Similar presentations:
Уязвимости программного обеспечения (вводная лекция)
1.
ВВОДНАЯЛЕКЦИЯ
Уязвимости
программного обеспечения
2.
Цель и учебные вопросы лекции2
Цель:
ознакомление с угрозами информационной безопасности и
необходимостью выявления уязвимостей для нейтрализации
компьютерных атак
Учебные вопросы:
1. Общая характеристика учебной дисциплины
2. Место и роль учебной дисциплины в формировании профессиональных
качеств специалиста в области компьютерной безопасности
3. Концептуальные основы информационно-компьютерной безопасности
3.
ОБЩАЯ ХАРАКТЕРИСТИКА УЧЕБНОЙ ДИСЦИПЛИНЫЦели и задачи дисциплины
Цель: теоретическая и практическая подготовка специалистов по
выявлению
и нейтрализации уязвимостей программного
обеспечения для совершенствования систем обеспечения
информационной безопасности.
Основные задачи:
изучение методов и средств выявления и нейтрализации дефектов и
уязвимостей программного обеспечения
овладение современными методами и средствами предотвращения
угроз информационной безопасности и управления рисками ущерба
ресурсам автоматизированных систем
освоение технологий специальных исследований программных
дефектов, закладок и недекларированных возможностей кода
разработка безопасного программного кода и проектирование систем
специального назначения в защищенном исполнении
3
4.
ОБЩАЯ ХАРАКТЕРИСТИКА УЧЕБНОЙ ДИСЦИПЛИНЫ4
Место в структуре образования:
реализует
требования
федерального
государственного
образовательного стандарта высшего профессионального образования по
специальности
10.05.01
«Компьютерная
безопасность»,
по
специализации «Разработка защищенного программного обеспечения
специальных систем».
учитывать
Направленность на способности:
современные
тенденции
развития
информатики
и
вычислительной техники, компьютерных и сетевых технологий в условиях
информационного противоборства в профессиональной деятельности;
руководствоваться требованиями современных стандартов по
безопасности компьютерных систем;
проводить анализ программного кода при поиске потенциальных
уязвимостей и недокументированных возможностей;
осваивать технологии разработки новых средств защиты распределенных
компьютерных систем;
использовать современные средства обеспечения информационнокомпьютерной безопасности при реализации специальных технологических
решений.
5.
ОБЩАЯ ХАРАКТЕРИСТИКА УЧЕБНОЙ ДИСЦИПЛИНЫНомера и наименование разделов и тем
∑
Л
П
Введение
3
31
31
31
33
3
12
144
2
6
6
6
8
2
6
6
6
6
Тема 1. Классификация уязвимостей ПО
Тема 2. Безопасная разработка ПО
Тема 3. Выявление уязвимостей и НДВ
Тема 4. Специальные технологии защиты
Заключение
Зачет с оценкой
Итого за семестр:
30 24
5
З
СР
ч
1
19
19
19
19
1
6 6
6 84
6.
ОБЩАЯ ХАРАКТЕРИСТИКА УЧЕБНОЙ ДИСЦИПЛИНЫ6
ЗНАТЬ:
требования стандартов в области разработки защищенного
программного обеспечения и безопасных компьютерных систем;
основные угрозы нарушения безопасности информационных систем
и способы их реализации;
причины возникновения и типизацию уязвимостей и дефектов
программного обеспечения;
тенденции и направления развития технологий и методов
реализации компьютерных атак;
технологии анализа и оценивания защищенности информационных
систем;
технологии и средства разработки защищенного программного кода
и безопасных компьютерных систем
технологии и методы тестирования и верификации программ при
выявлении дефектов и уязвимостей;
методы и средства противодействия информационно-техническим
воздействиям
7.
ОБЩАЯ ХАРАКТЕРИСТИКА УЧЕБНОЙ ДИСЦИПЛИНЫУМЕТЬ:
собирать, анализировать и систематизировать информацию о
новых видах средств реализации угроз;
классифицировать и описывать угрозы, уязвимости и атаки;
разрабатывать методы и средства противодействия угрозам;
применять современные методы и средства выявления и
нейтрализации уязвимостей ПО;
разрабатывать методы и средства защиты информационных
систем от угроз безопасности;
применять
инструментальные
средства
многомодельного
исследования и формальной верификации программ;
использовать методы и средства статического и динамического
анализа программ, фаззинг-тестирования и тестирования на
проникновение;
применять модели и методы анализа и оценивания алгоритмов
реализации программ для установления и устранение дефектов;
разрабатывать
методы
и
средства
противодействия
информационно-техническим воздействиям
7
8.
ОБЩАЯ ХАРАКТЕРИСТИКА УЧЕБНОЙ ДИСЦИПЛИНЫВЛАДЕТЬ:
способами предотвращения угроз информационной безопасности;
приемами оценивания и управления рисками ущерба ресурсам
автоматизированных систем;
приемами и средствами выявления и нейтрализации
дефектов и
уязвимостей программного обеспечения;
навыками
специальных исследований программных
закладок и недекларированных возможностей кода;
дефектов,
средствами формальной верификации, статического и динамического
анализа программ, фаззинг-тестирования и тестирования на
проникновение;
технологиями разработки безопасного программного обеспечения и
проектирования систем в защищенном исполнении
8
9.
УЧЕБНО-МЕТОДИЧЕСКОЕ ИИНФОРМАЦИОННОЕ ОБЕСПЕЧЕНИЕ ДИСЦИПЛИНЫ
;
9
10.
РЕКОМЕНДОВАННАЯ УЧЕБНАЯ ЛИТЕРАТУРА;
10
11.
ОСНОВНАЯ И ДОПОЛНИТЕЛЬНАЯ ЛИТЕРАТУРА;
11
12.
ЭЛЕКТРОННЫЕ УЧЕБНЫЕ ПОСОБИЯ;
12
13.
ЭЛЕКТРОННЫЕ УЧЕБНЫЕ ПОСОБИЯ;
13
14.
МЕЖДУНАРОДНЫЕ И ОТЕЧЕСТВЕННЫЕ СТАНДАРТЫ;
Международные и отечественные
стандарты:
ГОСТ Р 56939-2016. Защита информации. Разработка безопасного
программного обеспечения. Общие требования. Введен в действие
01.06.2016.
ГОСТ Р 56546-2015. Защита информации. УЯЗВИМОСТИ
ИНФОРМАЦИОННЫХ СИСТЕМ. Классификация уязвимостей
информационных систем.
ГОСТ Р 51275-99. Защита информации. Объект информатизации.
Факторы, воздействующие на информацию.
ГОСТ Р 50739-95. СВТ. Защита от НСД к информации. Общие
технические требования.
ГОСТ Р 51624-2000. Защита информации. АС в защищенном
исполнении. Общие требования.
ГОСТ Р ИСО 7498-2-99. Взаимосвязь открытых систем. Базовая
эталонная модель. Ч.2. Архитектура защиты информации.
ГОСТ Р ИСО/МЭК 17799-2005.
Практические правила
управления
информационной
безопасностью.
Москва.
Стандартинформ 2006.
14
15.
МЕЖДУНАРОДНЫЕ И ОТЕЧЕСТВЕННЫЕ СТАНДАРТЫ;
ГОСТ Р ИСО/МЭК 27034-1 —2014
Информационная технология.
Методы и средства обеспечения безопасности. Безопасность
приложений. Часть 1. Обзор и общие понятия.
ИСО/МЭК 13335-1:2004 Информационная технология. Методы
обеспечения безопасности. Менеджмент безопасности
информационных и телекоммуникационных технологий. Часть 1.
Концепция и модели менеджмента безопасности информационных
и телекоммуникационных технологий.
ИСО/МЭК ТО 13335-3:1998 Информационная технология.
Рекомендации по менеджменту безопасности информационных
технологий. Часть 3. Методы менеджмента безопасности
информационных технологий.
ИСО/МЭК ТО 13335-3:1998 Информационная технология.
Рекомендации по менеджменту безопасности информационных
технологий. Часть 4. Выбор защитных мер.
ИСО/МЭК ТО 13335-5:2001 Информационная технология.
Рекомендации по менеджменту безопасности информационных
технологий. Часть 5. Руководство по менеджменту безопасности
сети.
15
16.
