Training objective: Introduction to requirements engineering, as well as an understanding of the role and responsibilities of an engineer on demand. Familiarization with the techniques for identifying and documenting requirements. Defining approaches to validation and requirements management.
Исследование безопасности создаваемых информационных систем и разрабатываемых приложений становится распространенной практикой. Безопасники получили наконец заслуженное признание и «включены в цикл» разработки, их вписывают в нормативку, создают базы знаний для хранения результатов исследований. Чего ждут разработчики и владельцы информационных систем от исследователей? Поговорим о задачах, которые предстоит решать, и о качестве исследований, проводимых на регулярной основе.
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
Сертификация приложений по требованиям федеральных и отраслевых регуляторов, требованиям компаний (если они есть) — необходимое условие разработки и поставки коробочного решения. Требования потребителей и пользователей современных технологий по функционалу и удобству развиваются значительно быстрее эволюции ограничений. В результате, исследования практической защищенности, если и рассматриваются, то вне темы сертификации, что порождает двойной объем работ и сложности в управлении проектами.
Презентация, подготовленная сотрудниками компании «Перспективный Мониторинг» для конференции DevCon 2015, содержит информацию о том, какие практики безопасной разработки позволяют удовлетворить как требования сертификации, так и потребности практической безопасности. Рассматриваются тонкие моменты на стыке этих задач, вопросы, в которых можно опереться на мировой опыт, а также планы регуляторов по развитию требований сертификации.
В докладе представлен опыт ЗАО «ПМ» по внедрению безопасной разработки в проекты создания и развития линейки средств защиты информации для сетевого оборудования, мобильных платформ и рабочих станций, подлежащих сертификации по требованиям регуляторов.
Листовка нашего продукта, подготовленная к PHD 2016. Подробнее по ссылке http://www.slideshare.net/ValeryBoronin/application-inspector-ssdl-edition-product
English version:
www.slideshare.net/ValeryBoronin/pt-application-inspector-ssdl-edition-leaflet-67085824
PT AI Desktop edition product brief:
www.slideshare.net/ValeryBoronin/pt-application-inspector-desktop-edition-product-brief
Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...Andrey Fadin
Семинар ставит целью познакомить технических специалистов как с теоретическими, так и с прикладными вопросами оценки безопасности кода приложений (ПО).
Затрагиваются вопросы нормативной базы, классификации уязвимостей и дефектов ПО, а также стандартизации терминов и методик аудита, рассматриваются различные методы статического и динамического анализа, менеджмент процесса, существующие инструменты в этой области.
Построение процесса безопасной разработки - Стачка 2016Valery Boronin
Безопасность - критически важный элемент любого программного решения. Элемент, который, рано или поздно, но заставит вспомнить о себе. Скупой платит дважды, а в данном случае – минимум четырежды. Безопасность и качество кода – связаны напрямую. Поэтому положение дел и с тем и с другим редко находят достаточно хорошим даже в самых успешных проектах – всегда хочется бОльшего. А где-то бывает просто необходим качественный переход и точечными мерами кардинально ситуацию уже не исправить, нужен системный подход.
Вот почему наладить процесс обеспечения и повысить уровень зрелости безопасности разработки, повысить качество кода – хотят многие руководители и разработчики. Как это сделать системно и в согласии? Какие риски для одних, какие трудозатраты для других? И стоит ли овчинка выделки? Об этом и поговорим.
2016/05/10: загружена версия для оффлайна.
Лучшие практики исполнения проекта в соответствии с методологией IBM RationalLuxoftTraining
В своем выступлении Михаил рассматривает различные аспекты реализации проекта, начиная от управления требованиями и заканчивая управлением изменениями и конфигурациями. Описывает лучшие практики минимизации рисков провала проекта, в соответствии с методологией IBM Rational:
Итеративная разработка;
Подход к управлению требованиями;
Компонентная архитектура;
Визуальное моделирование;
Постоянный контроль качества;
Управление изменениями и конфигурациями.
А также рассматривается специфика Agile-проектов в сравнении с другими методологиями.
Внутренняя угроза: выявление и защита с помощью ObserveITBAKOTECH
Несмотря на всю сложность современных систем защиты информации, действия пользователей до сих пор являются самым слабым звеном в системе информационной безопасности компаний. Особенно если эти пользователи обладают повышенными правами доступа в ИТ-системах.
The document discusses what open source software vendors (OSVs) need to do to develop "Dream products" in collaboration with computer original equipment manufacturers (OEMs). It states that balanced products with well-integrated hardware and optimized software are rare, and that most are from proprietary vendors controlling both. It recommends that to successfully work with OEMs, OSVs need to be engaged early in concept development and ensure shared goals through trusted relations and joint teams. Using common standards, shared risks and rewards can motivate high performance and better satisfy customers. Open design practices embracing open source principles across the entire development process may help OEMs and OSVs create more successful Dream products together.
Training objective: Introduction to requirements engineering, as well as an understanding of the role and responsibilities of an engineer on demand. Familiarization with the techniques for identifying and documenting requirements. Defining approaches to validation and requirements management.
Исследование безопасности создаваемых информационных систем и разрабатываемых приложений становится распространенной практикой. Безопасники получили наконец заслуженное признание и «включены в цикл» разработки, их вписывают в нормативку, создают базы знаний для хранения результатов исследований. Чего ждут разработчики и владельцы информационных систем от исследователей? Поговорим о задачах, которые предстоит решать, и о качестве исследований, проводимых на регулярной основе.
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
Сертификация приложений по требованиям федеральных и отраслевых регуляторов, требованиям компаний (если они есть) — необходимое условие разработки и поставки коробочного решения. Требования потребителей и пользователей современных технологий по функционалу и удобству развиваются значительно быстрее эволюции ограничений. В результате, исследования практической защищенности, если и рассматриваются, то вне темы сертификации, что порождает двойной объем работ и сложности в управлении проектами.
Презентация, подготовленная сотрудниками компании «Перспективный Мониторинг» для конференции DevCon 2015, содержит информацию о том, какие практики безопасной разработки позволяют удовлетворить как требования сертификации, так и потребности практической безопасности. Рассматриваются тонкие моменты на стыке этих задач, вопросы, в которых можно опереться на мировой опыт, а также планы регуляторов по развитию требований сертификации.
В докладе представлен опыт ЗАО «ПМ» по внедрению безопасной разработки в проекты создания и развития линейки средств защиты информации для сетевого оборудования, мобильных платформ и рабочих станций, подлежащих сертификации по требованиям регуляторов.
Листовка нашего продукта, подготовленная к PHD 2016. Подробнее по ссылке http://www.slideshare.net/ValeryBoronin/application-inspector-ssdl-edition-product
English version:
www.slideshare.net/ValeryBoronin/pt-application-inspector-ssdl-edition-leaflet-67085824
PT AI Desktop edition product brief:
www.slideshare.net/ValeryBoronin/pt-application-inspector-desktop-edition-product-brief
Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...Andrey Fadin
Семинар ставит целью познакомить технических специалистов как с теоретическими, так и с прикладными вопросами оценки безопасности кода приложений (ПО).
Затрагиваются вопросы нормативной базы, классификации уязвимостей и дефектов ПО, а также стандартизации терминов и методик аудита, рассматриваются различные методы статического и динамического анализа, менеджмент процесса, существующие инструменты в этой области.
Построение процесса безопасной разработки - Стачка 2016Valery Boronin
Безопасность - критически важный элемент любого программного решения. Элемент, который, рано или поздно, но заставит вспомнить о себе. Скупой платит дважды, а в данном случае – минимум четырежды. Безопасность и качество кода – связаны напрямую. Поэтому положение дел и с тем и с другим редко находят достаточно хорошим даже в самых успешных проектах – всегда хочется бОльшего. А где-то бывает просто необходим качественный переход и точечными мерами кардинально ситуацию уже не исправить, нужен системный подход.
Вот почему наладить процесс обеспечения и повысить уровень зрелости безопасности разработки, повысить качество кода – хотят многие руководители и разработчики. Как это сделать системно и в согласии? Какие риски для одних, какие трудозатраты для других? И стоит ли овчинка выделки? Об этом и поговорим.
2016/05/10: загружена версия для оффлайна.
Лучшие практики исполнения проекта в соответствии с методологией IBM RationalLuxoftTraining
В своем выступлении Михаил рассматривает различные аспекты реализации проекта, начиная от управления требованиями и заканчивая управлением изменениями и конфигурациями. Описывает лучшие практики минимизации рисков провала проекта, в соответствии с методологией IBM Rational:
Итеративная разработка;
Подход к управлению требованиями;
Компонентная архитектура;
Визуальное моделирование;
Постоянный контроль качества;
Управление изменениями и конфигурациями.
А также рассматривается специфика Agile-проектов в сравнении с другими методологиями.
Внутренняя угроза: выявление и защита с помощью ObserveITBAKOTECH
Несмотря на всю сложность современных систем защиты информации, действия пользователей до сих пор являются самым слабым звеном в системе информационной безопасности компаний. Особенно если эти пользователи обладают повышенными правами доступа в ИТ-системах.
The document discusses what open source software vendors (OSVs) need to do to develop "Dream products" in collaboration with computer original equipment manufacturers (OEMs). It states that balanced products with well-integrated hardware and optimized software are rare, and that most are from proprietary vendors controlling both. It recommends that to successfully work with OEMs, OSVs need to be engaged early in concept development and ensure shared goals through trusted relations and joint teams. Using common standards, shared risks and rewards can motivate high performance and better satisfy customers. Open design practices embracing open source principles across the entire development process may help OEMs and OSVs create more successful Dream products together.
Difference between psychological time and clock time with reference to 'to th...yashpalsinhgohil1111
The document discusses two types of time: clock time and psychological time. Clock time is objective and linear, measured by minutes, hours and years. Psychological time is subjective and nonlinear, as perceived by the human mind. In Virginia Woolf's novel "To the Lighthouse", she uses interior monologues to show characters experiencing compressed or extended psychological time compared to objective clock time. For example, Lily Briscoe has moments where she recalls past events or finishes her painting after being stuck for years. The document analyzes how Woolf represents the difference between clock and psychological time through the experiences of characters in the novel.
Este documento es una biografía de Roald Dahl, el autor de Charlie y la fábrica de chocolate. Resume que Dahl nació en Gales en 1916 y trabajó para una compañía petrolera en África antes de convertirse en piloto durante la Segunda Guerra Mundial. Fue derribado en 1940 y sufrió graves heridas. Más tarde trabajó para la embajada británica en Estados Unidos. Publicó su primera obra en 1964 y escribió guiones para películas. Murió en Oxford en 1990.
This document analyzes the strengths, weaknesses, opportunities, and threats of two NPR affiliated blogs: Radiolab and Snap Judgment. The strengths include quirky/smooth storytelling, multimedia formats using visuals and sounds, provoking/fresh stories, and downloadable podcasts. Weaknesses are some unresolved endings, appeal to a progressive audience, difficulty funding, and lack of elaborating articles or video elements. Opportunities include boosting video, creating discussion forums, and displaying tour information. Threats are more hard news blogs that appeal to the same NPR audience.
This document introduces a campus correspondent who graduated from the National University of Singapore in 2012. Their hobbies include visiting forums and volunteering. As a correspondent, they can write about topics like their views on common issues, interesting things about their school, useful information for students, their journey in school with tips for juniors, and little-known facts or services available at their school. They aim to provide perspectives and information to readers.
Ideangine develops software, applications, and websites for various sectors to match clients' business needs. They offer mobile app development on iOS, Android, Blackberry, and Windows platforms. A real estate company can boost its brand and sales in the digital space through an interactive mobile app developed by Ideangine that allows prospects to search properties, view amenities and features through photos, videos and virtual tours. Ideangine has developed successful mobile apps for clients in real estate, jewelry, healthcare and other industries.
The document describes a study that measured the carbon dioxide exchange of two Arctic shrub species, Betula nana and Salix pulcra, to understand their photosynthetic efficiency. The study isolated individual shrubs using chambers and measured the CO2 flux over time. Aggregating these flux measurements provided data on net ecosystem exchange of CO2 for each shrub. The results showed that the shrubs' photosynthesis was being efficiently optimized rather than inhibited by self-shading, as indicated by an exponential relationship between CO2 exchange and shrub mass. This data could help predict shrub responses to future Arctic conditions by being incorporated into forward models.
Etude Apec - Les métiers cadres en tension, une approche territorialeApec
Les difficultés auxquelles les entreprises sont confrontées pour recruter un cadre sont nombreuses. Certaines tensions sont liées aux secteurs d’activités des établissements recruteurs et/ou aux métiers spécifiques des postes à pourvoir.
Ces tensions ont été décrites par l’Apec dans un premier rapport d’étude publié en mai 2014. Ce rapport d’étude présente maintenant les autres difficultés liées à la localisation géographique des établissements recruteurs de cadres et plus précisément ce qu’elles recouvrent mais aussi les spécificités territoriales des tensions, qu’elles soient d’origine géographique ou non, indissociables du tissu économique local.
Cette étude révèle des difficultés de recrutement liées à la localisation géographique accrues dans des territoires jugés peu attractifs par les cadres (zones rurales...). Celles-ci se conjuguent souvent à la pénurie de candidats dans certains métiers et au décalage de rémunération entre les recruteurs et les candidats. Selon les régions, les tensions se déclinent différemment selon le tissu économique et les profils recherchés, même si l’on retrouve des caractéristiques communes : manque de profils expérimentés et / ou de compétences techniques et transversales.
Los objetos implícitos en JSP incluyen session, application, config, pageContext y out. Session y application permiten almacenar información a través de la sesión o aplicación. Config proporciona acceso a parámetros de inicialización, mientras que pageContext permite acceder a otros objetos implícitos. Out se utiliza para enviar salida al cliente.
Este documento presenta las herramientas básicas de Microsoft Word como la barra de título, la barra de herramientas de acceso rápido y la barra de desplazamiento, que permiten navegar y editar documentos, así como opciones para crear nuevos documentos, guardar, imprimir y acceder a propiedades.
Презентация с вебинара "Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого было спросить"
Ссылка на страницу вебинара (и запись) - http://solarsecurity.ru/analytics/webinars/665/
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...Ivan Piskunov
Презентация к выступлению "Особенности проведения аудита безопасности корпоративной IT-инфраструктуры", 15 мая 2018, Fast Track
Ядром доклада станет демонстрация нескольких средств аудита (ПО, скриптов) для Windows Server, инфраструктуры AD, Linux: как они работают, какие дают результаты и как облегчают жизнь аудитору.
Анонс выступления
https://ipiskunov.blogspot.ru/2018/05/phdays-8-digital-bet.html
Telegram-канал
https://t.me/w2hack или @w2hack
Windows 8 и Windows server 2012. Что нового с точки зрения безопасности?Andrey Beshkov
Встроенная функциональность Windows 8 и Windows Server 2012 поможет вам существенно улучшить безопасность вашей инфраструктуры. В этом докладе мы обсудим наиболее интересные из новых функций и ключевых сценариев. Мы поговорим про Trusted Boot, Measured Boot, Remote Attestation, Virtual Smartcards, SmartScreen, Dynamic Access Control и множество других нововведений.
Современные российские средства защиты информацииDialogueScience
Обзор российских средств защиты информации с учетом текущей ситуации с импортозамещением.
ПРОГРАММА:
Актуальные вопросы импортозамещения
Обзор некоторых классов современных российских СЗИ
Попытки выполнения импортозамещения
Ответы на вопросы.
Спикер: Сергей Корольков, технический директор АО «ДиалогНаука».
Запись вебинара: https://www.youtube.com/watch?v=fIk9IU7FNEc&index=4&list=PLvxhSg-LXXAcKhaBFL6zrIBKVlMz2Pd1X
Аудит информационной безопасности АСУ ТП – первый и поэтому крайне важный шаг в ходе обеспечения информационной безопасности промышленных систем управления и автоматизации. В ходе вебинара специалисты УЦСБ поделятся своим практическим опытом проведения аудитов и расскажут о тех нюансах, на которые стоит обратить внимание в первую очередь.
1. Преимущества
использования
ПО
с
открытым
кодом
при
построении
защищенных
ИТ-‐инфраструктур
Калмыков
Константин
Руководитель
отдела
разработки
и
внедрения
информационных
систем
1
1
2. Статистика
уязвимостей
за
2012
год
(по
данным
Kaspersky
Security
BulleWn
2012)
28%
Oracle Java (tm)
Adobe Acrobat Reader
3%
2% Windows и IE
2% Google Android
50% Adobe Flash
15% Другие
h_p://www.securelist.com/ru/analysis/208050778/Kaspersky_Security_BulleWn_2012_Osnovnaya_staWsWka_za_2012_god
2
3. Уязвимости
ОС
за
2011
год
(по
данным
Securitylab)
Критическая Опасная Средняя
Незначительная
100
17
75
16
50 51
44 9
25 33
7
3 6
6 1
22
19 2 IBM AIX
0 FreeBSD
1 Mac OS X
2 Linux
Windows
h_p://www.securitylab.ru/analyWcs/422328.php
3
4. Требования
руководящих
докуметов:
Согласно
РД
ФСТЭК
«Безопасность
информационных
технологий.
