ISBN 978–966–2970–87–6 4 page

На стадії технічного проекту (ТП) проводиться уточнення структури вхідних і вихідних даних та визначається форма їхнього подання, розробляється алгоритм рішення завдання, визначається семантика і синтаксис мови, розробляється структура програми та остаточно визначається конфігурація технічних засобів. Окрім цього розробляється план заходів щодо розробки і впровадження програми та пояснювальна записка до неї, а також узгоджується та затверджується технічний проект.

Робочий проект (РП) є найбільш трудомістким етапом. У ході його реалі-

зації відбувається безпосередня розробка, випробування і налагодження за результатами випробувань програмного засобу та коректування супутньої йому програмної документації. Результатом даної стадії є готовий програмний засіб з посібником для користувача та робочою документацією.

На стадії впровадження (ВП) проводиться: підготовка та передача програми і програмної документації для супроводу та (або) виготовлення; оформлення і затвердження відповідних актів; передача програми (якщо це передбачено договором) до фонду алгоритмів і програм.

Трудомісткість кожної стадії розробки ПЗ обчислюється за такими формулами:

1. Стадія ТЗ: ;

2. Стадія ЕП: ;

3. Стадія ТП: ;

4. Стадія РП: ;

5. Стадія ВП: ,

де – питома вага трудомісткості -ої стадії розробки; – корегуючий коефіцієнт, що враховує ступінь новизни ПЗ; – корегуючий коефіцієнт, що враховує ступінь використання в розробці типових стандартних програм; – загальна трудомісткість розробки програмного засобу: ; – трудомісткість, визначена за обсягом розроблювального ПЗ для відповідної групи складності; – додатковий коефіцієнт складності програмного засобу.

Виробники ПЗ з відкритим кодом мають у своєму штаті команду професіональних програмістів і дають за гроші послуги корпоративним користувачам. У число сервісу входить цілодобова технічна підтримка, консультації, навчання та інші послуги, такі самі, які отримують покупці комерційного закритого ПЗ, з тою різницею, що програмний продукт розповсюджується безкоштовно разом з відкритим кодом. Враховуючи таке визначення витрат на створення ПЗ відкритим кодом має здійснюватися за статтями витрат на:

матеріали та спеціальне обладнання;

основну зарплату виробничого персоналу;

додаткову зарплату (оплату чергових і додаткових відпусток, часу на виконання державних та інших обов’язків);

єдиний соціальний податок;

витрати з відряджень (добові, квартирні, вартість проїзду);

амортизаційні відрахування;

накладні витрати (загальногосподарські витрати установи на виробництв-

во, управління, обслуговування тощо);

контрагентські витрати (вартість робіт, виконуваних сторонніми організаціями);

інші прямі витрати (оплата консультацій і експертиз тощо);

собівартість;

прибуток;

договірну ціну з урахуванням ПДВ.

Витрати на покупні матеріали та спецобладнання визначаються як:

, (1.9)

де – норма витрати j -го матеріалу на розробку ПЗ, шт; – ціна одиниці
j -го матеріалу, у.о.; – норма транспортних витрат.

Заробітна плата (основна і додаткова) обчислюється для кожного виконавця окремо, виходячи з його місячного окладу та термінів розробки ПЗ. Вартість однієї години роботи обчислюється за формулою:

, (1.10)

де – оклад i -го працівника в місяць відповідно до його кваліфікаційного розряду, у.о.; – кількість робочих днів у місяці; – кількість робочих годин у добі.

Основна заробітна плата виконавців розраховується за формулою:

, (1.11)

де – директивний строк виконання розробки, місяців.

– кількість працівників i -ї кваліфікації, що приймають участь у розробці.

Додаткова заробітна плата обчислюється із співвідношення:

у.о., (1.12)

де – норматив додаткової заробітної плати (17%).

