Cравнение нормативных документов

Возьмём для сравнения четыре нормативных документа:

• DO-178В (КГ- 178В или ГОСТ Р 51904: 2002);

• IEC 61508-3:2010 (ГОСТ РМЭК 61508-3:2012);

• РД ФСТЭК «Зашита от несанкционированного доступа к информации. Часть 1.

Программное обеспечение средств зашиты информации. Классификация по уровню контроля отсутствия не-декларированных возможностей»;

• IEC 15408-3:2008 (ГОСТ Р ИСО/МЭК 15408-3:2013 «Обшие критерии»). Всеми этими документами (хотя и под разными названиями и в разном составе) так или иначе предписываются одни и те же методы контроля качества:

• функциональное тестирование, то есть проверка соответствия реальной и заявленной функциональности;

• структурное тестирование, то есть построение перечня маршрутов выполнения и анализ покрытия этих маршрутов тестовыми сценариями;

• модульное тестирование, то есть тестирование каждого программного модуля по отдельности и в совокупности на различных наборах данных, включая некорректные и граничные значения;

• проверка соответствия стандартам кодирования, то есть соответствие требованиям выбранных методик написания и оформления кода (M1SRA, CWE, венгерская нотация и т.п.);

• подсчёт количественных метрик, то есть численных оценок объёма, сложности, тестируемости и сопровождаемости кода, степени покрытия требований и т.п.;

• контроль сцепления (связанности) по управлению и данным, то есть соблюдение принятых ограничений на связи и способы взаимодействия между модулями;

• отчётность об использовании переменных.

Конкретный набор применяемых методов контроля зависит от уровня безопасности: для низких уровней всё обычно ограничивается функциональным тестированием, для самых высоких может требоваться всё сразу. И это только если ограничиться требованиями к самому ПО, а если рассмотреть ещё и требования к процессу разработки (жизненный цикл, трассировка требований, управление конфигурацией и т.п.), то параллелей будет ещё больше.

И тут возникает резонный вопрос: коль скоро в основе обеспечения различных видов безопасности лежат одни и те же методы, и это подтверждено нормативной базой, то, может быть, возможен и единый практический подход, подкреплённый единым набором инструментальных средств.

В третьей части статьи речь пойдёт о способах и возможных практических подходах к сокращению стоимости сертификации.

16.03.2014

Добавить страницу в мои закладки:

Смотрите также:

Что вы чаще всего делаете в Интернете?

Загрузка ... Загрузка ...