Роздрукувати сторінку
Главная \ Методичні вказівки \ Методичні вказівки \ 449 Тести до теми Проблеми безпеки у відкритих інформаційних системах, НУДПСУ

Тести до теми Проблеми безпеки у відкритих інформаційних системах, НУДПСУ

« Назад

449 Тести до теми Проблеми безпеки у відкритих інформаційних системах, НУДПСУ

Тести до теми "Проблеми безпеки у відкритих інформаційних системах"

  1. Заходи формування режиму інформаційної безпеки не мають рівня: а. адміністративного; б. економічного; в. програмного; г. араратного.

  2. До основних аспектів інформаційної безпеки не відноситься: а. доступність інформації; б. Конфіденційність; в. цілісність; г. правильність.

  3. Найбільша вага форм захисту інформації припадає на рівень: а. програмний; б. апаратний; в. економічний; г. законодавчий.

  4. Політика безпеки - це: а. комплекс законів та правил, що визначають , яким чином підприємство обробляє та  захищає інформацію;  б. Основна тенденція, яка відповідає безпечній обробці інформації; в. державна програма, що відповідає принципам безпеки середовища; г. методика, яка має забезпечити розробку ПЗ,  що здатне захистити інтереси користувача у відносинах з іншими користувачами.

  5. Дестабілізуючим  фактором не є: а. якісна недостатність; б. Помилка елементів; в. операційна система; г. стихійні лиха.

  6. Мотивом порушень не є: а. самоствердження; б. безвідповідальність; в. корисливі мотиви; г. технологічна доцільність.

  7. Комп’ютерним злочином є випадок, коли : а. на працівника впав системний блок; б. Працівник вкрав сканер; в. працівник відформатував диск, на т якому містилася БД підприємства; г. працівник у робочий час грався у комп’ютерні ігри.

  8. Комп’ютерний вірус - це: а. програма; б. Дефект переферійного обладнання; в. особливій режим роботи ОС; г. будь-яка програма, що містить помилки.

  9. Сигнатура вірусу - це: а. його назва; б. Його фрагмент коду, що міститься у всіх копіях вірусу; в. список властивостей вірусу; г. операційна система, для якої призначений вірус.

  10. Комп’ютерні віруси не класифікують за:  а. мовою програмування; б. Середовищем існування; в. способом зараження; г. деструктивними можливостями.

Проблеми безпеки у відкритих інформаційних системах

Інформація як об’єкт захисту

Інформаційні ресурси, що є основним об’єктом ІТ, - це інформація, яка має певну цінність та може бути використана людиною в її продуктивній діяльності. Цінність інформації - основний критерій у прийнятті рішень щодо її захисту.

Інформаційна безпека (ІБ) - захищеність інформації та інфраструктури, яка її підтримує, від випадкових або навмисних впливів природного чи штучного характеру, здатних завдати збитків власникам або користувачам інформації. Безпека - це якісна характеристика системи, її не можна вимірювати в якихось одиницях. Більш того, неможливо навіть з однозначним результатом порівнювати безпеку двох ІС - одна буде мати кращий захист в одному випадку, друга – в іншому.

Проблеми, пов'язані з ІБ, для різних категорій суб'єктів істотно різняться (приміром, для режимних військових організацій та комерційних структур). Але найбільш масова категорія користувачів – це саме комерційні структури.

ІБ не зводиться винятково до захисту інформації (ЗІ). Суб'єкт інформаційних відносин може постраждати (зазнати збитків) не тільки від несанкціонованого доступу (НСД), але й від поломки системи, що спричиняє перерву в обслуговуванні.

Основні аспекти інформаційної безпеки пов’язані з доступністю, цілісністю та конфіденційністю інформації. 1. Доступність – це можливість за прийнятний час одержати необхідну інформаційну послугу. 2. Цілісність – це актуальність і несуперечність інформації, її захищеність від руйнації і несанкціонованої зміни. 3. Конфіденційність – це захист інформації від несанкціонованого читання.

Крім того, інформацію слід використовувати відповідно до чинного законодавства. Але специфіка ІТ полягає у винятково швидких темпах розвитку. Тому законодавство майже завжди відстає від потреб практики, і це створює певні проблеми.

Формування режиму інформаційної безпеки – це комплексна проблема. Заходи формування режиму інформаційної безпеки мають кілька рівнів: 1. законодавчий; 2. морально-етичний; 3. адміністративний; 4. процедурний; 5. технічний: 6. апаратний, 7. програмний.

Законодавчий рівень - це закони, нормативні акти, стандарти тощо. Адміністративний рівень – це дії загального характеру, що виконуються керівництвом організації. Процедурний рівень - це конкретні заходи безпеки, пов’язані з людьми. Технічний рівень – це конкретні технічні засоби, апаратура, програмні продукти.

За останніми даними, найбільша питома вага форм захисту комп’ютерної інформації припадає на правові засоби – 60%, на криптографічні – 20%, програмні –14%, апаратні - 3% та фізичні – 3%.

Сьогодні спеціальні закони, спрямовані на захист секретної інформації, прийняті в Австрії, Канаді, Данії, ФРН, Франції, Ізраїлі, Великобританії тощо. У деяких федеративних країнах, таких, як США, крім федеративних статутів з обробки інформації, існують аналогічні закони в різних штатах. Держави, в яких діє законодавство із захисту секретності, перебувають у кращому стані, ніж інші.

Політика безпеки (ПБ) – це комплекс законів, правил та норм поведінки, що визначають, яким чином підприємство обробляє, захищає та поширює інформацію.

Загроза - це потенційно можлива несприятлива дія на інформацію. Спектр загроз безпеки досить великий. З огляду на те, що на безпеку об'єктів захисту впливає багато різноманітних загроз, принципи створення і роботи засобів захисту також досить різноманітні.

Класифікація загроз безпеці комп’ютерних систем

Класифікація загроз безпеці комп’ютерних систем може здійснюватися за такими критеріями: 1. за метою реалізації загрози; 2. за принципом впливу на ІС; 3. за характером впливу на ІС; 4. за причиною появи помилок у захисті; 5. за способом впливу на об’єкт атаки; 6. за об’єктом атаки; 7. за засобами атаки; 8. за станом об’єкта атаки.

Найпоширеніші види загроз безпеці ІС. Несанкціонований доступ (unauthorized access) полягає в отриманні користувачем доступу до об’єкта, на який у нього немає дозволу відповідно з прийнятою в конкретній організації політикою безпеки. Це найпоширеніший вид комп’ютерних порушень. Основна проблема тут полягає у тому, щоб визначити, хто до яких наборів даних повинен мати доступ, а хто - ні. За характером впливу несанкціонований доступ є активним впливом, що використовує будь-яку помилку з можливого набору помилок (приміром, неадекватність ПБ реальної комп’ютерної системи, помилки проектування системи захисту та помилки кодування). Методика реалізації несанкціонованого доступу значною мірою залежить від організації обробки інформації в конкретній ІС.

Порушення, що здійснюються за допомогою незаконного використання привілеїв, є активним впливом, який також використовує будь-яку помилку. Такі порушення можливі або за наявності помилок у самій системі захисту, або внаслідок недоброякісного керування ІС в цілому та привілеями зокрема.

Троянський кінь” – це програма, що виконує, крім основних, додаткові, не описані в документації дії.

За характером “троянський кінь” належить до активних загроз, які реалізуються програмними засобами в пакетному режимі.

Черв’як” – це програма, що розповсюджується через мережу і не залишає своєї копії на магнітному носії.

Він використовує механізм підтримки мережі для визначення вузлів, які можна заразити, а потім за допомогою тих самих механізмів передає своє тіло або його частину на ці вузли, де й активізується.

Жадібні” програми (greedy programs) - це програми, що намагаються монополізувати якийсь ресурс, не даючи іншим програмам можливість його використовувати.

Захоплювачі паролів (password grabbers) – це спеціальні програми, призначені для крадіжки паролів. Вони виводять на екран користувача повідомлення, що імітує запит на введення імені користувача та пароля. Після того, як користувач вводить цю інформацію, програма пересилає отримані дані власнику програми-захоплювача, та інформує користувача про помилку вводу.

Захоплення пароля є активним, безпосереднім впливом на комп’ютерну систему в цілому.

Стандарти інформаційної безпеки - це документи, які регламентують основні поняття та концепції інформаційної безпеки на державному та міждержавному рівнях, визначають поняття “захищена система” шляхом стандартизації вимог та критеріїв безпеки, які формують шкалу оцінки ступеня захищеності ІС. Саме наявність таких стандартів дозволяє узгоджувати потреби користувачів та замовників ІС з якісними характеристиками ПЗ, що створюють розробники ІС.

Захищена система - це система, яка відповідає конкретному стандарту інформаційної безпеки.

Інформація має цінність, тому для ефективного її збереження необхідно знати, в чому саме ця цінність полягає та яка небезпека їй загрожує: 1. якщо цінність інформації втрачається при її розкритті, то вважають, що існує небезпека порушення таємності інформації;  2. якщо цінність інформації втрачається при зміні або знищенні інформації, то вважають, що існує небезпека для цілісності інформації; 3. якщо цінність інформації в її оперативному використанні, то вважають, що існує небезпека порушення доступності інформації; 4. якщо цінність інформації втрачається при збоях у системі, то вважають, що існує небезпека втрати стійкості до помилок.

Приміром, загроза перехоплення випромінювання з дисплея призводить до втрати таємності, загроза пожежі - до порушення цілісності інформації, загроза розірвання каналу може реалізувати небезпеку втрати доступності. Загроза збою електроенергії може спричинити небезпеку неправильної оцінки ситуації у системі управління.

Класи загроз інформації: 1. порушення конфіденційності; 2. порушення цілісності (логічної і фізичної);

порушення доступності або відмова в обслуговуванні; 3. порушення здатності до спостереження або керованості; 4. несанкціоноване використання інформаційних ресурсів.

Дестабілізуючий фактор (ДФ) - це подія, наслідком якої може бути загроза інформації.

ДФ може виникати на будь-якому етапі життєвого циклу ІС. Усі відомі ДФ можна поділити на такі типи: 1. кількісна недостатність - фізична нестача компонентів ІС для забезпечення необхідної захищеності інформації; 2. якісна недостатність - недосконалість конструкції або організації компонентів ІС, внаслідок чого не забезпечується необхідна захищеність інформації, що обробляється; 3. відмова елементів - порушення працездатності елементів, що призводить до неможливості виконання ними своїх функцій; 4. збій елементів - тимчасове порушення працездатності елементів, яке призводить до неправильного виконання ними в цей момент своїх функцій; 5. помилки елементів - неправильне (одноразове або систематичне) виконання елементами своїх функцій унаслідок їх специфічного (постійного або тимчасового) стану; 6. стихійні лиха - випадково виникаючі неконтрольовані явища, що призводять до фізичних руйнувань; 7. зловмисні дії - дії людей, спеціально націлені на порушення захищеності інформації; 8. побічні явища - явища, що супутні виконанню елементом ІС своїх функцій.

Джерела ДФ: 1. персонал - особи, що мають якесь відношення до функціонування ІС; 2. технічні засоби; 3. моделі, алгоритми, програми; 4. технологія функціонування; 5. зовнішнє середовище.

Порушник – особа, яка здійснила спробу виконання забороненої операції (дії) за помилкою, незнанням або свідомо зі злими намірами (з корисливих інтересів або без таких - заради гри або задоволення, з метою самоствердження). Для досягнення своєї мети порушник має прикласти деяких зусиль, витратити певні ресурси, використовуючи для цього різні можливості, методи та засоби. Зловмисник - це порушник, який навмисно йде на порушення.

Порушників поділяють на зовнішніх та внутрішніх. Внутрішніми порушниками можуть бути користувачі ІС або персонал, що обслуговує технічні засоби. Зовнішніми порушниками можуть бути клієнти або представники інших організацій.

Методи вторгнення поділяють на активні та пасивні.

При активному вторгненні порушник прагне замінити інформацію, яка передається в повідомленні. Він може вибірково модифікувати, заміняти або додавати вірне чи невірне повідомлення, змінювати порядок повідомлень. Порушник може також анулювати або затримувати всі повідомлення.

При пасивному вторгненні порушник тільки спостерігає за проходженням інформації лініями зв’язку, не вторгаючись ані в інформаційні потоки, ані в зміст інформації, що передається. Зазвичай він аналізує потік повідомлень, фіксує пункти призначення або факт проходження повідомлення, його розмір та частоту обміну, якщо зміст не підлягає розпізнанню.

Мотиви порушень можна поділити на три категорії: 1. відповідальність, 2. Самоствердження, 3. дії з корисливою метою. При порушеннях, викликаних безвідповідальністю, користувач цілеспрямовано або випадково здійснює руйнуючі дії, що не пов'язані проте зі злим умислом. Здебільшого це наслідок некомпетентності або недбалості. Деякі користувачі намагаються отримати доступ до системних даних заради самоствердження або у власних очах, або в очах колег. Порушення безпеки ІС може бути викликано корисливим інтересом користувача, який цілеспрямовано намагається подолати систему захисту для доступу до інформації в ІС. Навіть наявність в ІС засобів, що роблять таке проникнення надзвичайно складним, не може цілком захистити її від проникнення.

Стандарти захисту інформації

Змістом  політики безпеки інформації є встановлення співвідношень між конфіденційністю, цілісністю та доступністю інформації. Дотримання ПБ має забезпечити той компроміс, що обрали власники цінної інформації для її захисту. Після прийняття такого рішення можна будувати захист, тобто систему підтримки виконання правил ПБ. Таким чином, побудована система захисту інформації задовільна, якщо вона надійно підтримує виконання правил ПБ.

