Показано с 1 по 6 из 6

Тема: НДВ4 и СОВ4

  1. #1
    Участник Аватар для alxmel
    Регистрация
    11.05.2018
    Сообщений
    116
    Статистика
    Баллы
    219
    Level
    5
    Активность
    Проблем
    1
    Проблем решено
    1
    Лучших ответов
    0
    Хороших ответов
    0
    Вес репутации
    1

    Question НДВ4 и СОВ4

    Привет всем, подскажите кто знает что означает аббревиатура НДВ4 и СОВ4 в контексте ИБ ???
    Речь о сертификации межсетевых экранов. Если кто то тесно связан с этой темой, подскажите где прочитать подробнее.

  2. #2
    Любопытный Аватар для SvetlanaD
    Регистрация
    11.05.2018
    Сообщений
    96
    Статистика
    Баллы
    175
    Level
    4
    Активность
    Проблем
    0
    Проблем решено
    0
    Лучших ответов
    0
    Хороших ответов
    0
    Вес репутации
    1
    Классы защищенности, если речь о ФСТЭК?
    Вот
    Может быть "Не декларированные возможности"..

  3. #3
    Любопытный Аватар для dimon
    Регистрация
    11.05.2018
    Сообщений
    59
    Записей в дневнике
    2
    Статистика
    Баллы
    128
    Level
    4
    Активность
    Проблем
    0
    Проблем решено
    0
    Лучших ответов
    0
    Хороших ответов
    0
    Вес репутации
    1
    Контроль отсутствия недекларированных возможностей программного изделия

    Цель контроля: формирование на основании анализа результатов проверочных действий заключения об отсутствии (наличии) недекларированных возможностей (далее по тексту – НДВ) программного обеспечения, в том числе отсутствия (наличия) программных закладок. Перечень проверочных действий, подлежащих выполнению в рамках конкретного уровня контроля, определяется положениями руководящего документа Гостехкомиссии России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (введен в действия Приказом Председателя Гостехкомиссии России № 114 от 04.06.1999 г., далее по тексту – РД НДВ).

    РД НДВ устанавливает четыре уровня контроля программного обеспечения, отличающихся глубиной, объемом и условиями проведения испытаний. Наличие нескольких уровней контроля ПО при проведении испытаний на отсутствие НДВ, с одной стороны, регламентирует степень конфиденциальности информации, защита которой осуществляется ПО, проверенным по тому или иному уровню. С другой стороны, разные уровни контроля позволяют дифференцировать степень вероятности отсутствия в исследуемом ПО недекларированных возможностей.

    Самый низкий уровень контроля - четвертый. Данный уровень предусмотрен для проверки ПО, используемого при защите (обработке, хранении, передаче и т.п.) конфиденциальной информации. Для ПО, используемого для защиты информации, отнесенной к государственной тайне, при проведении испытаний должен быть обеспечен уровень контроля не ниже третьего. Причем, в соответствии с требованиями РД для программных средств, предназначенных для обработки информации, составляющей государственную тайну, проведение испытаний по соответствующим уровням контроля отсутствия НДВ обязательно.

    В соответствии с пунктом 2.1 РД НДВ под недекларированными возможностями понимаются функциональные возможности программного обеспечения (далее по тексту – ПО), не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Реализацией недекларированных возможностей, в частности, являются программные закладки.

    В соответствии с пунктом 2.2 РД НДВ под программными закладками понимаются преднамеренно внесенные в ПО функциональные объекты, которые при определенных условиях (входных данных) инициируют выполнение не описанных в документации функций ПО, приводящих к нарушению конфиденциальности, доступности или целостности обрабатываемой информации.

    Контроль отсутствия недекларированных возможностей программного обеспечения предполагает глубокое исследование программного обеспечения и связан с анализом как исполняемого кода, так и исходных текстов программ. Методологической основой таких исследований являются общие принципы анализа программ с учетом аспектов, связанных с информационной безопасностью.


  4. #4
    Супер модератор Аватар для Surf_rider
    Регистрация
    11.05.2018
    Город
    GreenCity
    Сообщений
    535
    Записей в дневнике
    2
    Статистика
    Баллы
    694
    Level
    9
    Активность
    Проблем
    0
    Проблем решено
    1
    Лучших ответов
    0
    Хороших ответов
    0
    Вес репутации
    1

    Недокументи́рованные возмо́жности (англ. undocumented features), НДВ — возможности технических устройств и/или программного обеспечения, не отраженные в документации. Чаще всего недокументированные возможности сознательно закладываются разработчиками в целях тестирования, дальнейшего расширения функциональности, обеспечения совместимости или же в целях скрытого контроля за пользователем. Кроме того недокументированные возможности могут стать следствием побочных эффектов (чаще всего в переходных режимах или при переключении режимов), не учтенных разработчиками. От недокументированных возможностей следует отличать возможности системы, скрытые от конечного потребителя, но приведенные в официальной сервисной документации. Недокументированные возможности обнаруживаются, обычно, в процессе обратной разработки, но могут быть обнаружены и случайно. Частным случаем недокументированных возможностей являются недокументированные функции.

    В тех случаях, когда изготовитель несёт ответственность за работоспособность продукта или обязуется осуществлять его техническую поддержку, соответствующие обязательства обычно распространяются лишь на описанное в сопроводительной документации. С этим может быть связан ещё один мотив не упоминать в документации некоторые полезные функции. В частности, это позволяет избавиться от них в следующих версиях продукта, не предупреждая об этом пользователей. Это несёт определённые риски для пользователей, полагающихся на недокументированные возможности[1].

    Отдельный интерес, особенно в случае программного обеспечения, представляют недокументированные возможности, которые могут поставить под угрозу правильную работу, целостность, конфиденциальность — иными словами безопасность — программной или информационной системы. В этом контексте обычно используются термин уязвимость (перевод англ. vulnerability) (на профессиональном компьютерном жаргоне также баг, «дыра»), а в некоторых официальных документах вводится понятия «недекларированные возможности» и «незаявленные возможности» (см. раздел «Недекларированные возможности (информационная безопасность)»).

  5. #5
    Участник Аватар для alxmel
    Регистрация
    11.05.2018
    Сообщений
    116
    Статистика
    Баллы
    219
    Level
    5
    Активность
    Проблем
    1
    Проблем решено
    1
    Лучших ответов
    0
    Хороших ответов
    0
    Вес репутации
    1
    Коллеги, спасибо! А есть у кого под рукой сводная таблица классов защищенности АС ФСТЭК ?
    И кстати, я так и не нашел что такое СОВ

  6. #6
    Любопытный Аватар для sysadmin
    Регистрация
    11.05.2018
    Сообщений
    79
    Статистика
    Баллы
    130
    Level
    4
    Активность
    Проблем
    0
    Проблем решено
    0
    Лучших ответов
    0
    Хороших ответов
    0
    Вес репутации
    1
    Система обнаружения вторжений - СОВ 4
    потому такая аббревиатура

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •