SlideShare ist ein Scribd-Unternehmen logo

Png w23

S
SelectedPresentations
1 von 8
Downloaden Sie, um offline zu lesen
Session ID: Session Classification: PNG-W23 Intermediate DOD-CIO (TMSN)
Organizational Accreditation Domain Product Evaluations Domain Capability Maturity Model Integration (CMMI) Process Improvement FIPS 140-2 or ISO/IEC 19790 Crypto Open Group’s Open Trusted Technology Provider Standard (O-TTPS) Mitigating Taint & Counterfeit Common Criteria (ISO/IEC 15408) Security Properties Payment Card Industry (PCI) Merchant Security Tempest Data Loss via Emanations ISO/IEC 9000 ISO/IEC 27001 ISO/IEC 27036 Quality Info. Sec. Mgt. Sec. - Supplier Relationships Commercial Product Assurance (CPA-UK); DoD Approved Product List (APL-USA) Country & Agency Specific Assurance
► ► ► ► • • • •
No improvement? Single vendor Improvement Existing Approach Product 1 Product 1 V2 Product 2 Product 2 V2 Rapid update P1 Improvement for all New Threat .. .. .. .. .. .. .. .. Z1 New Approach Improves • Speed to evaluate • Speed to respond to threats • Relevance to users • Scalability – many more products • Comparability • Real Assurance
Classical ‘EAL’ focussed Evaluation TC/cPP focussed Evaluation supports:- Mostly an ‘Open loop’ process Multiple, rapid feedback loops for evaluation findings, new threats etc. Evaluator judgements based mainly on their understanding of technology/threat Harnesses the power of all experts in technical communities Improvements limited to version/vendor Expertise benefits all similar products Relatively long evaluation time Much shorter evaluation time Not easily scalable Readily scalable Complex to use for product comparison Sound basis for comparability Relatively low assurance in most cases (EAL4 = more activity ≠ more security) Assurance of peers – Highest common level of fully international assurance Bespoke 20th century approach to 21st century needs? Standards approach – linked to needs of development, users, and procurement
► ► ► ► ► ►
ACCREDITATION OF ORGANIZATIONS CERTIFICATION OF PRODUCTS Focus Practices of an organization that makes a set of products or delivers a set of services Security assessment of a product version or versions Pros Some security attributes are inherently process rather than product (e.g. supply chain). Encompasses multiple products over time. More specific to a particular product or version. Requirements can be more rigorous and objective Cons Evaluating practices involves both quality of process and consistency of its execution. Assessing consistency implies examining product. Not as general as organizational certification. Some aspects of security are inherently process. Cost of assessing each product separately Summary Long-lived but limited fidelity. Some real challenges Limited lifetime but high fidelity. Some real challenges
► ► ► ► ► ► ► ► ► ► ► ► ►

Empfohlen

Png f43
Png f43Png f43
Png f43SelectedPresentations
 
Information Technology Security Techniques Evaluation Criteria For It Secrit...
Information Technology Security Techniques Evaluation Criteria For It Secrit...Information Technology Security Techniques Evaluation Criteria For It Secrit...
Information Technology Security Techniques Evaluation Criteria For It Secrit...Vishnu Kesarwani
 
Information security
Information securityInformation security
Information securityLJ PROJECTS
 
Spanish catalogue of qualified products - a new way of using CC for procurement
Spanish catalogue of qualified products - a new way of using CC for procurementSpanish catalogue of qualified products - a new way of using CC for procurement
Spanish catalogue of qualified products - a new way of using CC for procurementJavier Tallón
 
Webinar: Traceability Over the Entire Lifecycle in codeBeamer
Webinar: Traceability Over the Entire Lifecycle in codeBeamerWebinar: Traceability Over the Entire Lifecycle in codeBeamer
Webinar: Traceability Over the Entire Lifecycle in codeBeamerIntland Software GmbH
 
ISO 9001 implementation in IT Companies
ISO 9001 implementation in IT CompaniesISO 9001 implementation in IT Companies
ISO 9001 implementation in IT Companiesannoyket
 
Standards for protection of data on storage device are emerging from both the...
Standards for protection of data on storage device are emerging from both the...Standards for protection of data on storage device are emerging from both the...
Standards for protection of data on storage device are emerging from both the...CMG - The Digital Transformation Association
 
德國TSI公司簡報-2
德國TSI公司簡報-2德國TSI公司簡報-2
德國TSI公司簡報-2俠客科技
 

Empfohlen

Png f43
Png f43Png f43
Png f43SelectedPresentations
 
Information Technology Security Techniques Evaluation Criteria For It Secrit...
Information Technology Security Techniques Evaluation Criteria For It Secrit...Information Technology Security Techniques Evaluation Criteria For It Secrit...
Information Technology Security Techniques Evaluation Criteria For It Secrit...Vishnu Kesarwani
 
Information security
Information securityInformation security
Information securityLJ PROJECTS
 
Spanish catalogue of qualified products - a new way of using CC for procurement
Spanish catalogue of qualified products - a new way of using CC for procurementSpanish catalogue of qualified products - a new way of using CC for procurement
Spanish catalogue of qualified products - a new way of using CC for procurementJavier Tallón
 
Webinar: Traceability Over the Entire Lifecycle in codeBeamer
Webinar: Traceability Over the Entire Lifecycle in codeBeamerWebinar: Traceability Over the Entire Lifecycle in codeBeamer
Webinar: Traceability Over the Entire Lifecycle in codeBeamerIntland Software GmbH
 
ISO 9001 implementation in IT Companies
ISO 9001 implementation in IT CompaniesISO 9001 implementation in IT Companies
ISO 9001 implementation in IT Companiesannoyket
 
Standards for protection of data on storage device are emerging from both the...
Standards for protection of data on storage device are emerging from both the...Standards for protection of data on storage device are emerging from both the...
Standards for protection of data on storage device are emerging from both the...CMG - The Digital Transformation Association
 
德國TSI公司簡報-2
德國TSI公司簡報-2德國TSI公司簡報-2
德國TSI公司簡報-2俠客科技
 
Behind the Scenes of Vendor Security Reviews in the Enterprise
Behind the Scenes of Vendor Security Reviews in the EnterpriseBehind the Scenes of Vendor Security Reviews in the Enterprise
Behind the Scenes of Vendor Security Reviews in the EnterpriseAtlassian
 
Introduction to Functional Safety and SIL Certification
Introduction to Functional Safety and SIL CertificationIntroduction to Functional Safety and SIL Certification
Introduction to Functional Safety and SIL CertificationISA Boston Section
 
Security Certification - Critical Review
Security Certification - Critical ReviewSecurity Certification - Critical Review
Security Certification - Critical ReviewISA Interchange
 
CMMC Breakdown
CMMC BreakdownCMMC Breakdown
CMMC BreakdownIgnyte Assurance Platform
 
Quality software management
Quality software managementQuality software management
Quality software managementArun Kumar
 
Iso27001 Isaca Seminar (23 May 08)
Iso27001 Isaca Seminar (23 May 08)Iso27001 Isaca Seminar (23 May 08)
Iso27001 Isaca Seminar (23 May 08)samsontamwaiho
 
Iso27001 Isaca Seminar (23 May 08)
Iso27001 Isaca Seminar (23 May 08)Iso27001 Isaca Seminar (23 May 08)
Iso27001 Isaca Seminar (23 May 08)samsontamwaiho
 
Supply Chain Safety
Supply Chain SafetySupply Chain Safety
Supply Chain SafetyStuart Wood MSc, CMIOSH, CPEA
 
How to Achieve Functional Safety in Safety-Critical Embedded Systems
How to Achieve Functional Safety in Safety-Critical Embedded SystemsHow to Achieve Functional Safety in Safety-Critical Embedded Systems
How to Achieve Functional Safety in Safety-Critical Embedded SystemsIntland Software GmbH
 
How to Achieve Functional Safety in Safety-Citical Embedded Systems
How to Achieve Functional Safety in Safety-Citical Embedded SystemsHow to Achieve Functional Safety in Safety-Citical Embedded Systems
How to Achieve Functional Safety in Safety-Citical Embedded Systemsevatjohnson
 
V-Empower Services And Solutions
V-Empower Services And SolutionsV-Empower Services And Solutions
V-Empower Services And Solutionsguest609a5ed
 
V-Empower Services And Solutions
V-Empower Services And SolutionsV-Empower Services And Solutions
V-Empower Services And SolutionsHannan Ahmed
 
Managing Traceability in an Agile, Safety-critical Development Environment
Managing Traceability in an Agile, Safety-critical Development EnvironmentManaging Traceability in an Agile, Safety-critical Development Environment
Managing Traceability in an Agile, Safety-critical Development EnvironmentIntland Software GmbH
 
21st Century Regulatory Step by Step CompliancePart-2 Facility, Utility, Equi...
21st Century Regulatory Step by Step CompliancePart-2 Facility, Utility, Equi...21st Century Regulatory Step by Step CompliancePart-2 Facility, Utility, Equi...
21st Century Regulatory Step by Step CompliancePart-2 Facility, Utility, Equi...Md. Saddam Nawaz
 
ISO 27001 Certification - The Benefits and Challenges
ISO 27001 Certification - The Benefits and ChallengesISO 27001 Certification - The Benefits and Challenges
ISO 27001 Certification - The Benefits and ChallengesCertification Europe
 
Cyber-Security Certifications
Cyber-Security CertificationsCyber-Security Certifications
Cyber-Security CertificationsNithin Sai
 
IoT and M2M Safety and Security
IoT and M2M Safety and Security IoT and M2M Safety and Security
IoT and M2M Safety and Security Real-Time Innovations (RTI)
 
7.software_quality_standadsfsdfsdfsdfsdfsrds_0_0.pptx
7.software_quality_standadsfsdfsdfsdfsdfsrds_0_0.pptx7.software_quality_standadsfsdfsdfsdfsdfsrds_0_0.pptx
7.software_quality_standadsfsdfsdfsdfsdfsrds_0_0.pptxMeseAK
 
Talk-ISO (1).ppt
Talk-ISO (1).pptTalk-ISO (1).ppt
Talk-ISO (1).pptZarghamUllah1
 
Talk-ISO.ppt
Talk-ISO.pptTalk-ISO.ppt
Talk-ISO.pptnitin_009
 
Длительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решенияДлительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решенияSelectedPresentations
 
Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.SelectedPresentations
 

Weitere ähnliche Inhalte

Ähnlich wie Png w23

Behind the Scenes of Vendor Security Reviews in the Enterprise
Behind the Scenes of Vendor Security Reviews in the EnterpriseBehind the Scenes of Vendor Security Reviews in the Enterprise
Behind the Scenes of Vendor Security Reviews in the EnterpriseAtlassian
 
Introduction to Functional Safety and SIL Certification
Introduction to Functional Safety and SIL CertificationIntroduction to Functional Safety and SIL Certification
Introduction to Functional Safety and SIL CertificationISA Boston Section
 
Security Certification - Critical Review
Security Certification - Critical ReviewSecurity Certification - Critical Review
Security Certification - Critical ReviewISA Interchange
 
Quality software management
Quality software managementQuality software management
Quality software managementArun Kumar
 
Iso27001 Isaca Seminar (23 May 08)
Iso27001 Isaca Seminar (23 May 08)Iso27001 Isaca Seminar (23 May 08)
Iso27001 Isaca Seminar (23 May 08)samsontamwaiho
 
Iso27001 Isaca Seminar (23 May 08)
Iso27001 Isaca Seminar (23 May 08)Iso27001 Isaca Seminar (23 May 08)
Iso27001 Isaca Seminar (23 May 08)samsontamwaiho
 
How to Achieve Functional Safety in Safety-Critical Embedded Systems
How to Achieve Functional Safety in Safety-Critical Embedded SystemsHow to Achieve Functional Safety in Safety-Critical Embedded Systems
How to Achieve Functional Safety in Safety-Critical Embedded SystemsIntland Software GmbH
 
How to Achieve Functional Safety in Safety-Citical Embedded Systems
How to Achieve Functional Safety in Safety-Citical Embedded SystemsHow to Achieve Functional Safety in Safety-Citical Embedded Systems
How to Achieve Functional Safety in Safety-Citical Embedded Systemsevatjohnson
 
V-Empower Services And Solutions
V-Empower Services And SolutionsV-Empower Services And Solutions
V-Empower Services And Solutionsguest609a5ed
 
V-Empower Services And Solutions
V-Empower Services And SolutionsV-Empower Services And Solutions
V-Empower Services And SolutionsHannan Ahmed
 
