Выписка из новых требований доверия появится на следующей неделе - будет рассылаться Регулятором.
6-4 уровни будут скорее всего опубликованы на сайте Регулятора.
Основные изменения будут касаться ужесточения требований к аппаратным платформам.
6-4 уровни будут скорее всего опубликованы на сайте Регулятора.
Основные изменения будут касаться ужесточения требований к аппаратным платформам.
Новая Методика НДВ для программ будет до НГ. Будут ужесточения требований к ИЛ в часте инструментария. Без уточнения пока что.
Методика НДВ для микропрограммного кода будет в перспективе.
Методика НДВ для микропрограммного кода будет в перспективе.
Настоятельно рекомендуется заявлять выявленные баги в БДУ ФСТЭК.
В ноябре будет публичное обсуждение проекта нового Положения отсертификации
Уважаемые коллеги!
У нас уже все готово, для того чтобы завтра, 10 декабря 2020 года, начать работу международной Открытой конференции ИСП РАН им. В.П. Иванникова. В этом году конференция посвящена 80-летию со дня рождения основателя и первого директора Института системного программирования − академика РАН В.П. Иванникова.
С целью предотвращения распространения новой коронавирусной инфекции COVID-19 и с заботой о вашем здоровье мы мы проводим это мероприятия в он-лайн режиме.
В 09:30 конференцию откроет торжественная Пленарная сессия. К участию в пленарной сессии конференции приглашены члены правительства, руководство РАН, РФФИ, отраслевых НИИ и профильных ВУЗов, а также представители ведущих российских и зарубежных IT-компаний, руководство IEEE (Институт инженеров электротехники и электроники) и IEEE Computer Society.
Подключиться к трансляции торжественной пленарной сессии, а также получить всю необходимую информацию о программе и научных треках можно на специальном сайте:
https://online.isprasopen.ru/
Анонсы о выступлениях участников и всю оперативную информацию можно получить подключившись к оперативному каналу ИСП РАН:
https://t.me/ispras
Если у вас возникли сложности или вы хотите получить дополнительную информацию пожалуйста пишите на нам на почту по адресу:
scsec@ispras.ru
В рамках Открытой конференции ИСП РАН им. В.П. Иванникова пройдет серия круглых столов:
1) круглый стол по цифровой медицине, посвященный в том числе проблемам создания национальной цифровой платформы решения актуальных задач биомедицинского домена (приглашены представители Консорциума Научного центра мирового уровня (НЦМУ) «Цифровой биодизайн и персонализированное здравоохранение», включая Сеченовский университет, а также представители НМХЦ им Н.И. Пирогова, Университетской клиники МГУи др.);
2) круглый стол по кибербезопасности (приглашены представители ФСТЭК России, а также крупных российских ИТ-компаний). Круглый стол "Кибербезопасность" это площадка для обмена опытом внедрения практик безопасной разработки, тестирования и сопровождения различных видов программного и программно-аппаратного обеспечения. В ходе мероприятия планируется выступление представителей ведущей отечественной ИТ-промышленности, представителей научной ИТ-сферы в лице сотрудников ИСП РАН , представителей ФСТЭК России.
Ссылки для подключения слушателей к научным трекам Конференции:
1) Технологии анализа, моделирования и трансформации программ
https://ispras.zoom.us/j/99496840928?pwd=MXB4L0J6T2NxcmlYR2lJVEMrWFJ4QT09
2) Управление данными и информационные системы
https://ispras.zoom.us/j/99554989470?pwd=Ry84WDVkeHJodjdTNkkwNDFjcXA4QT09
3) Решение задач механики сплошных сред с использованием СПО
https://ispras.zoom.us/webinar/register/WN_XT7JkV4xTNeDWtJLzkuNRA
У нас уже все готово, для того чтобы завтра, 10 декабря 2020 года, начать работу международной Открытой конференции ИСП РАН им. В.П. Иванникова. В этом году конференция посвящена 80-летию со дня рождения основателя и первого директора Института системного программирования − академика РАН В.П. Иванникова.
