S3R

Совсем недавно стали ходить разговоры, что перспективы развития новых нормативно-методических документов ФСТЭК России связаны, все-таки, с концепцией «Общих критериев».  Судя повсему, такие новые документы ФСТЭК (можно сказать, альтернативные традиционным РД Гостехкомиссии прошлого века) будут иметь подобную структуру:

Здесь для каждого из основных классов СЗИ будет разработан нормативный документ, классифицирующий этот класс СЗИ и определяющий соответствующие требования для профилей защиты. На основании ПЗ, в свою очередь, разработчики СЗИ будут легко создавать свои задания по безопасности, по которым и будут сертифицироваться конкретные продукты.

Как мы помним, 15 марта 2012 года вступили в силу нормативный документ и профили защиты, касающиеся систем обнаружения вторжений. Ожидается, что когда-то на базе «Общих критериев» будут разработаны требования к другим средствам защиты информации.

Что касается СОВ, то мы подготовили небольшую статью, которую можно уже прочитать в №3 журнала «Открытые системы» :

•    Барабанов А.В., Марков А.С., Цирлов В.Л.  Сертификация систем обнаружения вторжений // Открытые системы. СУБД. 2012. № 3.

   .

Possibly Related Posts:

• Важное сообщение ФСТЭК России о работах в области оценки соответствия (сертификации) средств защиты информации
• Требования к средствам антивирусной защиты ФСТЭК России
• ФСБ догнала ФСТЭК. В области лицензирования деятельности по защите конфиденциальной информации.
• OVAL поможет интеграции систем управления иб
• Теория и практика сертификации: глас вопиющего дилетанта или нет?

«Невелика штука предсказывать будущее; вы лучше попробуйте разгадать настоящее»! Хуго Штейнхаус

Американская корпорация IBM представила перечень новшеств, «которые имеют потенциал изменить жизнь, работу и взаимодействие людей в ближайшие пять лет».

Со второй позиции в рейтинге компания утверждает: «Вам больше никогда не придётся повторно вводить пароль». По мнению IBM, вместо пароля люди будут использовать свои многофакторные биометрические данные.

«Представьте, что вы подходите к банкомату, чтобы снять деньги, и вместо пароля просто называете своё имя или же смотрите в крошечный датчик, который распознаёт образцы в сетчатке глаза. Биометрический профиль будет считываться с помощью ПО для создания уникального онлайн-пароля», – предсказывает корпорация.

источник - IBM дала прогноз по инновациям на пять лет вперёд
Photo via Associated Press: Заседание польского Сейма

Possibly Related Posts:

• Важное сообщение ФСТЭК России о работах в области оценки соответствия (сертификации) средств защиты информации
• Требования к средствам антивирусной защиты ФСТЭК России
• Критическая уязвимость в сервисе SAP Dispatcher доступна через Интернет
• Бессрочная лицензия на деятельность в области безопасности информации — путь в бесконечность!
• Перспективы развития новых нормативных документов ФСТЭК России на базе «Общих Критериев»

При проведении функционального тестирования средств и механизмов защиты информации приходится обращаться к руководящим документам Гостехкомиссии России, т.к. в них заданы традиционные требования к СЗИ, которые условно или тщательно проверяются соответственно при аттестационных и сертификационных испытаниях. Понятно, в реальной жизни План тестирования и Программа и методика испытаний (ГОСТ 19.301-79) носят условно описательный  характер. Это, конечно, особо не огорчает экспертов испытательных лабораторий, но не всегда бывает удобно при автоматизации данного процесса. Кроме того, при проведении испытаний средств защиты информации, составляющей гостайну, необходимо представить формальные или полуформальные доказательства доверия к СЗИ и к результату оценки соответствия. Поэтому мы записали некоторый формальный метабазис разработки методик проведения испытаний для СЗИ (СВТ), МЭ, АС и их подсистем безопасности, например:

•   Барабанов А.В., Гришин М.И., Марков А.С. Формальный базис и метабазис оценки соответствия средств защиты информации объектов информатизации. // Известия института инженерной физики. 2011. № 3. С. 82-88.
     Alexander Barabanov, Maxim Grishin,  Alexey Markov.  The Formal Basis for Conformity Assessment of Information Security Software and Hardware // Izvestia Instituta Inzhenernoi Phiziki. 2011. №3. P.82-88.
•    Барабанов А.В., Марков А.С., Цирлов В.Л. Разработка методики испытаний межсетевых экранов по требованиям безопасности информации. // Вопросы защиты информации, 2011. № 3. С.19-24. 
      Alexander Barabanov, Alexey Markov, Valentin Tsirlov.  A Formal Approach to Firewalls Testing Techniques // Voprosy Zashity Informazii, 2011. № 3. P.19-24.  
•    Барабанов А.В., Марков А.С., Цирлов В.Л. Методический аппарат оценки соответствия автоматизированных систем требованиям безопасности информации // Спецтехника и связь, 2011. № 3. С.48-53.  
•    Барабанов А.В. Методика оценки соответствия автоматизированных систем требованиям по защите информации от несанкционированного доступа с применением выборочного контроля // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.104-115.

Другие публикации наших ученых-практиков в области ИБ можно посмотреть на сайте компании НПО «Эшелон».

Информацию о тестировании программных средств защиты информации, путем использования моделей надежности и испытаний программ, можно также найти на нашем блоге.

Possibly Related Posts:

• Перспективы развития новых нормативных документов ФСТЭК России на базе «Общих Критериев»
• Иди, лучше тренируйся… на кошках
• Оружие кибервойн: вилка и телефон
• Практический аудит безопасности программного кода электронной торговой площадки
• Анонимов скоро не будет

В печать вышел номер журнала «Вестник Московского государственного технического университета им. Н.Э. Баумана» Серия: «Приборостроение», 2011, Специальный выпуск «Технические средства и системы защиты информации». ISSN 0236-3933.

Журнал «Вестник МГТУ им.Н.Э.Баумана» рекомендован ВАК РФ, имеет РИНЦ и рецензируется. Главный редактор Серии «Приборостроение» профессор, доктор технических наук, заслуженный деятель науки РФ, лауреат Государственной премии СССР, лауреат Государственной премии РФ, Лауреат Премии Правительства г. Москвы В.А.Матвеев.

Специальный выпуск журнала «Вестник МГТУ им. Н.Э.Баумана» был инициирован кафедрой ИУ8 «Информационная безопасность» с участием ученых Научно-производственого объединения «Эшелон».
Статьи этого выпуска журнала, где приняли участие научные сотрудники НПО «Эшелон»:

• 1. Состояние и перспективы развития индустрии информационной безопасности Российской Федерации в 2011 г. / В.А. Матвеев, Н.В. Медведев, И.И. Троицкий и В.Л. Цирлов. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.3-6.
• 2. Проблемные вопросы гарантированного уничтожения информации на носителях с полупроводниковой энергонезависимой перезаписываемой памятью. / Р.А.Уточка, А.А.Фадин и И.Ю.Шахалов. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.7-19.
• 3. Обеспечение непрерывности функционирования систем на базе стохастических и детерминированных моделей резервирования и восстановления / А.С.Марков. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.20-24.
• 4. К вопросу об использовании аппарата теории нечетких множеств при анализе рисков информационной безопасности / Н.В.Медведев, И.И.Троицкий и В.Л.Цирлов. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.25-30.
• 5. Характерные измеримые показатели атаки сетевого сканирования / О.В.Гудков. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.60-66.
• 6. Методика оценки безопасности программного кода корпоративных приложений / М.А.Егоров. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.67-78.
• 7. Проблемы вычисления метрик сложности программного обеспечения при проведении аудита безопасности кода методом ручного рецензирования / В.В.Вареница. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.79-84.
• 8. Семантический анализ исходного кода для построения модели прикладной области на практике. / А.И.Клянчин. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.85-89.
• 9. Модели оценки и планирования испытаний программных средств по требованиям безопасности информации / А.С.Марков. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.90-103. (English).
• 10. Методика оценки соответствия автоматизированных систем требованиям по защите информации от несанкционированного доступа с применением выборочного контроля / А.В. Барабанов. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.104-115.
• 11. Исследование акустических каналов утечки информации из помещений с использованием вейвлет-технологий / Ю.Г. Горшков. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.131-137.
• 12. Засекречивание речевой информации на основе вейвлетов / Ю.Г. Горшков, А.Ю. Кузин и В.Л. Цирлов. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.138-145.
• 13. Нечеткая модель оценки надежности и безопасности функционирования программного обеспечения по результатам испытаний / А.С.Марков. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.146-151.
• 14. Аудит систем менеджмента качества и информационной безопасности / И.В.Найханова. // Вестник МГТУ им.Н.Э.Баумана, Сер. «Приборостроение», 2011, S-2. С.152-156.
• И другие.

С некоторыми другими публикациями сотрудников НПО «Эшелон» можно ознакомиться на сайте компании.

Possibly Related Posts:

• Перспективы развития новых нормативных документов ФСТЭК России на базе «Общих Критериев»
• Анонимов скоро не будет
• Фреймворк тестирования и испытаний средств защиты информации по требованиям безопасности информации
• Математические модели оценки и планирования испытаний программного обеспечения по требованиям безопасности информации
• Что такое оценка соответствия в области информационной безопасности?

Надо понимать, что область информационной безопасности мало формализуема. Фактически, ИБ — это свойство эргатических социумов, которым присущи всякие социологические и пси-факторы.

Что касается оценки соответствия программных ресурсов систем ИБ, то приходится еще радоваться их структурной гирперсложности, что уводит математические методы и модели испытаний в «проклятие размерности» (до изобретения квантового компьютера), а сертификационные испытания ПО становятся не аттестационной процедурой, а мозговым штурмом экспертов испытательных лабораторий. 

Все же, можно ли использовать математические модели испытаний ПО? Исходя из принципа, что матмодели не должны (в лучшем случае) отвлекать экспертов испытательных лабораторий от их бизнес-задач, можно придумать области моделирования испытаний ПО СЗИ:

•  формальное обоснование затрат на испытания;
•  формальное иллюстрирование результатов проведенных испытаний;
•  представление формальных доказательств достигнутого уровня доверия к испытаниям, средствам и системам защиты информации, если это задано в ТЗ (например, для верхних ОУД по ГОСТ ИСО 15408, для систем защиты сведений, составляющих высший уровень гостайны, при испытаниях АС ВН по надёжности и т.д.);
• проведение научно-исследовательских изысканий.

Исходя из этого, была изучена проблематика анализа и синтеза популярных моделей оценки и планирования испытаний программного обеспечения, в том числе по требованиям безопасности информации и надежности функционирования:

• Марков А.С. Модели оценки и планирования испытаний программных средств по требованиям безопасности информации // Вестник МГТУ им. Н.Э. Баумана. Сер. «Приборостроение», 2011. Специальный выпуск «Технические средства и системы защиты информации». С. 90-103.
   
• Alexey S. Markov. Software Testing Models Against Information Security Requirements // «Vestnik of the Bauman Moscow State Technical University» Journal. Series «Instrument», 2011. Special Issue on «Hardware and Information Security Systems». P. 90-103.

Possibly Related Posts:

• Важное сообщение ФСТЭК России о работах в области оценки соответствия (сертификации) средств защиты информации
• Критическая уязвимость в сервисе SAP Dispatcher доступна через Интернет
• Перспективы развития новых нормативных документов ФСТЭК России на базе «Общих Критериев»
• Иди, лучше тренируйся… на кошках
• Теория и практика сертификации: глас вопиющего дилетанта или нет?