Критерии
оценки
безопасности
информационных
технологий»
Требования
доверия
предъявляются
и
призваны
гарантировать:
•
технологии
и
процесс
разработки
ОО
•
эксплуатацию
ОО
•
адекватность
реализации
механизмов
безопасности
ОО
4
5. Очевидные
плюсы
открытого
ПО:
•Согласно
РД
ФСТЭК
в
части
классификации
по
уровню
контроля
отсутствия
недекларированных
возможностей
требуется
проведение
статического
анализа
исходных
текстов
программ.
Обеспечивается:
• контроль
полноты
и
отсутствия
избыточности
исходных
текстов
ПО
на
уровне
файлов;
• контроль
на
уровне
функциональных
объектов
(процедур)
и
на
уровне
функциональных
объектов
(функций);
• контроль
связей
функциональных
объектов
(модулей,
процедур,
функций)
по
управлению
и
по
информации;
• контроль
информационных
объектов
различных
типов;
• формирование
перечня
маршрутов
выполнения
функциональных
объектов
(процедур,
функций);
5
6. Очевидные
плюсы
открытого
ПО:
•Согласно
РД
ФСТЭК
в
части
классификации
по
уровню
контроля
отсутствия
недекларированных
возможностей
требуется
проведение
статического
анализа
исходных
текстов
программ.
Обеспечивается:
• синтаксический
контроль
наличия
заданных
конструкций
в
исходных
текстах
ПО
из
списка
(базы)
потенциально
опасных
программных
конструкций;
• формирование
перечня
маршрутов
выполнения
функциональных
объектов
(ветвей);
• анализ
критических
маршрутов
выполнения
функциональных
объектов
(процедур,
функций)
для
заданных
экспертом
списков
информационных
объектов;
• построение
по
исходным
текстам
контролируемого
ПО
блок-‐схем,
диаграмм
и
т.п.,
и
последующий
сравнительный
анализ
алгоритмов
работы.
6
7. Доверие
и
открытые
технологии:
Доверие
–
основа
для
уверенности
в
том,
что
продукт
или
система
ИТ
отвечают
целям
безопасности.
«Общие
критерии»
обеспечивают
доверие
с
использованием
активного
исследования.
Активное
исследование
–
это
оценка
продукта
или
системы
ИТ
для
определения
его
свойств
безопасности.
7
8. Методы
оценки
включают:
• анализ
и
проверку
процессов
и
процедур;
• проверку,
что
процессы
и
процедуры
применяются;
• анализ
соответствия
между
представлениями
проекта
ОО;
• анализ
соответствия
каждого
представления
проекта
ОО
требованиям;
• верификацию
доказательств;
• анализ
руководств;
• анализ
разработанных
функциональных
• тестов
и
полученных
результатов;
• независимое
функциональное
тестирование;
• анализ
уязвимостей,
включающий
• предположения
о
недостатках;
• тестирование
проникновением.
8
9. Ключевые
особенности
технологий
РОСА
ROSA
ABF
-‐
Automated
Build
Farm
состоит
из:
Изделие
«РОСА-‐
ЕДИНОЕ
ОКНО»
RU.61682077.00400-‐01
(программа
управления
доступом
к
общесистемным
и
прикладным
компонентам
)
Изделие
«РОСА-‐ФУНДАМЕНТ»
RU.61682077.00100-‐01
(система
управления
хранилищем
и
сборочной
средой)
9
10. Взаимосвязь
РД
и
технологий
РОСА
• анализ
и
проверку
процессов
и
процедур;
• проверку,
что
процессы
и
процедуры
применяются;
• анализ
соответствия
между
представлениями
проекта
ОО;
• анализ
соответствия
каждого
представления
проекта
ОО
требованиям;
• верификацию
доказательств;
• анализ
руководств;
• анализ
разработанных
функциональных
• тестов
и
полученных
результатов;
• независимое
функциональное
тестирование;
• анализ
уязвимостей,
включающий
• предположения
о
недостатках;
• тестирование
проникновением.
10
11. Технологии
РОСА
ABF
обеспечивают:
•Доверенную
среду
разработки
•Высокий
уровень
контроля
разработки
•Открытость
•Переносимость
•Интеграцию
с
системами
управления
проектами
•Интеграция
процессов
разработки,
конфигурационного
управления
и
сборки
на
единой
площадке
11