Managing Traceability in an Agile, Safety-critical Development Environment
Managing Traceability in an Agile, Safety-critical Development EnvironmentManaging Traceability in an Agile, Safety-critical Development Environment
Managing Traceability in an Agile, Safety-critical Development EnvironmentIntland Software GmbH
 
21st Century Regulatory Step by Step CompliancePart-2 Facility, Utility, Equi...
21st Century Regulatory Step by Step CompliancePart-2 Facility, Utility, Equi...21st Century Regulatory Step by Step CompliancePart-2 Facility, Utility, Equi...
21st Century Regulatory Step by Step CompliancePart-2 Facility, Utility, Equi...Md. Saddam Nawaz
 
ISO 27001 Certification - The Benefits and Challenges
ISO 27001 Certification - The Benefits and ChallengesISO 27001 Certification - The Benefits and Challenges
ISO 27001 Certification - The Benefits and ChallengesCertification Europe
 
Cyber-Security Certifications
Cyber-Security CertificationsCyber-Security Certifications
Cyber-Security CertificationsNithin Sai
 
7.software_quality_standadsfsdfsdfsdfsdfsrds_0_0.pptx
7.software_quality_standadsfsdfsdfsdfsdfsrds_0_0.pptx7.software_quality_standadsfsdfsdfsdfsdfsrds_0_0.pptx
7.software_quality_standadsfsdfsdfsdfsdfsrds_0_0.pptxMeseAK
 
Talk-ISO.ppt
Talk-ISO.pptTalk-ISO.ppt
Talk-ISO.pptnitin_009
 

Ähnlich wie Png w23 (20)

Behind the Scenes of Vendor Security Reviews in the Enterprise
Behind the Scenes of Vendor Security Reviews in the EnterpriseBehind the Scenes of Vendor Security Reviews in the Enterprise
Behind the Scenes of Vendor Security Reviews in the Enterprise
 
Introduction to Functional Safety and SIL Certification
Introduction to Functional Safety and SIL CertificationIntroduction to Functional Safety and SIL Certification
Introduction to Functional Safety and SIL Certification
 
Security Certification - Critical Review
Security Certification - Critical ReviewSecurity Certification - Critical Review
Security Certification - Critical Review
 
CMMC Breakdown
CMMC BreakdownCMMC Breakdown
CMMC Breakdown
 
Quality software management
Quality software managementQuality software management
Quality software management
 
Iso27001 Isaca Seminar (23 May 08)
Iso27001 Isaca Seminar (23 May 08)Iso27001 Isaca Seminar (23 May 08)
Iso27001 Isaca Seminar (23 May 08)
 
Iso27001 Isaca Seminar (23 May 08)
Iso27001 Isaca Seminar (23 May 08)Iso27001 Isaca Seminar (23 May 08)
Iso27001 Isaca Seminar (23 May 08)
 
Supply Chain Safety
Supply Chain SafetySupply Chain Safety
Supply Chain Safety
 
How to Achieve Functional Safety in Safety-Critical Embedded Systems
How to Achieve Functional Safety in Safety-Critical Embedded SystemsHow to Achieve Functional Safety in Safety-Critical Embedded Systems
How to Achieve Functional Safety in Safety-Critical Embedded Systems
 
How to Achieve Functional Safety in Safety-Citical Embedded Systems
How to Achieve Functional Safety in Safety-Citical Embedded SystemsHow to Achieve Functional Safety in Safety-Citical Embedded Systems
How to Achieve Functional Safety in Safety-Citical Embedded Systems
 
V-Empower Services And Solutions
V-Empower Services And SolutionsV-Empower Services And Solutions
V-Empower Services And Solutions
 
V-Empower Services And Solutions
V-Empower Services And SolutionsV-Empower Services And Solutions
V-Empower Services And Solutions
 
Managing Traceability in an Agile, Safety-critical Development Environment
Managing Traceability in an Agile, Safety-critical Development EnvironmentManaging Traceability in an Agile, Safety-critical Development Environment
Managing Traceability in an Agile, Safety-critical Development Environment
 
21st Century Regulatory Step by Step CompliancePart-2 Facility, Utility, Equi...
21st Century Regulatory Step by Step CompliancePart-2 Facility, Utility, Equi...21st Century Regulatory Step by Step CompliancePart-2 Facility, Utility, Equi...
21st Century Regulatory Step by Step CompliancePart-2 Facility, Utility, Equi...
 
ISO 27001 Certification - The Benefits and Challenges
ISO 27001 Certification - The Benefits and ChallengesISO 27001 Certification - The Benefits and Challenges
ISO 27001 Certification - The Benefits and Challenges
 
Cyber-Security Certifications
Cyber-Security CertificationsCyber-Security Certifications
Cyber-Security Certifications
 
IoT and M2M Safety and Security
IoT and M2M Safety and Security IoT and M2M Safety and Security
IoT and M2M Safety and Security
 
7.software_quality_standadsfsdfsdfsdfsdfsrds_0_0.pptx
7.software_quality_standadsfsdfsdfsdfsdfsrds_0_0.pptx7.software_quality_standadsfsdfsdfsdfsdfsrds_0_0.pptx
7.software_quality_standadsfsdfsdfsdfsdfsrds_0_0.pptx
 
Talk-ISO (1).ppt
Talk-ISO (1).pptTalk-ISO (1).ppt
Talk-ISO (1).ppt
 
Talk-ISO.ppt
Talk-ISO.pptTalk-ISO.ppt
Talk-ISO.ppt
 

Mehr von SelectedPresentations

Длительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решенияДлительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решенияSelectedPresentations
 
Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.SelectedPresentations
 
Варианты реализации атак через мобильные устройства
Варианты реализации атак через мобильные устройстваВарианты реализации атак через мобильные устройства
Варианты реализации атак через мобильные устройстваSelectedPresentations
 
Новые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решенийНовые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решенийSelectedPresentations
 
Управление безопасностью мобильных устройств
Управление безопасностью мобильных устройствУправление безопасностью мобильных устройств
Управление безопасностью мобильных устройствSelectedPresentations
 
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...SelectedPresentations
 
Кадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасностиКадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасностиSelectedPresentations
 
Основное содержание профессионального стандарта «Специалист по безопасности и...
Основное содержание профессионального стандарта «Специалист по безопасности и...Основное содержание профессионального стандарта «Специалист по безопасности и...
Основное содержание профессионального стандарта «Специалист по безопасности и...SelectedPresentations
 
Основное содержание профессионального стандарта «Специалист по безопасности а...
Основное содержание профессионального стандарта «Специалист по безопасности а...Основное содержание профессионального стандарта «Специалист по безопасности а...
Основное содержание профессионального стандарта «Специалист по безопасности а...SelectedPresentations
 
Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...SelectedPresentations
 
Основное содержание профессионального стандарта «Специалист по безопасности т...
Основное содержание профессионального стандарта «Специалист по безопасности т...Основное содержание профессионального стандарта «Специалист по безопасности т...
Основное содержание профессионального стандарта «Специалист по безопасности т...SelectedPresentations
 
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...SelectedPresentations
 
Запись активности пользователей с интеллектуальным анализом данных
Запись активности пользователей с интеллектуальным анализом данныхЗапись активности пользователей с интеллектуальным анализом данных
Запись активности пользователей с интеллектуальным анализом данныхSelectedPresentations
 
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...SelectedPresentations
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСSelectedPresentations
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБSelectedPresentations
 
Чего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийЧего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийSelectedPresentations
 
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...SelectedPresentations
 
Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...SelectedPresentations
 
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИОб угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИSelectedPresentations
 

Mehr von SelectedPresentations (20)

Длительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решенияДлительное архивное хранение ЭД: правовые аспекты и технологические решения
Длительное архивное хранение ЭД: правовые аспекты и технологические решения
 
Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.Трансграничное пространство доверия. Доверенная третья сторона.
Трансграничное пространство доверия. Доверенная третья сторона.
 
Варианты реализации атак через мобильные устройства
Варианты реализации атак через мобильные устройстваВарианты реализации атак через мобильные устройства
Варианты реализации атак через мобильные устройства
 
Новые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решенийНовые технологические возможности и безопасность мобильных решений
Новые технологические возможности и безопасность мобильных решений
 
Управление безопасностью мобильных устройств
Управление безопасностью мобильных устройствУправление безопасностью мобильных устройств
Управление безопасностью мобильных устройств
 
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
Современные технологии контроля и защиты мобильных устройств, тенденции рынка...
 
Кадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасностиКадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасности
 
Основное содержание профессионального стандарта «Специалист по безопасности и...
Основное содержание профессионального стандарта «Специалист по безопасности и...Основное содержание профессионального стандарта «Специалист по безопасности и...
Основное содержание профессионального стандарта «Специалист по безопасности и...
 
Основное содержание профессионального стандарта «Специалист по безопасности а...
Основное содержание профессионального стандарта «Специалист по безопасности а...Основное содержание профессионального стандарта «Специалист по безопасности а...
Основное содержание профессионального стандарта «Специалист по безопасности а...
 
Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...Основное содержание профессионального стандарта «Специалист по технической за...
Основное содержание профессионального стандарта «Специалист по технической за...
 
Основное содержание профессионального стандарта «Специалист по безопасности т...
Основное содержание профессионального стандарта «Специалист по безопасности т...Основное содержание профессионального стандарта «Специалист по безопасности т...
Основное содержание профессионального стандарта «Специалист по безопасности т...
 
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
О профессиональных стандартах по группе занятий (профессий) «Специалисты в об...
 
Запись активности пользователей с интеллектуальным анализом данных
Запись активности пользователей с интеллектуальным анализом данныхЗапись активности пользователей с интеллектуальным анализом данных
Запись активности пользователей с интеллектуальным анализом данных
 
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
Импортозамещение в системах ИБ банков. Практические аспекты перехода на росси...
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИС
 
Документ, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБДокумент, как средство защиты: ОРД как основа обеспечения ИБ
Документ, как средство защиты: ОРД как основа обеспечения ИБ
 
Чего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложенийЧего не хватает в современных ids для защиты банковских приложений
Чего не хватает в современных ids для защиты банковских приложений
 
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
Об участии МОО «АЗИ» в разработке профессиональных стандартов в области инфор...
 
Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...Оценка состояния, меры формирования индустрии информационной безопасности Рос...
Оценка состояния, меры формирования индустрии информационной безопасности Рос...
 
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИОб угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
 

Png w23

  • 2. Organizational Accreditation Domain Product Evaluations Domain Capability Maturity Model Integration (CMMI) Process Improvement FIPS 140-2 or ISO/IEC 19790 Crypto Open Group’s Open Trusted Technology Provider Standard (O-TTPS) Mitigating Taint & Counterfeit Common Criteria (ISO/IEC 15408) Security Properties Payment Card Industry (PCI) Merchant Security Tempest Data Loss via Emanations ISO/IEC 9000 ISO/IEC 27001 ISO/IEC 27036 Quality Info. Sec. Mgt. Sec. - Supplier Relationships Commercial Product Assurance (CPA-UK); DoD Approved Product List (APL-USA) Country & Agency Specific Assurance
  • 4. No improvement? Single vendor Improvement Existing Approach Product 1 Product 1 V2 Product 2 Product 2 V2 Rapid update P1 Improvement for all New Threat .. .. .. .. .. .. .. .. Z1 New Approach Improves • Speed to evaluate • Speed to respond to threats • Relevance to users • Scalability – many more products • Comparability • Real Assurance
  • 5. Classical ‘EAL’ focussed Evaluation TC/cPP focussed Evaluation supports:- Mostly an ‘Open loop’ process Multiple, rapid feedback loops for evaluation findings, new threats etc. Evaluator judgements based mainly on their understanding of technology/threat Harnesses the power of all experts in technical communities Improvements limited to version/vendor Expertise benefits all similar products Relatively long evaluation time Much shorter evaluation time Not easily scalable Readily scalable Complex to use for product comparison Sound basis for comparability Relatively low assurance in most cases (EAL4 = more activity ≠ more security) Assurance of peers – Highest common level of fully international assurance Bespoke 20th century approach to 21st century needs? Standards approach – linked to needs of development, users, and procurement
  • 7. ACCREDITATION OF ORGANIZATIONS CERTIFICATION OF PRODUCTS Focus Practices of an organization that makes a set of products or delivers a set of services Security assessment of a product version or versions Pros Some security attributes are inherently process rather than product (e.g. supply chain). Encompasses multiple products over time. More specific to a particular product or version. Requirements can be more rigorous and objective Cons Evaluating practices involves both quality of process and consistency of its execution. Assessing consistency implies examining product. Not as general as organizational certification. Some aspects of security are inherently process. Cost of assessing each product separately Summary Long-lived but limited fidelity. Some real challenges Limited lifetime but high fidelity. Some real challenges