Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?

Содержание

Слайд 2

Что есть?

Руководящий документ «Защита от НСД к информации. Часть 1. Программное обеспечение

Что есть? Руководящий документ «Защита от НСД к информации. Часть 1. Программное
средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия, 1999 )

Слайд 3

Что должны искать?

Недекларированные возможности - функциональные возможности ПО, не описанные или не

Что должны искать? Недекларированные возможности - функциональные возможности ПО, не описанные или
соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Слайд 4

Что должны искать?

Программные закладки – преднамеренно внесенные в ПО функциональные объекты, которые

Что должны искать? Программные закладки – преднамеренно внесенные в ПО функциональные объекты,
при определенных условиях (входных данных) инициируют выполнение не описанных в документации функций ПО, приводящих к нарушению конфиденциальности, доступности или целостности обрабатываемой информации.

Слайд 5

Что предписывает РД

Что предписывает РД

Слайд 6

Что ищут за пределами РФ

Уязвимость - дефект ПО, возникший на этапе его

Что ищут за пределами РФ Уязвимость - дефект ПО, возникший на этапе
проектирования, реализации или эксплуатации и потенциально способный привести к нарушению конфиденциальности, целостности или доступности обрабатываемой с его помощью информации.

Слайд 7

Классификация уязвимостей ПО

Позволяющие реализовать сбор или хищение данных.
Позволяющие реализовать перехват сетевой информации.
Позволяющие

Классификация уязвимостей ПО Позволяющие реализовать сбор или хищение данных. Позволяющие реализовать перехват
реализовать перехват потоков данных (например, с консоли ввода пользователя).
Позволяющие превысить полномочия при доступе к информации, хранящейся в базе данных.
Позволяющие реализовать сокрытие информации.
Обеспечивающие выполнение скрытых процессов.
Позволяющие реализовать сокрытие данных.

Слайд 8

Классификация уязвимостей ПО (2)

Позволяющие реализовать скрытые каналы передачи информации.
Позволяющие реализовать управляющее воздействие

Классификация уязвимостей ПО (2) Позволяющие реализовать скрытые каналы передачи информации. Позволяющие реализовать
на информационную систему.
Позволяющие реализовать удалённое управление программной системой.
Позволяющие реализовать нарушение доступности удалённой системы.

Слайд 9

Подходы к выявлению уязвимостей ПО: зарубежный опыт (IBM, Fortify, OWASP, CWE)

OWASP Top

Подходы к выявлению уязвимостей ПО: зарубежный опыт (IBM, Fortify, OWASP, CWE) OWASP
Ten
10 самых больших угроз для веб-приложений
Fortify Seven Pernicious Kingdoms
7 разрушительных "царств" компании Fortify
MITRE Common Weaknesses Enumeration
всесторонняя классификация изъянов ПО

Слайд 10

Десятка OWASP (OWASP Top Ten)

A1 – Межсайтовый скриптинг (Cross Site Scripting, XSS)
A2

Десятка OWASP (OWASP Top Ten) A1 – Межсайтовый скриптинг (Cross Site Scripting,
– Изъяны при внедрении (Injection Flaws)
A3 – Злонамеренный запуск файла (Malicious File Execution)
A4 – Небезопасная прямая ссылка на объект (Insecure Direct Object Reference)
A5 – Подделка HTTP-запросов (Cross Site Request Forgery, CSRF)
A6 – Утечка информации и неправильная обработка ошибок (Information Leakage and Improper Error Handling)
A7 – Нарушенная аутентификация и управление сессиями (Broken Authentication and Session Management)
A8 – Небезопасное криптографическое хранилище (Insecure Cryptographic Storage)
A9 – Небезопасные коммуникации (Insecure Communications)
A10 – Ошибка в запрете доступа к URL (Failure to Restrict URL Access)

Слайд 11

7 разрушительных царств (Fortify Seven Pernicious Kingdoms)

1. Валидация ввода и представление
2. Эксплуатация API
3. Механизмы безопасности
4. Время

7 разрушительных царств (Fortify Seven Pernicious Kingdoms) 1. Валидация ввода и представление
и Состояние
5. Обработка ошибок
6. Качество кода
7. Инкапсуляция
*Окружение

Слайд 12

Common Weakness Enumeration

http://cwe.mitre.org
метаязык для описания всех недостатков ПО, схем защиты и атаки
Структура

Common Weakness Enumeration http://cwe.mitre.org метаязык для описания всех недостатков ПО, схем защиты
типа «дерево»
Категории
Элементы
Составные элементы
Сгруппировано по «отображениям»
Research View
Development View
C/C++ Developer View
Java Developer View

Слайд 13

Уязвимости и изъяны

CVE (Common Vulnerability Enumeration)
CWE - Common Weakness Enumeration

Уязвимости и изъяны CVE (Common Vulnerability Enumeration) CWE - Common Weakness Enumeration

Слайд 15

АК-ВС

Анализатор кода вычислительных систем (АК-ВС), структура:

АК-ВС Анализатор кода вычислительных систем (АК-ВС), структура:

Слайд 16

АК-ВС поддерживает работу с языками
С, С++
С#
Java
Построение отчетов АК-ВС
Списка функциональных объектов
Списка

АК-ВС поддерживает работу с языками С, С++ С# Java Построение отчетов АК-ВС
информационных объектов
Списка висячих функциональных объектов
Связей ФО по управлению и по информации
Построение трасс вызовов (ф-ф, ф-в, в-в)
Построение графов вызовов
Построение блок-схем
Ведение протокола вставки датчиков

АК-ВС

Слайд 17

Сигнатурный модуль базируется на CWE
База сигнатур для поиска программных закладок и уязвимостей

Сигнатурный модуль базируется на CWE База сигнатур для поиска программных закладок и
включает конструкции способные привести к:
переполнению буфера;
обращениям к файловой системе;
манипулированию именами;
уязвимости для троянских атак;
вводу пароля;
возможному превышению полномочий;
уязвимости для DOS-атак;
низкоуровневой работе с дисками и файловой системой;
скрытым каналам передачи информации.

АК-ВС

Слайд 18

АК-ВС позволяет отслеживать:
ассемблерные вставки;
операции с датой/временем;
сетевое взаимодействие;
отладочную информацию;
работу с временными

АК-ВС позволяет отслеживать: ассемблерные вставки; операции с датой/временем; сетевое взаимодействие; отладочную информацию;
характеристиками;
параметры командной строки;
операции с параметрами безопасности среды;
скрытые сообщения;
точки ввода/вывода данных;
операции, связанные с обработкой прерываний;
обращение к криптографическим примитивам;
вызов внешних процедур;
обращение к файловым системам.

АК-ВС

Слайд 19

Сигнатурный модуль АК-ВС
Ориентирован на выявление потенциально опасных конструкций в коде, которые могут

Сигнатурный модуль АК-ВС Ориентирован на выявление потенциально опасных конструкций в коде, которые
привести к нарушению безопасности системы
Поддерживается международными объединениями (ОWASP)
Поддерживает международный стандарт (MITRE – CWE)
Все выявленные НДВ, программные закладки, ошибки проектирования и некорректности кодирования, влияющие на безопасность, были выявлены с помощью сигнатурного метода

АК-ВС

Слайд 20

АК-ВС может применяться:
Для сертификационных испытаний на отсутствие НДВ
При проведении аудита кода

АК-ВС может применяться: Для сертификационных испытаний на отсутствие НДВ При проведении аудита
по требованиям безопасности
При разработке программного обеспечения

АК-ВС

Слайд 21

АК-ВС имеет сертификаты МО РФ и ФСТЭК России

АК-ВС

АК-ВС имеет сертификаты МО РФ и ФСТЭК России АК-ВС

Слайд 22

КУРС ОБУЧАЮЩИЙ РАБОТЕ С АК-ВС

КУРС ОБУЧАЮЩИЙ РАБОТЕ С АК-ВС
Имя файла: Проведение-сертификационных-испытаний-на-отсутствие-НДВ.-Можно-ли-найти-НДВ?.pptx
Количество просмотров: 247
Количество скачиваний: 0
- Предыдущая
Автоматическое составление обзорного реферата на основе кластеризации предложений
Следующая -
Барви педагогічної майстерності

Похожие презентации

Приемы вычислений для случаев вида 60-24
Сравнение компьютерных технологий 90-х годов с последними разработками в этой сфере.
Самуил Яковлевич Маршак
Конструктивное построение предметов
Patriot Burst Elite — бюджетное решение для любого пользователя ПК или ноутбука
Методика применения электронного учебного пособияпо базовому курсу информатики Руководитель проекта: Огарков А.Ю., учитель инфо
Петр Михайлович Врангель
Обществознание
Форматирование текстового документа
Разработка малобюджетного учебного сайта на основе концепции Wiki
Спорт төрҙәре
Конкурс на лучшую модель школьной формы
Кузнечик
Маркетинговая деятельность фирмы
WEB- браузеры
Занятие по лепке из пластилина в программе Картонный домик
Резонатор.Мск
Головной мозг и его тайны!
Стратегия развития мариупольской городской организации
В гаванях афинского порта Пирей
Витамин C
Красота и гармония
Кластеры
Технологические инновации SAPна службе вашего бизнеса
Классный час «У истоков казачества» «казак» «вольный», «храбрый», «свободолюбивый человек», «удалой воин», «разбойник»
ИСТОРИЯ РАЗВИТИЯ МОУ ДОД «ЦЕНТР ДЕТСКОГО ТЕХНИЧЕСКОГО ТВОРЧЕСТВА» г. БЕЛГОРОДА
Есть в осени первоначальной
Крупнейшие библиотеки мира
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть