Biztonsági tervezés és minősítés

A számítástechnikai rendszerek fejlesztése, megvalósítása a XXI. századra igazi iparággá nőtte ki magát. A szoftvergyártás technológiájának napjainkra jól körülírt elmélete és gyakorlata alakult ki, amelynek modelljeit számos nemzetközi szabvány és ajánlás rögzíti. A meglévő szoftverfejlesztési modellek azonban hiányosak a biztonsági problémák célzott kezelése tekintetében. Ez a kérdés mára kilépett abból a korszakból, amikor az információbiztonság pusztán információtechnológiai kérdésként volt kezelendő. A különböző infokommunikációs eszközök alkalmazása ma már olyan szervesen illeszkedik az ügyviteli folyamatokba, hogy emiatt a technológiai védelem mellett az információ-kezelési folyamatok védelme is elengedhetetlen.

A fejlesztési módszertanok piacán több különböző megközelítési módot is megvizsgáltunk. A hazai piacon megtalálhatók az SSADM-alapú módszertanok, illetve számos helyen alkalmazzák a Microsoft Solution Framework (MSF) megoldásokat és a Rational Unified Process (RUP) alapú eljárásokat is.

Ezekhez azonban lényegében hiányoznak azok az eszközök, amelyek hatékonyan támogatnák a biztonságos rendszerek kialakítására indított fejlesztéseket. Fejlesztésünk eredményeként a fenti eszközkészletek kiegészülnek a szükséges biztonsági eljárásokkal (módszertani elemek, mérési eljárások stb.).

A problémakörre átfogó megoldást kínál az úgynevezett szoftver folyamatjavítás eljárása, amely a tervezési-fejlesztési technológia folyamatos alakításával, javításával biztosítja azt, hogy a létrehozott termékek minősége és megbízhatósága előre meghatározott és mért szempontok alapján javuljon. A folyamatjavítás lehetővé teszi a rendszerben maradó hibák és biztonsági sérülékenységek arányának visszaszorítását, a fejlesztési projektek átfutási idejének csökkentését, és mindezek által a szoftverkészítés termelékenységének jelentős növekedését. A rendszerfejlesztési tevékenység kialakításához fontos ismérvnek tekintettük a kialakított szoftver folyamatok érettségét is, amely pontos képet ad arról, hogy egy fejlesztési folyamat milyen termékek kialakítására képes megismételhető (vagyis iparszerű) módon. A lépcsős, a folytonos és az úgynevezett kombinált érettségi modelleket megvizsgálva azt tapasztaltuk, hogy ezek mindegyike kiegészíthető a biztonságos rendszerek kialakítására alkalmas módszertani részekkel, amelyre piaci igény is mutatkozik.

A második munkaszakasz eredményeként létrejött módszertan – az infokommunikációs eszközök, alkalmazások és rendszerek tervezése során – megfelelően és mérhetően kezelhetővé teszi a felmerülő biztonsági problémákat:
                • A proaktív védekezési módok előtérbe kerülésének támogatása.
                • Biztonsági szempontok kiemelt fókuszú alkalmazásának lehetővé tétele.
                • A fejlesztési folyamatok lefutási idejének, költségeinek, valamint a kidolgozott eszközök minőségének és
                   biztonságának tudatos fejlesztése.
                • Optimumkeresés a sérülékenységek kiküszöbölése és a fejlesztési költségek növekedése között.
NKTH A Tudásközpontban folyó munkát a Nemzeti Kutatási és Technológiai Hivatal támogatja.
 Site térkép | Kapcsolat