SlideShare ist ein Scribd-Unternehmen logo

Разработка ПО в рамках PCI DSS

Als PPTX, PDF herunterladen
Alex Babenko
Alex Babenko
Technologie
1 von 14
Конференция компании «Информзащита» «Информационная безопасность для банков и TELCO» Разработка ПО в рамках PCI DSS как ее видит жуткий зануда Алексей Бабенко руководитель направления, PA&PCI QSA
«Стандартный» взгляд • Набор требований, которые должны выполнить программисты? • 6.3-6.5 стандарта? • Применимо только при наличии отдельного подразделения разработчиков? • Отдельный процесс, осуществляемый разработчиками
Процессный подход Проектирование Обучение Создание Оценка рисков Анализ Выпуск + Отслеживание уязвимостей
Обучение • Знать – уметь – использовать • Основные темы: • • • требования PCI DSS приемы безопасной разработки (OWASP, CWE), проектирования, тестирования, пр. лучшие практики отрасли • Форма обучения: • • • самостоятельное внутреннее внешнее • Периодические обучение – хорошо, но лучше непрерывный процесс
Проектирование • Не всегда использование номеров карт целесообразно • Формирование требований: • • • • Требования PCI DSS (ПО = системный компонент) Учет лучших практик Учет внутренних требований по ИБ Учет оценки рисков и информации об уязвимостях • Проектирование с учетом сформированных требований
Создание • Требования к разработке: • • • • Использование методов безопасного программирования Применение лучших практик Учет требований PCI DSS Учет оценки рисков и анализа угроз • Разделение сред и обязанностей • Корректное использование тестовых данных
Анализ • Анализ кода (белый ящик) • • • • Использование приемов безопасной разработки Автоматизированный анализ только в качестве инструмента в руках специалиста Проводит специалист с опытом в данной сфере не являющийся автором кода Анализ для всех изменений на предмет безопасности • Тестирование безопасности (черный ящик): • • Общефункциональное с учетом выявленных уязвимостей Тестирование безопасности: • • • • Реализация требований PCI DSS Меры по защите от известных уязвимостей Меры предотвращения недостатков выявленных в модели угроз и при анализе новых уязвимостей Тестирование по методике – хорошо, с использованием контрольных чек-листов – лучше.
Выпуск • Решение за выпуск релиза: • • • • Предыдущие этапы были выполнены успешно Требования стандарта учтены Разработаны процедуры «отката» Оценка воздействия на затрагиваемый процесс • Ответственный за выпуск релиза – отвечает за факт выполнения процедур, ответственность за качество выполнения на соответствующих специалистах • Релиз – не конец проекта
Выявление уязвимостей • Выявляем все что может влиять на безопасность ПО: • • • Новые уязвимости и слабости в функциях программирования Уязвимости компиляторов Уязвимости используемых сторонних библиотек, компонент, сервисов, протоколов • Корректная работа с последними обновлениями системных компонент • Учет результатов при проектировании, разработке, анализов
Анализ угроз • В рамках общего анализа рисков • Стандарт – минимальный набор требований, каждое ПО уникально и может иметь специфичные угрозы • Моделирование угроз – STRIDE, OWASP, CERT • Учет результатов анализа при проектировании, разработке, анализе
Следующий шаг • Выполнение требований PA-DSS • Создание аналога руководства по применению PA-DSS – документа, описывающего как ПО выполняет требования стандарта и какими настройками это обеспечивается • Проведение внешнего обучения • Проведение независимой оценки ПО • Выделение отдельного подразделение – обеспечения безопасности ПО
Сравнение SDL PCI DSS Development Lifecycle Cisco Secure Development Lifecycle Microsoft Security Development Lifecycle Обучение Secure Design Training Выявление уязвимостей 3rd Party Security Implementation (частично) Проектирование Product Security Requirements Requirements Оценка рисков Secure Design Design Создание Secure Coding Implementation Анализ кода Secure Analysis Implementation Тестирование безопасности Vulnerability Testing Verification, Release Выпуск - Release Поддержка - Response
ВОПРОСЫ? Алексей Бабенко руководитель направления, PA&PCI QSA a.babenko@infosec.ru + 7 (495) 980-23-45 #458 + 7 905 991-99-19 skype: arekusux arekusux.blogspot.com www.infosec.ru
Полезные ссылки • Безопасное программирование • • http://cwe.mitre.org http://owasp.org • Общие базы данных уязвимостей • • • http://www.securityfocus.com http://nvd.nist.gov http://secunia.com • Информация по обучению • Информация по внешнему обучению: • • • • • Материалы для организации внутреннего обучения: • • • • • • • http://itsecurity.ru/catalog/kp75 http://www.sans.org/security-training.php https://www.owasp.org/index.php/Category:OWASP_AppSec_Conference http://www.giac.org/certification/gssp-java https://www.owasp.org/index.php/Category:OWASP_Code_Review_Project https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project http://www.sans.org/top25-software-errors http://projects.webappsec.org/w/page/13246978/Threat-Classification http://www.cert.org/secure-coding http://cwe.mitre.org/data/graphs/699.html Материалы с сайта консула: • • • https://www.pcisecuritystandards.org/pdfs/PCI_DSS_v2_eCommerce_Guidelines.pdf https://www.pcisecuritystandards.org/documents/information_supplement_6.6.pdf https://www.pcisecuritystandards.org/documents/Mobile_Payment_Security_Guidelines_Developers_v1.pdf

Empfohlen

Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практикеPointlane
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработкиRISClubSPb
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийRISClubSPb
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработкиPositive Development User Group
 

Empfohlen

Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практикеPointlane
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработкиRISClubSPb
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийRISClubSPb
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработкиPositive Development User Group
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителейPositive Development User Group
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаRISSPA_SPb
 
Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Valery Boronin
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложенийAlexander Kolybelnikov
 
SDL/SSDL для руководителей
SDL/SSDL для руководителейSDL/SSDL для руководителей
SDL/SSDL для руководителейValery Boronin
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬPositive Hack Days
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Alexey Kachalin
 
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Positive Hack Days
 
PT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовкаPT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовкаValery Boronin
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
Инновации в построении систем защиты информации АСУ ТП
Инновации в построении систем защиты информации АСУ ТПИнновации в построении систем защиты информации АСУ ТП
Инновации в построении систем защиты информации АСУ ТПЭЛВИС-ПЛЮС
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеDigital Security
 
Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Vlad Styran
 
Презентация по дисциплине технология разработки программного обеспечения
Презентация по дисциплине технология разработки программного обеспеченияПрезентация по дисциплине технология разработки программного обеспечения
Презентация по дисциплине технология разработки программного обеспеченияRauan Ibraikhan
 

Weitere ähnliche Inhalte

Was ist angesagt?

Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителейPositive Development User Group
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаRISSPA_SPb
 
Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Valery Boronin
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложенийAlexander Kolybelnikov
 
SDL/SSDL для руководителей
SDL/SSDL для руководителейSDL/SSDL для руководителей
SDL/SSDL для руководителейValery Boronin
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬPositive Hack Days
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Alexey Kachalin
 
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Positive Hack Days
 
PT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовкаPT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовкаValery Boronin
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
Инновации в построении систем защиты информации АСУ ТП
Инновации в построении систем защиты информации АСУ ТПИнновации в построении систем защиты информации АСУ ТП
Инновации в построении систем защиты информации АСУ ТПЭЛВИС-ПЛЮС
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеDigital Security
 

Was ist angesagt? (20)

Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителей
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
 
Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdl
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложений
 
SDL/SSDL для руководителей
SDL/SSDL для руководителейSDL/SSDL для руководителей
SDL/SSDL для руководителей
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)
 
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
 
PT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовкаPT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовка
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложениях
 
Инновации в построении систем защиты информации АСУ ТП
Инновации в построении систем защиты информации АСУ ТПИнновации в построении систем защиты информации АСУ ТП
Инновации в построении систем защиты информации АСУ ТП
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновение
 

Ähnlich wie Разработка ПО в рамках PCI DSS

Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Vlad Styran
 
Презентация по дисциплине технология разработки программного обеспечения
Презентация по дисциплине технология разработки программного обеспеченияПрезентация по дисциплине технология разработки программного обеспечения
Презентация по дисциплине технология разработки программного обеспеченияRauan Ibraikhan
 
презентация по дисциплине технология разработки программного обеспечения
презентация по дисциплине технология разработки программного обеспеченияпрезентация по дисциплине технология разработки программного обеспечения
презентация по дисциплине технология разработки программного обеспеченияRauan Ibraikhan
 
Code review как средство обеспечения качества программного обеспечения
Code review как средство обеспечения качества программного обеспеченияCode review как средство обеспечения качества программного обеспечения
Code review как средство обеспечения качества программного обеспеченияSQALab
 
алексей лукацкий
алексей лукацкийалексей лукацкий
алексей лукацкийPositive Hack Days
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБКомпания УЦСБ
 
Технический долг: взгляд и действия со стороны QA / QC&AT
Технический долг: взгляд и действия со стороны QA / QC&ATТехнический долг: взгляд и действия со стороны QA / QC&AT
Технический долг: взгляд и действия со стороны QA / QC&ATCodeFest
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'Positive Hack Days
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'Positive Hack Days
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)Positive Hack Days
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...Ivan Piskunov
 
доклад на SQADays 2011 в Казани
доклад на SQADays 2011 в Казанидоклад на SQADays 2011 в Казани
доклад на SQADays 2011 в Казаниmargo-qa
 
Обеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системахОбеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системахAndrew Petukhov
 
Sdlc by Anatoliy Anthony Cox
Sdlc by Anatoliy Anthony CoxSdlc by Anatoliy Anthony Cox
Sdlc by Anatoliy Anthony CoxAlex Tumanoff
 
Security Metrics for PCI Compliance
Security Metrics for PCI ComplianceSecurity Metrics for PCI Compliance
Security Metrics for PCI Complianceqqlan
 
Software Analytics in frontend
Software Analytics in frontendSoftware Analytics in frontend
Software Analytics in frontendDenis Kolesnikov
 
Python tools for web development (Python meetup Almaty #ALAPY)
Python tools for web development (Python meetup Almaty #ALAPY)Python tools for web development (Python meetup Almaty #ALAPY)
Python tools for web development (Python meetup Almaty #ALAPY)aviatakz
 

Ähnlich wie Разработка ПО в рамках PCI DSS (20)

Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle
 
Презентация по дисциплине технология разработки программного обеспечения
Презентация по дисциплине технология разработки программного обеспеченияПрезентация по дисциплине технология разработки программного обеспечения
Презентация по дисциплине технология разработки программного обеспечения
 
презентация по дисциплине технология разработки программного обеспечения
презентация по дисциплине технология разработки программного обеспеченияпрезентация по дисциплине технология разработки программного обеспечения
презентация по дисциплине технология разработки программного обеспечения
 
Code review как средство обеспечения качества программного обеспечения
Code review как средство обеспечения качества программного обеспеченияCode review как средство обеспечения качества программного обеспечения
Code review как средство обеспечения качества программного обеспечения
 
алексей лукацкий
алексей лукацкийалексей лукацкий
алексей лукацкий
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
 
Технический долг: взгляд и действия со стороны QA / QC&AT
Технический долг: взгляд и действия со стороны QA / QC&ATТехнический долг: взгляд и действия со стороны QA / QC&AT
Технический долг: взгляд и действия со стороны QA / QC&AT
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
 
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...
 
доклад на SQADays 2011 в Казани
доклад на SQADays 2011 в Казанидоклад на SQADays 2011 в Казани
доклад на SQADays 2011 в Казани
 
Обеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системахОбеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системах
 
Wgforge CI/CD
Wgforge CI/CDWgforge CI/CD
Wgforge CI/CD
 
Sdlc by Anatoliy Anthony Cox
Sdlc by Anatoliy Anthony CoxSdlc by Anatoliy Anthony Cox
Sdlc by Anatoliy Anthony Cox
 
Security Metrics for PCI Compliance
Security Metrics for PCI ComplianceSecurity Metrics for PCI Compliance
Security Metrics for PCI Compliance
 
Software Analytics in frontend
Software Analytics in frontendSoftware Analytics in frontend
Software Analytics in frontend
 
Python tools for web development (Python meetup Almaty #ALAPY)
Python tools for web development (Python meetup Almaty #ALAPY)Python tools for web development (Python meetup Almaty #ALAPY)
Python tools for web development (Python meetup Almaty #ALAPY)
 

Mehr von Alex Babenko

Антифрод на полную мощность
Антифрод на полную мощностьАнтифрод на полную мощность
Антифрод на полную мощностьAlex Babenko
 
Антифрод в ДБО
Антифрод в ДБОАнтифрод в ДБО
Антифрод в ДБОAlex Babenko
 
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерияAlex Babenko
 
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSПрограмма для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSAlex Babenko
 
Анализ защищенности систем ДБО и интернет-банкинга
Анализ защищенности систем ДБО и интернет-банкингаАнализ защищенности систем ДБО и интернет-банкинга
Анализ защищенности систем ДБО и интернет-банкингаAlex Babenko
 
PCI DSS: поддержание соответствия
PCI DSS: поддержание соответствияPCI DSS: поддержание соответствия
PCI DSS: поддержание соответствияAlex Babenko
 
PCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижениеPCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижениеAlex Babenko
 
СТО БР ИББС
СТО БР ИББССТО БР ИББС
СТО БР ИББСAlex Babenko
 

Mehr von Alex Babenko (8)

Антифрод на полную мощность
Антифрод на полную мощностьАнтифрод на полную мощность
Антифрод на полную мощность
 
Антифрод в ДБО
Антифрод в ДБОАнтифрод в ДБО
Антифрод в ДБО
 
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерия
 
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSSПрограмма для банков-эквайеров по приведению мерчантов к PCI DSS
Программа для банков-эквайеров по приведению мерчантов к PCI DSS
 
Анализ защищенности систем ДБО и интернет-банкинга
Анализ защищенности систем ДБО и интернет-банкингаАнализ защищенности систем ДБО и интернет-банкинга
Анализ защищенности систем ДБО и интернет-банкинга
 
PCI DSS: поддержание соответствия
PCI DSS: поддержание соответствияPCI DSS: поддержание соответствия
PCI DSS: поддержание соответствия
 
PCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижениеPCI DSS: введение, состав и достижение
PCI DSS: введение, состав и достижение
 
СТО БР ИББС
СТО БР ИББССТО БР ИББС
СТО БР ИББС
 

Разработка ПО в рамках PCI DSS

  • 1. Конференция компании «Информзащита» «Информационная безопасность для банков и TELCO» Разработка ПО в рамках PCI DSS как ее видит жуткий зануда Алексей Бабенко руководитель направления, PA&PCI QSA
  • 2. «Стандартный» взгляд • Набор требований, которые должны выполнить программисты? • 6.3-6.5 стандарта? • Применимо только при наличии отдельного подразделения разработчиков? • Отдельный процесс, осуществляемый разработчиками
  • 4. Обучение • Знать – уметь – использовать • Основные темы: • • • требования PCI DSS приемы безопасной разработки (OWASP, CWE), проектирования, тестирования, пр. лучшие практики отрасли • Форма обучения: • • • самостоятельное внутреннее внешнее • Периодические обучение – хорошо, но лучше непрерывный процесс
  • 5. Проектирование • Не всегда использование номеров карт целесообразно • Формирование требований: • • • • Требования PCI DSS (ПО = системный компонент) Учет лучших практик Учет внутренних требований по ИБ Учет оценки рисков и информации об уязвимостях • Проектирование с учетом сформированных требований
  • 6. Создание • Требования к разработке: • • • • Использование методов безопасного программирования Применение лучших практик Учет требований PCI DSS Учет оценки рисков и анализа угроз • Разделение сред и обязанностей • Корректное использование тестовых данных
  • 7. Анализ • Анализ кода (белый ящик) • • • • Использование приемов безопасной разработки Автоматизированный анализ только в качестве инструмента в руках специалиста Проводит специалист с опытом в данной сфере не являющийся автором кода Анализ для всех изменений на предмет безопасности • Тестирование безопасности (черный ящик): • • Общефункциональное с учетом выявленных уязвимостей Тестирование безопасности: • • • • Реализация требований PCI DSS Меры по защите от известных уязвимостей Меры предотвращения недостатков выявленных в модели угроз и при анализе новых уязвимостей Тестирование по методике – хорошо, с использованием контрольных чек-листов – лучше.
  • 8. Выпуск • Решение за выпуск релиза: • • • • Предыдущие этапы были выполнены успешно Требования стандарта учтены Разработаны процедуры «отката» Оценка воздействия на затрагиваемый процесс • Ответственный за выпуск релиза – отвечает за факт выполнения процедур, ответственность за качество выполнения на соответствующих специалистах • Релиз – не конец проекта
  • 9. Выявление уязвимостей • Выявляем все что может влиять на безопасность ПО: • • • Новые уязвимости и слабости в функциях программирования Уязвимости компиляторов Уязвимости используемых сторонних библиотек, компонент, сервисов, протоколов • Корректная работа с последними обновлениями системных компонент • Учет результатов при проектировании, разработке, анализов
  • 10. Анализ угроз • В рамках общего анализа рисков • Стандарт – минимальный набор требований, каждое ПО уникально и может иметь специфичные угрозы • Моделирование угроз – STRIDE, OWASP, CERT • Учет результатов анализа при проектировании, разработке, анализе
  • 11. Следующий шаг • Выполнение требований PA-DSS • Создание аналога руководства по применению PA-DSS – документа, описывающего как ПО выполняет требования стандарта и какими настройками это обеспечивается • Проведение внешнего обучения • Проведение независимой оценки ПО • Выделение отдельного подразделение – обеспечения безопасности ПО
  • 12. Сравнение SDL PCI DSS Development Lifecycle Cisco Secure Development Lifecycle Microsoft Security Development Lifecycle Обучение Secure Design Training Выявление уязвимостей 3rd Party Security Implementation (частично) Проектирование Product Security Requirements Requirements Оценка рисков Secure Design Design Создание Secure Coding Implementation Анализ кода Secure Analysis Implementation Тестирование безопасности Vulnerability Testing Verification, Release Выпуск - Release Поддержка - Response
  • 13. ВОПРОСЫ? Алексей Бабенко руководитель направления, PA&PCI QSA a.babenko@infosec.ru + 7 (495) 980-23-45 #458 + 7 905 991-99-19 skype: arekusux arekusux.blogspot.com www.infosec.ru
  • 14. Полезные ссылки • Безопасное программирование • • http://cwe.mitre.org http://owasp.org • Общие базы данных уязвимостей • • • http://www.securityfocus.com http://nvd.nist.gov http://secunia.com • Информация по обучению • Информация по внешнему обучению: • • • • • Материалы для организации внутреннего обучения: • • • • • • • http://itsecurity.ru/catalog/kp75 http://www.sans.org/security-training.php https://www.owasp.org/index.php/Category:OWASP_AppSec_Conference http://www.giac.org/certification/gssp-java https://www.owasp.org/index.php/Category:OWASP_Code_Review_Project https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project http://www.sans.org/top25-software-errors http://projects.webappsec.org/w/page/13246978/Threat-Classification http://www.cert.org/secure-coding http://cwe.mitre.org/data/graphs/699.html Материалы с сайта консула: • • • https://www.pcisecuritystandards.org/pdfs/PCI_DSS_v2_eCommerce_Guidelines.pdf https://www.pcisecuritystandards.org/documents/information_supplement_6.6.pdf https://www.pcisecuritystandards.org/documents/Mobile_Payment_Security_Guidelines_Developers_v1.pdf