Обеспечение безопасности автоматизированной системы анализа психологического состояния личности по результатам тестирования

Автоматизированная система разработана по стандарту безопасности ГОСТ/ИСО МЭК 15 408 — 2002 «Общие критерии оценки безопасности информационных технологий», критерии которого являются общими и для потребителей, и для производителей. Данный стандарт использовался для снижения рисков, возникающих при работе с разработанной системой.

Риск — величина, характеризуемая вероятностью наступления неблагоприятного события, размером материальных убытков, которые повлечет наступление события, и частотой реализации этого события.

Перечислим возможные риски при работе с системой:

некорректное проведение тестирования;

некорректное вычисление психологических показателей;

некорректный подбор тестов для проведения профессиограммы;

некорректное определение принадлежности профессиональных качеств протестированного:

файл сохранения результатов тестирования, имеет неверный формат;

отсутствие свободного места на жестком диске для сохранения результатов тестирования;

недостаток оперативной памяти ЭВМ, для работы системы.

Данные риски можно классифицировать на четыре группы:

некорректное проведение тестирования;

некорректное вычисление психологических и профессиональных качеств;

некорректный формат файлов, хранящих выборки;

внешний фактор, связанный с характеристиками ЭВМ.

При разработке системы указанные риски были учтены и минимизированы. Так для минимизации рисков, связанных с некорректным проведением тестирования оно было максимально автоматизировано и было проведено комплексное тестирование разработанной системы.

Тестирование — процесс исследования программного обеспечения с целью получения информации о качестве продукта. Порядок и способы тестирования описаны в нормативно-правовых документах: ГОСТ 34.603−92 и ГОСТ 28.195−89.

Для снижения рисков, связанных с некорректным вычислением психологических и профессиональных качеств была проведена отладка и комплексное тестирование. Для снижения рисков, связанных с некорректным форматом файлов, хранящих сведения о проведенных тестированиях, создана подсистема сохранения и загрузки данных, контролирующая формат файла и при наличии ошибок сообщающих о них пользователю. Для того чтобы внешний фактор, связанный характеристиками ЭВМ, был снижен, необходимо использовать автоматизированную систему на ЭВМ, которая соответствует требованиям, указанным в соответствующем приложении (см. пункт 1.6).

Таким образом, риски определения и прогноза эмоционального состояния личности минимизируются с введением разрабатываемой АС.

Автоматизированная информационная система разработана на основании технического задания, составленного в соответствие со следующими нормативными документами:

ГОСТ 34.602−89 Информационная технол…

в системе реализована возможность формирования отчета и его печати без привлечения сторонних программных средств.

Безопасность системы предусматривается на стадии ее разработки. Это, в первую очередь, единая концепция проектирования и соблюдение строгой функциональной взаимосвязи всех компонентов подсистемы. Все модули взаимодействуют между собой по определенной схеме, выполненной с учетом единой конечной цели проектирования.

Предусмотрена логическая упорядоченность структуры базы данных, за счет чего достигается единое информационное пространство внутри системы. Все информационные сущности базы данных связаны между собой таким образом, чтобы обеспечить гибкое взаимосвязанное управление данными. Это, прежде всего, грамотная структура информационных справочников и логические связи между всеми сущностями, позволяющие однозначно и одновременно контролировать изменения данных.

Все данные хранятся в виде xml файлов и поддерживаются собственной подсистемой управления данными (раздел 2.2.3), что обеспечивает переносимость данных, их защиту и целостность (разработанная система обеспечивает целостность и сохранность данных).

Разработанная система поддерживает идентификацию трех видов пользователей: тестируемого, психолога и работодателя. Аутентификация тестируемого предусматривает ввод личных данных, т.к. тестируемый не имеет доступ к данным тестирований. Доступ к данным имеет психолог, аутентификация которого проводится с помощью ввода пароля на уровне системы. Доступ к данным так же имеет работодатель, но не полный, а только необходимый для оценки профессиональной пригодности кандидата.

Пользовательский интерфейс является своеобразным коммуникационным каналом, по которому осуществляется взаимодействие пользователя и компьютера, поэтому проектирование и создание пользовательского интерфейса играет важную роль в обеспечении безопасности автоматизированной системы. Чем удобнее и проще организован интерфейс тестирования, просмотра результатов, чем быстрее осуществляется доступ к базе данных тестирований, тем рентабельнее и конкурентоспособнее становится созданная автоматизированная система. Проектирование интерфейса должно учитывать даже незначительные, на первый взгляд, нюансы, которые обеспечивают удобство использования конечного продукта.

Особенности интерфейса автоматизированной системы:

отцентрированное главное окно системы не зависит от разрешения экрана и размера монитора; оно автоматически устанавливается по центру экрана;

предусмотрены различные сценарии проведения тестирования: как проведение отдельных психологических тестов, проведение совокупности выбранных тестов (батарея тестов), проведение только необходимых тестов для кандидата на определенную должность;

при выборе теста для прохождения тестируемым отображается его условный номер, а не название;

выбор необходимых результатов тестирования психологом производится посредством удобных выпадающий списков, выбор происходит последовательно: тестируемый, дата прохождения. Используемые компоненты, в отличие от таблиц, не занимают место на экране в свернутом положении и отображают выбранную позицию, что максимально информативно и снижает нагрузку на зрение;

в том же окне сразу после выбора тестируемого и даты проведения отображаются результаты проведенного тестирования в наглядной форме, без привлечения дополнительных действий от пользователя;

ответы тестируемого и результаты разделены на две отдельные вкладки;

дополнительные графики результатов, формируемые текстовые отчеты отображаются в отдельном окне, для снижения нагрузки на пользователя;

отсутствие ярких, кричащих цветов позволяет снизить нагрузку на глаза; кнопки главной панели управления не пестрые, содержат кроме цвета формы только один цвет, вследствие чего упрощается восприятие пользователем информации (см. приложение Б).

Весь этот комплекс мер позволяет снизить нагрузку на пользователя и повысить эффективность его работы.

Разработка интерфейса проводилась в соответствии с ГОСТ Р ИСО / МЭК 9126−93 и постановкой задачи, рассмотренной в разделе 1 дипломного проекта. Интерфейс разработанного программного продукта описан в приложении В дипломного проекта. Тип интерфейса — диалоговый в соответствии с ГОСТ 28 195–89.

Программный продукт разработан в среде NetBeans 6.9.1 на языке J2SE 1.6 и рассчитан на использование в любых операционных системах для которых существует JVM, что ставит его на уровень выше аналогичных продуктов, рассчитанных на использование в определенном кругу операционных систем, для которых они проектировались.

Важным фактором обеспечения безопасности системы является минимизация ошибок и конфликтных ситуаций любого рода, которые могут нарушить целостность системы и ход ее работы. В рамках дипломного проектирования были выполнены следующие меры по предотвращению возможных ошибок, угроз и обработке исключительных ситуаций:

внедрен контроль ввода данных, который не позволяет ввести некорректные данные и предотвращает дальнейшие ошибки при их сохранении (использовано минимальное количество текстовых полей ввода, широко используются выпадающие списки, позволяющие ввести только корректные данные, в используемые поля ввода внедрены меры по контролю корректности вводимых данных);

при удалении данных выводится информационное сообщение о подтверждении действия;

введена защита от несанкционированного доступа (аутентификация психолога и кадровика).

Выбор комплекса технических и программных средств осуществлялся, исходя из соображений повышения надежности функционирования системы. Описание преимуществ выбранных средств разработки приведено в пункте 1.6.

При разработке системы также были использованы следующие нормативные документы:

ГОСТ ИСО/МЭК 12 119−2000 Информационная технология. Пакеты программ;

ГОСТ Р 51 904;2002 Программное обеспечение встроенных систем;

ГОСТ 28 195–99 Оценка качества программных средств;

ГОСТ Р МЭК 60 073−2000 Интерфейс человеко-машинный.