Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?

Содержание

Слайд 2

Что есть?

Руководящий документ «Защита от НСД к информации. Часть 1. Программное обеспечение

Что есть? Руководящий документ «Защита от НСД к информации. Часть 1. Программное
средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия, 1999 )

Слайд 3

Что должны искать?

Недекларированные возможности - функциональные возможности ПО, не описанные или не

Что должны искать? Недекларированные возможности - функциональные возможности ПО, не описанные или
соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Слайд 4

Что должны искать?

Программные закладки – преднамеренно внесенные в ПО функциональные объекты, которые

Что должны искать? Программные закладки – преднамеренно внесенные в ПО функциональные объекты,
при определенных условиях (входных данных) инициируют выполнение не описанных в документации функций ПО, приводящих к нарушению конфиденциальности, доступности или целостности обрабатываемой информации.

Слайд 5

Что предписывает РД

Что предписывает РД

Слайд 6

Что ищут за пределами РФ

Уязвимость - дефект ПО, возникший на этапе его

Что ищут за пределами РФ Уязвимость - дефект ПО, возникший на этапе
проектирования, реализации или эксплуатации и потенциально способный привести к нарушению конфиденциальности, целостности или доступности обрабатываемой с его помощью информации.

Слайд 7

Классификация уязвимостей ПО

Позволяющие реализовать сбор или хищение данных.
Позволяющие реализовать перехват сетевой информации.
Позволяющие

Классификация уязвимостей ПО Позволяющие реализовать сбор или хищение данных. Позволяющие реализовать перехват
реализовать перехват потоков данных (например, с консоли ввода пользователя).
Позволяющие превысить полномочия при доступе к информации, хранящейся в базе данных.
Позволяющие реализовать сокрытие информации.
Обеспечивающие выполнение скрытых процессов.
Позволяющие реализовать сокрытие данных.

Слайд 8

Классификация уязвимостей ПО (2)

Позволяющие реализовать скрытые каналы передачи информации.
Позволяющие реализовать управляющее воздействие

Классификация уязвимостей ПО (2) Позволяющие реализовать скрытые каналы передачи информации. Позволяющие реализовать
на информационную систему.
Позволяющие реализовать удалённое управление программной системой.
Позволяющие реализовать нарушение доступности удалённой системы.

Слайд 9

Подходы к выявлению уязвимостей ПО: зарубежный опыт (IBM, Fortify, OWASP, CWE)

OWASP Top

Подходы к выявлению уязвимостей ПО: зарубежный опыт (IBM, Fortify, OWASP, CWE) OWASP
Ten
10 самых больших угроз для веб-приложений
Fortify Seven Pernicious Kingdoms
7 разрушительных "царств" компании Fortify
MITRE Common Weaknesses Enumeration
всесторонняя классификация изъянов ПО

Слайд 10

Десятка OWASP (OWASP Top Ten)

A1 – Межсайтовый скриптинг (Cross Site Scripting, XSS)
A2

Десятка OWASP (OWASP Top Ten) A1 – Межсайтовый скриптинг (Cross Site Scripting,
– Изъяны при внедрении (Injection Flaws)
A3 – Злонамеренный запуск файла (Malicious File Execution)
A4 – Небезопасная прямая ссылка на объект (Insecure Direct Object Reference)
A5 – Подделка HTTP-запросов (Cross Site Request Forgery, CSRF)
A6 – Утечка информации и неправильная обработка ошибок (Information Leakage and Improper Error Handling)
A7 – Нарушенная аутентификация и управление сессиями (Broken Authentication and Session Management)
A8 – Небезопасное криптографическое хранилище (Insecure Cryptographic Storage)
A9 – Небезопасные коммуникации (Insecure Communications)
A10 – Ошибка в запрете доступа к URL (Failure to Restrict URL Access)

Слайд 11

7 разрушительных царств (Fortify Seven Pernicious Kingdoms)

1. Валидация ввода и представление
2. Эксплуатация API
3. Механизмы безопасности
4. Время

7 разрушительных царств (Fortify Seven Pernicious Kingdoms) 1. Валидация ввода и представление
и Состояние
5. Обработка ошибок
6. Качество кода
7. Инкапсуляция
*Окружение

Слайд 12

Common Weakness Enumeration

http://cwe.mitre.org
метаязык для описания всех недостатков ПО, схем защиты и атаки
Структура

Common Weakness Enumeration http://cwe.mitre.org метаязык для описания всех недостатков ПО, схем защиты
типа «дерево»
Категории
Элементы
Составные элементы
Сгруппировано по «отображениям»
Research View
Development View
C/C++ Developer View
Java Developer View

Слайд 13

Уязвимости и изъяны

CVE (Common Vulnerability Enumeration)
CWE - Common Weakness Enumeration

Уязвимости и изъяны CVE (Common Vulnerability Enumeration) CWE - Common Weakness Enumeration

Слайд 15

АК-ВС

Анализатор кода вычислительных систем (АК-ВС), структура:

АК-ВС Анализатор кода вычислительных систем (АК-ВС), структура:

Слайд 16

АК-ВС поддерживает работу с языками
С, С++
С#
Java
Построение отчетов АК-ВС
Списка функциональных объектов
Списка

АК-ВС поддерживает работу с языками С, С++ С# Java Построение отчетов АК-ВС
информационных объектов
Списка висячих функциональных объектов
Связей ФО по управлению и по информации
Построение трасс вызовов (ф-ф, ф-в, в-в)
Построение графов вызовов
Построение блок-схем
Ведение протокола вставки датчиков

АК-ВС

Слайд 17

Сигнатурный модуль базируется на CWE
База сигнатур для поиска программных закладок и уязвимостей

Сигнатурный модуль базируется на CWE База сигнатур для поиска программных закладок и
включает конструкции способные привести к:
переполнению буфера;
обращениям к файловой системе;
манипулированию именами;
уязвимости для троянских атак;
вводу пароля;
возможному превышению полномочий;
уязвимости для DOS-атак;
низкоуровневой работе с дисками и файловой системой;
скрытым каналам передачи информации.

АК-ВС

Слайд 18

АК-ВС позволяет отслеживать:
ассемблерные вставки;
операции с датой/временем;
сетевое взаимодействие;
отладочную информацию;
работу с временными

АК-ВС позволяет отслеживать: ассемблерные вставки; операции с датой/временем; сетевое взаимодействие; отладочную информацию;
характеристиками;
параметры командной строки;
операции с параметрами безопасности среды;
скрытые сообщения;
точки ввода/вывода данных;
операции, связанные с обработкой прерываний;
обращение к криптографическим примитивам;
вызов внешних процедур;
обращение к файловым системам.

АК-ВС

Слайд 19

Сигнатурный модуль АК-ВС
Ориентирован на выявление потенциально опасных конструкций в коде, которые могут

Сигнатурный модуль АК-ВС Ориентирован на выявление потенциально опасных конструкций в коде, которые
привести к нарушению безопасности системы
Поддерживается международными объединениями (ОWASP)
Поддерживает международный стандарт (MITRE – CWE)
Все выявленные НДВ, программные закладки, ошибки проектирования и некорректности кодирования, влияющие на безопасность, были выявлены с помощью сигнатурного метода

АК-ВС

Слайд 20

АК-ВС может применяться:
Для сертификационных испытаний на отсутствие НДВ
При проведении аудита кода

АК-ВС может применяться: Для сертификационных испытаний на отсутствие НДВ При проведении аудита
по требованиям безопасности
При разработке программного обеспечения

АК-ВС

Слайд 21

АК-ВС имеет сертификаты МО РФ и ФСТЭК России

АК-ВС

АК-ВС имеет сертификаты МО РФ и ФСТЭК России АК-ВС

Слайд 22

КУРС ОБУЧАЮЩИЙ РАБОТЕ С АК-ВС

КУРС ОБУЧАЮЩИЙ РАБОТЕ С АК-ВС
Имя файла: Проведение-сертификационных-испытаний-на-отсутствие-НДВ.-Можно-ли-найти-НДВ?.pptx
Количество просмотров: 266
Количество скачиваний: 0
- Предыдущая
Автоматическое составление обзорного реферата на основе кластеризации предложений
Следующая -
Барви педагогічної майстерності

Похожие презентации

Автономные канализации TopolWater
Российские Олимпиады 1913 и 1914 годов
Первые проблемы подросткового возраста
Олимпиадное движение:итоги, проблемы, перспективы
Орфограммы в корне слова
VK group: сообщество инфобизнесменов
9 декабря 2003г прошла сессия на тему:«Права человека и российская конституция»
Туристические центры Ростовской области
Children’s fashion
Football is a most popular game in our world
Художники - сказочники
Московский детско-юношеский центр экологии, краеведения и туризма
Какую роль играет вкус,зрение,обоняние в жизнедеятельности человека
Форма и материал. Роль и значение материала в конструкции
Искусство и религия
Цена за год обучения Международные отношения 2000 USD. - презентация
Великие правители - внеклассное мероприятие по истории
ВКР: Разработка сервисной деятельности салона красоты в городе Таганрог
Презентация на тему Федеральное агентство по рыболовству
Библейские сказания в искусстве
История открытия Латинское aluminium происходит от латинского же alumen, означающего квасцы (сульфат алюминия и калия KAl(SO4)2·12H2O), которые и
Презентация программы Альберт ЗвирингРуководитель проектаиюнь 2012
Презентация на тему Классы неорганических веществ
Educational system in Kazakhstan
ЧИСТАЯ ВОДА ДЛЯ ВСЕХ
The Design of Colossus
ПРЕДМЕТ, ЗАДАЧИ И ОСНОВНЫЕ ПРОБЛЕМЫ ИСТОЧНИКОВЕДЕНИЯ-2
Финансовые проекты Восточного направления
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть