SlideShare una empresa de Scribd logo

калмыков росс 2013

R
RosaLab
1 de 13
Descargar para leer sin conexión
Преимущества  использования  ПО  с   открытым  кодом  при  построении   защищенных  ИТ-­‐инфраструктур    Калмыков  Константин Руководитель  отдела  разработки  и  внедрения   информационных  систем 1 1
Статистика  уязвимостей  за  2012  год (по  данным  Kaspersky  Security  BulleWn  2012) 28% Oracle Java (tm) Adobe Acrobat Reader 3% 2% Windows и IE 2% Google Android 50% Adobe Flash 15% Другие h_p://www.securelist.com/ru/analysis/208050778/Kaspersky_Security_BulleWn_2012_Osnovnaya_staWsWka_za_2012_god 2
Уязвимости  ОС  за  2011  год (по  данным  Securitylab) Критическая Опасная Средняя Незначительная 100 17 75 16 50 51 44 9 25 33 7 3 6 6 1 22 19 2 IBM AIX 0 FreeBSD 1 Mac OS X 2 Linux Windows h_p://www.securitylab.ru/analyWcs/422328.php 3
Требования  руководящих   докуметов: Согласно  РД  ФСТЭК  «Безопасность   информационных  технологий.  Критерии  оценки   безопасности  информационных  технологий» Требования  доверия  предъявляются  и   призваны  гарантировать:   •  технологии  и  процесс  разработки  ОО •  эксплуатацию  ОО •  адекватность  реализации  механизмов   безопасности  ОО 4
Очевидные  плюсы  открытого  ПО: •Согласно  РД  ФСТЭК  в  части  классификации  по  уровню  контроля   отсутствия  недекларированных  возможностей  требуется  проведение   статического  анализа  исходных  текстов  программ.   Обеспечивается: • контроль  полноты  и  отсутствия  избыточности  исходных  текстов  ПО  на   уровне  файлов;   • контроль  на  уровне  функциональных  объектов  (процедур)  и  на  уровне   функциональных  объектов  (функций); • контроль  связей  функциональных  объектов  (модулей,  процедур,   функций)  по  управлению  и  по  информации;   • контроль  информационных  объектов  различных  типов; • формирование  перечня  маршрутов  выполнения  функциональных   объектов  (процедур,  функций); 5
Очевидные  плюсы  открытого  ПО: •Согласно  РД  ФСТЭК  в  части  классификации  по  уровню  контроля   отсутствия  недекларированных  возможностей  требуется  проведение   статического  анализа  исходных  текстов  программ.   Обеспечивается: • синтаксический  контроль  наличия  заданных  конструкций  в  исходных   текстах  ПО  из  списка  (базы)  потенциально  опасных  программных   конструкций;   • формирование  перечня  маршрутов  выполнения  функциональных   объектов  (ветвей);   • анализ  критических  маршрутов  выполнения  функциональных  объектов   (процедур,  функций)  для  заданных  экспертом  списков   информационных  объектов;   • построение  по  исходным  текстам  контролируемого  ПО  блок-­‐схем,   диаграмм  и  т.п.,  и  последующий  сравнительный  анализ  алгоритмов   работы. 6
Доверие  и  открытые  технологии:   Доверие  –  основа  для  уверенности  в  том,  что   продукт  или  система  ИТ  отвечают  целям   безопасности.   «Общие  критерии»  обеспечивают  доверие  с   использованием  активного  исследования.   Активное  исследование  –  это  оценка   продукта  или  системы  ИТ  для   определения  его  свойств   безопасности. 7
Методы  оценки  включают: • анализ  и  проверку  процессов  и  процедур; • проверку,  что  процессы  и  процедуры  применяются; • анализ  соответствия  между  представлениями  проекта  ОО; • анализ  соответствия  каждого  представления  проекта  ОО   требованиям; • верификацию  доказательств; • анализ  руководств; • анализ  разработанных  функциональных   • тестов  и  полученных  результатов; • независимое  функциональное  тестирование; • анализ  уязвимостей,  включающий   • предположения  о  недостатках; • тестирование  проникновением. 8
Ключевые  особенности  технологий  РОСА ROSA  ABF  -­‐  Automated  Build  Farm  состоит  из: Изделие  «РОСА-­‐  ЕДИНОЕ  ОКНО»   RU.61682077.00400-­‐01  (программа   управления  доступом  к  общесистемным  и   прикладным  компонентам  ) Изделие  «РОСА-­‐ФУНДАМЕНТ» RU.61682077.00100-­‐01  (система  управления   хранилищем  и  сборочной  средой) 9
Взаимосвязь  РД  и  технологий  РОСА • анализ  и  проверку  процессов  и  процедур; • проверку,  что  процессы  и  процедуры  применяются; • анализ  соответствия  между  представлениями  проекта  ОО; • анализ  соответствия  каждого  представления  проекта  ОО   требованиям; • верификацию  доказательств; • анализ  руководств;   • анализ  разработанных  функциональных   • тестов  и  полученных  результатов; • независимое  функциональное  тестирование; • анализ  уязвимостей,  включающий   • предположения  о  недостатках; • тестирование  проникновением.   10
Технологии  РОСА  ABF  обеспечивают: •Доверенную  среду  разработки •Высокий  уровень  контроля  разработки •Открытость   •Переносимость •Интеграцию  с  системами  управления  проектами •Интеграция  процессов  разработки,   конфигурационного  управления  и  сборки  на   единой  площадке 11
Заключение Использование  открытых  технологий  при   создании  программного  обеспечения  позволяет   создать  доверенную  среду  разработки,   повышающую  безопасность  объекта  оценки. 12
Спасибо  за  внимание! ООО  «НТЦ  ИТ  РОСА» Москва,  Пресненский  вал  14 тел.  +7(495)229-­‐88-­‐12 info@ntcit-­‐rosa.ru 13

Recomendados

Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
Aleksey Lukatskiy
 
9
99
9
Отшельник
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практике
Pointlane
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
Positive Hack Days
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработки
RISClubSPb
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложений
RISClubSPb
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSS
Alex Babenko
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.
Expolink
 

Recomendados

Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
Aleksey Lukatskiy
 
9
99
9
Отшельник
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практике
Pointlane
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
Positive Hack Days
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработки
RISClubSPb
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложений
RISClubSPb
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSS
Alex Babenko
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.
Expolink
 
презентация по дисциплине технология разработки программного обеспечения
презентация по дисциплине технология разработки программного обеспеченияпрезентация по дисциплине технология разработки программного обеспечения
презентация по дисциплине технология разработки программного обеспечения
Rauan Ibraikhan
 
Requirements engineering. IREB practices
Requirements engineering. IREB practicesRequirements engineering. IREB practices
Requirements engineering. IREB practices
Eugene Bulba
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
Alexey Kachalin
 
Istqb lesson 2
Istqb lesson 2Istqb lesson 2
Istqb lesson 2
Eugene Bulba
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDL
Alex Babenko
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Maxim Avdyunin
 
PT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовкаPT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовка
Valery Boronin
 
Istqb lesson 1
Istqb lesson 1Istqb lesson 1
Istqb lesson 1
Eugene Bulba
 
Технология разработки программного обеспечения
Технология разработки программного обеспеченияТехнология разработки программного обеспечения
Технология разработки программного обеспечения
Rauan Ibraikhan
 
Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...
Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...
Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...
Andrey Fadin
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПО
Alex Babenko
 
Istqb lesson 5
Istqb lesson 5Istqb lesson 5
Istqb lesson 5
Eugene Bulba
 
Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016
Valery Boronin
 
Лучшие практики исполнения проекта в соответствии с методологией IBM Rational
Лучшие практики исполнения проекта в соответствии с методологией IBM RationalЛучшие практики исполнения проекта в соответствии с методологией IBM Rational
Лучшие практики исполнения проекта в соответствии с методологией IBM Rational
LuxoftTraining
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processes
Alexey Kachalin
 
Внутренняя угроза: выявление и защита с помощью ObserveIT
Внутренняя угроза: выявление и защита с помощью ObserveITВнутренняя угроза: выявление и защита с помощью ObserveIT
Внутренняя угроза: выявление и защита с помощью ObserveIT
BAKOTECH
 
Istqb lesson 3
Istqb lesson 3Istqb lesson 3
Istqb lesson 3
Eugene Bulba
 
Технология разработки программного обеспечения
Технология разработки программного обеспеченияТехнология разработки программного обеспечения
Технология разработки программного обеспечения
Rauan Ibraikhan
 
очир абушинов
очир абушиновочир абушинов
очир абушинов
Alexei Lupan
 
Цуру Роботикс, Никита Родиченко
Цуру Роботикс, Никита РодиченкоЦуру Роботикс, Никита Родиченко
Цуру Роботикс, Никита Родиченко
Skolkovo Robotics Center
 
Weather
WeatherWeather
Weather
applekatar
 
Dream product LinuxCon Europe Europe
Dream product LinuxCon Europe EuropeDream product LinuxCon Europe Europe
Dream product LinuxCon Europe Europe
RosaLab
 

Más contenido relacionado

La actualidad más candente

презентация по дисциплине технология разработки программного обеспечения
презентация по дисциплине технология разработки программного обеспеченияпрезентация по дисциплине технология разработки программного обеспечения
презентация по дисциплине технология разработки программного обеспечения
Rauan Ibraikhan
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
Alexey Kachalin
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Maxim Avdyunin
 
Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...
Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...
Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...
Andrey Fadin
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПО
Alex Babenko
 
Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016
Valery Boronin
 
Лучшие практики исполнения проекта в соответствии с методологией IBM Rational
Лучшие практики исполнения проекта в соответствии с методологией IBM RationalЛучшие практики исполнения проекта в соответствии с методологией IBM Rational
Лучшие практики исполнения проекта в соответствии с методологией IBM Rational
LuxoftTraining
 
очир абушинов
очир абушиновочир абушинов
очир абушинов
Alexei Lupan
 

La actualidad más candente (20)

презентация по дисциплине технология разработки программного обеспечения
презентация по дисциплине технология разработки программного обеспеченияпрезентация по дисциплине технология разработки программного обеспечения
презентация по дисциплине технология разработки программного обеспечения
 
Requirements engineering. IREB practices
Requirements engineering. IREB practicesRequirements engineering. IREB practices
Requirements engineering. IREB practices
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
 
Istqb lesson 2
Istqb lesson 2Istqb lesson 2
Istqb lesson 2
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDL
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
 
PT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовкаPT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовка
 
Istqb lesson 1
Istqb lesson 1Istqb lesson 1
Istqb lesson 1
 
Технология разработки программного обеспечения
Технология разработки программного обеспеченияТехнология разработки программного обеспечения
Технология разработки программного обеспечения
 
Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...
Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...
Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПО
 
Istqb lesson 5
Istqb lesson 5Istqb lesson 5
Istqb lesson 5
 
Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016
 
Лучшие практики исполнения проекта в соответствии с методологией IBM Rational
Лучшие практики исполнения проекта в соответствии с методологией IBM RationalЛучшие практики исполнения проекта в соответствии с методологией IBM Rational
Лучшие практики исполнения проекта в соответствии с методологией IBM Rational
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processes
 
Внутренняя угроза: выявление и защита с помощью ObserveIT
Внутренняя угроза: выявление и защита с помощью ObserveITВнутренняя угроза: выявление и защита с помощью ObserveIT
Внутренняя угроза: выявление и защита с помощью ObserveIT
 
Istqb lesson 3
Istqb lesson 3Istqb lesson 3
Istqb lesson 3
 
Технология разработки программного обеспечения
Технология разработки программного обеспеченияТехнология разработки программного обеспечения
Технология разработки программного обеспечения
 
очир абушинов
очир абушиновочир абушинов
очир абушинов
 
Цуру Роботикс, Никита Родиченко
Цуру Роботикс, Никита РодиченкоЦуру Роботикс, Никита Родиченко
Цуру Роботикс, Никита Родиченко
 

Destacado

Dream product LinuxCon Europe Europe
Dream product LinuxCon Europe EuropeDream product LinuxCon Europe Europe
Dream product LinuxCon Europe Europe
RosaLab
 
Darium utilisation medias_sociaux_2011
Darium utilisation medias_sociaux_2011Darium utilisation medias_sociaux_2011
Darium utilisation medias_sociaux_2011
Caroline Manseau
 
Difference between psychological time and clock time with reference to 'to th...
Difference between psychological time and clock time with reference to 'to th...Difference between psychological time and clock time with reference to 'to th...
Difference between psychological time and clock time with reference to 'to th...
yashpalsinhgohil1111
 
Защищенные системы Rosa
Защищенные системы RosaЗащищенные системы Rosa
Защищенные системы Rosa
RosaLab
 
Ross2013 rubanov
Ross2013 rubanovRoss2013 rubanov
Ross2013 rubanov
RosaLab
 
1 aalecturas reforzo-ampliacion_cast_6_santillana
1 aalecturas reforzo-ampliacion_cast_6_santillana1 aalecturas reforzo-ampliacion_cast_6_santillana
1 aalecturas reforzo-ampliacion_cast_6_santillana
Fiz
 
J333 SWOT Analysis
J333 SWOT AnalysisJ333 SWOT Analysis
J333 SWOT Analysis
lisanharris
 
EJERCICIOS INTEGRALES 2 POR FRANCISCO NIEVES
EJERCICIOS INTEGRALES 2 POR FRANCISCO NIEVESEJERCICIOS INTEGRALES 2 POR FRANCISCO NIEVES
EJERCICIOS INTEGRALES 2 POR FRANCISCO NIEVES
Francisco Nieves
 
Real estate
Real estateReal estate
Real estate
karang88
 
Ajayi_M_Senior Thesis Poster
Ajayi_M_Senior Thesis PosterAjayi_M_Senior Thesis Poster
Ajayi_M_Senior Thesis Poster
Moyo Ajayi
 
Etude Apec - Les métiers cadres en tension, une approche territoriale
Etude Apec - Les métiers cadres en tension, une approche territorialeEtude Apec - Les métiers cadres en tension, une approche territoriale
Etude Apec - Les métiers cadres en tension, une approche territoriale
Apec
 
2.5 sukan teras malaysia
2.5 sukan teras malaysia2.5 sukan teras malaysia
2.5 sukan teras malaysia
Vinnie Liong
 
презентация урок 45
презентация урок 45презентация урок 45
презентация урок 45
natalia165
 
1304 Inbound Marketing Forum - Доклад Руслана Земляного
1304 Inbound Marketing Forum - Доклад Руслана Земляного1304 Inbound Marketing Forum - Доклад Руслана Земляного
1304 Inbound Marketing Forum - Доклад Руслана Земляного
Olga Zaimenko
 

Destacado (20)

Weather
WeatherWeather
Weather
 
Dream product LinuxCon Europe Europe
Dream product LinuxCon Europe EuropeDream product LinuxCon Europe Europe
Dream product LinuxCon Europe Europe
 
Darium utilisation medias_sociaux_2011
Darium utilisation medias_sociaux_2011Darium utilisation medias_sociaux_2011
Darium utilisation medias_sociaux_2011
 
Difference between psychological time and clock time with reference to 'to th...
Difference between psychological time and clock time with reference to 'to th...Difference between psychological time and clock time with reference to 'to th...
Difference between psychological time and clock time with reference to 'to th...
 
