Рубрика «Теория ИБ»

Анонимов скоро не будет

Ваш отзыв

«Невелика штука предсказывать будущее; вы лучше попробуйте разгадать настоящее»! Хуго Штейнхаус

AP

Американская корпорация IBM представила перечень новшеств, «которые имеют потенциал изменить жизнь, работу и взаимодействие людей в ближайшие пять лет».

Со второй позиции в рейтинге компания утверждает: «Вам больше никогда не придётся повторно вводить пароль». По мнению IBM, вместо пароля люди будут использовать свои многофакторные биометрические данные.

«Представьте, что вы подходите к банкомату, чтобы снять деньги, и вместо пароля просто называете своё имя или же смотрите в крошечный датчик, который распознаёт образцы в сетчатке глаза. Биометрический профиль будет считываться с помощью ПО для создания уникального онлайн-пароля», – предсказывает корпорация.

источник - IBM дала прогноз по инновациям на пять лет вперёд
Photo via Associated Press: Заседание польского Сейма

Possibly Related Posts:


Фреймворк тестирования и испытаний средств защиты информации по требованиям безопасности информации

Ваш отзыв

При проведении функционального тестирования средств и механизмов защиты информации приходится обращаться к руководящим документам Гостехкомиссии России, т.к. в них заданы традиционные требования к СЗИ, которые условно или тщательно проверяются соответственно при аттестационных и сертификационных испытаниях. Понятно, в реальной жизни План тестирования и Программа и методика испытаний (ГОСТ 19.301-79) носят условно описательный  характер. Это, конечно, особо не огорчает экспертов испытательных лабораторий, но не всегда бывает удобно при автоматизации данного процесса. Кроме того, при проведении испытаний средств защиты информации, составляющей гостайну, необходимо представить формальные или полуформальные доказательства доверия к СЗИ и к результату оценки соответствия. Поэтому мы записали некоторый формальный метабазис разработки методик проведения испытаний для СЗИ (СВТ), МЭ, АС и их подсистем безопасности, например:

 

    

 

Другие публикации наших ученых-практиков в области ИБ можно посмотреть на сайте компании НПО «Эшелон».

Информацию о тестировании программных средств защиты информации, путем использования моделей надежности и испытаний программ, можно также найти на нашем блоге.

Possibly Related Posts:


Специальный выпуск «Технические средства и системы защиты информации»

1 Отзыв

В печать вышел номер журнала «Вестник Московского государственного технического университета им. Н.Э. Баумана» Серия: «Приборостроение», 2011, Специальный выпуск «Технические средства и системы защиты информации». ISSN 0236-3933.

Журнал «Вестник МГТУ им.Н.Э.Баумана» рекомендован ВАК РФ, имеет РИНЦ и рецензируется. Главный редактор Серии «Приборостроение» профессор, доктор технических наук, заслуженный деятель науки РФ, лауреат Государственной премии СССР, лауреат Государственной премии РФ, Лауреат Премии Правительства г. Москвы В.А.Матвеев.

Специальный выпуск журнала «Вестник МГТУ им. Н.Э.Баумана» был инициирован кафедрой ИУ8 «Информационная безопасность» с участием ученых Научно-производственого объединения «Эшелон».
Статьи этого выпуска журнала, где приняли участие научные сотрудники НПО «Эшелон»:

  • 1. Состояние и перспективы развития индустрии информационной безопасности Российской Федерации в 2011 г. / В.А. Матвеев, Н.В. Медведев, И.И. Троицкий и В.Л. Цирлов. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.3-6.
  • 2. Проблемные вопросы гарантированного уничтожения информации на носителях с полупроводниковой энергонезависимой перезаписываемой памятью. / Р.А.Уточка, А.А.Фадин и И.Ю.Шахалов. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.7-19.
  • 3. Обеспечение непрерывности функционирования систем на базе стохастических и детерминированных моделей резервирования и восстановления / А.С.Марков. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.20-24.
  • 4. К вопросу об использовании аппарата теории нечетких множеств при анализе рисков информационной безопасности / Н.В.Медведев, И.И.Троицкий и В.Л.Цирлов. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.25-30.
  • 5. Характерные измеримые показатели атаки сетевого сканирования / О.В.Гудков. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.60-66.
  • 6. Методика оценки безопасности программного кода корпоративных приложений / М.А.Егоров. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.67-78.
  • 7. Проблемы вычисления метрик сложности программного обеспечения при проведении аудита безопасности кода методом ручного рецензирования / В.В.Вареница. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.79-84.
  • 8. Семантический анализ исходного кода для построения модели прикладной области на практике. / А.И.Клянчин. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.85-89.
  • 9. Модели оценки и планирования испытаний программных средств по требованиям безопасности информации / А.С.Марков. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.90-103. (English).
  • 10. Методика оценки соответствия автоматизированных систем требованиям по защите информации от несанкционированного доступа с применением выборочного контроля / А.В. Барабанов. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.104-115.
  • 11. Исследование акустических каналов утечки информации из помещений с использованием вейвлет-технологий / Ю.Г. Горшков. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.131-137.
  • 12. Засекречивание речевой информации на основе вейвлетов / Ю.Г. Горшков, А.Ю. Кузин и В.Л. Цирлов. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.138-145.
  • 13. Нечеткая модель оценки надежности и безопасности функционирования программного обеспечения по результатам испытаний / А.С.Марков. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.146-151.
  • 14. Аудит систем менеджмента качества и информационной безопасности / И.В.Найханова. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.152-156.
  • И другие.

С некоторыми другими публикациями сотрудников НПО «Эшелон» можно ознакомиться на сайте компании.

Possibly Related Posts:


Математические модели оценки и планирования испытаний программного обеспечения по требованиям безопасности информации

Ваш отзыв

Надо понимать, что область информационной безопасности мало формализуема. Фактически, ИБ — это свойство эргатических социумов, которым присущи всякие социологические и пси-факторы.

Что касается оценки соответствия программных ресурсов систем ИБ, то приходится еще радоваться их структурной гирперсложности, что уводит математические методы и модели испытаний в «проклятие размерности» (до изобретения квантового компьютера), а сертификационные испытания ПО становятся не аттестационной процедурой, а мозговым штурмом экспертов испытательных лабораторий. 

Все же, можно ли использовать математические модели испытаний ПО? Исходя из принципа, что матмодели не должны (в лучшем случае) отвлекать экспертов испытательных лабораторий от их бизнес-задач, можно придумать области моделирования испытаний ПО СЗИ:

  •  формальное обоснование затрат на испытания;
  •  формальное иллюстрирование результатов проведенных испытаний;
  •  представление формальных доказательств достигнутого уровня доверия к испытаниям, средствам и системам защиты информации, если это задано в ТЗ (например, для верхних ОУД по ГОСТ ИСО 15408, для систем защиты сведений, составляющих высший уровень гостайны, при испытаниях АС ВН по надёжности и т.д.);
  • проведение научно-исследовательских изысканий.

Исходя из этого, была изучена проблематика анализа и синтеза популярных моделей оценки и планирования испытаний программного обеспечения, в том числе по требованиям безопасности информации и надежности функционирования:

 

 

Possibly Related Posts:


Что такое оценка соответствия в области информационной безопасности?

Ваш отзыв

Часто возникают споры, что такое оценка и подтверждение соответствия, когда они обязательно нужны, в какой форме, в чем специфика относительно области технической защиты информации и ИБ?
Дело в том, что основным источником полемики выступает ФЗ-184 «О техническом регулировании». Но Закон, как известно, в явном виде никак не касается технической защиты информации, поэтому хотелось бы чуть абстрагироваться от политесов. В этом случае весьма любопытна международная нормативная практика, например, есть международный стандарт ISO 17000 (аналог — ГОСТ Р ИСО/МЭК 17000-2009).

В этом стандарте под оценкой соответствия, вообщем-то, понимается доказательство того, что заданные требования к продукции, процессу, системе, лицу или органу выполнены . Допускается, что доказательство может быть прямым или косвенным, формальным или неформальным. По ИСО 17000 выдача документально оформленного заявления (удостоверения) о соответствии заданным требованиям называют подтверждением соответствия. Примерами таких заявлений могут быть сертификаты, аттестаты, лицензии, заключения, выданные официальными органами по оценке соответствия.

Совокупность участников, правил, процедур и менеджмента, используемых для выполнения оценки соответствия, представляет собой некую систему оценки соответствия. В нашей стране в области безопасности информации примерами таких систем являются федеральные обязательные системы сертификации и лицензирования Минобороны России, СВР России, ФСБ России и ФСТЭК России, а также добровольные системы сертификации по безопасности информации.

Базовыми видами деятельности по оценке соответствия являются:

  • испытание,
  • контроль,
  • сертификация,
  • аккредитация органов по оценке соответствия.

В области информационной безопасности примерами видов деятельности по оценке соответствия или их процедурами являются сертификация средств защиты информации, аттестация объектов информатизации, лицензирование деятельности, аккредитация органов, лабораторий, центров, различные виды испытаний и контроля по требованиям безопасности информации, а также аудит безопасности программных средств, информационных систем и систем менеджмента информационной безопасности.

С точки зрения независимости (для нашей страны читай — достоверности) доказательства оценки соответствия различают деятельность трех сторон:

  • первая сторона, представляющая объект оценки, например: корпорация-разработчик или поставщик;
  • вторая сторона, заинтересованная в объекте оценки как ее пользователь, например, представитель заказчика (военная приемка);
  • третья сторона, независимая от первой и второй сторон, например, аккредитованная испытательная лаборатория.

К примеру, средства защиты информации подлежат оценке соответствия в форме обязательной сертификации. Аккредитованные органы сертификации и испытательные лаборатории, участвующие в процессе сертификации, должны быть независимы, т.е. являться третьими сторонами. В тоже время аттестация объектов информатизации может быть проведена самой организацией, т.е. первой стороной. Однако подтверждение соответствия первой стороной называется декларированием (декларацией) о соответствии.  Получается, что аттестация (которая в документах ФСТЭК России определена как часть сертификации) может быть на деле каким-то там декларированием. :-)

Приведем примеры видов деятельности и объектов оценки соответствия по требованиям безопасности информации.

 

Виды и процедуры оценки соответствия

Лицо, организация, орган

Первая сторона

Вторая сторона

Третья сторона

Объекты оценки соответствия

Предварительные
испытания
Проекты,
макеты, образцы СЗИ
Входной
контроль
СЗИ
Приемка СЗИ
Периодический
контроль
СЗИ СЗИ СЗИ
Экспертиза Документы
Сертификация СЗИ
Аттестация ОИ* ОИ* ОИ
Контроль
встраивания
Криптографические
СЗИ
Декларирование Документация
Поверка Средства
измерений
Калибровка Средства измерений Средства
измерений
Средства
измерений
Спецэкспертиза Организации
Аккредитация Организации
Инспекционный
контроль
СЗИ, ОИ,
организации
Аудит СЗИ,
системы, организации
СЗИ, системы, организации СЗИ,
системы, организации

 * лицензиат ФСТЭК может аттестовать любые ОИ, не отнесенные к гостайне.

 

Справедливости ради следует сказать, что область определений и терминов по оценке соответствия имеет весьма размытые рамки. Например, в славном ГОСТ ИСО 17000-2009 под подтверждением соответствия понимают выдачу документа (заявления) о соответствии или несоответствии, а вот в Законе № 184-ФЗ «О техническом регулировании»   написали, пардон-мадам, что это вид деятельности: сертификация или декларация (точнее декларирование, декларация — это документ)…

 

Possibly Related Posts: