В среду и в четверг буду участвовать в конференции "Разработка ПО 2009" (CEE-SECR 2009, http://cee-secr.org/) и очередном семинаре RISSPA.
http://cee-secr.org/round-tables/information-security-of-computer-systems/
Безопасность прикладных систем. Разработчик, аудитор, пользователь.
Все, что сделано руками людей далеко от совершенства. В результате ошибок проектирования, реализации и эксплуатации в компьютерных системах возникают уязвимости, т.е. свойства системы, использование которых злоумышленником может привести к ущемлению интересов владельца этой системы. Многие уязвимости обнаруживаются производителем на этапе разработки, тестирования и сопровождения продуктов, однако часть их обнаруживается владельцами систем, независимыми исследователями и аудиторами. В докладе предлагается обзор следующих вопросов:
- статистики распространенных проблем безопасности приложений';
- требований регуляторов в части безопасности прикладных систем (PCI DSS, 152-ФЗ [О персональных данныхk и т.д.);
- существующих практик безопасной разработки, покупки и сопровождения прикладных систем;
- подходов к взаимодействию производителя или владельца ресурса и исследователя, обнаружившего проблему.
В рамках доклада анонсируется вторая версия классификации Web-узвимостей Web Application Security ConsortiumThreat Classification version 2.
http://risspa12.eventbrite.com/?ref=ecount
[(Бес)проводная (без)опасностьk
В рамках доклада рассматриваются типичные проблемы, связанные с беспроводными технологиями, вопросы управления регулятивными требованиями в этой области, дается обзор передового опыта и принятых практик. Материал построен на практическом опыте компании Positive Technologies в области тестирования на проникновения и построения процессов Compliance Management.
http://cee-secr.org/round-tables/information-security-of-computer-systems/
Безопасность прикладных систем. Разработчик, аудитор, пользователь.
Все, что сделано руками людей далеко от совершенства. В результате ошибок проектирования, реализации и эксплуатации в компьютерных системах возникают уязвимости, т.е. свойства системы, использование которых злоумышленником может привести к ущемлению интересов владельца этой системы. Многие уязвимости обнаруживаются производителем на этапе разработки, тестирования и сопровождения продуктов, однако часть их обнаруживается владельцами систем, независимыми исследователями и аудиторами. В докладе предлагается обзор следующих вопросов:
- статистики распространенных проблем безопасности приложений';
- требований регуляторов в части безопасности прикладных систем (PCI DSS, 152-ФЗ [О персональных данныхk и т.д.);
- существующих практик безопасной разработки, покупки и сопровождения прикладных систем;
- подходов к взаимодействию производителя или владельца ресурса и исследователя, обнаружившего проблему.
В рамках доклада анонсируется вторая версия классификации Web-узвимостей Web Application Security ConsortiumThreat Classification version 2.
http://risspa12.eventbrite.com/?ref=ecount
[(Бес)проводная (без)опасностьk
В рамках доклада рассматриваются типичные проблемы, связанные с беспроводными технологиями, вопросы управления регулятивными требованиями в этой области, дается обзор передового опыта и принятых практик. Материал построен на практическом опыте компании Positive Technologies в области тестирования на проникновения и построения процессов Compliance Management.