С целью предотвращения распространения новой коронавирусной инфекции COVID-19 и с заботой о вашем здоровье мы мы проводим это мероприятия в он-лайн режиме.
В 09:30 конференцию откроет торжественная Пленарная сессия. К участию в пленарной сессии конференции приглашены члены правительства, руководство РАН, РФФИ, отраслевых НИИ и профильных ВУЗов, а также представители ведущих российских и зарубежных IT-компаний, руководство IEEE (Институт инженеров электротехники и электроники) и IEEE Computer Society.
Подключиться к трансляции торжественной пленарной сессии, а также получить всю необходимую информацию о программе и научных треках можно на специальном сайте:
https://online.isprasopen.ru/
Анонсы о выступлениях участников и всю оперативную информацию можно получить подключившись к оперативному каналу ИСП РАН:
https://t.me/ispras
Если у вас возникли сложности или вы хотите получить дополнительную информацию пожалуйста пишите на нам на почту по адресу:
scsec@ispras.ru
В рамках Открытой конференции ИСП РАН им. В.П. Иванникова пройдет серия круглых столов:
1) круглый стол по цифровой медицине, посвященный в том числе проблемам создания национальной цифровой платформы решения актуальных задач биомедицинского домена (приглашены представители Консорциума Научного центра мирового уровня (НЦМУ) «Цифровой биодизайн и персонализированное здравоохранение», включая Сеченовский университет, а также представители НМХЦ им Н.И. Пирогова, Университетской клиники МГУи др.);
2) круглый стол по кибербезопасности (приглашены представители ФСТЭК России, а также крупных российских ИТ-компаний). Круглый стол "Кибербезопасность" это площадка для обмена опытом внедрения практик безопасной разработки, тестирования и сопровождения различных видов программного и программно-аппаратного обеспечения. В ходе мероприятия планируется выступление представителей ведущей отечественной ИТ-промышленности, представителей научной ИТ-сферы в лице сотрудников ИСП РАН , представителей ФСТЭК России.
Ссылки для подключения слушателей к научным трекам Конференции:
1) Технологии анализа, моделирования и трансформации программ
https://ispras.zoom.us/j/99496840928?pwd=MXB4L0J6T2NxcmlYR2lJVEMrWFJ4QT09
2) Управление данными и информационные системы
https://ispras.zoom.us/j/99554989470?pwd=Ry84WDVkeHJodjdTNkkwNDFjcXA4QT09
3) Решение задач механики сплошных сред с использованием СПО
https://ispras.zoom.us/webinar/register/WN_XT7JkV4xTNeDWtJLzkuNRA
Zoom Video
Join our Cloud HD Video Meeting
Zoom is the leader in modern enterprise video communications, with an easy, reliable cloud platform for video and audio conferencing, chat, and webinars across mobile, desktop, and room systems. Zoom Rooms is the original software-based conference room solution…
Коллеги, приветствую.
В предположении о том, что у многих из вас чат Статика::Доверенная разработка в отличие от данного канала переведен в режим Mute, информируем вас о начале процесса формирования тестовых баз и Методики сравнения статических анализаторов, и приглашаем принять участие в данной активности. Подробности см. в чате.
В предположении о том, что у многих из вас чат Статика::Доверенная разработка в отличие от данного канала переведен в режим Mute, информируем вас о начале процесса формирования тестовых баз и Методики сравнения статических анализаторов, и приглашаем принять участие в данной активности. Подробности см. в чате.
22 марта состоятся учебные сборы (основная тема - динамический анализ в целом и фаззинг в частности), информация доступна по ссылке http://www.cpkstzi.ru/timetable.html
www.cpkstzi.ru
Центр повышения квалификации специалистов по технической защите информации - Расписание учебных сборов
Расписание учебных сборов Центра повышения квалификации специалистов по технической защите информации
Коллеги, приветствую.
Состоялась первая офлайн+онлайн встреча сообщества специалистов в области динамического анализа, посвященная выработке стратегии коллективного анализа интерпретаторов/виртуальных машин языков с управляемой памятью. В совокупности присутстовало более чем 40 человек от 15+ организаций, в числе которых Представители Айдеко, Аладдин, ИВК/Базальт, ИСП РАН, Код Безопасности, Лаборатория Касперского (отдельная благодарность коллегам из ЛК за офлайн+онлайн хостинг встречи!), ИЛ Фобос-НТ и д.р (не все присутствующие онлайн было опознаны). Число присутствовавших и активность общения, особенно в офлайн-части, внушает осторожный оптимизм - поднимавшиеся темы явно близки сообществу, особенно с учетом повышения требований со стороны Регуляторов и трансформации сертификационных процессов в направлении выявления уязвимостей архитектуры и кода. Соответственно есть все шансы на то, что дело будет жить и приносить ожидаемые плоды.
Краткое резюме прошедшей встречи:
0) Встреча признана успешной, задекларирована готовность работать на реальный результат (повышение качество тестирования кода и архитектуры), а не на "бумаги".
1) следующая встреча состоится через 3 недели (1 апреля, в четверг, предварительно в 17.00). Режим прежний - офлайн+онлайн. Желающие участвовать очно - пожалуйста напишите мне где-то за неделю, чтобы мы могли оценить число участников и организовать помещение, если наберется много желающих.
2) Ссылка на видеозапись трансляции будет размещена в чате по динамике и в организационном чате.
3) Объединение усилий в направлении анализа интерпретаторов/виртуальных машин языков с управляемой памятью это первая ласточка. Аналогичный подход может быть применен для разделения усилий по всем популярным опенсорс-пакетам.
4) В офлайн-части активно обсуждался вопрос о создании централизованного репозитория патчей для популярных опенсорс-пакетов. В ходе второй части следующей встречи данный вопрос также будет обсуждать в ходе общего трека.
5) Представлена концепция развития Crusher в направлении повышения степени автоматизации покрытия кода, подлежащего анализу, фаззинг-тестами.
6) Для решения общих организационных вопросов, связанных с объединением усилий по развитию средств и методик анализа, создана публичная группа @sdl_community. Дальнейшая часть резюме размещена в ней.
Состоялась первая офлайн+онлайн встреча сообщества специалистов в области динамического анализа, посвященная выработке стратегии коллективного анализа интерпретаторов/виртуальных машин языков с управляемой памятью. В совокупности присутстовало более чем 40 человек от 15+ организаций, в числе которых Представители Айдеко, Аладдин, ИВК/Базальт, ИСП РАН, Код Безопасности, Лаборатория Касперского (отдельная благодарность коллегам из ЛК за офлайн+онлайн хостинг встречи!), ИЛ Фобос-НТ и д.р (не все присутствующие онлайн было опознаны). Число присутствовавших и активность общения, особенно в офлайн-части, внушает осторожный оптимизм - поднимавшиеся темы явно близки сообществу, особенно с учетом повышения требований со стороны Регуляторов и трансформации сертификационных процессов в направлении выявления уязвимостей архитектуры и кода. Соответственно есть все шансы на то, что дело будет жить и приносить ожидаемые плоды.
Краткое резюме прошедшей встречи:
0) Встреча признана успешной, задекларирована готовность работать на реальный результат (повышение качество тестирования кода и архитектуры), а не на "бумаги".
1) следующая встреча состоится через 3 недели (1 апреля, в четверг, предварительно в 17.00). Режим прежний - офлайн+онлайн. Желающие участвовать очно - пожалуйста напишите мне где-то за неделю, чтобы мы могли оценить число участников и организовать помещение, если наберется много желающих.
2) Ссылка на видеозапись трансляции будет размещена в чате по динамике и в организационном чате.
3) Объединение усилий в направлении анализа интерпретаторов/виртуальных машин языков с управляемой памятью это первая ласточка. Аналогичный подход может быть применен для разделения усилий по всем популярным опенсорс-пакетам.
4) В офлайн-части активно обсуждался вопрос о создании централизованного репозитория патчей для популярных опенсорс-пакетов. В ходе второй части следующей встречи данный вопрос также будет обсуждать в ходе общего трека.
5) Представлена концепция развития Crusher в направлении повышения степени автоматизации покрытия кода, подлежащего анализу, фаззинг-тестами.
6) Для решения общих организационных вопросов, связанных с объединением усилий по развитию средств и методик анализа, создана публичная группа @sdl_community. Дальнейшая часть резюме размещена в ней.
Опубликовали видео с круглого стола по Кибербезопасности на isparasopen 2020. Плеер и хронометраж прикреплены приблизительно в середине странички https://www.isprasopen.ru/2020/
Forwarded from qqqq
Добрый день, коллеги! Небольшой пресс релиз.
Forwarded from qqqq
ИСП РАН предоставляет ресурсы для развертывания набора репозиториев содержащих доверенные версии opensource пакетов, в первую очередь - интерпретаторов.
А также обеспечивает организационно-техническую поддержку инфраструктуры.
Вопросы связанные с аудитом кода целевых пакетов, исправлением ошибок, поддержанием целостности,
работоспособности и взаимодействия с сообществом открытого кода возлагаются на главных мейнтейнеров пакета.
Список пакетов и список ответственных мейнтейнеров формируются сообществом. Объем задействованных мощностей будет пропорционален объему целей.
Варианты работы (подписывание коммитов, вопросы доверия, обмена ключами и т.д.) вырабатываются сообществом и реализуются ИСП РАН в рамках упомянутой
инфраструктуры.
Примерная дорожная карта развития инфраструктуры
На текущем этапе выполняется:
- анализ потребности разработчиков в тех или иных opensource-пакетах в первую очередь - интерпретаторах;
- определение поверхности атаки на указанные пакеты в типовых сценариях их применения;
- накопление сведений о методах и подходах к анализу.
На первом этапе интеграцию со средством статического анализа SVACE.
Для каждого пакета будет производится анализ и накопление и перенос разметки между версиями ПО
Разметка предупреждений выполняется силами сообщества
На втором этапе интеграцию с различными инструментами динамического анализа (Crusher, LibFuzzer, AFL forks...)
будет производится накопление и минимизация корпуса
Обнародованием достигаемых результатов динамического анализа и интеграцией их со Svace
Фаззинг тесты формируются совместно участниками сообщества
Фаззинг осуществляется на мощностях активных участников сообщества с последующей подачей корпуса входных данных и результатов дополнительных средств анализа в единый репозиторий
На инфраструктуре ИСП РАН производится анализ дедупликация и верификация достигаемого тестового покрытия
Централизованный репозиторий файлов различных форматов составляющих корпус начальных входных данных
Будет производится сборка проекта, запуск встроенного в пакет набора тестов и фаззинг тестированиедля роста покрытия и поиска ошибок с последующим обновлением централизованного репозитория
А также обеспечивает организационно-техническую поддержку инфраструктуры.
Вопросы связанные с аудитом кода целевых пакетов, исправлением ошибок, поддержанием целостности,
работоспособности и взаимодействия с сообществом открытого кода возлагаются на главных мейнтейнеров пакета.
Список пакетов и список ответственных мейнтейнеров формируются сообществом. Объем задействованных мощностей будет пропорционален объему целей.
Варианты работы (подписывание коммитов, вопросы доверия, обмена ключами и т.д.) вырабатываются сообществом и реализуются ИСП РАН в рамках упомянутой
инфраструктуры.
Примерная дорожная карта развития инфраструктуры
На текущем этапе выполняется:
- анализ потребности разработчиков в тех или иных opensource-пакетах в первую очередь - интерпретаторах;
- определение поверхности атаки на указанные пакеты в типовых сценариях их применения;
- накопление сведений о методах и подходах к анализу.
На первом этапе интеграцию со средством статического анализа SVACE.
Для каждого пакета будет производится анализ и накопление и перенос разметки между версиями ПО
Разметка предупреждений выполняется силами сообщества
На втором этапе интеграцию с различными инструментами динамического анализа (Crusher, LibFuzzer, AFL forks...)
будет производится накопление и минимизация корпуса
Обнародованием достигаемых результатов динамического анализа и интеграцией их со Svace
Фаззинг тесты формируются совместно участниками сообщества
Фаззинг осуществляется на мощностях активных участников сообщества с последующей подачей корпуса входных данных и результатов дополнительных средств анализа в единый репозиторий
На инфраструктуре ИСП РАН производится анализ дедупликация и верификация достигаемого тестового покрытия
Централизованный репозиторий файлов различных форматов составляющих корпус начальных входных данных
Будет производится сборка проекта, запуск встроенного в пакет набора тестов и фаззинг тестированиедля роста покрытия и поиска ошибок с последующим обновлением централизованного репозитория
Коллеги, приветствую.
23.04.2021 на базе Кода Безопасности состоялась встреча нашего сообщества специалистов-энтузиастов, посвященная вопросам разделения активностей по анализу типовых open-source пакетов, в первую очередь интерпретаторов. Офлайн присутствовали представители ИСП РАН, Айдеко, Аладдин, ИЛ Атоминформзащита, Беллсофт, Group-IB, Код Безопасности, Лаборатория Касперского, ПостгресПро, ИЛ Фобос-НТ, ИЛ ЦБИ. Подробности в чате @sdl_community.
23.04.2021 на базе Кода Безопасности состоялась встреча нашего сообщества специалистов-энтузиастов, посвященная вопросам разделения активностей по анализу типовых open-source пакетов, в первую очередь интерпретаторов. Офлайн присутствовали представители ИСП РАН, Айдеко, Аладдин, ИЛ Атоминформзащита, Беллсофт, Group-IB, Код Безопасности, Лаборатория Касперского, ПостгресПро, ИЛ Фобос-НТ, ИЛ ЦБИ. Подробности в чате @sdl_community.
Коллеги, приветствую.
В Орг. вопросах выложен пресс-релиз о предстоящей большой встрече-конференции в формате: руководители ФСТЭК России + руководители Центра компетенций в области кибербезопасности ФСТЭК России и ИСП РАН + практикующие инженеры-специалисты в области практик безопасной разработки из промышленности, ИЛ и ОС. Приглашаем всех заинтересованных к участию!
В Орг. вопросах выложен пресс-релиз о предстоящей большой встрече-конференции в формате: руководители ФСТЭК России + руководители Центра компетенций в области кибербезопасности ФСТЭК России и ИСП РАН + практикующие инженеры-специалисты в области практик безопасной разработки из промышленности, ИЛ и ОС. Приглашаем всех заинтересованных к участию!
Коллеги, приветствую.
В четверг в 16:00 состоится вебинар на тему "Разработка безопасного ПО для предприятий КИИ, АСУ ТП и гос. структур"
На вебинаре мы обсудим, что нужно знать и начать делать для выполнения требований регуляторов ИБ, предъявляемых к разработчикам аппаратно-программных средств, процессам, ПО и "железу".
Более подробное описание и ссылка на подключение к вебинару для заинтересовавшихся: https://events.webinar.ru/21539700/8961641
В четверг в 16:00 состоится вебинар на тему "Разработка безопасного ПО для предприятий КИИ, АСУ ТП и гос. структур"
На вебинаре мы обсудим, что нужно знать и начать делать для выполнения требований регуляторов ИБ, предъявляемых к разработчикам аппаратно-программных средств, процессам, ПО и "железу".
Более подробное описание и ссылка на подключение к вебинару для заинтересовавшихся: https://events.webinar.ru/21539700/8961641
Webinar.ru
Разработка безопасного ПО для предприятий КИИ, АСУ ТП и гос. структур
На вебинаре мы обсудим, что нужно знать и начать делать для выполнения требований регуляторов ИБ, предъявляемых к разработчикам аппаратно-программных средств, процессам, ПО и
Информ::Доверенная Разработка
Коллеги, приветствую. В четверг в 16:00 состоится вебинар на тему "Разработка безопасного ПО для предприятий КИИ, АСУ ТП и гос. структур" На вебинаре мы обсудим, что нужно знать и начать делать для выполнения требований регуляторов ИБ, предъявляемых к разработчикам…
Коллеги, приветствую.
Если инструмент задавания вопрос по ссылке конференции недоступен - можно писать вопросы на Можно писать вопросы на адрес pr@aladdin.ru. Они будут учтены как при подготовке FAQ, так и при принятии решения о необходимости/отсутствии необходимости организации следующего вебинара.
Если инструмент задавания вопрос по ссылке конференции недоступен - можно писать вопросы на Можно писать вопросы на адрес pr@aladdin.ru. Они будут учтены как при подготовке FAQ, так и при принятии решения о необходимости/отсутствии необходимости организации следующего вебинара.
Ссылка на скачивание презентации "Что нужно знать и начать делать для выполнения требований регуляторов ИБ, предъявляемых к разработчикам аппаратно-программных средств, процессам, ПО и "железу"?"
https://www.aladdin-rd.ru/support/downloads/d75b4f14-1842-42b2-a1bc-18efe2095751/get
Видеозапись вебинара на YouTube канале https://youtu.be/2TCscvm66aA
https://www.aladdin-rd.ru/support/downloads/d75b4f14-1842-42b2-a1bc-18efe2095751/get
Видеозапись вебинара на YouTube канале https://youtu.be/2TCscvm66aA
YouTube
Разработка безопасного ПО для предприятий КИИ, АСУ ТП, гос. структур
Вебинар.
На вебинаре вы узнаете, что нужно знать и начать делать для выполнения требований регуляторов ИБ, предъявляемых к разработчикам аппаратно-программных средств, процессам, ПО и "железу".
Основные вопросы вебинара:
Предприятия КИИ – мишень №1 в современных…
На вебинаре вы узнаете, что нужно знать и начать делать для выполнения требований регуляторов ИБ, предъявляемых к разработчикам аппаратно-программных средств, процессам, ПО и "железу".
Основные вопросы вебинара:
Предприятия КИИ – мишень №1 в современных…
Forwarded from Ivan Panchenko
Коллеги, добрый день! Это не реклама, т.к. я ничего вам не продаю, а наоборот, приглашаю на полезное бесплатное мероприятие.
В рамках конференции PGConf.RU 2021 пройдет круглый стол «Особенности организации SDL-процессов у ответственного разработчика: бизнес, безопасность, регуляторика» на тему безопасной разработки (SDL), рассчитанный на отечественных разработчиков ПО, с участием представителей регулятора и компаний, внедривших SDL, и способных рассказать об этом. Если у вас нет билета на конференцию, в круглом столе всё равно можно поучаствовать, причем бесплатно, при условии предварительной регистрации на reg@pgconf.ru (или можно написать мне). Там можно встретиться и обсудить живьём многое из того, что обсуждается тут.
В рамках конференции PGConf.RU 2021 пройдет круглый стол «Особенности организации SDL-процессов у ответственного разработчика: бизнес, безопасность, регуляторика» на тему безопасной разработки (SDL), рассчитанный на отечественных разработчиков ПО, с участием представителей регулятора и компаний, внедривших SDL, и способных рассказать об этом. Если у вас нет билета на конференцию, в круглом столе всё равно можно поучаствовать, причем бесплатно, при условии предварительной регистрации на reg@pgconf.ru (или можно написать мне). Там можно встретиться и обсудить живьём многое из того, что обсуждается тут.