Математические модели оценки и планирования испытаний программного обеспечения по требованиям безопасности информации

Надо понимать, что область информационной безопасности мало формализуема. Фактически, ИБ — это свойство эргатических социумов, которым присущи всякие социологические и пси-факторы.

Что касается оценки соответствия программных ресурсов систем ИБ, то приходится еще радоваться их структурной гирперсложности, что уводит математические методы и модели испытаний в «проклятие размерности» (до изобретения квантового компьютера), а сертификационные испытания ПО становятся не аттестационной процедурой, а мозговым штурмом экспертов испытательных лабораторий.

Все же, можно ли использовать математические модели испытаний ПО? Исходя из принципа, что матмодели не должны (в лучшем случае) отвлекать экспертов испытательных лабораторий от их бизнес-задач, можно придумать области моделирования испытаний ПО СЗИ:

формальное обоснование затрат на испытания;
формальное иллюстрирование результатов проведенных испытаний;
представление формальных доказательств достигнутого уровня доверия к испытаниям, средствам и системам защиты информации, если это задано в ТЗ (например, для верхних ОУД по ГОСТ ИСО 15408, для систем защиты сведений, составляющих высший уровень гостайны, при испытаниях АС ВН по надёжности и т.д.);
проведение научно-исследовательских изысканий.

Исходя из этого, была изучена проблематика анализа и синтеза популярных моделей оценки и планирования испытаний программного обеспечения, в том числе по требованиям безопасности информации и надежности функционирования: