На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№ 2 март-апрель 2009 г.
Тема номера:
СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

CMMI – МОДЕЛЬ ЗРЕЛОСТИ ПРОЦЕССОВ РАЗРАБОТКИ
ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ОТ НСД

А. Д. Хомоненко, д. т. н., профессор, зав. кафедрой «Информационные и вычислительные системы»
Петербургский государственный университет путей сообщения
Предыдущая статьяСледующая статья

Большинство руководителей отделов разработки программного обеспечения защиты от НСД наверняка задавалось вопросом: «Как повысить качество разработки специального программного обеспечения в соответствии с требованиями современных стандартов и моделей в области обеспечения качества производства программ?» Давайте попробуем найти ответ на этот вопрос.

Анализ известных стандартов и моделей

При разработке программного обеспечения (ПО) защиты от НСД можно гарантировать уверенность в высоком качестве разрабатываемого продукта двумя путями: контролировать характеристики качества разработанного ПО на соответствие требованиям ГОСТ и/или убеждаться на практике в том, что производство программного обеспечения удовлетворяет требованиям современных стандартов и моделей.

При разработке программного обеспечения используется большое количество самых разнообразных стандартов и моделей. Кроме моделей CMM/CMMI, к числу основных относятся следующие:

  • стандарты ISO;
  • методология шести сигм;
  • библиотека ITIL.

Стандарты ISO 9000 разработки международной организации стандартизации (International Standard Organization) представляют собой получившую широкое распространение серию стандартов качества. Современный стандарт ISO/IEC 90003:2004 (International Electrotechnical Commission – международная комиссия по электротехнике) является проекцией промышленного стандарта ISO 9001:2000 на программную индустрию. Он учитывает модели жизненного цикла программных систем и рассматривает вопросы, связанные с разработкой ПО, является стандартом обеспечения качества.

Для оценки уровня зрелости и предсказания результатов программного проекта прибегают к стандарту ISO/IEC 15504, созданному в рамках инициативы международных организаций ISO и IEC под названием SPICE (Software Process Improvement for Capability dEtermination). Он предназначен для оценки процесса разработки информационных систем, в частности программного обеспечения.

В целом стандарт ISO/IEC 15504 и рассматриваемая нами модель CMMI взаимозаменяемы. К примеру, уровням возможностей стандарта ISO/IEC 15504 соответствуют аналогичные уровни возможностей непрерывного представления модели CMMI.

Качество программного продукта регламентирует стандарт ISO/IEC 9126, который предлагает иерархическую структуру для описания характеристик ПО. На верхнем уровне задаются такие характеристики качества, как функциональность, надежность, удобство применения, эффективность, сопровождаемость, переносимость. Каждая из них подразделяется на детальные составляющие.

Методология шести сигм (Six Sigma) разработки компании Motorola ориентирована на повышение качества производимой продукции, в частности на снижение количества дефектов до уровня 6s (где s – среднеквадратическое отклонение). На основе проведенных исследований было установлено, что такой уровень качества обеспечивает повышение конкурентоспособности продукции, сокращение издержек за счет уменьшения затрат на доводку разработок и устранение дефектов.

Реализация методологии шести сигм осуществляется в виде процесса DMAIC (Define, Measure, Analyze, Improve, Control): определение, измерение, анализ, совершенствование и управление. Этот процесс основан на количественных методах принятия решений, что определяет преимущество методологии шести сигм, которая приобрела популярность среди разработчиков ПО как инструмент для обеспечения постоянного совершенствования процесса производства.

Количественная оценка характеристик разрабатываемого ПО очень сложна и требует существенных дополнительных усилий. Методология шести сигм часто применяется вместе с другими стандартами и системами обеспечения качества, позволяя выявить причины проблем и помочь в их устранении.

Библиотека ITIL (IT Infrastructure Library), разработанная при поддержке правительства Великобритании, содержит набор практик создания ИТ-проектов и по сути является методологией, освещающей многие вопросы, связанные с разворачиванием и использованием информационных систем. В настоящий момент в нее включены следующие составляющие, соответствующие ключевым вопросам технологий и бизнеса: служба поддержки, оказание услуг, управление безопасностью, ИТ-инфраструктурой, цепочками поставок, программными проектами и активами, бизнес-вопросы обеспечения ИТ-проектов, в том числе и аутсорсинг. Библиотека ITIL хорошо согласуется со стандартами серии ISO 9000 и может служить основой для проведения по ним последующей сертификации.

Методология ITIL не затрагивает непосредственно процессов разработки ПО, а потому обычно при производстве ПО применяется совместно с другими, ориентированными на специфику ПО стандартами, например CMMI. Наибольшую популярность ITIL получила в смежных с разработкой ПО областях, таких как служба поддержки, внедрение и сопровождение ПО, предоставление услуг по поддержке ИТ-инфраструктуры. Внедрение методологии ITIL должно происходить при участии опытных специалистов во избежание неверных решений.

Модели CMM и CMMI. Разработанная SEI (Software Engineering Institute – Институт программной инженерии) модель SW CMM (Software Capability Maturity Model – модель оценивания зрелости процессов разработки ПО) версии 1.0 содержит принципы и практики, которые положены в основу зрелых процессов разработки ПО. Эта модель призвана помочь организациям-разработчикам выполнить переход от недостаточно организованной рабочей среды к зрелым систематизированным процессам разработки ПО.

Модель SW CMM, по существу, является предшественницей модели CMMI (Capability Maturity Model Integration – комплексная модель зрелости процессов разработки программного обеспечения). По сравнению с предшествующей моделью, CMMI дополнительно рассматривает следующие вопросы программной инженерии: выявление требований, ввод в эксплуатацию, эксплуатация и поддержка программного обеспечения.

Модели CMMI for Development, Version 1.2 предшествовала модель CMMI версии 1.1, которая была предназначена для системной инженерии (system engineering – SE) и для программной инженерии (software – SW) – CMMI-SE/SW. В ней имелись отдельные составляющие для непрерывного и этапного представления уровней возможностей и уровней зрелости соответственно.

CMMI for Development состоит из двух моделей: CMMI for Development+IPPD и CMMI for Development (без IPPD). В обеих моделях содержится много общего. Кроме того, CMMI for Development+IPPD содержит дополнительные цели и практики, которые покрывает IPPD.

IPPD (Integrated Product and Process Development – комплексная разработка продуктов и процессов) – это систематический подход к разработке продукта, который обеспечивает сотрудничество соответствующих участников в процессе его жизненного цикла для лучшего удовлетворения запросов пользователей.

< ... >

 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24

Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100