Алексей Сердечный, начальник лаборатории ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
В 2011 окончил Воронежский государственный технический университет по специальности «Компьютерная безопасность», где в 2013 г. успешно защитил диссертацию на соискание ученой
степени кандидата технических наук по специальности «Методы и системы защиты информации, информационная безопасность».
Сфера деятельности: защита информации от несанкционированного доступа. Возглавляет проведение исследований уязвимостей программного
обеспечения информационных систем.
В настоящее время банк данных угроз безопасности информации, разработанный ФСТЭК России, содержит сведения об угрозах безопасности информации и уязвимостях программного обеспечения. Данные сведения могут использоваться в ходе создания и эксплуатации информационных систем для формирования модели угроз безопасности информационных систем и оценки их защищённости. При этом, важной фактором обеспечения безопасности информации в информационных системах является предотвращение появления уязвимостей в программном обеспечении (в первую очередь – системном). Поэтому одним из основных направлений развития банка данных угроз безопасности является его наполнение сведениями, которые могут быть использованы разработчиками программного обеспечения для снижения количества уязвимостей в разрабатываемых ими программных продуктах. В настоящем докладе будет рассказано о банке данных угроз безопасности информации и направлениях его развития в контексте его использования разработчиками программного обеспечения.
Одной из задач ФСТЭК России является организация работ по сертификации средств защиты информации, используемых в государственных информационных системах и ключевых системах информационной инфраструктуры. С целью повышения информативности заинтересованных лиц о существующих угрозах безопасности информации в государственных информационных системах и ключевых системах информационной инфраструктуры ФСТЭК России разработан банк данных угроз безопасности информации (БДУ), который используется в том числе в ходе работы по сертификации средств защиты информации.
В докладе рассказывается о задачах БДУ. Приводится характеристика состояния БДУ на момент второго квартала 2017 года.
Рассматриваются основные разделы сайта БДУ. Рассказывается о способах информирования об уязвимостях, возможностях получения сведений об уязвимостях ПО. Приводится краткая характеристика полей паспорта уязвимостей ПО. Отмечается возможность поиска по сайту при помощи фильтров.
Приводятся статистические сведения, иллюстрирующие характер использования БДУ. Отмечаются особенности, связанные с уязвимостями операционных систем и микропрограммного обеспечения.
Определяется направление развития БДУ: создание базы данных ошибок и ошибочных ситуаций. Рассматривается международный опыт по указанному направлению:
- CWE (Common Weakness Enumeration – общий перечень недостатков);
- стандарты безопасного программирования (SEI CERT Coding Standards).
Приводится краткий обзор стандарта CWE. Рассматриваются типы элементов CWE («коллекция», «категория», «слабость», «составной элемент»), а также характеристики, которые связаны с описанием элемента каждого типа.
Предлагается двухуровневое представление сведений об ошибках: классы ошибок и ошибочные ситуации, которое планируется реализовать в БДУ. Даётся описание проектов паспортов «классов ошибок» и «ошибочных ситуаций».
Приводится перечень классов ошибок, который планируется использовать для наполнения БДУ описаниями ошибочных ситуаций. Раскрывается связь ошибочных ситуаций с языками программирования. Приводится пример ошибочных ситуаций для класса ошибки «Переполнение буфера» и на этом примере поясняется отличие предлагаемого подхода от подхода, реализованного в CWE.
Отмечается возможность использования базы ошибок и ошибочных ситуаций в контексте оценивания эффективности средств выявления уязвимостей в ПО
Уважаемые коллеги! Для прохода в здание РАН просим принести документ, удостоверяющий личность.
