6.69M
Categories: softwaresoftware lawlaw
Similar presentations:
Методы защиты системного программного обеспечения
Методы защиты системного программного обеспечения
Стандартизация и сертификация программного обеспечения
Стандартизация и сертификация программного обеспечения
Организационное и правовое обеспечение информационной безопасности. Лекция 1. Термины и определения в сфере ИБ
Организационное и правовое обеспечение информационной безопасности. Лекция 1. Термины и определения в сфере ИБ
Надежность программного обеспечения
Надежность программного обеспечения
Программное обеспечение. Вводная лекция
Программное обеспечение. Вводная лекция
Модели качества программного обеспечения и методы его оценивания
Модели качества программного обеспечения и методы его оценивания
Стандартизация программного обеспечения
Стандартизация программного обеспечения
Программное обеспечение как медицинское изделие
Программное обеспечение как медицинское изделие
Программное обеспечение
Программное обеспечение
Документирование программного обеспечения. Типы документации
Документирование программного обеспечения. Типы документации

Уязвимости программного обеспечения (вводная лекция)

1.

ВВОДНАЯ
ЛЕКЦИЯ
Уязвимости
программного обеспечения

2.

Цель и учебные вопросы лекции
2
Цель:
ознакомление с угрозами информационной безопасности и
необходимостью выявления уязвимостей для нейтрализации
компьютерных атак
Учебные вопросы:
1. Общая характеристика учебной дисциплины
2. Место и роль учебной дисциплины в формировании профессиональных
качеств специалиста в области компьютерной безопасности
3. Концептуальные основы информационно-компьютерной безопасности

3.

ОБЩАЯ ХАРАКТЕРИСТИКА УЧЕБНОЙ ДИСЦИПЛИНЫ
Цели и задачи дисциплины
Цель: теоретическая и практическая подготовка специалистов по
выявлению
и нейтрализации уязвимостей программного
обеспечения для совершенствования систем обеспечения
информационной безопасности.
Основные задачи:
изучение методов и средств выявления и нейтрализации дефектов и
уязвимостей программного обеспечения
овладение современными методами и средствами предотвращения
угроз информационной безопасности и управления рисками ущерба
ресурсам автоматизированных систем
освоение технологий специальных исследований программных
дефектов, закладок и недекларированных возможностей кода
разработка безопасного программного кода и проектирование систем
специального назначения в защищенном исполнении
3

4.

ОБЩАЯ ХАРАКТЕРИСТИКА УЧЕБНОЙ ДИСЦИПЛИНЫ
4
Место в структуре образования:
реализует
требования
федерального
государственного
образовательного стандарта высшего профессионального образования по
специальности
10.05.01
«Компьютерная
безопасность»,
по
специализации «Разработка защищенного программного обеспечения
специальных систем».
учитывать
Направленность на способности:
современные
тенденции
развития
информатики
и
вычислительной техники, компьютерных и сетевых технологий в условиях
информационного противоборства в профессиональной деятельности;
руководствоваться требованиями современных стандартов по
безопасности компьютерных систем;
проводить анализ программного кода при поиске потенциальных
уязвимостей и недокументированных возможностей;
осваивать технологии разработки новых средств защиты распределенных
компьютерных систем;
использовать современные средства обеспечения информационнокомпьютерной безопасности при реализации специальных технологических
решений.

5.

ОБЩАЯ ХАРАКТЕРИСТИКА УЧЕБНОЙ ДИСЦИПЛИНЫ
Номера и наименование разделов и тем

Л
П
Введение
3
31
31
31
33
3
12
144
2
6
6
6
8
2
6
6
6
6
Тема 1. Классификация уязвимостей ПО
Тема 2. Безопасная разработка ПО
Тема 3. Выявление уязвимостей и НДВ
Тема 4. Специальные технологии защиты
Заключение
Зачет с оценкой
Итого за семестр:
30 24
5
З
СР
ч
1
19
19
19
19
1
6 6
6 84

6.

ОБЩАЯ ХАРАКТЕРИСТИКА УЧЕБНОЙ ДИСЦИПЛИНЫ
6
ЗНАТЬ:
требования стандартов в области разработки защищенного
программного обеспечения и безопасных компьютерных систем;
основные угрозы нарушения безопасности информационных систем
и способы их реализации;
причины возникновения и типизацию уязвимостей и дефектов
программного обеспечения;
тенденции и направления развития технологий и методов
реализации компьютерных атак;
технологии анализа и оценивания защищенности информационных
систем;
технологии и средства разработки защищенного программного кода
и безопасных компьютерных систем
технологии и методы тестирования и верификации программ при
выявлении дефектов и уязвимостей;
методы и средства противодействия информационно-техническим
воздействиям

7.