Защищенные системы Rosa
Защищенные системы RosaЗащищенные системы Rosa
Защищенные системы Rosa
 
Ross2013 rubanov
Ross2013 rubanovRoss2013 rubanov
Ross2013 rubanov
 
1 aalecturas reforzo-ampliacion_cast_6_santillana
1 aalecturas reforzo-ampliacion_cast_6_santillana1 aalecturas reforzo-ampliacion_cast_6_santillana
1 aalecturas reforzo-ampliacion_cast_6_santillana
 
J333 SWOT Analysis
J333 SWOT AnalysisJ333 SWOT Analysis
J333 SWOT Analysis
 
EJERCICIOS INTEGRALES 2 POR FRANCISCO NIEVES
EJERCICIOS INTEGRALES 2 POR FRANCISCO NIEVESEJERCICIOS INTEGRALES 2 POR FRANCISCO NIEVES
EJERCICIOS INTEGRALES 2 POR FRANCISCO NIEVES
 
Inspiration for writing
Inspiration for writingInspiration for writing
Inspiration for writing
 
Real estate
Real estateReal estate
Real estate
 
Ajayi_M_Senior Thesis Poster
Ajayi_M_Senior Thesis PosterAjayi_M_Senior Thesis Poster
Ajayi_M_Senior Thesis Poster
 
Etude Apec - Les métiers cadres en tension, une approche territoriale
Etude Apec - Les métiers cadres en tension, une approche territorialeEtude Apec - Les métiers cadres en tension, une approche territoriale
Etude Apec - Les métiers cadres en tension, une approche territoriale
 
Професійне вигорання (Євтушенко І. В)
Професійне вигорання (Євтушенко І. В)Професійне вигорання (Євтушенко І. В)
Професійне вигорання (Євтушенко І. В)
 
It
ItIt
It
 
2.5 sukan teras malaysia
2.5 sukan teras malaysia2.5 sukan teras malaysia
2.5 sukan teras malaysia
 
презентация урок 45
презентация урок 45презентация урок 45
презентация урок 45
 
1304 Inbound Marketing Forum - Доклад Руслана Земляного
1304 Inbound Marketing Forum - Доклад Руслана Земляного1304 Inbound Marketing Forum - Доклад Руслана Земляного
1304 Inbound Marketing Forum - Доклад Руслана Земляного
 
Objetos implicitos en JSP
Objetos implicitos en JSPObjetos implicitos en JSP
Objetos implicitos en JSP
 
Herramientas básicas de word 2007
Herramientas básicas de word 2007Herramientas básicas de word 2007
Herramientas básicas de word 2007
 

Similar a калмыков росс 2013

Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...
Ivan Piskunov
 
SECON'2017, Реуцкий Вадим, О чем мечтают современные андройды: особенности ра...
SECON'2017, Реуцкий Вадим, О чем мечтают современные андройды: особенности ра...SECON'2017, Реуцкий Вадим, О чем мечтают современные андройды: особенности ра...
SECON'2017, Реуцкий Вадим, О чем мечтают современные андройды: особенности ра...
SECON
 
Презентация по дисциплине технология разработки программного обеспечения
Презентация по дисциплине технология разработки программного обеспеченияПрезентация по дисциплине технология разработки программного обеспечения
Презентация по дисциплине технология разработки программного обеспечения
Rauan Ibraikhan
 
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектов
Dmitry Evteev
 
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Solar Security
 
Российская операционная система реального времени для микроконтроллеров, с по...
Российская операционная система реального времени для микроконтроллеров, с по...Российская операционная система реального времени для микроконтроллеров, с по...
Российская операционная система реального времени для микроконтроллеров, с по...
CEE-SEC(R)
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008
guest5b66888
 
Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПНюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТП
Компания УЦСБ
 

Similar a калмыков росс 2013 (20)

Bachelors Diploma Slides Short Version
Bachelors Diploma Slides Short VersionBachelors Diploma Slides Short Version
Bachelors Diploma Slides Short Version
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
 
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...
 
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
Спроси эксперта. Solar inСode все, что вы хотели узнать про "дыры" в коде, но...
 
SECON'2017, Реуцкий Вадим, О чем мечтают современные андройды: особенности ра...
SECON'2017, Реуцкий Вадим, О чем мечтают современные андройды: особенности ра...SECON'2017, Реуцкий Вадим, О чем мечтают современные андройды: особенности ра...
SECON'2017, Реуцкий Вадим, О чем мечтают современные андройды: особенности ра...
 
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?
 
Mva stf module 1 - rus
Mva stf module 1 - rusMva stf module 1 - rus
Mva stf module 1 - rus
 
Презентация по дисциплине технология разработки программного обеспечения
Презентация по дисциплине технология разработки программного обеспеченияПрезентация по дисциплине технология разработки программного обеспечения
Презентация по дисциплине технология разработки программного обеспечения
 
Современные российские средства защиты информации
Современные российские средства защиты информацииСовременные российские средства защиты информации
Современные российские средства защиты информации
 
Positive Technologies Application Inspector
Positive Technologies Application InspectorPositive Technologies Application Inspector
Positive Technologies Application Inspector
 
Российская Программная Платформа: возможные пути формирования экосистемы
Российская Программная Платформа: возможные пути формирования экосистемыРоссийская Программная Платформа: возможные пути формирования экосистемы
Российская Программная Платформа: возможные пути формирования экосистемы
 
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектов
 
Цифровой суверенитет для российских облачных систем
Цифровой суверенитет для российских облачных системЦифровой суверенитет для российских облачных систем
Цифровой суверенитет для российских облачных систем
 
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
Спроси эксперта. 2 сезон 2 серия. Тестирование приложений на уязвимости. Прак...
 
методология Rad (46)
методология Rad (46)методология Rad (46)
методология Rad (46)
 
Российская операционная система реального времени для микроконтроллеров, с по...
Российская операционная система реального времени для микроконтроллеров, с по...Российская операционная система реального времени для микроконтроллеров, с по...
Российская операционная система реального времени для микроконтроллеров, с по...
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008
 
Оценка защищенности Web-приложений
Оценка защищенности Web-приложенийОценка защищенности Web-приложений
Оценка защищенности Web-приложений
 
ФГУП НПП "Гамма". Денис Микрюков. "Система обнаружения вторжений в автоматизи...
ФГУП НПП "Гамма". Денис Микрюков. "Система обнаружения вторжений в автоматизи...ФГУП НПП "Гамма". Денис Микрюков. "Система обнаружения вторжений в автоматизи...
ФГУП НПП "Гамма". Денис Микрюков. "Система обнаружения вторжений в автоматизи...
 
Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПНюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТП
 

калмыков росс 2013

  • 1. Преимущества  использования  ПО  с   открытым  кодом  при  построении   защищенных  ИТ-­‐инфраструктур    Калмыков  Константин Руководитель  отдела  разработки  и  внедрения   информационных  систем 1 1
  • 2. Статистика  уязвимостей  за  2012  год (по  данным  Kaspersky  Security  BulleWn  2012) 28% Oracle Java (tm) Adobe Acrobat Reader 3% 2% Windows и IE 2% Google Android 50% Adobe Flash 15% Другие h_p://www.securelist.com/ru/analysis/208050778/Kaspersky_Security_BulleWn_2012_Osnovnaya_staWsWka_za_2012_god 2
  • 3. Уязвимости  ОС  за  2011  год (по  данным  Securitylab) Критическая Опасная Средняя Незначительная 100 17 75 16 50 51 44 9 25 33 7 3 6 6 1 22 19 2 IBM AIX 0 FreeBSD 1 Mac OS X 2 Linux Windows h_p://www.securitylab.ru/analyWcs/422328.php 3
  • 4. Требования  руководящих   докуметов: Согласно  РД  ФСТЭК  «Безопасность   информационных  технологий.  Критерии  оценки   безопасности  информационных  технологий» Требования  доверия  предъявляются  и   призваны  гарантировать:   •  технологии  и  процесс  разработки  ОО •  эксплуатацию  ОО •  адекватность  реализации  механизмов   безопасности  ОО 4
  • 5. Очевидные  плюсы  открытого  ПО: •Согласно  РД  ФСТЭК  в  части  классификации  по  уровню  контроля   отсутствия  недекларированных  возможностей  требуется  проведение   статического  анализа  исходных  текстов  программ.   Обеспечивается: • контроль  полноты  и  отсутствия  избыточности  исходных  текстов  ПО  на   уровне  файлов;   • контроль  на  уровне  функциональных  объектов  (процедур)  и  на  уровне   функциональных  объектов  (функций); • контроль  связей  функциональных  объектов  (модулей,  процедур,   функций)  по  управлению  и  по  информации;   • контроль  информационных  объектов  различных  типов; • формирование  перечня  маршрутов  выполнения  функциональных   объектов  (процедур,  функций); 5
  • 6. Очевидные  плюсы  открытого  ПО: •Согласно  РД  ФСТЭК  в  части  классификации  по  уровню  контроля   отсутствия  недекларированных  возможностей  требуется  проведение   статического  анализа  исходных  текстов  программ.   Обеспечивается: • синтаксический  контроль  наличия  заданных  конструкций  в  исходных   текстах  ПО  из  списка  (базы)  потенциально  опасных  программных   конструкций;   • формирование  перечня  маршрутов  выполнения  функциональных   объектов  (ветвей);   • анализ  критических  маршрутов  выполнения  функциональных  объектов   (процедур,  функций)  для  заданных  экспертом  списков   информационных  объектов;   • построение  по  исходным  текстам  контролируемого  ПО  блок-­‐схем,   диаграмм  и  т.п.,  и  последующий  сравнительный  анализ  алгоритмов   работы. 6
  • 7. Доверие  и  открытые  технологии:   Доверие  –  основа  для  уверенности  в  том,  что   продукт  или  система  ИТ  отвечают  целям   безопасности.   «Общие  критерии»  обеспечивают  доверие  с   использованием  активного  исследования.   Активное  исследование  –  это  оценка   продукта  или  системы  ИТ  для   определения  его  свойств   безопасности. 7
  • 8. Методы  оценки  включают: • анализ  и  проверку  процессов  и  процедур; • проверку,  что  процессы  и  процедуры  применяются; • анализ  соответствия  между  представлениями  проекта  ОО; • анализ  соответствия  каждого  представления  проекта  ОО   требованиям; • верификацию  доказательств; • анализ  руководств; • анализ  разработанных  функциональных   • тестов  и  полученных  результатов; • независимое  функциональное  тестирование; • анализ  уязвимостей,  включающий   • предположения  о  недостатках; • тестирование  проникновением. 8
  • 9. Ключевые  особенности  технологий  РОСА ROSA  ABF  -­‐  Automated  Build  Farm  состоит  из: Изделие  «РОСА-­‐  ЕДИНОЕ  ОКНО»   RU.61682077.00400-­‐01  (программа   управления  доступом  к  общесистемным  и   прикладным  компонентам  ) Изделие  «РОСА-­‐ФУНДАМЕНТ» RU.61682077.00100-­‐01  (система  управления   хранилищем  и  сборочной  средой) 9
  • 10. Взаимосвязь  РД  и  технологий  РОСА • анализ  и  проверку  процессов  и  процедур; • проверку,  что  процессы  и  процедуры  применяются; • анализ  соответствия  между  представлениями  проекта  ОО; • анализ  соответствия  каждого  представления  проекта  ОО   требованиям; • верификацию  доказательств; • анализ  руководств;   • анализ  разработанных  функциональных   • тестов  и  полученных  результатов; • независимое  функциональное  тестирование; • анализ  уязвимостей,  включающий   • предположения  о  недостатках; • тестирование  проникновением.   10
  • 11. Технологии  РОСА  ABF  обеспечивают: •Доверенную  среду  разработки •Высокий  уровень  контроля  разработки •Открытость   •Переносимость •Интеграцию  с  системами  управления  проектами •Интеграция  процессов  разработки,   конфигурационного  управления  и  сборки  на   единой  площадке 11
  • 12. Заключение Использование  открытых  технологий  при   создании  программного  обеспечения  позволяет   создать  доверенную  среду  разработки,   повышающую  безопасность  объекта  оценки. 12
  • 13. Спасибо  за  внимание! ООО  «НТЦ  ИТ  РОСА» Москва,  Пресненский  вал  14 тел.  +7(495)229-­‐88-­‐12 info@ntcit-­‐rosa.ru 13