Проведение сертификационных испытаний на отсутствие НДВ. Можно ли найти НДВ?

Содержание

Слайд 2

Что есть?

Руководящий документ «Защита от НСД к информации. Часть 1. Программное обеспечение

Что есть? Руководящий документ «Защита от НСД к информации. Часть 1. Программное
средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия, 1999 )

Слайд 3

Что должны искать?

Недекларированные возможности - функциональные возможности ПО, не описанные или не

Что должны искать? Недекларированные возможности - функциональные возможности ПО, не описанные или
соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Слайд 4

Что должны искать?

Программные закладки – преднамеренно внесенные в ПО функциональные объекты, которые

Что должны искать? Программные закладки – преднамеренно внесенные в ПО функциональные объекты,
при определенных условиях (входных данных) инициируют выполнение не описанных в документации функций ПО, приводящих к нарушению конфиденциальности, доступности или целостности обрабатываемой информации.

Слайд 5

Что предписывает РД

Что предписывает РД

Слайд 6

Что ищут за пределами РФ

Уязвимость - дефект ПО, возникший на этапе его

Что ищут за пределами РФ Уязвимость - дефект ПО, возникший на этапе
проектирования, реализации или эксплуатации и потенциально способный привести к нарушению конфиденциальности, целостности или доступности обрабатываемой с его помощью информации.

Слайд 7

Классификация уязвимостей ПО

Позволяющие реализовать сбор или хищение данных.
Позволяющие реализовать перехват сетевой информации.
Позволяющие

Классификация уязвимостей ПО Позволяющие реализовать сбор или хищение данных. Позволяющие реализовать перехват
реализовать перехват потоков данных (например, с консоли ввода пользователя).
Позволяющие превысить полномочия при доступе к информации, хранящейся в базе данных.
Позволяющие реализовать сокрытие информации.
Обеспечивающие выполнение скрытых процессов.
Позволяющие реализовать сокрытие данных.

Слайд 8

Классификация уязвимостей ПО (2)

Позволяющие реализовать скрытые каналы передачи информации.
Позволяющие реализовать управляющее воздействие

Классификация уязвимостей ПО (2) Позволяющие реализовать скрытые каналы передачи информации. Позволяющие реализовать
на информационную систему.
Позволяющие реализовать удалённое управление программной системой.
Позволяющие реализовать нарушение доступности удалённой системы.

Слайд 9

Подходы к выявлению уязвимостей ПО: зарубежный опыт (IBM, Fortify, OWASP, CWE)

OWASP Top

Подходы к выявлению уязвимостей ПО: зарубежный опыт (IBM, Fortify, OWASP, CWE) OWASP
Ten
10 самых больших угроз для веб-приложений
Fortify Seven Pernicious Kingdoms
7 разрушительных "царств" компании Fortify
MITRE Common Weaknesses Enumeration
всесторонняя классификация изъянов ПО

Слайд 10

Десятка OWASP (OWASP Top Ten)

A1 – Межсайтовый скриптинг (Cross Site Scripting, XSS)
A2

Десятка OWASP (OWASP Top Ten) A1 – Межсайтовый скриптинг (Cross Site Scripting,
– Изъяны при внедрении (Injection Flaws)
A3 – Злонамеренный запуск файла (Malicious File Execution)
A4 – Небезопасная прямая ссылка на объект (Insecure Direct Object Reference)
A5 – Подделка HTTP-запросов (Cross Site Request Forgery, CSRF)
A6 – Утечка информации и неправильная обработка ошибок (Information Leakage and Improper Error Handling)
A7 – Нарушенная аутентификация и управление сессиями (Broken Authentication and Session Management)
A8 – Небезопасное криптографическое хранилище (Insecure Cryptographic Storage)
A9 – Небезопасные коммуникации (Insecure Communications)
A10 – Ошибка в запрете доступа к URL (Failure to Restrict URL Access)

Слайд 11

7 разрушительных царств (Fortify Seven Pernicious Kingdoms)

1. Валидация ввода и представление
2. Эксплуатация API
3. Механизмы безопасности
4. Время

7 разрушительных царств (Fortify Seven Pernicious Kingdoms) 1. Валидация ввода и представление
и Состояние
5. Обработка ошибок
6. Качество кода
7. Инкапсуляция
*Окружение

Слайд 12

Common Weakness Enumeration

http://cwe.mitre.org
метаязык для описания всех недостатков ПО, схем защиты и атаки
Структура

Common Weakness Enumeration http://cwe.mitre.org метаязык для описания всех недостатков ПО, схем защиты
типа «дерево»
Категории
Элементы
Составные элементы
Сгруппировано по «отображениям»
Research View
Development View
C/C++ Developer View
Java Developer View

Слайд 13

Уязвимости и изъяны

CVE (Common Vulnerability Enumeration)
CWE - Common Weakness Enumeration

Уязвимости и изъяны CVE (Common Vulnerability Enumeration) CWE - Common Weakness Enumeration

Слайд 15

АК-ВС

Анализатор кода вычислительных систем (АК-ВС), структура:

АК-ВС Анализатор кода вычислительных систем (АК-ВС), структура:

Слайд 16

АК-ВС поддерживает работу с языками
С, С++
С#
Java
Построение отчетов АК-ВС
Списка функциональных объектов
Списка

АК-ВС поддерживает работу с языками С, С++ С# Java Построение отчетов АК-ВС
информационных объектов
Списка висячих функциональных объектов
Связей ФО по управлению и по информации
Построение трасс вызовов (ф-ф, ф-в, в-в)
Построение графов вызовов
Построение блок-схем
Ведение протокола вставки датчиков

АК-ВС

Слайд 17

Сигнатурный модуль базируется на CWE
База сигнатур для поиска программных закладок и уязвимостей

Сигнатурный модуль базируется на CWE База сигнатур для поиска программных закладок и
включает конструкции способные привести к:
переполнению буфера;
обращениям к файловой системе;
манипулированию именами;
уязвимости для троянских атак;
вводу пароля;
возможному превышению полномочий;
уязвимости для DOS-атак;
низкоуровневой работе с дисками и файловой системой;
скрытым каналам передачи информации.

АК-ВС

Слайд 18

АК-ВС позволяет отслеживать:
ассемблерные вставки;
операции с датой/временем;
сетевое взаимодействие;
отладочную информацию;
работу с временными

АК-ВС позволяет отслеживать: ассемблерные вставки; операции с датой/временем; сетевое взаимодействие; отладочную информацию;
характеристиками;
параметры командной строки;
операции с параметрами безопасности среды;
скрытые сообщения;
точки ввода/вывода данных;
операции, связанные с обработкой прерываний;
обращение к криптографическим примитивам;
вызов внешних процедур;
обращение к файловым системам.

АК-ВС

Слайд 19

Сигнатурный модуль АК-ВС
Ориентирован на выявление потенциально опасных конструкций в коде, которые могут

Сигнатурный модуль АК-ВС Ориентирован на выявление потенциально опасных конструкций в коде, которые
привести к нарушению безопасности системы
Поддерживается международными объединениями (ОWASP)
Поддерживает международный стандарт (MITRE – CWE)
Все выявленные НДВ, программные закладки, ошибки проектирования и некорректности кодирования, влияющие на безопасность, были выявлены с помощью сигнатурного метода

АК-ВС

Слайд 20

АК-ВС может применяться:
Для сертификационных испытаний на отсутствие НДВ
При проведении аудита кода

АК-ВС может применяться: Для сертификационных испытаний на отсутствие НДВ При проведении аудита
по требованиям безопасности
При разработке программного обеспечения

АК-ВС

Слайд 21

АК-ВС имеет сертификаты МО РФ и ФСТЭК России

АК-ВС

АК-ВС имеет сертификаты МО РФ и ФСТЭК России АК-ВС

Слайд 22

КУРС ОБУЧАЮЩИЙ РАБОТЕ С АК-ВС

КУРС ОБУЧАЮЩИЙ РАБОТЕ С АК-ВС
Имя файла: Проведение-сертификационных-испытаний-на-отсутствие-НДВ.-Можно-ли-найти-НДВ?.pptx
Количество просмотров: 192
Количество скачиваний: 0
- Предыдущая
Автоматическое составление обзорного реферата на основе кластеризации предложений
Следующая -
Барви педагогічної майстерності

Похожие презентации

Элементы резьбы. Резьбонарезной инструмент
British food
Онлайн-подготовка к ЕГЭ
Права семьи в сфере охраны здоровья
Текстовый редактор
Кислородная резка
Онлайн навчання
Ямайская денежная система
Цифровая фотография ее использование в рекламе
Физиология межуточного мозга
Как помочь ребенку стать внимательным?
Меры поддержки одаренных детей и молодежи: опыт практической реализации
Презентация «Серебряный век» русской поэзии (Велимир Хлебников) урок литературы, 11 класс Автор: Ивашкавичюте Анна, 11 «А» класс Рук
Взаимное расположение графиков линейных функций.
Ах, этот джаз
Дополнительная образовательная программа Подготовительный курс для абитуриентов колледжа
Естественно-научная и гуманитарная культуры
Жили-были динозавры - презентация для начальной школы_
Дневник молодого учителя
Презентация на тему Охрана Труда В ДОУ
Моллюски 3 класс
Газовая сварка
МЦ Гамаюн. Экскурсионно-игровая программа Наивный мир, г. Екатеринбург
Добро пожаловать!
«День снятия Блокады» 08.09.1941 г.-27.01.1944 г
Седьмая рамочная программа научно-технологического развития Европейского Союза
НАУЧНЫЕ ЦЕНТРЫ
Васильева Любовь Геннадьевна, учитель экономики МАОУ «Бронницкая СОШ»
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть