О некоторых направлениях совершенствования нормативной базы в свете принятия № 187-ФЗ

  В начале января 2018 г., когда западный мир приходил в себя после рождественских каникул, а российские ИT-специалисты вместе со всем прочим населением увлеченно доедали новогодний оливье, произошло событие, которое с учетом его масштаба, быть может, наконец заставит разработчиков программных и аппаратных средств обращать внимание на проблемы информационной безопасности до, а не после очередного скандала. Была обнародована информация о выявленных группой ProjectZero (подразделение Google) критических, платформонезависимых уязвимостях в процессорах Intel, AMD и, возможно, других. Уязвимость Meltdown позволяет нарушителю получать доступ к памяти ядра процессора, в том числе к парольной информации, ключам шифрования и другой критичной информации, а Spectr − доступ к памяти приложений. Обе уязвимости эксплуатируют технологии, использованные разработчиком для ускорения работы процессора. В обоих случаях разработчики в очередной раз предпочли функциональность безопасности, проигнорировав хорошо известные стандарты по защите информации об изоляции процессов и очистке областей памяти, использовавшихся критичными процессами. Такое положение дел вполне объяснимо, поскольку разработчика мотивирует в основном массовый сегмент рынка, для которого проблемы информационной безопасности не являются первоочередными. Проблема в том, что проектировщики автоматизированных информационных и управляющих систем в защищенном исполнении вынужденно, а зачастую и по недомыслию используют информационные технологии массового применения, разработанные без учета требований по информационной безопасности. Замечу, что в последние годы отношение к вопросам […]


Полная версия доступна только зарегистрированным пользователям !








 

ИД «Connect» © 2015-2018

Использование и копирование информации сайта www.connect-wit.ru возможно только с письменного разрешения редакции.

Техподдержка и обслуживание Роман Заргаров


Яндекс.Метрика
Яндекс.Метрика