ОБЩАЯ ХАРАКТЕРИСТИКА УЧЕБНОЙ ДИСЦИПЛИНЫ
УМЕТЬ:
собирать, анализировать и систематизировать информацию о
новых видах средств реализации угроз;
классифицировать и описывать угрозы, уязвимости и атаки;
разрабатывать методы и средства противодействия угрозам;
применять современные методы и средства выявления и
нейтрализации уязвимостей ПО;
разрабатывать методы и средства защиты информационных
систем от угроз безопасности;
применять
инструментальные
средства
многомодельного
исследования и формальной верификации программ;
использовать методы и средства статического и динамического
анализа программ, фаззинг-тестирования и тестирования на
проникновение;
применять модели и методы анализа и оценивания алгоритмов
реализации программ для установления и устранение дефектов;
разрабатывать
методы
и
средства
противодействия
информационно-техническим воздействиям
7

8.

ОБЩАЯ ХАРАКТЕРИСТИКА УЧЕБНОЙ ДИСЦИПЛИНЫ
ВЛАДЕТЬ:
способами предотвращения угроз информационной безопасности;
приемами оценивания и управления рисками ущерба ресурсам
автоматизированных систем;
приемами и средствами выявления и нейтрализации
дефектов и
уязвимостей программного обеспечения;
навыками
специальных исследований программных
закладок и недекларированных возможностей кода;
дефектов,
средствами формальной верификации, статического и динамического
анализа программ, фаззинг-тестирования и тестирования на
проникновение;
технологиями разработки безопасного программного обеспечения и
проектирования систем в защищенном исполнении
8

9.

УЧЕБНО-МЕТОДИЧЕСКОЕ И
ИНФОРМАЦИОННОЕ ОБЕСПЕЧЕНИЕ ДИСЦИПЛИНЫ
;
9

10.

РЕКОМЕНДОВАННАЯ УЧЕБНАЯ ЛИТЕРАТУРА
;
10

11.

ОСНОВНАЯ И ДОПОЛНИТЕЛЬНАЯ ЛИТЕРАТУРА
;
11

12.

ЭЛЕКТРОННЫЕ УЧЕБНЫЕ ПОСОБИЯ
;
12

13.

ЭЛЕКТРОННЫЕ УЧЕБНЫЕ ПОСОБИЯ
;
13

14.

МЕЖДУНАРОДНЫЕ И ОТЕЧЕСТВЕННЫЕ СТАНДАРТЫ
;
Международные и отечественные
стандарты:
ГОСТ Р 56939-2016. Защита информации. Разработка безопасного
программного обеспечения. Общие требования. Введен в действие
01.06.2016.
ГОСТ Р 56546-2015. Защита информации. УЯЗВИМОСТИ
ИНФОРМАЦИОННЫХ СИСТЕМ. Классификация уязвимостей
информационных систем.
ГОСТ Р 51275-99. Защита информации. Объект информатизации.
Факторы, воздействующие на информацию.
ГОСТ Р 50739-95. СВТ. Защита от НСД к информации. Общие
технические требования.
ГОСТ Р 51624-2000. Защита информации. АС в защищенном
исполнении. Общие требования.
ГОСТ Р ИСО 7498-2-99. Взаимосвязь открытых систем. Базовая
эталонная модель. Ч.2. Архитектура защиты информации.
ГОСТ Р ИСО/МЭК 17799-2005.
Практические правила
управления
информационной
безопасностью.
Москва.
Стандартинформ 2006.
14

15.

МЕЖДУНАРОДНЫЕ И ОТЕЧЕСТВЕННЫЕ СТАНДАРТЫ
;
ГОСТ Р ИСО/МЭК 27034-1 —2014
Информационная технология.
Методы и средства обеспечения безопасности. Безопасность
приложений. Часть 1. Обзор и общие понятия.
ИСО/МЭК 13335-1:2004 Информационная технология. Методы
обеспечения безопасности. Менеджмент безопасности
информационных и телекоммуникационных технологий. Часть 1.
Концепция и модели менеджмента безопасности информационных
и телекоммуникационных технологий.
ИСО/МЭК ТО 13335-3:1998 Информационная технология.
Рекомендации по менеджменту безопасности информационных
технологий. Часть 3. Методы менеджмента безопасности
информационных технологий.
ИСО/МЭК ТО 13335-3:1998 Информационная технология.
Рекомендации по менеджменту безопасности информационных
технологий. Часть 4. Выбор защитных мер.
ИСО/МЭК ТО 13335-5:2001 Информационная технология.
Рекомендации по менеджменту безопасности информационных
технологий. Часть 5. Руководство по менеджменту безопасности
сети.
15

16.

МЕЖДУНАРОДНЫЕ И ОТЕЧЕСТВЕННЫЕ СТАНДАРТЫ
;
ГОСТ Р ИСО/МЭК 15408-1—2012 Информационная технология.
Методы и средства обеспечения безопасности. Критерии оценки
безопасности информационных технологий. Часть 1. Введение и
общая модель
ГОСТ Р ИСО/МЭК 15408-2—2013 Информационная технология.
Методы и средства обеспечения безопасности. Критерии оценки
безопасности информационных технологий. Часть 2.
Функциональные компоненты безопасности
ГОСТ Р ИСО/МЭК 15408-3—2013 Информационная технология.
Методы и средства обеспечения безопасности. Критерии оценки
безопасности информационных технологий. Часть 3. Компоненты
доверия к безопасности.
ГОСТ Р ИСО 10007—2007 Менеджмент организации.
Руководящие указания по управлению конфигурацией.
ГОСТ Р ИСО/МЭК 27001—2006 Информационная технология.
Методы и средства обеспечения безопасности. Системы
менеджмента информационной безопасности. Требования.
16

17.

МЕЖДУНАРОДНЫЕ И ОТЕЧЕСТВЕННЫЕ СТАНДАРТЫ
ISO/IEC 9126 Software engineering.
Product quality. Part 1–4. 2001/
;
http://www.iso.org/iso/catalogue_detail.htm?csnumber=22749 (дата
обращения 22.05.2017)
Portal ISO 25000. URL: http://iso25000.com (дата обращения
22.05.2017).
ГОСТ 28195-89. Оценка качества программных средств. Общие
положения. – Введ. 1990–07–01. – М.: Стандартнформ, 2001. – 31с.
ГОСТ Р ИСО/МЭК 15288-2005. Системная и программная
инженерия. Процессы жизненного цикла систем. – Введ. 2007–01–
01. – М.: Стандартнформ, 2006. – 57с.
ГОСТ Р ИСО/МЭК 12207-2010. Процессы жизненного цикла
программных средств. – Введ. 2012–03–01. – М.: Стандартнформ,
2011. – 105с.
ГОСТ Р ИСО/МЭК 25021-2014. СиПИ. Требования и оценка
качества систем и программного обеспечения (SQuaRE).
Элементы показателя качества. Введ. 2014–06–11. – М.:
Стандартнформ, 2014. – 45с.
ГОСТ Р ИСО/МЭК 25041-2012. СиПИ. Требования и оценка
качества систем и программного обеспечения (SQuaRE).
Руководство по оценке для разработчиков, приобретателей и
независимых оценщиков. – Введ. 2014–06–11. – М.:
Стандартнформ, 2014. – 49с.
17

18.

ПОНЯТИЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
20
ЮНЕСКО (UNESCO — United Nations
Educational, Scientific and Cultural
Organization) — Организация
Объединённых Наций по вопросам
образования, науки и культуры
Информационные
Технологии
это
комплекс
взаимосвязанных научных, технологических, инженерных
дисциплин, изучающих методы эффективной организации труда
людей, занятых обработкой и хранением информации;
вычислительную
технику
и
методы
организации
и
взаимодействия с людьми и производственным оборудованием

19.

ПОНЯТИЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
21
Информационная технология
по ГОСТ 34.003-90
ГОСТ 34.003-90 Информационные
технологии. Комплекс стандартов на
автоматизированные системы.
Автоматизированные системы.
Термины и определения
Информационные Технологии - приемы, способы и
методы применения средств вычислительной техники при
выполнении функций сбора, хранения, обработки, передачи
и использования данных
[из пункта 4. Приложения 1 ГОСТ 34.003-90]

20.

ПОНЯТИЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
22
Федеральный закон Российской
Федерации от 27 июля 2006 г. N 149-ФЗ
Об информации, информационных
технологиях и о защите информации
Статья 2. Основные понятия, используемые
в настоящем Федеральном законе
Информационные Технологии - процессы, методы поиска,
сбора, хранения, обработки, предоставления, распространения
информации и способы осуществления таких процессов и
методов

21.

ПОНЯТИЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
Информационные Технологии – совокупность
методов и средств сбора, представления, обработки,
хранения и передачи информации в различных
сферах деятельности человека
23
English     Русский Rules