S3R

Часто возникают споры, что такое оценка и подтверждение соответствия, когда они обязательно нужны, в какой форме, в чем специфика относительно области технической защиты информации и ИБ?
Дело в том, что основным источником полемики выступает ФЗ-184 «О техническом регулировании». Но Закон, как известно, в явном виде никак не касается технической защиты информации, поэтому хотелось бы чуть абстрагироваться от политесов. В этом случае весьма любопытна международная нормативная практика, например, есть международный стандарт ISO 17000 (аналог — ГОСТ Р ИСО/МЭК 17000-2009).

В этом стандарте под оценкой соответствия, вообщем-то, понимается доказательство того, что заданные требования к продукции, процессу, системе, лицу или органу выполнены . Допускается, что доказательство может быть прямым или косвенным, формальным или неформальным. По ИСО 17000 выдача документально оформленного заявления (удостоверения) о соответствии заданным требованиям называют подтверждением соответствия. Примерами таких заявлений могут быть сертификаты, аттестаты,  заключения, выданные официальными органами по оценке соответствия.

Совокупность участников, правил, процедур и менеджмента, используемых для выполнения оценки соответствия, представляет собой некую систему оценки соответствия. В нашей стране в области безопасности информации примерами таких систем являются федеральные обязательные системы сертификации Минобороны России, СВР России, ФСБ России и ФСТЭК России, а также добровольные системы сертификации по безопасности информации.

Базовыми видами деятельности по оценке соответствия являются:

• испытание,
• контроль,
• сертификация,
• аккредитация органов по оценке соответствия.

В области информационной безопасности примерами видов деятельности по оценке соответствия или их процедурами являются сертификация средств защиты информации, аттестация объектов информатизации, лицензирование деятельности, аккредитация органов, лабораторий, центров, различные виды испытаний и контроля по требованиям безопасности информации, а также аудит безопасности программных средств, информационных систем и систем менеджмента информационной безопасности.

С точки зрения независимости (для нашей страны читай — достоверности) доказательства оценки соответствия различают деятельность трех сторон:

• первая сторона, представляющая объект оценки, например: корпорация-разработчик или поставщик;
• вторая сторона, заинтересованная в объекте оценки как ее пользователь, например, представитель заказчика (военная приемка);
• третья сторона, независимая от первой и второй сторон, например, аккредитованная испытательная лаборатория.

К примеру, средства защиты информации подлежат оценке соответствия в форме обязательной сертификации. Аккредитованные органы сертификации и испытательные лаборатории, участвующие в процессе сертификации, должны быть независимы, т.е. являться третьими сторонами. В тоже время аттестация объектов информатизации может быть проведена самой организацией, т.е. первой стороной. Однако подтверждение соответствия первой стороной называется декларированием (декларацией) о соответствии.  Получается, что аттестация (которая в документах ФСТЭК России определена как часть сертификации) может быть на деле каким-то там декларированием.

Приведем примеры видов деятельности и объектов оценки соответствия по требованиям безопасности информации.

 * лицензиат ФСТЭК может аттестовать любые ОИ, не отнесенные к гостайне.

Справедливости ради следует сказать, что область определений и терминов по оценке соответствия имеет весьма размытые рамки. Например, в славном ГОСТ ИСО 17000-2009 под подтверждением соответствия понимают выдачу документа (заявления) о соответствии или несоответствии, а вот в Законе № 184-ФЗ «О техническом регулировании»   написали, пардон-мадам, что это вид деятельности: сертификация или декларация (точнее декларирование, декларация — это документ)…

Possibly Related Posts:

• Важное сообщение ФСТЭК России о работах в области оценки соответствия (сертификации) средств защиты информации
• Перспективы развития новых нормативных документов ФСТЭК России на базе «Общих Критериев»
• OVAL поможет интеграции систем управления иб
• Теория и практика сертификации: глас вопиющего дилетанта или нет?
• Новые требования ФСТЭК России к системам обнаружения вторжений

Компания НПО «Эшелон» в мае примет участие еще в ряде конференций и выставок, таких как:

• Международная специализированная выставка «Безопасность. Сигнализация. Охрана — 2011» (БСО-2011), которая пройдет 4 — 5 мая 2011 года в Республике Казахстан, г. Алматы (ALMATY TOWERS),
• XX Международная конференция и тематическая выставка “Информатизация и информационная безопасность правоохранительных  органов”, которая пройдет 24 — 25 мая 2011 года в Москве (Академия управления МВД России),
• Межведомственная научная Юбилейная конференция «Современные тенденции развития теории и практики управления в системах специального назначения», которая состоится в честь 20-летия создания ФГУП «Концерн «Системпром» 23 мая 2011 года в Москве (Культурный центр Вооруженных Сил Российской Федерации).

Этой весной сотрудники компании «Эшелон» уже активно участвовали в конференции МГТУ имени Н.Э.Баумана »Студенческая научная весна 2011″, VII Научно-практической конференции «Проблемы развития технологических систем специального назначения», IV Съезде директоров по информационной безопасности (Russian CSO Summit IV) и других подобных мероприятиях. Наиболее активное участие в работе конференций приняли ученые-практики  Научно-производственного объединения »Эшелон»: Алексей Марков, Валентин Цирлов, Александр Дорофеев, Андрей Фадин, Михаил Егоров, Александр Клянчин, Александр Барабанов, Денис Хлебородов, Глеб Сергеев, Александр Каиндин и др.

