Свободное программное обеспечение и доверие к безопасности информационных систем Александр Трубачев Заместитель Председателя ООО «Центр безопасности информации»

Презентация:



Advertisements
Похожие презентации
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СЛОЖНЫХ ИНФОРМАЦИОННЫХ СИСТЕМ М.В. Большаков Институт проблем информационной безопасности МГУ им. М.В. Ломоносова.
Advertisements

Стандарт ISO Общие критерии оценки безопасности информационных технологий.
ОТК в области защиты информации Выполнила студентка группы И411 Суркова В.М.
Институт системного анализа Российской академии наук (ИСА РАН) 1 "Проблемы и методы управления безопасностью критических инфраструктур национального масштаба".
Актуальность контроля разработки программного обеспечения автоматизированных банковских систем на предмет наличия в нем уязвимостей ООО «Газинфомсервис»
8. Федеральные критерии безопасности информационных технологий.
Направления взаимодействия СРО и банковской ассоциации А.Н.Велигура, CISA Председатель комитета по информационной безопасности Ассоциации российских банков.
Развитие региональной системы оценки качества образования (РСОКО)
Понятие качества профессионального образования и обучения О.Н. Олейникова Д.п.н., профессор Директор Центра изучения проблем профессионального образования.
ЗАМЕСТИТЕЛЬ ДИРЕКТОРА ФИЛИАЛА ОАО «БИТК» В г. ВОРОНЕЖЕ СЕЛИФАНОВА НАТАЛИЯ НИКОЛАЕВНА ЗАМЕСТИТЕЛЬ ДИРЕКТОРА ФИЛИАЛА ОАО «БИТК» В г. ВОРОНЕЖЕ СЕЛИФАНОВА.
ОБУЧЕНИЕ В УЧЕБНО-КОНСУЛЬТАЦИОННОМ ЦЕНТРЕ ФГУП «СТАНДАРТИНФОРМ» КАК УСЛОВИЕ СОВЕРШЕНСТВОВАНИЯ ВЗАИМОДЕЙСТВИЯ СПЕЦИАЛИСТОВ, ОБЕСПЕЧИВАЮЩИХ ПОДГОТОВКУ ПРОЕКТОВ.
Практика проведения аудитов информационной безопасности на крупных предприятиях Виктор Сердюк, к.т.н., CISSP Генеральный директор ЗАО «ДиалогНаука»
Лекция 4 - Стандарты информационной безопасности: «Общие критерии» 1. Введение 2. Требования безопасности к информационным системам 3. Принцип иерархии:
ПОЛИТИКА КОРПОРАТИВНОЙ ИНФОРМАТИЗАЦИИ ОАО «РЖД». О А О « Р О С С И Й С К И Е Ж Е Л Е З Н Ы Е Д О Р О Г И » 2 Утверждена распоряжением президента ОАО «РЖД»
Экспертиза специализированных программных продуктов государственных органов Цой Григорий.
Energy Consulting/ Integration Информационно- технологические риски Компании Голов Андрей, CISSP, CISA Руководитель направления ИБ.
Автоматизированная информационная система «Управление образовательным учреждением» на базе «1С:Предприятие 8 » Модуль «Планирование учебного процесса.
1 Критерии и классы защищенности средств вычислительной техники и автоматизированных систем Подготовила: студентка гр.И-411 Сартакова Е.Л.
Дробященко Наталья Юрьевна Член правления коллегии пенсионных актуариев 5 октября 2006 год Роль и статус актуария и регулирование актуарной профессии с.
Построение политики безопасности организации УЦ «Bigone» 2007 год.
Транксрипт:

Свободное программное обеспечение и доверие к безопасности информационных систем Александр Трубачев Заместитель Председателя ООО «Центр безопасности информации» по НИР © Центр безопасности информации

Доверие к продукции Функциональность Разработчик Где производится Независимые оценки 2 © Центр безопасности информации

Доверие к безопасности ИС Доверие – основа для уверенности в том, что продукт или система ИТ отвечают установленным для них функциональным требованиям безопасности. (Международный стандарт ИСО/МЭК «Критерии оценки безопасности информационных технологий») 3 © Центр безопасности информации

