ЖУРНАЛ СТА 4/2014

32 СТА 4/2014 ОБЗОР /ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ www.cta.ru Объём кода ПО встраиваемых систем (в том числе критичных) в последние де- сятилетия растёт взрывными темпами, и количество разговоров о том, что ПО должно быть безопасным, растёт вместе с ним. Все с этим согласны; однако во- круг безопасности ПО традиционно су- ществует терминологическая путаница, порождающая массу споров, зачастую столь же бурных, сколь беспочвенных. Поэтому перед тем как углубляться в де- тали и переходить к практике, имеет смысл потратить немного времени на то, чтобы определить понятия и конкрети- зировать предмет разговора. Итак, что же на самом деле понимается под без- опасностьюПО? Чтобы ответить на этот вопрос, нужно сначала разобраться с ря- дом распространённых терминологиче- ских неоднозначностей. Б ЕЗОПАСНОСТЬ ИЛИ ЗАЩИЩЁННОСТЬ ? Первая неоднозначность берёт начало из словарей общей лексики. Дело в том, что в английском языке есть два неодно- коренных слова, означающих безопас- ность, – ”safety“ и ”security”. Англо-рус- ские словари общей лексики трактуют эти слова как синонимы, в результате в переводных источниках термином «без- опасность» периодически обозначается то одно, то другое, в зависимости от предпочтений переводчика. Однако в технической лексике понятия ”safety” и ”security” являются чётко определённы- ми терминами, обозначающими в корне разные вещи, и чтобы сохранить смы- словое различие этих терминов (а зна- чит, и предотвратить искажение смысла при переводе), их следует переводить по- разному. В настоящей статье использу- ется терминология из официальных пе- реводов стандартов МЭК/ИСО: ● функциональная безопасность (safe- ty) – отсутствие недопустимых рисков, зависящее от правильности функцио- нирования системы, систем обеспече- ния безопасности и внешних средств уменьшения риска (ГОСТ Р МЭК 61508-4-2007); ● информационная безопасность (secu- rity) – защита конфиденциальности, целостности, доступности, а также не- отказуемости, подотчётности, аутен- тичности и достоверности информа- ции (ГОСТ Р ИСО/МЭК 27002-2012). Иными словами, обеспечение функ- циональной безопасности включает в се- бя комплекс мероприятий по предотвра- щению неприемлемых последствий функционирования системы (гибель лю- дей, ущерб окружающей среде и т.п.), в то время как обеспечение информационной безопасности сводится к тому, чтобы об- рабатываемая системой информация по- стоянно была правильной, полной, была доступна непрерывно и только авторизо- ванным объектам/субъектам, и все дей- ствия с ней можно было бы проследить при наличии соответствующих прав. Поскольку область действия понятия «информационная безопасность» вклю- чает в себя защиту от несанкциониро- ванного доступа (НСД), в качестве си- нонима информационной безопасности в русскоязычной терминологии также часто употребляется термин «защищён- ность». Это не совсем корректно (так как защита от НСД является только од- ним из аспектов информационной без- опасности), но удобно с точки зрения предотвращения путаницы, поскольку позволяет переводить неоднокоренные слова “safety” и “security” также неодно- коренными словами «безопасность» и «защищённость» соответственно. Б ЕЗОПАСНОСТЬ ИЛИ НАДЁЖНОСТЬ ? Вторая неоднозначность на порядок сложнее и уходит корнями в техниче- скую культуру XX века. Дело в том, что комплексный подход к оценке качества технических систем с позиции анализа рисков (а именно на анализе рисков Безопасность и сертификация программного обеспечения Часть 1. Трудности перевода Николай Горбунов В статье приводится обзор современной терминологической и нормативно-технической базы функциональной и информационной безопасности ПО, затрагивается ряд основополагающих вопросов качества ПО и их привязки к нормативной базе. Рассматриваются примеры программных продуктов, соответствующих современным требованиям сертификации, и практические подходы к подтверждению соответствия. В первой части речь идёт об исторически сложившихся терминологических разногласиях.