, что это позволит снизить затраты на техническое обслуживание за счет расширения возможностей повторного использования документации. Подход к оценке состоит из следующих двух этапов: определение контекста для анализа и определение самих рисков. Прежде чем приступить к анализу риска, оценщику необходимо получить подробные сведения о цели анализа. Основанные на этих сведениях вопросы безопасности, связанные с программным обеспечением, должны обсуждаться со ссылкой на общие уязвимости или результаты инструментальных проверок уязвимостей.

Этот подход является более универсальным, чем предыдущий, так как не требует специальных данных, а основывается на общедоступной информации, которую можно получить путем исследования модели оценки рисков ПО.

Обобщая сказанное, можно прийти к выводу, что некоторые из рассмотренных методов оценки риска программного обеспечения узконаправленны и применимы только в своих областях. Для использования других подходов требуется дополнительная информация.

Таким образом, мы определили, что унифицированного метода, подходящего для оценки риска большинства средств измерений с программным обеспечением, не существует. В то же время нельзя не отметить наиболее перспективный подход, описанный в международном стандарте ГОСТ Р ИСО/МЭК 27000. Согласно общим критериям составляется перечень ак-

тивов, подлежащих защите, и соответствующие профили защиты. Оценка уровня риска проводится по ГОСТ Р ИСО/МЭК 27005-2010, то есть анализируются все аспекты оценки рисков программного обеспечения в разных направлениях. Благодаря совмещению подходов указанных стандартов можно получить единый наиболее эффективный метод. ■

Статья поступила в редакцию 25.02.2023

Kompetentnost / Competency (Russia) 7/2023 ТА f^ Л I TLIClflC

ISSN 1993-8780. DOI: 10.24412/1993-8780-2023-7-13-17 lUriCrtL 1ПСМС 17

Overview of Software Risk Assessment Methods

I.V. Lazareva1, FSBI All-Russian Research Institute of Metrological Service (FSBI VNIIMS), i.lazareva@vniims.ru А.N. Pan'kov2,3 4, FSBI VNIIMS, FSAEI FVT Academy for Standardization, Metrology and Certification (Training), FSBEI HE MIREA — Russian Technological University, PhD (Tech.), apankov@vniims.ru

1 Laboratory Assistant of Department, Moscow, Russia

2 Head of Laboratory, Moscow, Russia

3 Deputy Head of Department, Moscow, Russia

4 Associate Professor of Department, Moscow, Russia

Citation: Lazareva I.V., Pan'kov A.N. Overview of Software Risk Assessment Methods, Kompetentnost'/ Competency (Russia), 2023, no. 7, pp. 13-17. DOI: 10.24412/1993-8780-2023-7-13-17

key words

metrology, measuring instruments, risk assessment, software protection, information technology

References

Today, one of the main tasks of metrological service workers is to assess and minimize risks when using software in measuring instruments. A risk-based approach can help to solve it. The authors reviewed various risk assessment methods and came to the conclusion that some of the considered software risk assessment methods are narrowly focused and applicable only in their areas, or require additional information, for example, in the form of source code as for the van Dersen method. So, the most promising is the approach described in the international standard GOST R ISO/IEC 27000. According to the general criteria, a list of assets to be protected and their corresponding protection profiles are compiled. Risk level assessment is carried out in accordance with GOST R ISO/IEC 27005-2010, that is, by analyzing all aspects of software risk assessment in different directions. By combining the approaches of these standards, you can get a single most effective method.

1. GOST R 8.839-2013 SSM. General requirements for software controlled measuring instruments, Moscow, 2014, 42 P.

2. GOST R ISO/IEC 27000-2012 Information technology (IT). Methods and means of ensuring security. Information security management systems. General overview and terminology, Moscow, 2014, 22 P.

3. GOST R ISO/IEC 27005-2010 Information technology (IT). Methods and means of ensuring security. Information security risk management, Moscow, 2011, 51 P.

4. WELMEC 5.3. Issue 1. Risk assessment guide for market surveillance: weigh and measuring instruments, 2011.

5. Directive 2014/32/EU of the European Parliament and of the Council of 26 February 2014 On measuring instruments, Official Journal of the European Union L 96, 2014.

6. OIML D 31 Edition 2008 (E) General requirements for software controlled measuring instruments.

7. R 50.2.077-2014 SSM. Tests of measuring instruments for the purpose of type approval. Software security check, Moscow, 2014, 24 P.

8. GOST R 8.654-2015 SSM. Software requirements for measuring instruments, Moscow, 2015, 12 P.