суббота, 26 февраля 2011 г.

ISSP \ Домен 09. Безопасность приложений. Часть 6

В этой части рассмотрены следующие вопросы:
  • Методология разработки программного обеспечения
  • Концепции объектно-ориентированного программирования
  • Полиморфизм
  • Моделирование данных
  • Архитектура программного обеспечения
  • Структуры данных
  • Связность и связанность

четверг, 17 февраля 2011 г.

ISSP \ Домен 09. Безопасность приложений. Часть 5

В этой части рассмотрены следующие вопросы:
  • Методы разработки программного обеспечения
  • Средства автоматизированной разработки программного обеспечения (CASE-средства)
  • Разработка прототипов
  • Методология безопасного проектирования
  • Методология безопасной разработки
  • Проверка на защищенность
  • Управление изменениями
  • Модель зрелости процессов разработки программного обеспечения (CMM)
  • Передача исходного кода программного обеспечения на хранение независимой третьей стороне

воскресенье, 6 февраля 2011 г.

ISSP \ Домен 09. Безопасность приложений. Часть 4

В этой части рассмотрены следующие вопросы:
  • Разработка систем
  • Управление разработкой
  • Этапы жизненного цикла
  • Инициирование проекта
  • Управление рисками
  • Анализ рисков
  • Функциональное проектирование и планирование
  • Техническое задание на разработку системы
  • Разработка программного обеспечения
  • Установка и внедрение
  • Эксплуатация и сопровождение
  • Удаление
  • Виды тестирования
  • Анализ завершенного проекта

суббота, 5 февраля 2011 г.

В двух словах \ Карта законодательства по ПД для банков

Понадобилось проанализировать действующее российское законодательство в области персональных данных применительно к банкам, принявшим в качестве обязательного Комплекс стандартов Банка России БР ИББС. В итоге получилась вот такая карта.



Здесь можно скачать картинку в высоком разрешении и исходник в формате MS Visio.

Несколько пояснений по схеме:
  • красными стрелками обозначено, какой документ на каком основан;
  • синими стрелками показаны ссылки из одних документов в другие;
  • цветами показаны разные "уровни" документов 
    • фиолетовый и синий - общие основополагающие документы;
    • оранжевый - конкретизирующие документы;
    • зеленый и коричневый - документы, содержащие конкретные требования;
    • красный - документы по вопросам контроля и ответственности;
    • серый - вспомогательные документы;
  • красным фоном выделены наиболее важные документы, в которых находится основной объем требований (при использовании СКЗИ для защиты ПДн также важными становятся документы ФСБ, при обработке биометрических ПДн - ПП-512).
  • зачеркнуты на схеме документы ФСТЭК, которые можно не использовать после введения приказом Комплекса БР ИББС - все содержащиеся в них требования включены в СТО БР ИББС-1.0, РС БР ИББС-2.3 и РС БР ИББС-2.4.
Сами документы можно найти в разделе блога "Законодательство и требования".