Методы оценки несоответствия средств защиты информации
Авторы - А.С. Марков, В.Л. Цирлов, А.В. Барабанов
Идея написания книги "Методы оценки несоответствия средств защиты информации" связана с опытом авторов в области выявления разного рода дефектов, уязвимостей и угроз безопасности информационно-программных систем и механизмов их защиты. Данный опыт был получен в процессе сертификационных и государственных испытаний, тематических исследований и аудита безопасности более 500 средств защиты информации, продуктов, порталов и систем в защищенном исполнении ведущих зарубежных и отечественных разработчиков.
Необычайный эволюционный рост сложности и динамичности ИТ-продукции показал не только неотвратимость, но и гиперсложность оценки соответствия ИТ-продукции требованиям по безопасности информации. Несмотря на героические усилия ведущих разработчиков, проблема безопасности программных систем не получила своего окончательного решения: число критических уязвимостей не уменьшается, а процесс анализа кода становится чрезвычайно сложной задачей, которую необходимо перманентно решать в рамках периода жизненного цикла программной системы. В этом плане основным механизмом управления информационной безопасностью систем остается сертификация средств защиты информации, эффективность которой в реальной жизни пока зависит от предельной организованности и мозгового штурма экспертов испытательных лабораторий и органов по сертификации. Поэтому применение адекватных методов, метрик и методических приемов может быть весьма полезно, что и является основной целью подготовки монографии. Кроме факторов технической эволюции, следует отметить необычайный социальный интерес к данной проблеме, отмеченный в нашей стране за последние несколько лет, например, достаточно упомянуть несколько общественных явлений: вступление страны в ВТО и неотвратимость исполнения Закона «О персональных данных» глубоко изменили отношение всех юридических лиц страны к защите информации конфиденциального характера со всеми вытекающими последствиями; открытая публикация новейших нормативных документов ФСТЭК России, ФСБ России и других регуляторов инициировала всеобщее информирование и внедрение новых современных методологий, методов и средств защиты информации в различных сегментах ИТ-области; диалектическое возникновение «сертификационных войн» побудило разработчиков средств защиты к соблюдению правил сертификации на российском рынке компьютерной безопасности и даже раскрытию ведущими западными компаниями (Microsoft, IBM, Oracle, SAP и др.) тайн их исходного кода.
Предлагаемая книга включает 4 главы. В первой главе дается определение оценки соответствия на основе серии международных стандартов. В ней также описаны процедуры оценки соответствия в области информационной безопасности. Во второй главе представлено подробное описание понятия сертификации средств защиты информации, ее законодательных и нормативных основ. Третья глава касается применения математических моделей и методов, которые могут быть использованы при формальных доказательствах результатов испытаний, а также при планировании работ. В четвертой главе приводятся формализованные методики испытаний средств и механизмов защиты информации по требованиям традиционных и новейших нормативных документов.
Издательство – Радио и связь
Год издания – 2012
Формат книги - PDF
Размер - 13,8 Мб
СКАЧАТЬ с gigapeta.com
| 
Главная 