С некоторыми презентациями и отчетами по безопасности информации можно ознакомиться на странице сайта компании.

Possibly Related Posts:

• Бессрочная лицензия на деятельность в области безопасности информации — путь в бесконечность!
• Перспективы развития новых нормативных документов ФСТЭК России на базе «Общих Критериев»
• Компания Эшелон запатентовала свои технологии в области поиска программных закладок
• ФСБ догнала ФСТЭК. В области лицензирования деятельности по защите конфиденциальной информации.
• Новое о лицензировании деятельности по ТЗКИ

В журнале «Защита информации. Инсайд» № 2 (март-апрель) за 2011 год опубликована статья руководителя проектов НПО «Эшелон» Михаила Егорова по выявлению и защите от атаки типа внедрения SQL-кода (SQL-инъекций) в информационных системах обработки и управления данными.

С текстом статьи по выявлению SQL-инжекций Вы можете познакомиться, пройдя по этой ссылке.

Вы также можете ознакомиться с основными публикациями и презентациями сотрудников НПО «Эшелон» по ИБ и ЗИ на сайте компании.

Possibly Related Posts:

• Важное сообщение ФСТЭК России о работах в области оценки соответствия (сертификации) средств защиты информации
• Требования к средствам антивирусной защиты ФСТЭК России
• Бессрочная лицензия на деятельность в области безопасности информации — путь в бесконечность!
• Перспективы развития новых нормативных документов ФСТЭК России на базе «Общих Критериев»
• Компания Эшелон запатентовала свои технологии в области поиска программных закладок

После выпуска консолидированного отчета «Эшелон» по безопасности программного кода известная корпорация Microsoft подготовила на русском языке Отчет о развитии Microsoft SDL (The SDL Progress Report), описывающего борьбу компании за безопасность программного обеспечения.

Security Development Lifecycle (SDL) — это жизненный цикл создания безопасного ПО, фактически, СМК компании в области производства программных продуктов.

В Отчете отражены успехи Microsoft по снижению количества уязвимостей в ПО и по разработке методов и средств снижения риска реализации уязвимостей (в период 2004 — 2010 гг.) программной среды и приложений.
Кстати, некоторые сведения в Отчете основаны на данных по обнаружению уязвимостей, опубликованных в супостатской национальной базе данных уязвимостей (nvd.nist.gov).
Кроме исторических справок, в Отчете приведены некие тренды по степени критичности уязвимостей и степени сложности их реализаций (к слову, к самым критическим уязвимостям отнесены те, которые могут быть использованы и для компрометации персональных данных в ИСПДн, что актуально в свете ФЗ-152).
Также описаны важные процедуры SDL, касающиеся поиска уязвимостей ПО, технологий снижения риска эксплойтов и отслеживания тенденций угроз информационной безопасности.
Интерес представляет описания техник Microsoft по снижению рисков реализации уязвимостей ее продукции:

• предотвращение выполнения данных (Data Execution Prevention, DEP),
• защита от перезаписи обработчика структурных исключений (Structured Exception Handler Overwrite Protection, SEHOP),
• рандомизация размещения адресного пространства (Address space layout randomization, ASLR),
• дополнительная защита от реализации атаки переполнения буфера (/GS) и другие.

Предложены бесплатные утилиты, такие как:

• средство моделирования угроз SDL;
• шаблон SDL для Visual Studio ® Team System (Classic);
• бинарный анализатор Binscope SDL (проверка бинарных файлов на соответствие SDL);
• средство тестирования SDL Minifuzz File Fuzzer;
• упрощенная реализации Microsoft SDL;
• шаблон SDL MSF+Agile для Visual Studio Team System;
• средство тестирования регулярных выражений Regex.

Сам Отчет можно скачать по ссылкам:
- Microsoft SDL Progress Report (english)
- Отчет о развитии Microsoft SDL (по-русски)

                        .

Possibly Related Posts:

• Важное сообщение ФСТЭК России о работах в области оценки соответствия (сертификации) средств защиты информации
• Требования к средствам антивирусной защиты ФСТЭК России
• Критическая уязвимость в сервисе SAP Dispatcher доступна через Интернет
• Бессрочная лицензия на деятельность в области безопасности информации — путь в бесконечность!
• Перспективы развития новых нормативных документов ФСТЭК России на базе «Общих Критериев»

Данная статья посвящена обзору и анализу публикации Национального Института стандартов и технологий США (The National Institute of Standards and Technology, NIST) SP 800-142 «Practical Combinatorial Testing» и является продолжением статьи «Тестирование методом комбинаторного покрытия: обзор публикации NIST SP 800-142». Рассмотрены метрики, которые могут применяться при оценке результатов тестирования методом комбинаторного покрытия.

Полный текст статьи: PDF файл (122 kB).

Possibly Related Posts:

• Евгений Касперский: безопасность Mac OS на 10 лет отстаёт от Windows
• Перспективы развития новых нормативных документов ФСТЭК России на базе «Общих Критериев»
• Компания Эшелон запатентовала свои технологии в области поиска программных закладок
• Иди, лучше тренируйся… на кошках
• Оружие кибервойн: вилка и телефон