Управление рисками при разработке программного обеспечения в области защиты информации

Темой работы является исследование проблем, связанных с возрастающим объемом обслуживающих транспортный процесс информационных потоков и повышением требований к защите информации в условиях агрессивной внешней информационной среды в условиях нарастания цифровизации морского и речного транспорта, а также трансформации в ней всей транспортной инфраструктуры. В цифровой среде программный продукт должен не только обслуживать документооборот транспортных цепочек, но и обеспечивать его конфиденциальность. Автоматизация управления транспортными объектами (суда, платформы, причалы, склады) увеличивает их потенциальную уязвимость от несанкционированного доступа к системам управления; последнее должно учитываться в обслуживающих программах, увеличивая их размер (например, возникает необходимость дробления связных информационных блоков и их альтернативной маршрутизации). Это в свою очередь повышает риски появления ошибок в самих программных продуктах, и значительно усложняет их структуру. Риски сбоев (в том числе нарушения конфиденциальности) при работе программного обеспечения, реализующего информационный обмен, могут повлечь за собой для разработчика существенные материальные и репутационные потери. В случае юридической и функциональной включенности разработчика в отрасль такие потери могут и должны рассматриваться в общем ряду рисков на водном транспорте. Важным аспектом управления рисками, который до последнего времени практически не рассматривался в количественном аспекте в рамках математических моделей, является совместное рассмотрение потерь при наступлении ситуации риска и затрат разработчика, связанных с уменьшением вероятностей таких наступлений; последнее может повлечь уменьшение общих ожидаемых потерь, формализованных как соответствующие математические ожидания. В результате управление рисками может быть сформулировано в терминах задач математического программирования с различными (дискретными либо непрерывными) множествами ограничений и различными свойствами целевых функций.

1. Демарко Т. Вальсируя с медведями: управление рисками в проекте при разработке программного обеспечения / Т. Демарко, Т. Листер. — М.: Компания p. m. Office, 2005. — 190 с.

2. Каретников В. В. К вопросу оценки рисков на внутреннем водном транспорте Российской Федерации / В. В. Каретников, К. И. Ефимов, А. А. Сикарев // Вестник Астраханского Государственного технического университета. Серия: Морская техника и технология. — 2017. — № 2. — С. 22–27. DOI: 10.24143/2073-1574-2017-2-22-27.

3. Anatoliy P. N. Aggregation process for implementation of application security management based on risk assessment / A. P. Nyrkov, Yu. F. Katorin, V. D. Gaskarov, Ya. V. Kosyak, A. V. Sauchev // 2018 IEEE Conference of Russian Young Researchers in Electrical and Electronic Engineering (EIConRus). — IEEE, 2018. — Pp. 98–101. DOI: 10.1109/EIConRus.2018.8317039.

4. Холин А. И. Основные риски, связанные с разработкой программного обеспечения / А. И. Холин // Научный лидер. — 2023. — № 18 (116). — С. 43–44.

5. Тихонов А. Г. Управление рисками при разработке программного обеспечения / А. Г. Тихонов, Т. Н. Субботина // Экономика и бизнес: теория и практика. — 2022. — № 5–3 (87). — С. 122–125. DOI: 10.24412/2411-0450-2022-5-3-122-125.

6. Макаров Д. А. О факторах риска в процессе разработки программного обеспечения / Д. А. Макаров, М. Я. Розенберг, А. Б. Шильников // Вестник Южно-Уральского государственного университета. Серия: Математическое моделирование и программирование. — 2009. — № 37 (170). — С. 85–92.

7. Волошин И. П. Факторы риска при разработке программного обеспечения / И. П. Волошин // Информационная безопасность регионов. — 2016. — № 3 (24). — С. 15–19.

8. Каретников В. В. К вопросу оценки рисков использования безэкипажных средств водного транспорта на участке акватории / В. В. Каретников, С. В. Козик, А. А. Буцанец // Вестник Государственного университета морского и речного флота имени адмирала С. О. Макарова. — 2019. — Т. 11. — № 6. — С. 987–1002. DOI: 10.21821/2309-5180-2019-11-6-987-1002.

9. Нырков А. П. Программно-аппаратная реализация системы предупреждения аварийной ситуации для объектов морского транспорта / А. П. Нырков, С. С. Соколов, А. А. Жиленков, С. Г. Черный // Автоматизация в промышленности. — 2016. — № 2. — С. 56–60.

10. Mamunts D. Models and algorithms for estimation and minimization of the risks associated with dredging / D. Mamunts, S. Sokolov, A. Nyrkov, S. Chernyi, M. Bukhurmetov, V. Kuznetsov // Transport and Telecommunication. — 2017. — Vol. 18. — No. 2. — Pp. 139–145. DOI: 10.1515/ttj‑2017-0013.

11. Нырков А. П. Модели, алгоритмы и программное обеспечение минимизации рисков мультимодальных перевозок / А. П. Нырков, А. А. Нырков // Вестник государственного университета морского и речного флота имени адмирала С. О. Макарова. — 2013. — № 1 (20). — C. 67–73.

12. Nyrkov A. P. Hard- and Software Implementation of Emergency Prevention System for Maritime Transport / A. P. Nyrkov, A. A. Zhilenkov, S. S. Sokolov, S. G. Chernyi // Automation and Remote Control. — 2018. — Vol. 79. — Pp. 195–202. DOI: 10.1134/S0005117918010174.

13. Вихров Н. М. Анализ информационных рисков / Н. М. Вихров, А. П. Нырков, Ю. Ф. Каторин, А. А. Шнуренко, А. В. Башмаков, С. С. Соколов, Р. А. Нурдинов // Морской вестник. — 2015. — № 3 (55). — С. 81–85.

14. Veselkov V. Development of Methods to Identify Risks to Build up the Automated Diagnosis Systems / V. Veselkov, N. Vikhrov, A. Nyrkov, S. Chernyi, I. Titov // 2017 IEEE Conference of Russian Young Researchers in Electrical and Electronic Engineering (EIConRus). — IEEE, 2017. — Pp. 598–601. DOI: 10.1109/EIConRus.2017.7910625.

15. Нырков А. П. Анализ и оценка рисков на водном транспорте / А. П. Нырков // Региональная информатика «РИ‑2014»: Материалы XIV Санкт-Петербургской международной конференции. — СПб.: СанктПетербургское общество информатики, связи и управления, 2014. — С. 278–279.

16. Зак Ю. А. Принятие решений в условиях нечетких и размытых данных: Fuzzy-технологии / Ю. А. Зак. — М.: «ЛИБРОКОМ», 2013. — 352 с.

17. Function Point Counting Practices Manual. Release 4.2. — IFPUG, 2004.