Собівартість програмного засобу розраховуються за формулою:

, (1.13)

де – витрати на матеріали, у.о.; – витрати на спеціальне обладнання, у.о.; – основна заробітна плата, у.о.; – додаткова заробітна плата, у.о.; – відрахування на соціальні потреби, у.о.; – накладні витрати, у.о.; – витрати на утримання та експлуатацію комп’ютерного обладнання протягом фактичного життєвого циклу ПЗ, у.о.;

Відрахування на соцпотреби обчислюються як відсоток від загальної зарплати:

у.о., (1.14)

де – норматив відрахувань на соціальні потреби (26%).

Накладні витрати при цьому становлять: у.о., де – норматив накладних витрат (15%). Нормативний прибуток становитиме: у.о., де де – норматив рентабельності (15%). Враховуючи таке договірна ціна розробленого ПЗ може бути обчислена за формулою: , а продажна – , де – транспортні витрати (15% від договірної ціни); – націнка торговельних організацій (3% від договірної ціни). Для прийняття рішення про придбання розробленого ПЗ Замовником або користувачем, необхідно щоб виконувалась нерівність:

, (1.15)

де – витрати на програмне забезпечення; – оцінка ризику втрати інформації.

Рахувати наведені вище види витрат необхідно у кожному конкретному випадку окремо. Результати їх порівняльного аналізу для закритого і відкритого ПЗ приведені у таблиці 1.7.

При цьому витрати на закрите ПЗ визначаються моделлю:

(1.16)

де – отримання ліцензії і технічною підтримкою із сторони постачальника; – установка і настроювання; – розширення, внесення змін; – оновлення і нові версії.

Модель витрат на відкрите ПЗ визначається:

(1.17)

де – технічна підтримка з сторони постачальника; – установка і настроювання (може виконуватися своїми силами або із залученням фахівців); – розширення, внесення змін (може здійснюватися своїми силами або із залученням фахівців широкого профілю).

З проведеного аналізу видно, що перед замовником ПЗ стоїть проблема вибору між великими витратами і залежність від розробників закритого ПЗ або створення спеціалізованого підрозділу з адаптації і супроводу ПЗ з відкритим кодом. У цьому випадку модель витрат може прийняти вигляд:

(1.18)

де – заробітна платня персоналу; – витрати на обладнання; – експлуатаційні витрати (зв’язок, електроенергія тощо).

Наступним кроком має бути розроблення політики захищеності ПЗ, яка налічуватиме наступні етапи:

аналіз ризиків;

визначення вимог до засобів захисту;

вибір основних рішень по забезпеченню захищеності ПЗ;

розробку плану безперебійної роботи організації;

оформлення політики захищеності.

При цьому витрати на систему захисту ПЗ необхідно співставляти із збитками, які можуть бути нанесені організації у разі реальної загрози. Під загрозою розуміється сукупність методів, засобів здійснення несанкціонованих дій з інформацією в інформаційних системах. Основні види таких загроз можна умовно розділити наступним чином: стихійні природні лиха та аварії (землетруси, повені, пожежі); наслідки помилок проектування, виготовлення елементів, моделей, пристроїв інформаційних систем (програмно-апаратні засоби обробки, реєстрації і зберігання інформації); промахи, помилки при експлуатації системи (оператори, користувачі та інший персонал); несанкціоновані дії порушників та зловмисників (конкуренти, хакери, злочинці). Варто відмітити, що для досягнення поставленої мети несанкціонованих дій зловмисники використовують не одну, а деяку сукупність загроз.

1.3.2. Види ліцензійних угод на розповсюдження програмного забезпечення інформаційних систем

Ліцензія – це документ, що інформує користувача про те, на яких умовах розповсюджується те або інше ПЗ: на умові відкритого коду (Open Ware), або без такої умови. При розповсюдженні ПЗ на умовах відкритого коду правовласник, надаючи користувачу право використання ПЗ, передає йому й вихідні коди програми. Разом з цим користувачу, як правило, надається право іденфікувати текстові документи, переробляти і вдосконалювати їх.