Таке визначення проблеми захищеності інформації дозволяє залучити точні математичні методи для доведення того, що дана система у заданих умовах підтримує ПБ. Це дозволяє говорити про “гарантовано захищену систему”, в якій при дотримуванні початкових умов виконуються усі правила ПБ. Термін “гарантований захист” вперше зустрічається у стандарті міністерства оборони США на вимоги до захищених систем - "Оранжевій книзі" (OK). ОК була розроблена у 1983 р. і прийнята стандартом у 1985 р. Міністерством оборони США для визначення вимог безпеки до апаратного, програмного і спеціального забезпечення комп’ютерних систем та створення відповідних методологій аналізу ПБ, що реалізувалася в комп’ютерних системах військового призначення. OK надає виробникам стандарт, що встановлює, якими засобами безпеки варто оснащувати свої продукти, щоб вони задовольняли вимоги гарантованої захищеності (мається на увазі, насамперед, захист від розкриття даних) для використання при обробці цінної інформації.

Країни Європи (Франція, Німеччина, Нідерланди, Великобританія) у 1991 р. розробили спільні “Критерії безпеки інформаційних технологій” (“Information Technology Security Evaluation Criteria”), в яких розглянуті такі цілі засобів інформаційної безпеки:

  • захист інформації від несанкціонованого доступу з ціллю забезпечення конфіденційності,
  • забезпечення цілісності інформації шляхом захисту її від несанкціонованої модифікації та знищення,
  • забезпечення працездатності систем за допомогою протидії загрозам відмови в обслуговуванні.

У 1992 році Державна технічна комісія Росії видала від свого імені документи, аналогічні за цілями і змістом ОК.

У всіх документах,пов'язаних з ОК, безпеку інформації розуміють як контроль за доступом до інформації.

Окрім передумов для протидії всім основним видам загроз, ОК містить вимоги, в основному спрямовані на протидію загрозам конфіденційності. Це пояснюється її орієнтованістю на системи військового призначення. Європейські критерії безпеки ІТ перебувають приблизно на тому ж рівні, хоч і приділяють загрозам цілісності набагато більшу увагу. Документи Державної технічної комісії Росії виглядають більш відсталими, тому що навіть у самій їхній назві визначена єдина аналізована в них загроза - несанкціонований доступ.

Федеральні критерії безпеки інформаційних технологій, що були розроблені в складі американського федерального стандарту з обробки інформації як альтернатива ОК, докладно розглядають усі види загроз і пропонують механізм профілів захисту для опису загроз безпеки, що властиві середовищу експлуатації конкретного продукту ІТ. Це дозволяє враховувати специфічні види загроз. Канадські критерії безпеки комп'ютерних систем, що були розроблені в Центрі безпеки відомства безпеки зв'язку Канади на основі ОК і під впливом Федеральних критеріїв безпеки інформаційних технологій США, обмежуються типовим набором загроз безпеки. Єдині критерії безпеки інформаційних технологій ставлять на перше місце задоволення потреб користувачів, пропонуючи для цього відповідні механізми, що дозволяє говорити про якісно новий підхід до проблеми безпеки інформаційних технологій. Прийняті в Україні критерії, що складаються з чотирьох документів, найбільш близькі до Канадських критерії безпеки.

Комп’ютерна система безпечна, якщо вона забезпечує контроль за доступом до інформації так, що тільки  уповноважені особи або процеси, що функціонують від їхнього імені, мають право читати, писати, створювати або знищувати інформацію.

Політика безпеки містить норми, правила і практичні прийоми, що регулюють управління, захист і розподіл цінної інформації. ПБ надає комплекс поглядів, основних принципів, практичних рекомендацій і вимог, що закладаються в основу комплексної системи захисту інформації.

Рівні ПБ: 1. політичний (розроблення офіційної політики захисту інформації); 2. аналітичний (створення процедур для попередження порушень); 3. профілактичний (типи процедур, послуги і функції інформаційної безпеки); 4. управлінський (реакція на порушення інформаційної безпеки);  5. технологічний (розроблення заходів, що застосовуються після порушень).

Створення політики захисту означає розроблення плану вирішення питань, що пов’язані з комп’ютерним захистом. Один з найбільш загальних підходів до рішення цієї проблеми полягає в формулюванні відповідей на питання: 1. Від кого і від чого потрібно захищати інформацію? 2. Які ймовірні загрози захищеній інформації? 3. Які рішення щодо забезпечення захисту існують? 4. Чи можуть ці рішення забезпечити достатній захист? 5. Які заходи для реалізації обраних рішень найбільш економічні? 6. Як постійно стежити за процесом захисту і покращувати його, якщо  знайдене слабке місце?

Класифікація моделей безпеки

Жорсткість вимог до безпеки інформації в сучасних обчислювальних системах висуває на перший план питання гарантованого досягнення заданого рівня ефективності функціонування систем їх захисту. Важлива роль приділяється обґрунтуванню повноти і правильності рішень, що приймають при формуванні політики безпеки обчислювальних систем, та вимогам до комплексам засобів захисту із застосуванням формалізованих методів дослідження політик безпеки ВР на основі моделей безпеки.

На сьогоднішній день сформовані теоретичні основи захисту інформації у обчислювальних системах, накопичений значний практичний досвід реалізації захищених ІТ. У той же час дослідження та синтез відповідних моделей залишається нетривіальною задачею. Істотним фактором синтезу формалізованих моделей ПБ є обґрунтованість вибору моделей безпеки з набору вже існуючих моделей, ураховуючи їх сумісність.

В основу класифікації покладено розподіл моделей за видами загроз, протидія яким розглядається в моделях, а саме виділяються три класи моделей:

1. моделі розмежування доступу до інформації: 1.1. побудовані за принципом надання прав: а. дискретного доступу; б. мандатного доступу; в. спеціалізовані; 1.2. імовірнісні моделі: а. ігрова модель; б. модель системи безпеки з повним перекриттям; 1.3. інформаційні моделі: а. невтручання; б. невиведення; в. потоків інформації; 2. моделі контролю цілісності інформації: 2.1 Біба; 2.2. Кларка та Вільсона; 2.3. цілісності ядра системи; 3.  моделі забезпечення доступності інформації. 3.1. мандатні; 3.2. розподілу ресурсів Міллєна.

Найбільш досліджені на сьогодні моделі розмежування доступу до інформації. Історично склалося так, що перші моделі були розроблені  в інтересах військових   відомств, які  приділяли   основну   увагу   захисту   від порушення  конфіденційності  інформації.   Отримані  в  процесі досліджень  результати  в  значній   мірі  вплинули   на  розробку моделей контролю цілісності і забезпечення приступності інформації.

Загальні рекомендації щодо інформаційної безпеки

1. Необхідний комплексний підхід до інформаційної безпеки.

Інформаційну безпеку слід розглядати як складову частину загальної безпеки, причому як важливу і невід'ємну її частину. Розроблення концепції інформаційної безпеки має обов'язково проходити за участю керівництва об’єкта захисту. У цій концепції потрібно передбачати не тільки заходи, пов'язані з інформаційними технологіями (криптозахист, програмні засоби адміністрування прав користувачів, їх ідентифікації й аутентифікації, "брандмауери" для захисту входів-виходів мережі тощо), але й заходи адміністративного і технічного характеру, включаючи жорсткі процедури контролю фізичного доступу до автоматизованої банківської системи, а також засоби синхронізації й обміну даними між модулем адміністрування безпеки банківської системи і системою охорони.

2. Необхідна участь співробітників керівництва безпеки на етапі вибору-придбання-розроблення автоматизованої системи.

Цю участь не слід зводити до перевірки надійності постачальника та його продукції. Керівництво безпеки має контролювати наявність належних засобів розмежування доступу до інформації, що одержує система.

Необхідний рівень захисту можна визначити за допомогою управління ризиком - процесом, що містить процедури: 1. оцінки можливих витрат через використання АІС; 2. аналізу потенційних загроз і вразливого місця системи, що впливають на оцінки можливих витрат; 3. вибору оптимальних за ціною заходів і засобів захисту, що зменшують ризик до прийнятного рівня.

Шифрування

Одним із поширених методів захисту інформації є її криптографічний захист, тобто шифрування. Найважливіші критерії, за якими оцінюють системи шифрування, визначені К.Шенноном ще у 1945 р. таким чином: 1. Кількість секретності - яка кількість зашифрованої інформації дає можливість її розкодування. 2. Довжина ключа. 3. Складність операцій шифрування та дешифрування. 4. Розростання кількості помилок. 5. Збільшення обсягу зашифрованого повідомлення.

Ці п’ять критеріїв виявляються несумісними, якщо їх застосовують до природномовних текстів зі складною структурою. Але, якщо відкинути будь-який з них, інші чотири задовольняються досить успішно.

Шифрування даних може здійснюватися в режимах On-Line (у темпі надходження інформації) і Off-Line (автономному). Найбільш поширені два алгоритми шифрування: DES та RSA. Ці алгоритми покладені в основу електронного цифрового підпису.

Стандарт шифрування даних DES (Data Encryption Standard) розроблений фірмою IBM на початку 70-х років і в даний час є урядовим стандартом для шифрування цифрової інформації. Він рекомендований Асоціацією Американських Банкірів. Складний алгоритм DES використовує ключ довжиною 56 біт і 8 біт перевірки на парність і вимагає від зловмисника перебору 72 квадрильйонів можливих ключових комбінацій, забезпечуючи високий ступінь захисту при невеликих витратах. При частій зміні ключів алгоритм задовільно вирішує проблему перетворення конфіденційної інформації у недоступну.

Алгоритм RSA був винайдений Ривестом, Шаміром і Альдеманом у 1976 році. Він являє собою значний крок у криптографії. Цей алгоритм також був прийнятий як стандарт Національним Бюро Стандартів.

В асиметричних алгоритмах шифрування використовуються різні ключі при шифруванні і дешифруванні, а у симетричних - один. Користувачі асиметричних алгоритмів шифрування мають два ключі і можуть вільно поширювати свій відкритий ключ. Відкритий ключ використовується для шифрування повідомлення користувачем, але тільки визначений одержувач може дешифрувати його своїм секретним ключем; відкритий ключ не придатний для дешифрування. Це робить непотрібними секретні угоди про передачу ключів між кореспондентами. DES є симетричним алгоритмом, а RSA - асиметричним.

Чим довший ключ, тим вищий рівень безпеки (але стає довшим і процес шифрування та дешифрування). DES визначає довжину даних і ключа в бітах, а RSA може бути реалізований за будь-якої довжини ключа. Ключі DES можна згенерувати за мікросекунди, тоді як зразковий час генерації ключа RSA - десятки секунд. Тому відкритим ключам RSA надають перевагу розроблювачі програмних засобів, а секретним ключам DES - розроблювачі апаратури.

Комп’ютерні злочини

Інтенсивне впровадження електронної обробки інформації в економіку, управління та у сферу кредитно-фінансової системи зумовило виникнення злочинів нового типу - комп'ютерних злочинів.

Зловживання у сфері використання комп'ютерної техніки розпочалися водночас з появою комп'ютерів. Модель скоєння цих злочинів зазнала багато змін. Спочатку найбільші проблеми для власників комп'ютерної техніки спричиняли злочини, пов'язані з розкраданням машинного часу. Це зумовлювалось тим, що комп'ютери, маючи невелику потужність, водночас були надто дорогими. Поширення загальних комп'ютерних знань, постійне підвищення технічних характеристик та застосування комп'ютерів в ycix галузях, розвиток машинних мов високого рівня, що легко засвоюються будь-якою зацікавленою особою, i, як наслідок, постійне зростання кількості користувачів зумовило зростання масштабів протизаконних дій, пов'язаних із використанням ЕОМ. Збільшення кількості кримінальних справ з комп'ютерної злочинності спостерігається практично у всіх промислово розвинутих країнах.

Комп’ютерний злочин – це злочин, де комп’ютер безпосередньо є об’єктом або знаряддям здійснення правопорушень у суспільних сферах, пов’язаних із використанням обчислювальної техніки.

Комп'ютерні злочини умовно можна поділити на дві категорії:

1) злочини, що пов'язані з втручанням у роботу комп'ютерів;

2) злочини, що використовують комп'ютери як необхідні технічні пристрої.

До першого типу комп'ютерної злочинності належать:

  • несанкціонований доступ у комп'ютерні мережі і системи, банки даних з метою шпигунства (військового, промислового, економічного) та диверсій з метою комп'ютерного розкрадання або з хуліганських мотивів;
  • введення в ПЗ «логічних бомб», що спрацьовують за певних умов (логічні бомби, що загрожують знищенням даних, можуть використовуватися для шантажу власників ІС і виконувати нові функції, що не планувалися власником програми, при збереженні працездатності системи; приміром, відомі випадки, коли програмісти вводили в програми фінансового обліку команди, що переводили на рахунки цих програмістів грошові суми );
  • розроблення і поширення комп'ютерних вірусів;
  • злочинна недбалість під час розроблення, виготовлення та експлуатації ПЗ, що призводить до тяжких наслідків;
  • підробка інформації (інформаційних продуктів) і здача замовникам непрацездатних програм;
  • розкрадання інформації (порушення авторського права і права володіння програмними засобами і базами даних).

Серед комп'ютерних злочинів другого типу можна виділити злочини, що сплановані за допомогою комп'ютерних моделей, приміром, у сфері бухгалтерського обліку.

Комп’ютерні віруси – це найпоширеніша і найвідоміша користувачам загроза інформації.

Перші дослідження штучних конструкцій, здатних самостійно розмножуватися, проводилися в середині минулого століття відомими вченими-математиками Дж.фон Нейманом та Н.Bінepом, академіком АН СРСР та АН УРСР В.М.Глушковим. У їхнix працях дано визначення i проведено математичний аналіз кінцевих автоматів, у тому числі й здатних себе відтворювати. Термін "комп'ютерний вipyc" з'явився пізніше. Офіційно вважається, що його вперше вжив Ф.Коен у 1984 р. (Лехайський університет, США): комп'ютерний вipyc - програма, що може заражати інші програми, модифікуючи їх додаванням своєї, можливо, зміненої, копії. Проте це визначення не конкретизує, що це за копія та в чому її відмінність від оригіналу. Відтоді минуло багато часу, але чіткого визначення терміну й досі немає.

Головна умова існування вipyciв — універсальна інтерпретація інформації в обчислювальних системах. Bipyc у процесі зараження програми може інтерпретувати її як дані, а в процесі виконання — як виконавчий код. Цей принцип покладено в основу вcix сучасних комп'ютерних систем, що використовують apxiтектуpy фон Неймана.

Ключовим поняттям у визначенні вipycy є його спроможність до розмноження, оскільки це - єдиний критерій, що дозволяє відрізнити віруси від інших програм.

Комп'ютерний вipyc — це невелика програма, яка може самостійно розмножуватись, переноситись на інші носії інформації чи передаватися мережею та порушувати нормальну роботу ПЗ. Комп'ютерний вipyc — це звичайна програма для ЕОМ, тобто результат творчої розумової діяльності людини.

Файл, в якому міститься вipyc, називається зараженим. Коли заражена програма починає свою роботу, то спочатку управління отримує вipyc. Bipyc знаходить i заражає інші програми, а також виконує які-небудь шкідливі дії, приміром, нівечить файли або таблицю розміщення файлів на диску, "засмічує" оперативну пам'ять. Для маскування вipycy його дії, що пов’язані з нанесенням шкоди, можуть виконуватись не завжди, а тільки за певних умов. Після того, як вipyc виконає необхідні йому дії, він передає управління тій програмі, в якій він перебуває, i вона працює так, як i звичайно. Якщо вірусом заражено не програму, а файл іншого типу (приміром, документ, створений в MS Word), то управління передається вірусу після звертання відповідної програми до зараженого файлу. Слід зауважити, що найчастіше віруси заражають саме програми – через те, що це найбільш розповсюджені файли фіксованої структури.

Автори комп’ютерних вірусів поділяються на кілька груп. Якщо технопати (люди з психічними відхиленнями) та студенти пишуть вірусні програми без будь-якої реальної цілі, то терористи або ображені на керівництво співробітники використовують віруси як засіб шантажу. У всіх випадках виявлення розробники вірусів мають притягатися до судової відповідальності.

Найпоширеніші ознаки присутності вірусів: 1. зміна розмірів файлів; 2. помітне зменшення швидкодії комп’ютера; 3. поява пошкоджених секторів на диску; 4. поява на екрані непередбачених повідомлень; 5. зависання деяких програм; 6. зменшення вільного місця на диску.

Класифікація комп'ютерних вірусів

Для зручності ідентифікації вірусів бажано було б, щоб кожен вipyc мав своє ім'я. Стандартна класифікація суттєво полегшує накопичення i розповсюдження знань у будь-якій галузі, i комп'ютерні віруси не є винятком. Стосовно комп'ютерних вipyciв вона допомагає розв’язанню такої важливої задачі, як однозначне визначення типу виявленого вipycy. При цьому має використовуватися обмежений набір порівняно простих i чітких ознак, які не потребують проведення глибокого аналізу заражених програм i елементів операційної системи. Існуючі нині класифікації, як правило, базуються на розповсюджених серед програмістів назвах, які відображають ту чи іншу властивість вipycу. Аналізуючи наявні неформальні назви, можна розділити їx на чотири групи за принципом створення:  1. за місцем виявлення або розроблення вірусу (приміром, Lehigh, Jerusalem, Vienna, Alameda); 2. за текстовими рядками у тілі вipусу (приміром, Vacsine, Eddie, Dark Avenger, Disk Killer); 3. за ефектом, який викликає вірус (приміром, Time Bomb, Cascade, Black Friday); 4. за довжиною тіла вipycy або збільшенням довжини зараженого файлу (приміром, 524, 648, 1800, 2000). Але за такими класифікаціями один i той самий вipyc може мати багато різних назв, що створює певні ускладнення.

Основною вимогою до прийнятної для вcix класифікації є об’єктивність, тобто класифікація має будуватися на фіксованому набopi ознак, які можна спостерігати чи вимірювати. В ідеальному випадку ці ознаки мають бути вибрані так, щоб розробники антивірусних засобів, що працюють незалежно, завжди обирали одну i ту ж назву для одного вipycу i piзні назви - для різних вірусів. Це забезпечувало б швидке виявлення нових штамів вipyciв.

Зрозуміло, що така класифікація суттєво полегшує систематизацію, поширення i накопичення знань, а також вибір програмних засобів для боротьби з тим чи іншим вipycoм. Крім наявності класифікації, велике значення має й проблема стандартизації, тобто прийняття її за стандартну.

Значне поширення набули системи Д.М.Лозинського (AIDSTEST), М.М. Безрукова та фірми McAfee Associates (Scan), але єдиної класифікації комп'ютерних вірусів на сьогодні не існує. Найбільш вдалою з них вважається система, запропонована М.М. Безруковим [2], яка містить три основні елементи: 1. код вірусу; 2. дескриптор вірусу; 3. сигнатуру вірусу.

У схемі, яку пропонує М.М. Безруков, кожному вipycy присвоюється код, що складається з літерного префікса, кількісної характеристики i не обов’язкового літерного суфікса. Приміром, у коді RCE-1813c: RCE — префікс, 1813 — коpiнь (характеристика), а с — суфікс. Kpiм того, вірус може мати розширення, яке записується в кінці коду через крапку. Воно характеризує групу, до якої належить даний вipyc. Приміром, RCE-1813. IER означає, що даний вipyc належить до єрусалимської групи вірусів.

Головною вимогою до класифікаційного коду вipycy є можливість визначення більшості його властивостей на не зараженому комп'ютері. Виконання будь-яких дій з дослідження вipycy на зараженому комп’ютері є найбільш розповсюдженою помилкою недосвідчених користувачів. Будь-які дії на комп'ютері, зараженому невідомим вірусом, пов'язані з певним ризиком викликати спрацювання троянської компоненти вipycy. Kpiм того, резидентний вipyc з метою маскування може перехоплювати запит та перекручувати інформацію, що видається.

Префікс вказує на місце розміщення голови вipycy i складається з літер i цифр, починаючи з великої літери. Відповідно до цього розрізняють таки типи вipyciв: 1. • файлові (голова вipycy розміщується в СОМ- та ЕХЕ-файлах — відповідно символи С та Е в префіксі).  2. • бутові (голова вipycy розміщується в бут-секторі або блоці MBR — символи В, R або М у префіксі); 3. • пакетні (голова вipycy розміщена в пакетному файлі, тобто являє собою рядок або програму мовою керування завданнями операційної системи — префікс J). Крім того, існують “гібридні” віруси, що є комбінацією файлових та бутових вірусів.

Характеристика вipycy - це кількісно вимірювана властивість вipycy, яка допускає просте визначення i розрізняється для більшості типів вipyciв. Приміром, для файлових вipyсів за характеристику можна використовувати величину збільшення довжини файлів при зараженні.

Суфікс використовується, якщо два різних віруси або два штами того самого вipycy мають однакові префікс i характеристику.

Дескриптор вірусу – це формалізований список його основних властивостей.

 Дескриптор вірусу систематизує основні характеристики вірусу в закодованому вигляді. Кодування складається з груп символів, починаючи з великої латинської літери. При цьому велика латинська літера визначає вид характеристики, а наступні за нею малі літери або цифри — значення характеристики для конкретного вipycy. Приміром, в дескрипторі "Хаb Yc Zdmt" є три властивості: Х — iз значенням "ab". Y — із значенням "с" i Z — із значенням "dmt".

Сигнатура вірусу — це фрагмент коду, що міститься у вcix копіях віpycy i тільки в них, та може використовуватися для пошуку даного вірусу в зараженій програмі.

Сигнатура вipycy майже однозначно визначає його наявність або відсутність у програмі. Оскільки більшість відомих нині вipyciв можна виявити за допомогою контекстного пошуку сигнатур, однією з важливих задач класифікації є складання їх списку. Знання сигнатур дозволяє перевіряти програмне забезпечення на наявність відомих вірусів, тим самим суттєво підвищуючи ступінь захищеності ЕОМ. Стандартизація сигнатур особливо важлива, якщо вipyc має багато штамів, оскільки формальні схеми, подібні описаним вище класифікаційному коду i дескриптору, мають той недолік, що деякі штами не будуть розрізнятися в заданому просторі ознак. Водночас порівняно легко забезпечується унікальність сигнатури (хоч існують вipуси, що не містять жодної постійної сигнатури).

Хоч звичайно сигнатура - це тільки текстові рядки, можна застосовувати також i регулярні вирази, що є суттєво стійкішими до деяких мутацій вірусів та, крім того, при меншій довжині забезпечують вищу якість розпізнавання.

Очевидно, що сигнатура, яка відповідає розділу з командами, надійніша за сигнатури розділу з даними, приміром, з текстовими рядками, які можуть бути легко модифіковані. Тому вибір сигнатури доцільно робити на основі аналізу дизасембльованого коду вipycy. Довжина сигнатури має бути не дуже великою, оскільки довгу сигнатуру важко вірно набрати вручну. Натомість недостатня довжина або вибір нехарактерних ділянок коду сигнатури викликатимуть багато невірних спрацювань, що небажано. Вірна сигнатура має не входити до складу найбільш розповсюджених файлів.

Комп’ютерні віруси можна класифікувати за різними ознаками: 1. за середовищем існування: 1.1. файлові; 1.2. бутові; 1.3. мережні; 1.4. гібридні; 2. за способом зараження середовища існування: 2.1. резидентні; 2.2. нерезидентні; 3. за деструктивними можливостями: 3.1.  нешкідливі; 3.2. небезпечні; 3.3. безпечні; 3.4. дуже небезпечні.

Нешкідливі віруси ніяким чином не впливають на роботу комп’ютера, крім зменшення вільного місця в результаті свого поширення. Безпечні віруси обмежують свій вплив на роботу комп’ютера зменшенням вільного місця на диску та графічними і звуковими ефектами. Небезпечні віруси можуть призводити до серйозних збійних ситуацій у роботі комп’ютера (приміром, до зависання потрібних користувачеві програм). Дуже небезпечні віруси можуть призвести до втрати інформації (як програм, так і даних), перезаписувати системні розділи пам’яті і навіть спричиняти прискорений знос апаратної частини.

Слід відмітити, що навіть нешкідливі та безпечні віруси потрібно обов’язково видаляти з комп’ютера. По-перше, деякі віруси можуть здаватися такими тільки до того, як проявляють свої серйозні деструктивні можливості. По-друге, на відміну від звичайного програмного забезпечення, віруси значно частіше містять помилки та можуть призвести до негативних наслідків навіть у тих випадках, коли їх розробники цього не планували. По-третє, наявність вірусів свідчить про низький рівень уваги користувача до питань захисту інформації й цим дискредитує його.

Антивірусні програми - програми,що здатні знаходити та знешкоджувати віруси.

Програмна інженерія як сукупність технологій розробки інформаційних систем

Виникнення програмної інженерії визначено кількома факторами: - появою різноманітних складних методів аналізу та моделювання ПрО; - великою кількістю помилок в ПЗ; - потребою в організації роботи великих колективів розробників ПЗ; - необхідністю використання високотехнологічних засобів керування розробкою ПЗ. Програмна інженерія робить акцент на оцінку якості ПЗ, що створюється, та повторне застосування програмних компонент з метою прискорення та підвищення якості ІС. Наведені у цій главі основні положення програмної інженерії корисні як потенційним розробникам ІС, так і замовникам інформаційних продуктів.

Виробництво та використання програмного забезпечення – однієї з найважливіших складових ІТ - набуло характеру масової дiяльності. Термін “програмна інженерія” (Software Engineering) вперше вжито в 1968 р., коли створення програмного забезпечення досягло такого ступеня розвитку, що можна застосовувати інженерні технології. Зараз розроблення програмного забезпечення стало справді масовим явищем.

Програмна iнженерiя (ПІ) - це система методів та засобів планування, розроблення, експлуатації та супроводження ПЗ.

Методи ПІ - це способи розроблення ПЗ, що містять рекомендації щодо послідовності обробки інформації, нотації, правила опису ІС тощо. ПІ - це інженерна дисципліна, що розглядає всі аспекти виробництва ПЗ від етапу створення специфікацій до підтримки ІС після вводу в експлуатацію. Інженерiя - це застосування наукових результатів, яке дозволяє отримувати користь вiд властивостей матерiалiв та джерел енергiї.

Основні проблеми, що постають перед ПІ, пов’язані з інтеграцією створеного раніше ПЗ у нові розробки (legacy challenge), роботою в розподіленому гетерогенному середовищі (heterogeneity challenge) та обмеженнями часу, що відводиться на розроблення інформаційних продуктів (delivery challenge). Основні роздiли програмної інженерії: 1. аналiз вимог до ІС, яку треба створити; 2. детальний проект ІС; 3. кодування; 4. тестування системи; 5. процес супроводження програмного продукту; 6. керування конфiгурацiєю; 7. забезпечення якостi розроблення; 8. забезпечення вiдповiдностi розроблення вимогам її замовникiв та забезпечення вiдповiдностi кодiв проекту; 9. процес удосконалення отриманого програмного продукту.

Життєвий цикл ПЗ - певна послiдовнiсть фаз або стадiй вiд моменту прийняття рішення про необхідність створення ПЗ до повного вилучення ПЗ з експлуатації

На кожнiй фазi вiдбувається певна сукупнiсть процесiв, кожний з яких породжує певний продукт, використовуючи необхіднi ресурси. Процеси поділяються на набори дій, а дії - на набори задач.

Головні ресурси програмної iнженерiї, що визначають ефективнiсть розроблень, - це час та вартiсть.

Усі процеси ЖЦ ПЗ поділяються на три групи: 1. основні процеси (придбання, доставка, розроблення, експлуатація, супровід); 2. організаційні процеси (управління, удосконалення, навчання); 3. допоміжні процеси (документування, забезпечення якості, верифікація, атестація, аудит, загальна оцінка тощо).

До головних  процесів відноситься процес розроблення, що визначає дiї органiзацiї-розробника інформаційного продукту. Процес розроблення ПЗ має забезпечити шлях вiд усвiдомлення потреб замовника до передачi йому готового продукту. Характерні роботи процесу розроблення: 1. Визначення вимог. Збiр та аналiз вимог замовника виконавцем та подання їх у нотацiї, яка є зрозумiлою як замовнику, так i виконавцю. 2. Проектування. Перетворення вимог до розроблення у послiдовнiсть проектних рiшень щодо способiв реалiзацiї вимог: формування загальної архiтектури програмної системи та принципiв її прив'язки до конкретного середовища функцiонування; визначення детального складу модулiв кожної з архiтектурних компонент. 3. Реалiзацiя. Перетворення проектних рiшень у програмну систему, що реалiзує означенi рiшення. 4. Тестування. Перевірка кожного з модулiв та способiв їх iнтеграцiї; тестування програмного продукту в цiлому (так звана верифiкацiя); тестування вiдповiдностi функцiй працюючої програмної системи вимогам, що були до неї поставленi замовником (так звана валiдацiя). 5. Експлуатацiя та супроводження готової системи.

Стадія формування вимог до ПЗ - це найважливіша стадія, оскільки визначає успіх усього проекту. Ця стадія містить такі етапи: 1. планування робіт охоплює визначення мети розробки, попередню економічну оцінку проекту, створення плану-графіка виконання робіт, навчання спільної робочої групи; 2. проведення обстеження діяльності об'єкта (організації) автоматизації, у рамках якого здійснюються: попереднє виявлення вимог до майбутньої системи; визначення структури організації; визначення переліку цілей організації; аналіз розподілу функцій по підрозділах і між співробітниками; виявлення функціональних взаємодій між підрозділами, інформаційних потоків усередині підрозділів і між ними, зовнішніх стосовно організації об'єктів і зовнішніх інформаційних взаємодій; аналіз існуючих засобів автоматизації діяльності організації; 3. побудову моделей діяльності організації, що передбачає обробку матеріалів обстеження;  4. побудову двох видів моделей: 4.а. моделі "як є", що відображає існуючий на момент обстеження стан справ та дозволяє зрозуміти, як саме функціонує дане підприємство, а також виявити вузькі місця і сформулювати пропозиції щодо поліпшення ситуації; 4.б. моделі "як має бути", що відображає схему про нові технології роботи підприємства. Кожна з моделей містить у собі повну функціональну й інформаційну модель діяльності організації, а також, у разі потреби, модель, що описує динаміку поведінки організації.

Перехід від моделі "як є" до моделі "як має бути" можна виконувати двома способами: 1) удосконалюванням існуючих технологій на основі оцінки їхньої ефективності; 2) радикальною зміною технологій і перепроектуванням бізнес-процесів.

Вимоги до програмної системи – це властивостi, які слід мати системі для адекватного виконання своїх функцiй. У сучасних ІТ фаза життєвого циклу, на якiй фiксуються вимоги на розроблення програмного забезпечення, є визначальною для його якостi, термiнiв та вартостi робiт. Цiна помилок та нечiтких неоднозначних формулювань на цiй фазi дуже висока, бо час та засоби витрачаються на непотрiбну замовникові програму.

Є кiлька класiв нефункцiональних вимог, суттєвих для бiльшостi ІС, якi виражають обмеження, актуальнi для багатьох проблемних галузей: 1. вимоги конфiденцiйностi; 2. вiдмовостiйкiсть; 3. кiлькiсть клiєнтiв, що одночасно мають доступ до системи; 4. вимоги безпеки; 5. час очікування вiдповiдi на звернення до системи; 6. виконавськi якостi системи (обмеження щодо ресурсiв пам'ятi, швидкiсть реакцiї на звернення до системи тощо). Важливий крок аналiзу вимог - встановлення їх пріоритетностi, бо вимоги, висунутi рiзними носiями iнтересiв у системi, можуть конфлiктувати мiж собою. Крiм того, кожна з вимог потребує для свого втiлення певних ресурсiв, надання яких може залежати також вiд визначеного для неї пріоритету.

Ще одним важливим завданням аналiзу є передбачення здатності адаптацiї до можливих змiн у вимогах та забезпечення можливостей внесення змiн без суттєвого перегляду всiєї системи. В процесi аналiзу вимог мають бути перевiренi їх правдивiсть та вiдповiднiсть iнтересам замовника.

Тестування програм та систем - це спосіб семантичної перевірки програми, який полягає в опрацюванні програмою послідовності різно­манітних контрольних наборів тестів з відомими результатами. Тести підбираються так, щоб вони охопили найрізно­манітніші типи можливих ситуацій. Тестування становить від 30% до 50% трудомісткості робіт зі створення коду.

Історично першим різновидом тестування було налагодження - перевірка програмного об'єкта на наявність у ньому помилок для їх усунення. При цьому можуть вноситися нові помилки. Методи тестування й верифікації цілком залежать від методів проектуван­ня та стадій, з яких починається перевірка правильності функціону­вання результатів проектування. Основна мета тестування - забезпечення повноти й узгодженості реалізованих у програмних компонентах функцій та інтерфейсів між ними.

Верифікація - перевірка відповідності реалізації системи специфікаціям результатів проектування й опису компоненти. Валидація - перевірка відповідності створеного ПЗ потребам та вимогам замовника. Це дорогий процес, що забезпечує високу якість програмного коду. Валидація дозволяє підтвердити, що програмне забезпечення є коректною реалізацією початкових умов у системі й провадиться після завершення кожного етапу розроблення цього забезпечення.

Помилка - це стан програми, при якому генеруються неправильні результати. Причиною помилок є недоліки в операторах програми або в технологічному процесі її розроблення, що призводить до неправильного перетворення вхідної інформації у вихідну. Дефект у програмі виникає внаслідок помилок розробника. Він може міститися у вхідних або проектних специфікаціях, текстах кодів програм, в експлуатаційній документації тощо. Відмова - це неможливість виконувати функції, визначені вимогами й обмеженнями.

Усі помилки, що виникають у програмах, прийнято підрозділяти на кілька класів: 1. логічні і функціональні помилки; 2. помилки обчислень і часу виконання; 3. помилки введення-виведення і маніпулювання даними; 4. помилки інтерфейсів; 5.помилки обсягу та інші.

Тест - це програма, призначена для перевірки працездатності іншої програми і виявлення в ній помилкових ситуацій. Тестову перевірку можна провести також шляхом додання до програми, що перевіряється, додаткових операторів, які будуть сигналізувати про перебіг її виконання й отримання результатів. Тестові дані слугують для перевірки роботи системи і готуються по-різному: генератором тестових даних, проектною групою на основі документів або файлів, користувачем із специфікації вимог тощо. Дуже часто розробляються спеціальні форми вхідних документів, у яких відображається процес виконання програми за допомогою тестових даних.

Багато типів тестів готує сам замовник для перевірки роботи ІС. Структура й зміст тестів залежать від виду елемента - модуль, компонента, група компонент, підсистема або система. Деякі тести пов’язані з необхідністю перевірити, чи працює ІС відповідно до проекту, чи задоволено вимоги замовника.

Для проведення тестування створюється спеціальна команда тестувачів. За функціональні тести відповідає розробник, а замовник більше впливає на складання випробувальних та інсталяційних тестів.

Як правило, команда тестувачів не залежить від штату розробників ІС. Деякі члени цієї команди є досвідченими тестувачами або навіть професіоналами в цій галузі. До них належать аналітики, програмісти, інженери-тестувачі, котрі присвячують увесь свій час проблемам тестування систем. Вони мають справу не лише зі специфікаціями, а й з методами та засобами тестування, організують створення і виконання тестів на машині. Тестувачів включають до процесу розроблень з початку створення проекту для складання тестових наборів та сценаріїв, а також графіків виконання тестів.

До складу команди тестувачів входять також користувачі. Вони оцінюють отримані результати та зручність використання, а також висловлюють свою думку щодо принципу роботи системи на початкових етапах проекту.

Представники замовника планують роботи для тих, хто буде використовувати і супроводжувати систему. При цьому вони можуть привнести деякі в проект зміни, викликані неповнотою заданих раніше вимог, та сформулювати системні вимоги для проведення верифікації системи й ухвалення рішення про її готовність та корисність.

Супроводження - це роботи з внесення змін до ІС після того, як її було передано користува­чеві для експлуатації. На відміну від обладнання, яке з часом потребує ремонту, ПЗ не "зношується", тому процес супроводження націлений на підтримку передовсім еволюціонування системи, тобто на зміну її функцій та властивостей. Як засвідчують експерти, процес внесення змін є досить дорогим - оцінки його вартості сягають 60-80 % від загальної вартості розроблення.

Види супроводження: 1. коригуюче - внесення коректив для усунення помилок, які було знайдено після передачі системи до експлуатації. 2. адаптивне - адаптація продукту до змінених обставин використання після передачі системи в експлуатацію. 3. попереджувальне - діяльність із забезпечення адаптивного супроводження на старті розроблень.

Якість ПЗ – це сукупність властивостей, що визначають спроможність задоволь­нити запити замовника, які він висловив у вигляді вимог до розроблень.

Функціональність - це сукупність властивостей, які визначають спроможність ПЗ виконувати в заданому середовищі свої функції відповідно до вимог обробки і загальносистемним засобам. Функція - це упорядкована послідовність дій для задоволення споживчих властивостей, замовлених користувачем.

Атрибути функціональності ПЗ: 1. функціональна повнота - атрибут, який показує ступінь достатності основних функцій для вирішення спеціальних завдань відповідно до призначення ПЗ; 2. правильність - атрибут, який показує, як забезпечується досягнення правильних та погоджених результатів; 3. інтероперабельність - атрибути, які вказують на спроможність ПЗ взаємодіяти з іншими системами і середовищами; 4. захищеність - атрибути, які вказують на можливість запобігати несанкціонованому доступу до програм і даних; 5. узгодженість - атрибут, який вказує на відповідність заданим стандартам, угодам, правилам, законам і розпорядженням.

Надійність - це множина атрибутів, які вказують на спроможність ПЗ коректно перетворювати вхідні дані на результати. Зниження надійності ПЗ відбувається через помилки у вимогах, проектуванні і виконанні. Атрибути надійності ПЗ: 1. безвідмовність - атрибути, які визначають частоту відмов через наявність помилок у ПЗ; 2. стійкість до помилок - атрибути, які вказують на забезпечення спроможності виконувати функції в аномальних умовах (збої апаратури, помилки в даних та інтерфейсах, порушення в діях оператора тощо); 3. відновлюваність - атрибути, які вказують на спроможність програми до перезапуску для повторного виконання й відновлення даних після відмов; 4. узгодженість - атрибут, який показує відповідність наявним стандартам, угодам, правилам, законам і розпорядженням.

Деякі типи систем (реального часу, радарні системи, системи безпеки, комунікація, медичне устаткування тощо) містять особливі вимоги до забезпечення високої надійності з такими атрибутами, як недопустимість помилок, безпека, захищеність і зручність застосування, а також достовірність як основний критерій надійності.

Зручність застосування - це множина атрибутів, що характеризують умови взаємодії користувача з ПЗ. Атрибути зручності застосування ПЗ: 1. зрозумілість визначається зусиллями, необхідними для розпізнавання логічних концепцій ПЗ та умов їх застосування; 2. легкість навчання визначається зусиллями на вивчення умов використання; 3. оперативність характеризується швидкістю реакції системи на дії користувача; 4. узгодженість визначається відповідністю розробки вимогам діючих стандартів, угод, правил, законів і розпоряджень.

Ефективність – це зв'язок між результатами використання ПЗ та кількістю задіяних для цього ресурсів (апаратура, матеріали, послуги обслуговуючого персоналу тощо).

Супроводжуваність - це зусилля, які необхідно витратити на коригування, вдосконалення й адаптацію ПЗ через зміну середовища, вимог або функціональних специфікацій. Атрибути супроводжуваності ПЗ: 1. аналізованість - показник, який визначає необхідні зусилля для діагностики причин відмов або ідентифікації частин, що потрібно модифікувати; 2. змінюваність - показник, який визначає зусилля на модифікацію, видалення помилок або внесення змін у зв'язку з помилками або новими можливостями середовища функціонування; 3. стабільність - атрибут, що характеризує імовірність модифікації; 4. тестованість - атрибут, що характеризує зусилля щодо проведення валидації та верифікації.

Переносність - це здатність ПЗ пристосовуватися до роботи при зміні середовища виконання. Атрибути переносності ПЗ: 1. адаптивність; 2. настроюваність; 3. сумісність;  4. узгодженість; 5. інтероперабельність.

Оцінювання якості ПЗ - це дії, які мають визначити, якою мірою ПЗ відповідає своєму призначенню.

З повагою ІЦ "KURSOVIKS"!