S3R

При проведении функционального тестирования средств и механизмов защиты информации приходится обращаться к руководящим документам Гостехкомиссии России, т.к. в них заданы традиционные требования к СЗИ, которые условно или тщательно проверяются соответственно при аттестационных и сертификационных испытаниях. Понятно, в реальной жизни План тестирования и Программа и методика испытаний (ГОСТ 19.301-79) носят условно описательный  характер. Это, конечно, особо не огорчает экспертов испытательных лабораторий, но не всегда бывает удобно при автоматизации данного процесса. Кроме того, при проведении испытаний средств защиты информации, составляющей гостайну, необходимо представить формальные или полуформальные доказательства доверия к СЗИ и к результату оценки соответствия. Поэтому мы записали некоторый формальный метабазис разработки методик проведения испытаний для СЗИ (СВТ), МЭ, АС и их подсистем безопасности, например:

•   Барабанов А.В., Гришин М.И., Марков А.С. Формальный базис и метабазис оценки соответствия средств защиты информации объектов информатизации. // Известия института инженерной физики. 2011. № 3. С. 82-88.
     Alexander Barabanov, Maxim Grishin,  Alexey Markov.  The Formal Basis for Conformity Assessment of Information Security Software and Hardware // Izvestia Instituta Inzhenernoi Phiziki. 2011. №3. P.82-88.
•    Барабанов А.В., Марков А.С., Цирлов В.Л. Разработка методики испытаний межсетевых экранов по требованиям безопасности информации. // Вопросы защиты информации, 2011. № 3. С.19-24. 
      Alexander Barabanov, Alexey Markov, Valentin Tsirlov.  A Formal Approach to Firewalls Testing Techniques // Voprosy Zashity Informazii, 2011. № 3. P.19-24.  
•    Барабанов А.В., Марков А.С., Цирлов В.Л. Методический аппарат оценки соответствия автоматизированных систем требованиям безопасности информации // Спецтехника и связь, 2011. № 3. С.48-53.  
•    Барабанов А.В. Методика оценки соответствия автоматизированных систем требованиям по защите информации от несанкционированного доступа с применением выборочного контроля // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.104-115.

Другие публикации наших ученых-практиков в области ИБ можно посмотреть на сайте компании НПО «Эшелон».

Информацию о тестировании программных средств защиты информации, путем использования моделей надежности и испытаний программ, можно также найти на нашем блоге.

Possibly Related Posts:

• Специальный выпуск «Технические средства и системы защиты информации»
• Математические модели оценки и планирования испытаний программного обеспечения по требованиям безопасности информации
• Сертифицированное средство Сканер-ВС прошло инспекционный контроль во ФСТЭК
• Что такое оценка соответствия в области информационной безопасности?
• Об оценке безопасности программного обеспечения без исходных текстов программ

Новоиспеченный доцент кафедры ИУ8 «Информационная безопасность» Игорь Шахалов как лучший преподаватель опять попал на Доску почета МГТУ по итогам сессии!

 
МГТУ им.Н.Э.Баумана гордится ими!

Надо добавить, что в прошлом году Игорь попал в Книгу Гиннеса-Баумана за самый продолжительный в истории экзамен — он честно принимал экзамен у студенток в течение 10 часов 30 минут без перерыва.

Кстати, Игорь Шахалов завсегдай флэшмобов и баловень судьбы технической защиты информации.

Хочешь узнать как получить лицензию МО РФ, ФСТЭК, ФСБ, аттестат, сертификат, аутсорсинг ИБ, стереть инфу про себя и много еще в добавок?! Cпроси у И.Ю.Шахалова!

P.S. Ну, в качестве информации, НПО «Эшелон» является официальным филиалом кафедры ИУ8 «Информационная безопасность» МГТУ им.Н.Э.Баумана в качестве лабораторной базы.

Possibly Related Posts:

• Google о персональных данных
• Скоро сообщений об утечках персональных данных будет больше
• Компьютеры, которым можно доверять, стали доступнее
• Итоги 2011: аттестация объектов информатизации по требованиям безопасности информации ФСТЭК России
• Замечательные итоги НПО «Эшелон» за 2011: сертификационные испытания средств защиты информации по требованиям безопасности информации

«Сделай первый шаг и ты поймешь, что не все так страшно». (Сенека Старший)

Сегодня 26.01.2012 Google анонсировал новую политику конфиденциальности, которая вступит в действие с 1 марта 2012 г.

Политика конфиденциальности объясняет:

• какие данные собирает Google;
• как используются собранные данные;
• какие существуют варианты доступа к данным и их обновления.

Possibly Related Posts:

• Сессия в МГТУ им.Н.Э.Баумана
• Скоро сообщений об утечках персональных данных будет больше
• Новый стандарт по менеджменту риска информационной безопасности
• Компьютеры, которым можно доверять, стали доступнее
• Госрегистрация программ

«Великие начинания даже не надо обдумывать». (Юлий Цезарь)

Сегодня 25 января будут опубликованы новые правила по защите персональных данных, которые будут действовать в Евросоюзе.

Вивиан Рединг, вице-президент Европейской комиссии, сказала в своем выступлении в воскресенье, что новое законодательство о защите персональных данных необходимо, чтобы защитить пользователей и сократить волокиту для бизнеса в Европе.

Штрафы налагаемые на компанию-нарушителя будут рассчитываться исходя  из выручки и составит  единицы процентов. Сумма для крупных компаний, таких как Facebook, может исчисляться миллионами долларов.

Особое внимание в правилах будет уделено предоставлению возможности пользователю самостоятельно удалять свои данные и требовать этого от компаний.

Будет описана интересная возможность перемещения данных пользователя между компаниями и сервисами.

Об утечках  персональных данных компании должны будут сообщать в течение 24 часов.

http://www.reuters.com/article/2012/01/22/us-eu-data-idUSTRE80L0Q820120122

Possibly Related Posts:

• Сессия в МГТУ им.Н.Э.Баумана
• Google о персональных данных
• Новый стандарт по менеджменту риска информационной безопасности
• Компьютеры, которым можно доверять, стали доступнее
• Госрегистрация программ

В декабре 2011 г. принят новый стандарт ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности (ISO/IEC 27005:2008 Information technology – Security techniques – Information security risk management (IDT)). 

Стандарт является развитием BS7799-3 и гармоничен с серией стандартов 27000, а именно: с ГОСТ Р ИСО/МЭК 27001-2006 и ГОСТ Р ИСО/МЭК 17799-2005.

Стандарт придерживается процессного подхода к управлению рисками (по аналогии с ISO 9000), в нем даются описания оценки риска, включая анализа риска, обработки риска, информативности (коммуникации) процесса управления, мониторинга и переоценки риска, также приводятся примеры табличной оценки и ранжирования рисков информационной безопасности.

Стандарт пришел на смену ГОСТ Р ИСО/МЭК ТО 13335-3-2007 и ГОСТ Р ИСО/МЭК ТО 13335-4-2007.

Из последних принятых стандартов в области информационой безопасности и технической защиты информации можно еще назвать:

•  ГОСТ Р ИСО/МЭК 27004-2011   Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения
•  ГОСТ Р ИСО/МЭК 27033-1-2011   Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции
•   ГОСТ Р ИСО/МЭК 21827-2010   Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса 
    

 С прошлогодней подборкой национальных и ведомственных стандартов РФ по безопасности информации можно ознакомиться на нашем блоге: Российские стандарты по информационной безопасности.

Еще, из области оценки риска, на наш взгляд, очень интересный стандарт ISO/IEC 31010:2009 Risk management — Risk assessment techniques (Менеджмент рисков. Методы оценки рисков).

В стандарте можно ознакомиться с такми методами, как: «мозговой штурм», структурированные опросы, метод Дельфи, контрольные листы, PHA, HAZOP, HACCP, оценка экологического риска, SWIFT, анализ сценариев, BIA, RCA, FMEA/FMECA, анализ дерева неисправностей (FTA), анализ дерева событий (ETA), причинно-следственный анализ, анализ причинно-следственных связей, анализ уровней надежности средств защиты (LOPA), анализ дерева решений, HRA, анализ диаграммы «галстук-бабочка», RCM, анализ паразитности (SA) или анализ паразитных цепей (SCА), анализ цепей Маркова (ТМО), метод Монте-Карло, Байесова статистика и сети Байеса, FN-кривые, индексы риска, матрица последствий и вероятностей, CBA, многокритериальный анализ решений! 

Драфт-перевод ISO/IEC 31010 белорусских коллег можно заценить здесь: http://tnpa.by/tnpa/TnpaFiles/pdf/stb_ISO_IEC_31010_txt.pdf. 

Можно добавить, что о необходимости нового стандарта по менеджменту рисками информационой безопасности мы еще писали когда-то, нас услышали:

Управление рисками — нормативный вакуум информационной безопасности / А.С.Марков и В.Л.Цирлов // Открытые системы. СУБД. 2007. №8. С. 63-67.

Possibly Related Posts:

• Google о персональных данных
• Скоро сообщений об утечках персональных данных будет больше
• Компьютеры, которым можно доверять, стали доступнее
• Индексирование персональных данных по регламенту
• Мифология в области сертификации продукции по требованиям безопасности информации