Подальше використання отриманих в результаті такої переробки програмних продуктів розрізняється залежно від виду ліцензії. В цей час співіснує два “сімейства” типових ліцензій на передачу ПЗ з відкритим кодом: GNU GPL (GNU General Public License) і ліцензії класу FreeBSD (Free Berkley Software Distribution). Основна їх відмінність полягає в “спадкоємності” власності відкритого коду. Так, наприклад, відповідно до умов ліцензії GNU GPL всі програмні продукти, отримані в результаті переробки або модернізації розповсюдженого на таких умовах програмного коду, можуть розповсюджуватись у подальшому лише на умовах GNU GPL. З одного боку це сприяє прогресу в розвитку програмного забезпечення, з іншого – порушує майнові інтереси деяких розробників, що вклали кошти в модернізацію програмного коду. Свободу у використанні переданого ПЗ надає ліцензія FreeBSD. За умовами цієї ліцензії, програмні продукти, отримані в результаті переробки наданого програмного коду, можуть розповсюджуватися на будь-яких умовах, в тому числі і на платній основі.

Ліцензії FreeBSD і GNU GPL одержали досить широке поширення, але вони не є єдиними можливими ліцензіями на передачу програмного забезпечення з відкритим кодом. Правовласником, при необхідності, можуть бути вироблені власні умови надання прав на таке програмне забезпечення, в більшому або меншому ступені обмежуючи права користувача.

Окрім критерію спадкоємності при поділі ліцензій може використовуватись критерій вартості. Відповідно до цього критерію, ПЗ ділиться на безкоштовне, умовно-безкоштовне і комерційне. В деяких випадках виділяють також ПЗ, яке розповсюджується на спеціальних умовах. Безкоштовне програмне забезпечення (Free Ware) не слід плутати з “відкритим” програмним забезпеченням (Open Ware): як безкоштовність розповсюдження не означає відкритості вихідних кодів, так і відкритість вихідних кодів не обумовлює безкоштовний характер розповсюдження. При наданні програмного забезпечення на безкоштовній основі правовласником зазвичай обумовлюються деякі спеціальні умови використання програми. Зокрема, досить розповсюдженою умовою є заборона на внесення будь-яких змін в програмний код, за винятком дозволених законодавством. Крім того, звичайною умовою “безкоштовної” ліцензії є застереження про звільнення правовласника від будь-яких гарантів і зобов’язань з функціонування програмного забезпечення.

Умовно-безкоштовне розповсюдження програмного забезпечення має на увазі те, що користувачу надається можливість ознайомитися з програмою, протестувати її можливості при рішенні задач користувача. При цьому або обмежується строк безкоштовного використання програми, або надається частина версії програмного забезпечення. При ознайомленні з програмою користувач вправі або відмовитися від її подальшого використання, або оплатити програмний продукт і придбати права на нього в повному обсязі. Комерційне розповсюдження програмного забезпечення передбачає, що користувач повинен оплатити програми, тільки після чого він отримує права на них. Звичайно в ліцензійних угодах, передбачено попередню або подальшу оплату за надане програмне забезпечення, що містить гарантії і обов’язки правовласника, ніж в ліцензіях на безкоштовне розповсюдження ПЗ.

У деяких випадках правовласнику, що розповсюджує своє програмне забезпечення на комерційній основі, надають права безкоштовно, або умовно-безкоштовно. Наприклад, на таких умовах програмне забезпечення надається освітнім організаціям, бібліотекам і іншім організаціям науки і культури, рідше – державним органам. Звичайно угода про надання програмного забезпечення в таких випадках містить набір додаткових умов, обмежуючих (рідше - розширювальних) права користувачів, а також передбачених меж використання програмних продуктів, наприклад, студентами університетів або відвідувачами бібліотеки. В деяких випадках на такого роду “спеціальних умовах” поставляється особливим чином дороблене програмне забезпечення, спеціально призначене для потреб організаціям науки, освіти, культури, державних органів.

Ліцензійні угоди також можна підрозділити залежно від того, з ким і в яких цілях вони заключаються. За цим критерієм можна виділити ліцензійні угоди з кінцевим користувачем (EULA – End User License Agreement) і ліцензії, що передбачають можливість доробки програмного забезпечення.

Типові форми ліцензійної угоди з кінцевим користувачем в теперішній мо-

мент практикою не опрацьовано, різними правовласниками використовуються різні, хоча і близькі по змісту ліцензійні угоди. Типові ліцензійні угоди компаній-розробників ПЗ, втім, отримали досить широке розповсюдження і найчастіше служать зразком для ліцензійних угод більш мілких фірм (як, наприклад, EULA, компанії Mikrosoft). Ліцензійні угоди з кінцевим користувачем звичайно передбачають мінімально можливий обсяг надання прав, причому права ніколи не надаються на виключних умовах. У таких угодах встановлюються також межі можливостей користувача, гарантії правовласника, визначаються механізми технічної підтримки використання програмного забезпечення.

На відміну від порівняно однакових ліцензійних угод з кінцевим користувачем, ліцензійні угоди, що передбачають можливість розробки нової програми на базі придбаної, можуть значно різнитися. По-перше, такі ліцензійні угоди можуть входити в пакет документів, що оформлюють відносини дистриб’юторського або франчайзингового типу. Згідно з такими угодами, компанія-правовласник надає компанії-розповсюджувачу право розповсюджувати програмний продукт, в тому числі і з можливою доробкою продукту під потреби кінцевого користувача. Система ліцензійних угод в цьому випадку буде дворівневою: правовласник програмного продукту надає ліцензію як розповсюджувачу, так і (за допомогою розповсюджувача) кінцевому користувачу. Права на розроблені розповсюджувачем зміни в програмному продукті, як правило, зберігаються за розповсюджувачем і надаються кінцевому користувачу по відповідній ліцензії. По-друге, можливість доробки програмного продукту може знаходитися в ліцензійних угодах, які є частиною партнерського договору. Таким партнерським договором звичайно оформляються відносини по спеціальній розробці комплексних програмних продуктів, де моделі, написані одними розробниками, можуть модифікуватися іншими, при цьому кожен з розробників зберігає права на результат власних творчих зусиль. Обсяг і межі здійснення наданих такою угодою прав можуть розрізнятися в залежності від того, наскільки тісними є відносини між розробниками. Нарешті, можливість доробки програмного продукту передбачена в таких “вільних” ліцензіях, прикладом яких є розглянуті вище ліцензії сімейства GNU GPL і FreeBSD. В цьому випадку можливість наступної передачі прав на програмне забезпечення не обмежується, більш того, в ліцензіях сімейства GNU GPL відсутність обмежень на передачу прав є обов’язковим. У деяких випадках, перш за все, коли мова йде про надання прав на програмне забезпечення кінцевому користувачу, можна говорити о “пов’язаних” і “незалежно наданих” ліцензіях (в англомовній термінології – поставка на умовах OEM/BOX). В першому випадку (OEM) права на програмне забезпечення надаються при постачанні програмного забезпечення разом з обладнанням інформаційних систем (так зване “попередньо встановлене програмне забезпечення”). Такі ліцензії передбачають меншу ліцензійну винагороду (звичайно входить у вартість устаткування), але при цьому передбачають менший об’єм можливостей користувача.

Запитання для самоконтролю

1. Приведіть приклади інцидентів у сфері високих технологій.

2. Опишіть діаграму виникнення інцидентів у сфері високих технологій.

3. Чим відрізняються між собою внутрішні та зовнішні інциденти з інформаційної безпеки?

4. Які чотири технічні досягнення складають основу сучасних інформаційних технологій?

5. Опишіть основні етапи життєвого циклу інформації.

6. Опишіть основні властивості інформації.

7. Опишіть у загальному вигляді процес обробки, зберігання, передачі і відображення інформації.

8. Назвіть основні складові елементи інформаційних технологій?

9. Що є основними засобами реалізації інформаційних технологій?

10. Опишіть послідовність заходів щодо створення перспективної інформаційної системи.

11. Чим характеризується сучасний етап автоматизованої обробки даних в організаційних системах?

12. Яке призначення має підсистема захисту інформації?

13. Опишіть технологію обробки текстової інформації?

14. Що входить до складу типової структури АРМ?

15. Опишіть основні переваги та недоліки сучасних мережних топологій.

16. Які особливості слід враховувати при розробці та застосуванні програмного забезпечення інформаційної системи?

17. Які Ви знаєте види ліцензійних вимог?

РОЗДІЛ 2

НЕОБХІДНІСТЬ ЗАХИСТУ ІНФОРМАЦІЇ В СУЧАСНИХ УМОВАХ

Сучасний багатосторонній аналіз результатів творчих і практичних робіт дає вагомі підстави стверджувати, що нині потреба реалізації концепції захисту інформації (ЗІ) суттєво актуалізується. Вона обумовлена:

розширенням простору застосування електронної обчислювальної техніки;

розвитком самої електронної обчислювальної техніки (ЕОТ) та її ПЗ;

розвитком радіоелектроніки і елементної бази тощо.

Процедура реалізації означеної концепції має являти собою сукупність організаційно-технічних заходів і методів, відповідно до обраного критерію оптимізації та обмежень, спрямованих на забезпечення необхідного рівня захищеності інформації в процесі її формування, передачі, прийому, обробки, накопичення і використання й впровадження яких дозволить, як результат, вирішити актуальні проблеми інформатизації суспільства.

2.1. Основні положення системно-концептуального підходу до захисту інформації. Класифікація цілей захисту

З позицій системно-концептуального підходу конструктивними елементами уніфікованої концепції захисту інформації мають бути:

функція захисту – сукупність однорідних у функціональному відношенні заходів, регулярно здійснюваних з метою створення, підтримки і забезпечення умов, об’єктивно необхідних для надійної ЗІ;

засоби захисту – пристрої, програми і заходи, спеціально призначені для вирішення завдань захисту інформації;

завдання захисту – організовані можливості засобів, методів і заходів з метою реалізації функцій захисту;

система ЗІ – організована сукупність усіх засобів, методів і заходів, спрямованих на забезпечення необхідного рівня захищеності інформації в усіх структурних елементах ІС, на всіх ділянках і технологічних маршрутах її обробки та на всіх етапах її життєвого циклу з урахуванням взаємодії з зовнішнім середовищем, яка повинна охоплювати весь технологічний комплекс інформаційної діяльності, бути різноманітною по використовуваних засобах, багаторівневої з ієрархічною послідовністю доступу, бути відкритою для зміни й доповнення мер забезпечення безпеки інформації, бути нестандартною та різноманітною, бути простою для технічного обслуговування й зручної для експлуатації користувачами, бути надійною та комплексною, тобто, мати цілісність.

При цьому власне захист інформації має бути:

безперервним (вимога виходить із того, що зловмисники тільки й шукають можливість, як би обійти систему захисту інформації, що цікавить);

плановим (забезпечується шляхом розробки кожною службою детальних планів захисту інформації в сфері її компетенції з урахуванням загальної мети);

цілеспрямованим (захищається те, що повинне захищатися в інтересах конкретної мети, а не все підряд);

конкретним (захисту підлягають конкретні дані, втрата яких може заподіяти організації певний збиток);

активним (захищати інформацію слід з достатнім ступенем наполегливості);

надійним (методи й форми захисту повинні надійно перекривати можливі шляхи неправомірного доступу до охоронюваних секретів, незалежно від форми їхнього подання, мови вираження й виду фізичного носія, на якому вони закріплені);

універсальним (незалежно від виду каналу витоку або способу НСД до інформації їх необхідно перекривати, де б вони не були виявлені);

комплексним (для захисту інформації у всьому різноманітті структурних елементів повинні застосовуватися всі його можливі види й форми в повному обсязі).

Враховуючи таке головними складовими системно-концептуального підходу нині є:

1) дослідження і розробка єдиних методологічних понять усієї сукупності питань, зв’язаних із ЗІ;

2) розгляд у єдиному комплексі усіх видів захисту інформації: забезпечення фізичної цілісності, попередження несанкціонованої модифікації, попередження несанкціонованого одержання;

3) системне врахування всіх факторів, що впливають на захищеність інформації;

4) комплексне використання всіх наявних засобів ЗІ.

Загальна класифікація цілей захисту інформації приведена на рис. 2.1.

Аналіз класифікації показує, що друга мета захисту, а саме попередження несанкціонованої модифікації інформації значною мірою є комбінацією першої і третьої цілей. Дійсно, несанкціонована модифікація може бути випадковою або злочинною. Випадкова модифікація, у свою чергу, може бути наслідком перекручування інформації. Злочинна ж модифікація є результатом злочинних дій.

Об’єктами захисту у цьому випадку є:

1) вихідні дані, тобто дані, що надійшли від користувачів або абонентів;

2) довільні дані, тобто дані, отримані в процесі обробки вихідних даних;

3) нормативно-довідкові, службові і допоміжні дані, включаючи і дані

системи захисту;

4) постановка завдань, методів і моделі, алгоритмів і програми, які використовуються при обробці даних;

5) технічна, технологічна, політична, військова й економічна документація.

З урахуванням такого захист інформації повинен здійснюватися в таких зонах:

зоні ресурсів, тобто зоні функціонуючих технічних засобів;

зоні помешкань, тобто сукупності помешкань, у яких розташовані технічні засоби і розміщуються люди, що мають відношення до них;

зоні території, що охороняється, тобто тій частині території, на якій розташовані будинки з зоною помешкань і на якій може повністю регулюватися доступ людей, а також можуть регулюватися і контролюватися всі дії і заходи, здійснювані на ній;

зоні, що не охороняється, але контрольованій території, тобто тій частині зовнішньої території, у процесах якої може здійснюватися регулярний контроль її стану і зроблених на ній дій;

зовнішній зоні, тобто тій частині території, на якій можуть здійснюватися дії і відбуватися події, що роблять вплив на надійність інформації, але яка не може бути під постійним контролем.

Важливим результатом системно-концептуального підходу до проблеми, яка розглядається може бути висновок про неможливість надійного ЗІ без дотримання при її побудові цілого ряду достатньо специфічних умов, які виступають в якості зворотного зв’язку від конструктивних елементів концепції захисту до концепцій побудови й організації функціонування інформації.

2.2. Визначення і аналіз поняття загрози безпеці інформації

Загрозами безпеці інформації, що обробляється у ІС і циркулює у зв’язку з цим у відповідних приміщеннях вважають події, які шляхом потенційно можливого впливу на інформаційну систему прямо та/або опосередковано завдають збитку її власникам і користувачам. Спроба реалізації загрози називається атакою, а той, хто вчиняє таку спробу, – зловмисником. Потенційні зловмисники називаються джерелами загроз. Усі загрози безпеці інформації в ІС можуть бути класифіковані за проявом, метою реалізації, засобами, методами і наслідками, а також за принципами, характером та способами впливу на певний об’єкт (рис. 2.2). Відповідно до процесу прояву вони розділяються на природні й техногенні. Природні загрози можуть бути викликані стихійними природними явищами й об’єктивними фізичними процесами. Техногенні – є наслідком діяльності людини, технічних засобів і систем.

У свою чергу за мотивами походження техногенні загрози безпеці ін формації розділяються на випадкові й навмисні (табл. 2.1).