МЕЖДУНАРОДНЫЕ И ОТЕЧЕСТВЕННЫЕ СТАНДАРТЫ;
ГОСТ Р ИСО/МЭК 15408-1—2012 Информационная технология.
Методы и средства обеспечения безопасности. Критерии оценки
безопасности информационных технологий. Часть 1. Введение и
общая модель
ГОСТ Р ИСО/МЭК 15408-2—2013 Информационная технология.
Методы и средства обеспечения безопасности. Критерии оценки
безопасности информационных технологий. Часть 2.
Функциональные компоненты безопасности
ГОСТ Р ИСО/МЭК 15408-3—2013 Информационная технология.
Методы и средства обеспечения безопасности. Критерии оценки
безопасности информационных технологий. Часть 3. Компоненты
доверия к безопасности.
ГОСТ Р ИСО 10007—2007 Менеджмент организации.
Руководящие указания по управлению конфигурацией.
ГОСТ Р ИСО/МЭК 27001—2006 Информационная технология.
Методы и средства обеспечения безопасности. Системы
менеджмента информационной безопасности. Требования.
16
17.
МЕЖДУНАРОДНЫЕ И ОТЕЧЕСТВЕННЫЕ СТАНДАРТЫISO/IEC 9126 Software engineering.
Product quality. Part 1–4. 2001/
;
http://www.iso.org/iso/catalogue_detail.htm?csnumber=22749 (дата
обращения 22.05.2017)
Portal ISO 25000. URL: http://iso25000.com (дата обращения
22.05.2017).
ГОСТ 28195-89. Оценка качества программных средств. Общие
положения. – Введ. 1990–07–01. – М.: Стандартнформ, 2001. – 31с.
ГОСТ Р ИСО/МЭК 15288-2005. Системная и программная
инженерия. Процессы жизненного цикла систем. – Введ. 2007–01–
01. – М.: Стандартнформ, 2006. – 57с.
ГОСТ Р ИСО/МЭК 12207-2010. Процессы жизненного цикла
программных средств. – Введ. 2012–03–01. – М.: Стандартнформ,
2011. – 105с.
ГОСТ Р ИСО/МЭК 25021-2014. СиПИ. Требования и оценка
качества систем и программного обеспечения (SQuaRE).
Элементы показателя качества. Введ. 2014–06–11. – М.:
Стандартнформ, 2014. – 45с.
ГОСТ Р ИСО/МЭК 25041-2012. СиПИ. Требования и оценка
качества систем и программного обеспечения (SQuaRE).
Руководство по оценке для разработчиков, приобретателей и
независимых оценщиков. – Введ. 2014–06–11. – М.:
Стандартнформ, 2014. – 49с.
17
18.
ПОНЯТИЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ20
ЮНЕСКО (UNESCO — United Nations
Educational, Scientific and Cultural
Organization) — Организация
Объединённых Наций по вопросам
образования, науки и культуры
Информационные
Технологии
это
комплекс
взаимосвязанных научных, технологических, инженерных
дисциплин, изучающих методы эффективной организации труда
людей, занятых обработкой и хранением информации;
вычислительную
технику
и
методы
организации
и
взаимодействия с людьми и производственным оборудованием
—
19.
ПОНЯТИЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ21
Информационная технология
по ГОСТ 34.003-90
ГОСТ 34.003-90 Информационные
технологии. Комплекс стандартов на
автоматизированные системы.
Автоматизированные системы.
Термины и определения
Информационные Технологии - приемы, способы и
методы применения средств вычислительной техники при
выполнении функций сбора, хранения, обработки, передачи
и использования данных
[из пункта 4. Приложения 1 ГОСТ 34.003-90]
20.
ПОНЯТИЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ22
Федеральный закон Российской
Федерации от 27 июля 2006 г. N 149-ФЗ
Об информации, информационных
технологиях и о защите информации
Статья 2. Основные понятия, используемые
в настоящем Федеральном законе
Информационные Технологии - процессы, методы поиска,
сбора, хранения, обработки, предоставления, распространения
информации и способы осуществления таких процессов и
методов
21.
ПОНЯТИЕ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙИнформационные Технологии – совокупность
методов и средств сбора, представления, обработки,
хранения и передачи информации в различных
сферах деятельности человека
23