Требования доверия (assurance requirements) Качество проектных решений Безопасность процесса разработки Анализ уязвимостей Поддержка Возможность сертификации 4 © Центр безопасности информации

Виды программного обеспечения Открытое публичное ПО Открытое коммерческое ПО Проприетарное ПО с ограниченным доступом Закрытое проприетарное ПО 5 © Центр безопасности информации

Качество проектных решений 6 © Центр безопасности информации Вид ПО Открытое публичное ПО Открытое коммерческое ПО Проприетарное ПО с ограниченным доступом Закрытое проприетарное ПО Качество проектных решений

Безопасность процесса разработки 7 © Центр безопасности информации Вид ПО Открытое публичное ПО Открытое коммерческое ПО Проприетарное ПО с ограниченным доступом Закрытое проприетарное ПО Безопасность процесса разработки

Анализ уязвимостей 8 © Центр безопасности информации Вид ПО Открытое публичное ПО Открытое коммерческое ПО Проприетарное ПО с ограниченным доступом Закрытое проприетарное ПО Анализ уязвимостей разработчиком Анализ уязвимостей потребителем Анализ уязвимостей специализированной организацией Анализ уязвимостей злоумышленником

Безопасность процесса сборки 9 © Центр безопасности информации Вид ПО Открытое публичное ПО Открытое коммерческое ПО Проприетарное ПО с ограниченным доступом Закрытое проприетарное ПО Доступность процесса сборки потребителю Доступность процесса сборки специализированной организации

Поддержка 10 © Центр безопасности информации Вид ПО Открытое публичное ПО Открытое коммерческое ПО Проприетарное ПО с ограниченным доступом Закрытое проприетарное ПО Поддержка

Возможность сертификации 11 © Центр безопасности информации Вид ПО Открытое публичное ПО Открытое коммерческое ПО Проприетарное ПО с ограниченным доступом Закрытое проприетарное ПО Возможность сертификации

Доверие к безопасности ПО 12 © Центр безопасности информации Вид ПО Открытое публичное ПО Открытое коммерческое ПО Проприетарное ПО с ограниченным доступом Закрытое проприетарное ПО Качество проектных решений Безопасность процесса разработки Анализ уязвимостей разработчиком Анализ уязвимостей потребителем Анализ уязвимостей специализированной организацией Анализ уязвимостей злоумышленником Доступность процесса сборки потребителю Доступность процесса сборки специализированной организации Поддержка Возможность сертификации

Выводы 1.Открытое публичное ПО, с точки зрения доверия к безопасности, является не таким уж и привлекательным. 2.Наибольшего доверия к безопасности можно достичь для открытого коммерческого ПО и проприетарного ПО с ограниченным доступом к коду и процессу сборки. 3.Закрытое проприетарное ПО не может претендовать на высокие уровни доверия к его безопасности. 13 © Центр безопасности информации

Направления повышения доверия к безопасности ПО 1.Совершенствование нормативной базы Для современных информационных технологий именно доверие является основным приложением усилий в направлении повышения их безопасности. «При возрастании значимости безопасности для организаций и повышении восприимчивости информационных систем к расширенным долговременным угрозам нарушителей с высоким потенциалом не только имеют смысл, но требуются повышенные уровни доверия. … Таким образом, когда потенциальное воздействие на деятельность и активы организаций, людей, другие организации и Нацию является высоким, увеличивающийся уровень усилий должен быть направлен на обеспечение доверия.» NIST Special Publication Повышение качества процессов разработки и поддержки ПО 3.Сертификация ПО Специальные исследования доверия к безопасности ПО проводятся при сертификации на соответствие требования международного стандарта ИСО/МЭК «Критерии оценки безопасности информационных технологий» (Общие критерии) и при сертификации на отсутствие недекларированных возможностей. 14 © Центр безопасности информации

Спасибо за внимание! 15 © Центр безопасности информации Трубачев Александр Павлович Тел.: (495) mail: