Добрица И. В., ФСБ России. 1. Распоряжение Правительства Российской Федерации от 20 октября 2010 г. 1815-р «О государственной программе Российской Федерации.

Презентация:



Advertisements
Похожие презентации
Результаты проекта Минкомсвязи 012/112 от г. по разработке прототипов базовых программно-технических компонент национальной программной платформы.
Advertisements

Вопросы безопасности обработки информации в корпоративных облачных системах Добрица И. В., ФСБ России 23 марта 2012 г. 11-я конференция «Обеспечение доверия.
Осенний документооборот 2014 Москва, 17 октября Вопросы информационной безопасности при использовании мобильных устройств для работы с корпоративными информационными.
Модель угроз безопасности персональных данных при их обработке в информационных системах АПЭК Выполнил студент Группы 11 инф 112: Сотников П.В. Проверил.
Требования к доверенной третьей стороне в интегрированной информационной системе Евразийского экономического союза.
1 Российский государственный университет нефти и газа имени И.М. Губкина Проект: «Поддержка и развитие Интернет-портала по проблемам изучения русского.
Интенсивное развитие компьютерных сетей делает особенно актуальной проблему анализа работы сетей. Трафик сети является одним из важнейших фактических.
Переход на СПО: СВОБОДА ВЫБОРА!. Свободное программное обеспечение это программное обеспечение, распространяемое на условиях открытых или свободных лицензий.
О программном обеспечении персональных компьютеров в образовательных учреждениях г.
Формирование информационно- технологической инфраструктуры «электронного государства» Росинформтехнологии Росинформтехнологии (Новосибирск, «ИнфоКоммуникации.
Защита и резервирование информации Под защитой информации понимается порядок и правила применения принципов и средств защиты информации. Prezentacii.com.
ПРЕЗЕНТАЦИЯ выполненных работ по 1 этапу Государственного контракта на выполнение работ (оказание услуг) от «13» октября 2011 г. 06.Р «Создание.
Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.
Практический опыт реализации требований по защите персональных данных МУ Информационно-методический центр Ходячих Андрей Викторович.
Средства и тактика получения информации из защищенных компьютерных систем Макаренков Д.Е. Лекция по дисциплине «Компьютерная разведка»
Основные понятия Законодательство в сфере защиты информации.
Декабрь 2011 года Переход на межведомственное взаимодействие при предоставлении услуг как приоритетная задача органов местного самоуправления Негородов.
Лекция 4 - Стандарты информационной безопасности: «Общие критерии» 1. Введение 2. Требования безопасности к информационным системам 3. Принцип иерархии:
Модель коррекционно-развивающей среды образовательного учреждения для интеграции детей с ОВЗ Чабан Татьяна Леонидовна, директор школы МОУ СОШ 2 Г. Енисейск.
Архитектура операционных систем. Архитектура ОС Состав модулей (компонент) ОС Структура связей между отдельными модулями ОС Принципы взаимодействия модулей.
Транксрипт:

Добрица И. В., ФСБ России

1. Распоряжение Правительства Российской Федерации от 20 октября 2010 г р «О государственной программе Российской Федерации «Информационное сообщество (2011 – 2020 годы)»». 2. Распоряжение Правительства Российской Федерации от 2 декабря 2011 года 2161-р «О внесении изменений в государственную программу Российской Федерации «Информационное сообщество (2011 – 2020 годы)»». 2

1. Отечественной среды сборки операционной системы и приложений на свободном ПО. 2. Отечественной системы управления базами данных на основе открытых разработок. 3. Российской среды разработки ПО. 4. Набора архитектурных стандартов и типовых компонентов для совместимости программ между собой. 5. Базового пакета прикладного ПО, включая драйверы и средства обеспечения информационной безопасности. 6. Национального фонда алгоритмов и программ (НФАП) (госприклад.рф). 7. Пакета типовых решений и размещение его в НФАП. 8. Территориальной распределенной инфраструктуры технической и методической поддержки свободного ПО. 3

взаимодействие ГОиО с НФАП с целью получения различных пакетов свободного ПО; использование ГОиО свободного ПО, полученного в НФАП, в качестве общесистемного и специального ПО; техническая и методическая поддержка свободного ПО, используемого в ГОиО. 4

5 I. Анализ безопасности ПО, разрабатываемого в НПП II. Безопасность взаимодействия ГОиО с НФАП

Безопасность ПО Безопасность ПО – отсутствие в его составе проблемных участков кода. Проблемные участки кода при определенных условиях могут привести к некорректному функционированию ПО, вызвать нарушение целостности, доступности и безопасности обрабатываемой информации, а также быть причиной уязвимостей или серьёзных сбоев в работе системы. Анализ безопасности ПО Анализ безопасности ПО – исследования, направленные на выявление проблемных участков кода ПО и оценку степени их опасности. 6

Для ПО, которое будет разрабатываться в НПП, выявление проблемных участков кода – актуальная задача, поскольку большая часть кода базового пакета прикладного ПО, драйверов, СУБД (особенно на начальных этапах разработки) будет фактически полностью заимствована из различных Open Source-проектов, а также репозиториев свободного ПО. 7

Проводился анализ более 61 миллиона строк кода в 291 OpenSource-проекте, среди которых ядро Linux, ядро Linux в Android, Samba, Apache и PHP. Среди наиболее интересных результатов отмечены следующие: в Linux-ядре, используемом в Android, обнаружено 359 дефектов; около 50% из всех дефектов, обнаруженных в коде проанализированных Open Source-проектов, были отнесены к категории повышенного риска, т.е. они могли вызывать проблемы в безопасности и привести к падению системы (у Android этот процент был ниже и составил 25%) наиболее распространенные ошибки в коде – это проблемы, приводящие к повреждению данных в памяти, разыменование NULL- указателя, утечка ресурсов. 8

Практика показала, что ошибки и дефекты кода, выявленные в каком- либо Open Source-проекте, иногда долгое время не устраняются и даже тиражируются в другие программы 9

Возможность в автоматизированном режиме за приемлемые временные интервалы проводить исследования больших объёмов исходного кода, представленного различных языках программирования высокого уровня. 10

1. В информационных системах ГОиО должно использоваться проверенное безопасное ПО. 2. Реализацию сервиса анализа безопасности ПО необходимо предусмотреть в составе НПП на самом начальном этапе её создания. 3. Для реализации сервиса анализа ПО необходимо использовать отечественные разработки. 11

В НФАП для дальнейшего распространения в ГОиО должно передаваться уже проверенное безопасное ПО. 12

1. Портал «госприклад.рф» станет мишенью для сетевых атак хакеров. Цели атак - целостности и доступности портала, а также несанкционированные доступ к контенту НФАП. 2. В результате несанкционированного доступа к контенту НФАП на нем может быть размещено ПО со встроенными уязвимостями, или заведомо вредоносное ПО. Последствия распространения такого ПО в ГОиО очевидны. 13

1. Особое внимание необходимо уделить вопросам сетевой безопасности, проблемам контроля доступа к порталу, а также контроля целостности и достоверности контента НФАП. 2. Ограничить количество пользователей портала по принципу ведомственной принадлежности ГОиО, разрешив взаимодействие с порталом ограниченному кругу лиц ГОиО. 3. В рамках создания НПП предусмотреть разработку типового защищённого ведомственного фонда алгоритмов и программ (ФАП). 14

1. Обеспечение информационной безопасности при использовании НПП в ГОиО сложная научно-техническая проблема. Решать эту проблему необходимо на начальной стадии создания НПП. 2. Анализ безопасности ПО один из актуальных вопросов обеспечения информационной безопасности при использовании НПП в ГОиО. В НПП необходимо реализовать отдельный независимый сервис по анализу безопасности всего разрабатываемого ПО. 3. При разработке портала «госприклад.рф» особое внимание необходимо уделить вопросам сетевой безопасности, проблемам контроля доступа к порталу, а также контроля целостности и достоверности контента НФАП. Для дальнейшего распространения пакетов программ внутри ГОиО, в рамках создания НПП целесообразно предусмотреть разработку типового защищённого ведомственного ФАП. 15

1. Распоряжение Правительства Российской Федерации от 20 октября 2010 г р «О государственной программе Российской Федерации «Информационное сообщество (2011 – 2020 годы)»». 2. Распоряжение Правительства Российской Федерации от 2 декабря 2011 года 2161-р «О внесении изменений в государственную программу Российской Федерации «Информационное сообщество (2011 – 2020 годы)»». 3. Шурупов Д. Coverity осуществила очередную проверку кода Open Source-проектов Карпов А. 90 ошибок в open-source проектах. open-source-projects-ru/. 16