Infosecurity Russia 2012: Презентация книги про оценку соответствия средств защиты информации по требованиям безопасности информации
У нас вошло в традицию презентавать на стенде во время выставки InfoSecurity Russia какую-нибудь книгу наших экспертов (см. 2010, 2011 г.г.). В этот раз мы презентуем монографию, подготовленную учеными НПО «Эшелон» по тематике оценки соответствия, сертификации и испытаний средств защиты информации по требованиям безопасности информации:
- Марков А.С., Цирлов В.Л., Барабанов А.В. Методы оценки несоответствия средств защиты информации / под ред. доц.А.С.Маркова. — М.: Радио и связь, 2012. 192 с.
УДК 621.322 ББК 32.973 М26
ISBN 5-89776-015-2
Книга подготовлена экспертами испытательной лаборатории НПО «Эшелон» как обобщение опыта исследований в области безопасности информационно-программных ресурсов. Содержит метрики, модели и формальные методики испытаний средств защиты информации и тестирования безопасности программного обеспечения, а также актуальные нормативные и правовые требования по сертификации средств защиты информации.
Предназначена для специалистов и ученых, увлеченных анализом защищенности, аудитом, испытаниями и тестированием средств защиты информации, программных продуктов и систем в защищенном исполнении.
Книга включает 4 главы:
- В первой главе дается определение оценки соответствия на основе серии международных стандартов. В ней также описаны процедуры оценки соответствия в области информационной безопасности.
- Во второй главе представлено подробное описание понятия сертификации средств защиты информации, ее законодательных и нормативных основ.
- Третья глава касается применения математических моделей и методов, которые могут быть использованы при формальных доказательствах результатов испытаний, а также при планировании работ.
- В четвертой главе приводятся формализованные методики испытаний средств и механизмов защиты информации по требованиям традиционных и новейших нормативных документов.
Рецензенты: академик РАН, д-р техн.наук, проф. Ю.В.Бородакий и член-корр. РАН, д-р техн.наук, проф. Р.М.Юсупов.
Книгу можно приобрести в:
- Библио-Глобусе;
- Изд-ве «Радио и связь»
- НПО «Эшелон»
- kvest.com (интернет-магазине)
- на ozon.ru
А можно ли ознакомиться с содержанием книги?
Перечень сокращений
Предисловие
1. ОСНОВЫ ОЦЕНКИ СООТВЕТСТВИЯ
1.1. Определение оценки соответствия
1.2. Виды процедур оценки соответствия технических систем
1.2.1. Испытания
1.2.2. Аттестационные испытания
1.2.3. Тестирование программных средств
1.2.4. Аудит информационной безопасности
1.2.5. Анализ риска информационной безопасности
2. СЕРТИФИКАЦИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
2.1. Определение сертификации средств защиты информации
2.2. Правила и участники сертификации средств защиты информации
2.3. Законодательно-правовые основы сертификации
2.4. Традиционные руководящие документы Гостехкомиссии России
2.4.1. Классы защищенности средств вычислительной техники
2.4.2. Классы защищенности межсетевых экранов
2.4.3. Классы защищенности автоматизированных систем
2.4.4. Контроль отсутствия недекларированных возможностей
2.5. Требования к защите персональных данных
2.6. Требования к защите информационных систем общего пользования
2.7. Общие критерии оценки безопасности информационных технологий
2.7.1. Модель критериев оценки безопасности информационных технологий
2.7.2. Функциональные требования безопасности
2.7.3. Требования доверия к безопасности
2.7.4. Общая методология оценки безопасности информационных технологий
2.8. Современные нормативные документы ФСТЭК России
2.8.1.Требования к системам обнаружения вторжений
2.8.2. Требования к средствам антивирусной защиты
3. МЕТРИКИ И МОДЕЛИ ИСПЫТАНИЙ
3.1. Показатели и метрики испытаний
3.1.1. Виды показателей объекта испытаний
3.1.2. Метрики сложности программного кода
3.1.3. Метрики покрытия программного кода
3.1.4. Метрики полноты функционального тестирования
3.2. Модели оценки технологической безопасности и планирования испытаний
3.2.1. Отладочные модели программ
3.2.2. Модели роста надежности от времени
3.2.3. Модели полноты тестирования
3.2.4. Модели сложности программного обеспечения
3.2.5. Выбор модели оценки и планирования испытаний
3.3. Модели управления доступом
3.3.1. Дискреционная модель управления доступом
3.3.2. Мандатная модель управления доступом
3.3.3. Ролевая модель управления доступом
3.3.4. Атрибутная модель управления доступом
3.4. Метрики парольных систем
3.5. Модели периодического инспекционного контроля
3.5.1. Модели инспекционного контроля средств защиты информации
3.5.2. Модели инспекционного контроля сред функционирования
4. МЕТОДИКИ СЕРТИФИКАЦИОННЫХ ИСПЫТАНИЙ
4.1. Формальный базис испытаний средств защиты информации
4.2. Методика испытаний средств вычислительной техники
4.2.1. Методика проверки дискреционного принципа контроля доступа
4.2.2. Методика проверки мандатного принципа контроля доступа
4.2.3. Методика проверки механизмов очистки памяти
4.2.4. Методика проверки механизмов изоляции модулей
4.2.5. Методика проверки механизмов идентификации и аутентификации субъектов доступа
4.2.6. Методика проверки механизмов контроля целостности
4.3. Методика испытаний межсетевых экранов
4.3.1. Проверка механизмов фильтрации данных и трансляции адресов
4.3.2. Проверка механизмов идентификации и аутентификации администраторов
4.3.3. Проверка механизмов контроля целостности
4.4. Методика испытаний автоматизированных систем
4.4.1. Методика проверки механизмов идентификации и аутентификации субъектов доступа
4.4.2. Методика проверки механизмов управления доступом
4.4.3. Методика проверки механизмов контроля целостности
4.5. Методика проведения испытания по требованиям «Общих критериев»
4.6. Рекомендации по оптимизации испытаний
4.7. Рекомендации по контролю отсутствия недекларированных возможностей
4.7.1. Общий порядок проведения испытаний
4.7.2. Рекомендации по контролю наличия заданных конструкций
Литература
http://www.cnpo.ru/doc/certification.pdf