Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Developer Evidences (Infosecurity Russia 2013)

904 views

Published on

Доклад с Infosecurity Russia-2013 "Сертификация по новым парвилам ФСТЭК России: что требуется от разработчика?"

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Developer Evidences (Infosecurity Russia 2013)

  1. 1. Сертификация по новым правилам ФСТЭК России: что требуется от разработчика? Александр Барабанов, CISSP, CSSLP Директор департамента сертификации и тестирования
  2. 2. 2 Что такое ИФБО? Где взять проект нижнего уровня? Что они от меня хотят? Что такое «ИФБО» и «ФТБ»? Что они от меня хотят? Зачем им мой исходный текст? Где взять проект нижнего уровня? Как измерить глубину тестирования?Когда же это кончится!?
  3. 3. Новые правила ФСТЭК России в области сертификации 3
  4. 4. Новые правила ФСТЭК России в области сертификации 4
  5. 5. Предъявляемые требования безопасности 5 Функциональные требования безопасности Требования доверия к безопасности
  6. 6. ASE: «Задание по безопасности» 6 Объект оценки Содержит краткую спецификацию объекта оценки Содержит описание того, как объект оценки удовлетворяет требованиям безопасности
  7. 7. ADV_FSP: «Функциональная спецификация» 7 Объект оценки ИФБО#1 ИФБО#n Как работать с объектом оценки? . . .
  8. 8. ADV_HLD: «Проект верхнего уровня» 8 Объект оценки ИФБО#1 ИФБО#n Подсистема#1 Подсистема#k Как подсистемы объекта оценки выполняют требования безопасности? . . .
  9. 9. ADV_LLD: «Проект нижнего уровня» 9 Объект оценки ИФБО#1 ИФБО#n Модуль#1 Модуль#2 Модуль#p Как модули объекта оценки выполняют требования безопасности? . . .
  10. 10. ADV_IMP: «Представление реализации» 10 Объект оценки ИФБО#1 ИФБО#n Как исходные тексты объекта оценки выполняют требования безопасности? SRC#1 SRC#2 SRC#w . . .
  11. 11. ATE_FUN: «Функциональное тестирование» 11  план тестирования  тестовые процедуры  фактические результаты тестирования
  12. 12. Тест#m Тест#2 ATE_COV: «Анализ покрытия» 12 ИФБО#1 ИФБО#2 ИФБО#k Тест#1
  13. 13. Тест#m Тест#2 ATE_COV: «Анализ покрытия» 13 ИФБО#1 ИФБО#2 ИФБО#k Тест#1
  14. 14. ATE_DPT: «Анализ глубины» 14 Подсистема#1 Подсистема#2 Подсистема#k Тест#m Тест#2 Тест#1
  15. 15. ATE_DPT: «Анализ глубины» 15 Подсистема#1 Подсистема#2 Подсистема#k Тест#m Тест#2 Тест#1
  16. 16. AVA: «Оценка уязвимостей» 16  анализ уязвимостей и документирование результатов  демонстрация того, что ни одна из уязвимостей не может быть использована в предполагаемой среде объекта оценки
  17. 17. ACM: «Управление конфигурацией» 17  маркировка элементов объекта оценки  эксплуатационная документация на систему управления конфигурацией  описание методов идентификации элементов конфигурации  план управления конфигурацией и план приемки  список элементов конфигурации
  18. 18. ALC: «Поддержка жизненного цикла» 18  физический и логический контроль доступа  политика безопасности в отношении посетителей  резервное копирование  защита от утечек информации  обучение персонала  процедуры найма/увольнения
  19. 19. ADO: «Поставка и эксплуатация» 19  процедуры поставки объекта оценки или его частей пользователю  процедуры, необходимые для безопасной установки, генерации и запуска объекта оценки
  20. 20. AGD: «Руководства» 20  описание функций администрирования и интерфейсов, доступных администратору (пользователю) объекту оценки  описание всех параметров безопасности, контролируемых администратором
  21. 21.  организация инфраструктуры распространения обновлений  анализ влияния обновлений на безопасность AMA: «Анализ влияния обновлений» 21
  22. 22. Полезные ресурсы 22
  23. 23. Александр Барабанов E-mail: a.barabanov@npo-echelon.ru Тел.: +7(495) 645-38-09

×