Developer Evidences (Infosecurity Russia 2013)
-
Upload
alexander-barabanov -
Category
Technology
-
view
500 -
download
4
description
Transcript of Developer Evidences (Infosecurity Russia 2013)
![Page 1: Developer Evidences (Infosecurity Russia 2013)](https://reader033.fdocuments.us/reader033/viewer/2022061122/546f7d49b4af9f1c0b8b457e/html5/thumbnails/1.jpg)
Сертификация по новым правилам ФСТЭК России: что требуется от разработчика?
Александр Барабанов, CISSP, CSSLPДиректор департамента сертификации и тестирования
![Page 2: Developer Evidences (Infosecurity Russia 2013)](https://reader033.fdocuments.us/reader033/viewer/2022061122/546f7d49b4af9f1c0b8b457e/html5/thumbnails/2.jpg)
2
Что такое ИФБО?
Где взять проект
нижнего уровня?
Что они от меня
хотят?
Что такое «ИФБО» и
«ФТБ»?
Что они от меня
хотят?
Зачем им мой
исходный текст?
Где взять проект
нижнего уровня?
Как измерить глубину
тестирования?Когда же это
кончится!?
![Page 3: Developer Evidences (Infosecurity Russia 2013)](https://reader033.fdocuments.us/reader033/viewer/2022061122/546f7d49b4af9f1c0b8b457e/html5/thumbnails/3.jpg)
Новые правила ФСТЭК России в области сертификации
3
![Page 4: Developer Evidences (Infosecurity Russia 2013)](https://reader033.fdocuments.us/reader033/viewer/2022061122/546f7d49b4af9f1c0b8b457e/html5/thumbnails/4.jpg)
Новые правила ФСТЭК России в области сертификации
4
![Page 5: Developer Evidences (Infosecurity Russia 2013)](https://reader033.fdocuments.us/reader033/viewer/2022061122/546f7d49b4af9f1c0b8b457e/html5/thumbnails/5.jpg)
Предъявляемые требования безопасности
5
Функциональные требования безопасности
Требования доверия к безопасности
![Page 6: Developer Evidences (Infosecurity Russia 2013)](https://reader033.fdocuments.us/reader033/viewer/2022061122/546f7d49b4af9f1c0b8b457e/html5/thumbnails/6.jpg)
ASE: «Задание по безопасности»
6
Объект оценки
Содержит краткую спецификацию объекта оценки
Содержит описание того, как объект
оценки удовлетворяет требованиям безопасности
![Page 7: Developer Evidences (Infosecurity Russia 2013)](https://reader033.fdocuments.us/reader033/viewer/2022061122/546f7d49b4af9f1c0b8b457e/html5/thumbnails/7.jpg)
ADV_FSP: «Функциональная спецификация»
7
Объект оценки
ИФБО#1
ИФБО#n
Как работать с объектом оценки?.
.
.
![Page 8: Developer Evidences (Infosecurity Russia 2013)](https://reader033.fdocuments.us/reader033/viewer/2022061122/546f7d49b4af9f1c0b8b457e/html5/thumbnails/8.jpg)
ADV_HLD: «Проект верхнего уровня»
8
Объект оценки
ИФБО#1
ИФБО#n
Подсистема#1
Подсистема#k
Как подсистемы объекта оценки
выполняют требования
безопасности?
.
.
.
![Page 9: Developer Evidences (Infosecurity Russia 2013)](https://reader033.fdocuments.us/reader033/viewer/2022061122/546f7d49b4af9f1c0b8b457e/html5/thumbnails/9.jpg)
ADV_LLD: «Проект нижнего уровня»
9
Объект оценки
ИФБО#1
ИФБО#n
Модуль#1
Модуль#2
Модуль#p
Как модули объекта оценки выполняют
требования безопасности?
.
.
.
![Page 10: Developer Evidences (Infosecurity Russia 2013)](https://reader033.fdocuments.us/reader033/viewer/2022061122/546f7d49b4af9f1c0b8b457e/html5/thumbnails/10.jpg)
ADV_IMP: «Представление реализации»
10
Объект оценки
ИФБО#1
ИФБО#n
Как исходные тексты объекта оценки
выполняют требования
безопасности?
SRC#1
SRC#2
SRC#w
.
.
.
![Page 11: Developer Evidences (Infosecurity Russia 2013)](https://reader033.fdocuments.us/reader033/viewer/2022061122/546f7d49b4af9f1c0b8b457e/html5/thumbnails/11.jpg)
ATE_FUN: «Функциональное тестирование»
11
план тестирования тестовые процедуры фактические результаты
тестирования
![Page 12: Developer Evidences (Infosecurity Russia 2013)](https://reader033.fdocuments.us/reader033/viewer/2022061122/546f7d49b4af9f1c0b8b457e/html5/thumbnails/12.jpg)
Тест#m
Тест#2
ATE_COV: «Анализ покрытия»
12
ИФБО#1
ИФБО#2
ИФБО#k
Тест#1
![Page 13: Developer Evidences (Infosecurity Russia 2013)](https://reader033.fdocuments.us/reader033/viewer/2022061122/546f7d49b4af9f1c0b8b457e/html5/thumbnails/13.jpg)
Тест#m
Тест#2
ATE_COV: «Анализ покрытия»
13
ИФБО#1
ИФБО#2
ИФБО#k
Тест#1
![Page 14: Developer Evidences (Infosecurity Russia 2013)](https://reader033.fdocuments.us/reader033/viewer/2022061122/546f7d49b4af9f1c0b8b457e/html5/thumbnails/14.jpg)
ATE_DPT: «Анализ глубины»
14
Подсистема#1
Подсистема#2
Подсистема#k
Тест#m
Тест#2
Тест#1
![Page 15: Developer Evidences (Infosecurity Russia 2013)](https://reader033.fdocuments.us/reader033/viewer/2022061122/546f7d49b4af9f1c0b8b457e/html5/thumbnails/15.jpg)
ATE_DPT: «Анализ глубины»
15
Подсистема#1
Подсистема#2
Подсистема#k
Тест#m
Тест#2
Тест#1
![Page 16: Developer Evidences (Infosecurity Russia 2013)](https://reader033.fdocuments.us/reader033/viewer/2022061122/546f7d49b4af9f1c0b8b457e/html5/thumbnails/16.jpg)
AVA: «Оценка уязвимостей»
16
анализ уязвимостей и документирование результатов
демонстрация того, что ни одна из уязвимостей не может быть использована в предполагаемой среде объекта оценки
![Page 17: Developer Evidences (Infosecurity Russia 2013)](https://reader033.fdocuments.us/reader033/viewer/2022061122/546f7d49b4af9f1c0b8b457e/html5/thumbnails/17.jpg)
ACM: «Управление конфигурацией»
17
маркировка элементов объекта оценки эксплуатационная документация на
систему управления конфигурацией описание методов идентификации
элементов конфигурации план управления конфигурацией и план
приемки список элементов конфигурации
![Page 18: Developer Evidences (Infosecurity Russia 2013)](https://reader033.fdocuments.us/reader033/viewer/2022061122/546f7d49b4af9f1c0b8b457e/html5/thumbnails/18.jpg)
ALC: «Поддержка жизненного цикла»
18
физический и логический контроль доступа
политика безопасности в отношении посетителей
резервное копирование защита от утечек информации обучение персонала процедуры найма/увольнения
![Page 19: Developer Evidences (Infosecurity Russia 2013)](https://reader033.fdocuments.us/reader033/viewer/2022061122/546f7d49b4af9f1c0b8b457e/html5/thumbnails/19.jpg)
ADO: «Поставка и эксплуатация»
19
процедуры поставки объекта оценки или его частей пользователю
процедуры, необходимые для безопасной установки, генерации и запуска объекта оценки
![Page 20: Developer Evidences (Infosecurity Russia 2013)](https://reader033.fdocuments.us/reader033/viewer/2022061122/546f7d49b4af9f1c0b8b457e/html5/thumbnails/20.jpg)
AGD: «Руководства»
20
описание функций администрирования и интерфейсов, доступных администратору (пользователю) объекту оценки
описание всех параметров безопасности, контролируемых администратором
![Page 21: Developer Evidences (Infosecurity Russia 2013)](https://reader033.fdocuments.us/reader033/viewer/2022061122/546f7d49b4af9f1c0b8b457e/html5/thumbnails/21.jpg)
организация инфраструктуры распространения обновлений
анализ влияния обновлений на безопасность
AMA:«Анализ влияния обновлений»
21
![Page 22: Developer Evidences (Infosecurity Russia 2013)](https://reader033.fdocuments.us/reader033/viewer/2022061122/546f7d49b4af9f1c0b8b457e/html5/thumbnails/22.jpg)
Полезные ресурсы
22