SlideShare a Scribd company logo
1 of 23
Download to read offline
Сертификация по новым
правилам ФСТЭК России:
что требуется от разработчика?
Александр Барабанов, CISSP, CSSLP
Директор департамента сертификации и
тестирования
2
Что такое
ИФБО?
Где взять
проект
нижнего
уровня?
Что они от
меня
хотят?
Что такое
«ИФБО» и
«ФТБ»?
Что они от
меня
хотят?
Зачем им
мой
исходный
текст?
Где взять
проект
нижнего
уровня?
Как измерить
глубину
тестирования?Когда же
это
кончится!?
Новые правила ФСТЭК России в области
сертификации
3
Новые правила ФСТЭК России в области
сертификации
4
Предъявляемые требования безопасности
5
Функциональные
требования безопасности
Требования доверия к
безопасности
ASE:
«Задание по безопасности»
6
Объект оценки
Содержит краткую
спецификацию
объекта оценки
Содержит описание
того, как объект
оценки удовлетворяет
требованиям
безопасности
ADV_FSP:
«Функциональная спецификация»
7
Объект оценки
ИФБО#1
ИФБО#n
Как работать с
объектом оценки?
.
.
.
ADV_HLD:
«Проект верхнего уровня»
8
Объект оценки
ИФБО#1
ИФБО#n
Подсистема#1
Подсистема#k
Как подсистемы
объекта оценки
выполняют
требования
безопасности?
.
.
.
ADV_LLD:
«Проект нижнего уровня»
9
Объект оценки
ИФБО#1
ИФБО#n
Модуль#1
Модуль#2
Модуль#p
Как модули объекта
оценки выполняют
требования
безопасности?
.
.
.
ADV_IMP:
«Представление реализации»
10
Объект оценки
ИФБО#1
ИФБО#n
Как исходные тексты
объекта оценки
выполняют
требования
безопасности?
SRC#1
SRC#2
SRC#w
.
.
.
ATE_FUN:
«Функциональное тестирование»
11
 план тестирования
 тестовые процедуры
 фактические результаты
тестирования
Тест#m
Тест#2
ATE_COV:
«Анализ покрытия»
12
ИФБО#1
ИФБО#2
ИФБО#k
Тест#1
Тест#m
Тест#2
ATE_COV:
«Анализ покрытия»
13
ИФБО#1
ИФБО#2
ИФБО#k
Тест#1
ATE_DPT:
«Анализ глубины»
14
Подсистема#1
Подсистема#2
Подсистема#k
Тест#m
Тест#2
Тест#1
ATE_DPT:
«Анализ глубины»
15
Подсистема#1
Подсистема#2
Подсистема#k
Тест#m
Тест#2
Тест#1
AVA:
«Оценка уязвимостей»
16
 анализ уязвимостей и
документирование результатов
 демонстрация того, что ни одна из
уязвимостей не может быть
использована в предполагаемой
среде объекта оценки
ACM:
«Управление конфигурацией»
17
 маркировка элементов объекта оценки
 эксплуатационная документация на
систему управления конфигурацией
 описание методов идентификации
элементов конфигурации
 план управления конфигурацией и план
приемки
 список элементов конфигурации
ALC:
«Поддержка жизненного цикла»
18
 физический и логический
контроль доступа
 политика безопасности в
отношении посетителей
 резервное копирование
 защита от утечек информации
 обучение персонала
 процедуры найма/увольнения
ADO:
«Поставка и эксплуатация»
19
 процедуры поставки объекта оценки
или его частей пользователю
 процедуры, необходимые для
безопасной установки, генерации и
запуска объекта оценки
AGD:
«Руководства»
20
 описание функций администрирования
и интерфейсов, доступных
администратору (пользователю) объекту
оценки
 описание всех параметров
безопасности, контролируемых
администратором
 организация инфраструктуры
распространения обновлений
 анализ влияния обновлений
на безопасность
AMA:
«Анализ влияния обновлений»
21
Полезные ресурсы
22
Александр Барабанов
E-mail: a.barabanov@npo-echelon.ru
Тел.: +7(495) 645-38-09

More Related Content

What's hot

Шагнуть на встречу тестированию требований. Советы тестировщика
Шагнуть на встречу тестированию требований. Советы тестировщикаШагнуть на встречу тестированию требований. Советы тестировщика
Шагнуть на встречу тестированию требований. Советы тестировщикаSQALab
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
Audit intro
Audit introAudit intro
Audit introcnpo
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Development User Group
 
Certification
CertificationCertification
Certificationcnpo
 
Security zap and selenium
Security zap and seleniumSecurity zap and selenium
Security zap and seleniumAnton Shapin
 
Высоцкий Неортодоксальный дизайн тестов
Высоцкий Неортодоксальный дизайн тестовВысоцкий Неортодоксальный дизайн тестов
Высоцкий Неортодоксальный дизайн тестовqasib
 
ляпин Bdd и coded ui для прагматиков
ляпин   Bdd и coded ui для прагматиковляпин   Bdd и coded ui для прагматиков
ляпин Bdd и coded ui для прагматиковMagneta AI
 
Обучение тестированию
Обучение тестированиюОбучение тестированию
Обучение тестированиюAPostovalova
 
Обучение тестированию
Обучение тестированиюОбучение тестированию
Обучение тестированиюAPostovalova
 
Создание стратегии тестирования на основе анализа ТЗ по ГОСТ 19/34
Создание стратегии тестирования на основе анализа ТЗ по ГОСТ 19/34Создание стратегии тестирования на основе анализа ТЗ по ГОСТ 19/34
Создание стратегии тестирования на основе анализа ТЗ по ГОСТ 19/34Alexandra Varfolomeeva
 
Опыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компанииОпыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компанииSQALab
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
QA Fest 2014. Алексей Лупан. Не тест-кейсы красят тестировщика, а...
QA Fest 2014. Алексей Лупан. Не тест-кейсы красят тестировщика, а...QA Fest 2014. Алексей Лупан. Не тест-кейсы красят тестировщика, а...
QA Fest 2014. Алексей Лупан. Не тест-кейсы красят тестировщика, а...QAFest
 

What's hot (19)

ТеМП 2012. Проект команды ВНИИНМ
ТеМП 2012. Проект команды ВНИИНМТеМП 2012. Проект команды ВНИИНМ
ТеМП 2012. Проект команды ВНИИНМ
 
Шагнуть на встречу тестированию требований. Советы тестировщика
Шагнуть на встречу тестированию требований. Советы тестировщикаШагнуть на встречу тестированию требований. Советы тестировщика
Шагнуть на встречу тестированию требований. Советы тестировщика
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
 
Audit intro
Audit introAudit intro
Audit intro
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Certification
CertificationCertification
Certification
 
Security zap and selenium
Security zap and seleniumSecurity zap and selenium
Security zap and selenium
 
Высоцкий Неортодоксальный дизайн тестов
Высоцкий Неортодоксальный дизайн тестовВысоцкий Неортодоксальный дизайн тестов
Высоцкий Неортодоксальный дизайн тестов
 
ляпин Bdd и coded ui для прагматиков
ляпин   Bdd и coded ui для прагматиковляпин   Bdd и coded ui для прагматиков
ляпин Bdd и coded ui для прагматиков
 
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновение
 
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report Sample
 
Sqa8 urazov
Sqa8 urazovSqa8 urazov
Sqa8 urazov
 
Обучение тестированию
Обучение тестированиюОбучение тестированию
Обучение тестированию
 
Обучение тестированию
Обучение тестированиюОбучение тестированию
Обучение тестированию
 
Создание стратегии тестирования на основе анализа ТЗ по ГОСТ 19/34
Создание стратегии тестирования на основе анализа ТЗ по ГОСТ 19/34Создание стратегии тестирования на основе анализа ТЗ по ГОСТ 19/34
Создание стратегии тестирования на основе анализа ТЗ по ГОСТ 19/34
 
Опыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компанииОпыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компании
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)
 
QA Fest 2014. Алексей Лупан. Не тест-кейсы красят тестировщика, а...
QA Fest 2014. Алексей Лупан. Не тест-кейсы красят тестировщика, а...QA Fest 2014. Алексей Лупан. Не тест-кейсы красят тестировщика, а...
QA Fest 2014. Алексей Лупан. Не тест-кейсы красят тестировщика, а...
 

Viewers also liked

Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Mikhail Vanin
 
Hacking Adobe Experience Manager sites
Hacking Adobe Experience Manager sitesHacking Adobe Experience Manager sites
Hacking Adobe Experience Manager sitesMikhail Egorov
 
Entity provider selection confusion attacks in JAX-RS applications
Entity provider selection confusion attacks in JAX-RS applicationsEntity provider selection confusion attacks in JAX-RS applications
Entity provider selection confusion attacks in JAX-RS applicationsMikhail Egorov
 
What should a hacker know about WebDav?
What should a hacker know about WebDav?What should a hacker know about WebDav?
What should a hacker know about WebDav?Mikhail Egorov
 
New methods for exploiting ORM injections in Java applications
New methods for exploiting ORM injections in Java applicationsNew methods for exploiting ORM injections in Java applications
New methods for exploiting ORM injections in Java applicationsMikhail Egorov
 
ORM2Pwn: Exploiting injections in Hibernate ORM
ORM2Pwn: Exploiting injections in Hibernate ORMORM2Pwn: Exploiting injections in Hibernate ORM
ORM2Pwn: Exploiting injections in Hibernate ORMMikhail Egorov
 

Viewers also liked (8)

Barabanov_Markov it-std
Barabanov_Markov it-stdBarabanov_Markov it-std
Barabanov_Markov it-std
 
Barabanov iccc 2014 (2)
Barabanov  iccc 2014 (2)Barabanov  iccc 2014 (2)
Barabanov iccc 2014 (2)
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
 
Hacking Adobe Experience Manager sites
Hacking Adobe Experience Manager sitesHacking Adobe Experience Manager sites
Hacking Adobe Experience Manager sites
 
Entity provider selection confusion attacks in JAX-RS applications
Entity provider selection confusion attacks in JAX-RS applicationsEntity provider selection confusion attacks in JAX-RS applications
Entity provider selection confusion attacks in JAX-RS applications
 
What should a hacker know about WebDav?
What should a hacker know about WebDav?What should a hacker know about WebDav?
What should a hacker know about WebDav?
 
