В настоящее время растет спрос на специалистов по информационной безопасности, умеющих выявлять и анализировать проблемы в бизнес-ситуациях и принимать решения в условиях риска и неопределенности. Необходимые для этого навыки позволяет получить систематическое изучение разнообразных инцидентов информационной безопасности. В данной работе мы предлагаем набор методов, инструментов и таксономий для анализа кейс-стади в области защиты информации. Наш подход позволяет формально подойти к разбору каждой ситуации и применить разнообразные инструменты из области моделирования угроз, анализа рисков и управления проектами в условиях, приближенных к реальным. Мы иллюстрируем применение предложенного подхода на примере двух историй – Rocky Mountain Bank против Google и Anonymous против HBGary. Первая ситуация связана с рисками использования облачных сервисов, а во второй проявляется важность применения принципов безопасного кода при разработке программного обеспечения для внутреннего пользования. Хотя, на первый взгляд, кейсы абсолютно не похожи друг на друга, мы показываем, что для их анализа удобно использовать одинаковые методы.
Александра Савельева
Савельева Александра Александровна, кандидат технических наук, защитила диссертацию по специальности 05.13.19 Методы и системы защиты информации, информационная безопасность, доцент кафедры управления разработкой программного обеспечения Национального исследовательского университета «Высшая школа экономики», победитель конкурса «Лучший молодой преподаватель – 2010». С 2005 г. регулярно выступает с докладами на российских и зарубежных конференциях (в т.ч. Рускрипто, Инфофорум, FSE, Workshop on Cyber Security and Global Affairs и др.), имеет более 30 публикаций в области защиты информации на русском и английском языке, проходила стажировку в исследовательском подразделении Microsoft Research в Редмонде, США. Автор оригинальной методики подготовки и проведения семинарских занятий по информационной безопасности на основе изучения конкретных ситуаций, вошедшей в число лучших разработок по итогам конкурса программы «Фонд образовательных инноваций НИУ ВШЭ» в 2011 г. и удостоенной специального приза на международной конференции «IT Security for the Next Generation» на базе Мюнхенского технического университета.
Сергей Авдошин
Авдошин Сергей Михайлович, кандидат технических наук, действительный член Всемирной академии наук комплексной безопасности, член-корреспондент Международной академии информатизации, профессор, заведующий кафедрой управления разработкой программного обеспечения, руководитель отделения программной инженерии Национального исследовательского университета «Высшая школа экономики», руководитель магистерской программы “Системная и программная инженерия”. Автор более 150 научных работ, в том числе 6 монографий. Имеет опыт создания и реализации в НИУ ВШЭ учебных образовательных программ подготовки магистров и бакалавров по направлению «Программная инженерия» в соответствии с профессиональными и образовательными международными стандартами. Принимал участие в разработке профессиональных стандартов для отрасли информационных технологий и Федерального образовательного стандарта высшего профессионального образования нового поколения по направлению программная инженерия. Лауреат престижной награды “ IBM Faculty Awards 2011” за разработку магистерской программы двойных дипломов на основе межинституционального партнёрства с Technische Universiteit Eindhoven (TU/e). Благодаря его усилиям, НИУ ВШЭ стала первым в России высшим учебным заведением, принявшим к действию не только руководство «Совокупность знаний по программной инженерии» (Software Engineering Body of Knowledge, SWEBOK), но и программу аттестации CSDA и CSDP (Certified Software Development Associate, для специалистов, и Professional, для профессионалов) IEEE Computer Society — лидирующей в мире организации профессионалов в области вычислительной техники.
По-моему, очень нужный доклад. В новостях постоянно говорят о том, что дыры в ПО привели проблемам – неправильной работе оборудования, утечке информации. И получается, что виноваты или программисты, или сисадмины, которые плохо настроили софт. Но в институте ведь студентам не объясняют, какие последствия могут быть у ошибки. Думаю, что у будущих программистов будет больше ответственности за свою работу, если в техническом вузе реальные ситуации изучать.
QA engineers would benefit from the insight into security problems in software engineering, because currently very few have a good understanding of security issues and their impact. I am very much in favor of formal approaches that have direct applications like in this paper. From my perspective, the more real examples the speaker provides the better.