New methods for exploiting ORM injections in Java applications
New methods for exploiting ORM injections in Java applicationsNew methods for exploiting ORM injections in Java applications
New methods for exploiting ORM injections in Java applications
 
ORM2Pwn: Exploiting injections in Hibernate ORM
ORM2Pwn: Exploiting injections in Hibernate ORMORM2Pwn: Exploiting injections in Hibernate ORM
ORM2Pwn: Exploiting injections in Hibernate ORM
 

Similar to Developer Evidences (Infosecurity Russia 2013)

Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииCisco Russia
 
лекция безопасная разработка приложений
лекция  безопасная разработка приложенийлекция  безопасная разработка приложений
лекция безопасная разработка приложенийAlexander Kolybelnikov
 
Сертификация - это просто ?
Сертификация - это просто ?Сертификация - это просто ?
Сертификация - это просто ?cnpo
 
НПО "Эшелон". Александр Дорофеев. ""Аудит процессов информационной безопасности"
НПО "Эшелон". Александр Дорофеев. ""Аудит процессов информационной безопасности"НПО "Эшелон". Александр Дорофеев. ""Аудит процессов информационной безопасности"
НПО "Эшелон". Александр Дорофеев. ""Аудит процессов информационной безопасности"Expolink
 
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...SelectedPresentations
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработкиRISClubSPb
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...SQALab
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
Развертывание функции качества (метод QFD)
Развертывание функции качества (метод QFD)Развертывание функции качества (метод QFD)
Развертывание функции качества (метод QFD)Евгений Пикулев
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬPositive Hack Days
 
SearchInform. Николай Сорокин. АО «Центральное конструкторское бюро автоматик...
SearchInform. Николай Сорокин. АО «Центральное конструкторское бюро автоматик...SearchInform. Николай Сорокин. АО «Центральное конструкторское бюро автоматик...
SearchInform. Николай Сорокин. АО «Центральное конструкторское бюро автоматик...Expolink
 
Что значит сертификация для разработчика
Что значит сертификация для разработчикаЧто значит сертификация для разработчика
Что значит сертификация для разработчикаAndrey Fadin
 
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"Expolink
 
10 лучших практик иб для гос
10 лучших практик иб для гос10 лучших практик иб для гос
10 лучших практик иб для госSergey Borisov
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 

Similar to Developer Evidences (Infosecurity Russia 2013) (20)

Об оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информацииОб оценке соответствия средств защиты информации
Об оценке соответствия средств защиты информации
 
лекция безопасная разработка приложений
лекция  безопасная разработка приложенийлекция  безопасная разработка приложений
лекция безопасная разработка приложений
 
Сертификация - это просто ?
Сертификация - это просто ?Сертификация - это просто ?
Сертификация - это просто ?
 
Phd 2016_SSDL_GOST
Phd 2016_SSDL_GOSTPhd 2016_SSDL_GOST
Phd 2016_SSDL_GOST
 
НПО "Эшелон". Александр Дорофеев. ""Аудит процессов информационной безопасности"
НПО "Эшелон". Александр Дорофеев. ""Аудит процессов информационной безопасности"НПО "Эшелон". Александр Дорофеев. ""Аудит процессов информационной безопасности"
НПО "Эшелон". Александр Дорофеев. ""Аудит процессов информационной безопасности"
 
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
 
пр Про интегральные метрики ИБ
пр Про интегральные метрики ИБпр Про интегральные метрики ИБ
пр Про интегральные метрики ИБ
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработки
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDL
 
Развертывание функции качества (метод QFD)
Развертывание функции качества (метод QFD)Развертывание функции качества (метод QFD)
Развертывание функции качества (метод QFD)
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
 
SearchInform. Николай Сорокин. АО «Центральное конструкторское бюро автоматик...
SearchInform. Николай Сорокин. АО «Центральное конструкторское бюро автоматик...SearchInform. Николай Сорокин. АО «Центральное конструкторское бюро автоматик...
SearchInform. Николай Сорокин. АО «Центральное конструкторское бюро автоматик...
 
Что значит сертификация для разработчика
Что значит сертификация для разработчикаЧто значит сертификация для разработчика
Что значит сертификация для разработчика
 
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"
Евгений Климов (RISSPA) "Современные вызовы и перспективы развития отрасли ИБ"
 
10 лучших практик иб для гос
10 лучших практик иб для гос10 лучших практик иб для гос
10 лучших практик иб для гос
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 

Developer Evidences (Infosecurity Russia 2013)