SlideShare ist ein Scribd-Unternehmen logo

Обеспечение качества ПО: международный опыт

Aleksey Lukatskiy
Aleksey Lukatskiy
Technologie
1 von 34
Downloaden Sie, um offline zu lesen
Анализ качества ПО с точки зрения безопасности: международный опыт Лукацкий Алексей, консультант по безопасности
ВЫГОДНО ЛИ ЗАНИМАТЬСЯ АНАЛИЗОМ КАЧЕСТВА ПО?
Почему выгодно заниматься анализом качества ПО?
Почему выгодно заниматься анализом качества ПО?
Почему выгодно заниматься анализом качества ПО? • Данные расчеты применимы к крупным разработчикам ПО
ЕСЛИ НЕ ДЕНЬГИ, ТО ЧТО МОТИВИРУЕТ НА АНАЛИЗ КАЧЕСТВА ПО?
Что требует Министерство Обороны США? • Раздел 933 «IMPROVEMENTS IN ASSURANCE OF COMPUTER SOFTWARE PROCURED BY THE DEPARTMENT OF DEFENSE» закона «Defense National Defense Authorization Act of 2013» – Обязательный контроль качества ПО, приобретаемого Министерством Обороны США • Задача достигается применением – автоматизированных сканеров безопасности, – тестированием, – анализом кода, – и т.д.
Требований у Министерства Обороны США немало
Что требуется в госорганах США? • 5.02.2013 NIST опубликовал 4-ю версию SP800-53 «Security and Privacy Control for Federal Information Systems and Organizations» – Обязателен для государственных органов США – Группа защитных мер «Systems and Service Acquisition» – Абсолютно новый блок SA-11 «Developer Security Testing and Evaluation» • 7 защитных мер (на выбор) – Средства анализа кода – Анализ уязвимостей и угроз – Независимая оценка плана анализа защищенности – Ручной анализ кода – Пентесты – Моделирование угроз – Проверка области тестирования/анализа
Что требуется в госорганах США? • В NIST SP800-53 также введен новый блок защитных мер SA-12 по контролю цепочек поставок компонентов информационных систем – Вы уверены, что в приобретенном вами коде нет случайных или намеренных закладок? – Оценка ДО выбора системы, ДО ее использования и ДО ее обновления • Механизмы реализации SA-12 – Статический и динамический анализ – Симуляция – Тестирование в режиме «белого»/«серого»/«черного» ящика – Пентесты – Fuzz testing – Криптографические хэши – И т.д.
ЛУЧШИЕ ПРАКТИКИ
Что такое защищенный код? • 10% функций защиты – МСЭ – ACL – криптография • 90% защищенных функций – Защита от переполнения – Проверка входных данных – Контроль выходных данных • Требуется непрерывный процесс обеспечения и повышения качества ПО, включающий решение различных задач
Лучшие практики по обеспечению качества ПО • Включает не только анализ качества ПО, но и также • Правила защищенного программирования • Регулярные тренинги и программы повышения осведомленности • Моделирование угроз • Тестирование • И т.д.
Cisco Security Ninja: все начинается с тренингов и повышения осведомленности • Стимулирование изучения CSDL широким спектром сотрудников Cisco • Система распознавания и мотивации сотрудников • Применение практик CSDL в работе
Меры по защите информации
Microsoft Security Development Lifecycle (SDL) • Цикл защищенной разработки ПО от Microsoft включает в себя различные задачи по повышению качества ПО – Тренинги – Анализ рисков – Моделирование угроз – Механизмы тестирования (статического и динамического) – Реагирование на инциденты с ПО – И т.д. • Традиционный SDL и Agile SDL
Microsoft Security Development Lifecycle (SDL) и Agile
Как протестировать ПО?
EMC SDL
SDL разных компаний похожи между собой
Библиотека угроз при разработке ПО ускоряет время разработки
Оценка рисков для каждой угрозы позволяет учесть приоритеты
Рекомендации по защищенному программированию
Рекомендации по тестированию ПО
Как тестировать?
Чем проверять: десятки различных инструментов • Статический анализ – FxCop – CAT.NET – PREFast • Динамический анализ – Различные fuzzer’ы – AppVerifier • Библиотеки для защищенного программирования – StrSafe – SafeInt – AntiXss
Как оценить результаты тестирования ПО?
Уровни зрелости обеспечения качества ПО Активности в зависимости Реактивный Проактивный Интегрирован Оптимальный -ный от уровня зрелости Identify Product Security liaisons + + + + Pre-GA Risk Assessment + + + Security Alert Tracking + + + Vulnerability Scanning + + + Full Engineering training + + Threat Modeling @ Design + + Source Code Analysis + + Security Testing against Product Security Standard + + Supply Chain Protection + Independent Penetration Testing +
А ЧТО В РОССИИ?
Российские требования по анализу качества кода: финансовые организации • Также документация на разрабатываемые АБС или приобретаемые готовые АБС и их компоненты должна содержать описание реализованных защитных мер, предпринятых разработ чиком относительно безопасности разработки и безопасности поставки – 7.3.5 СТО БР ИББС 1.0 • Разделы 6.3, 6.5 и 6.6 PCI DSS, посвященные проверке качества кода, безопасной разработке и регулярному тестированию ПО на предмет требований стандарта PCI DSS и других лучших практик • Стандарт PA DSS полностью посвящен вопросам разработки платежных приложений – Особенно раздел 5 • РС «Требования к банковским приложениям и разработчикам банковских приложений» (план)
Постановление Правительства №1119 • Угрозы 1-го типа актуальны для информационной системы персональных данных, если для нее, в том числе, актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в составе информационной системы персональных данных • Угрозы 2-го типа актуальны для информационной системы персональных данных, если для нее, в том числе, актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в составе информационной системы персональных данных • Угрозы 3-го типа актуальны для информационной системы персональных данных, если для нее не актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в составе информационной системы персональных данных
Российские требования по анализу качества кода: персональные данные • В случае определения в качестве актуальных угроз безопасности персональных данных 1-го и 2-го типов дополнительно к мерам по обеспечению безопасности персональных данных могут применяться следующие меры – Проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых; – Тестирование информационной системы на проникновения – Использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования
Дополнительная информация • «Build Security In» – https://buildsecurityin.us- cert.gov/ • Институт Карнеги-Меллона – https://www.cert.org/secure- coding/ • Software Assurance Marketplace (SWAMP) – http://swamp.cosalab.org/in dex.html
security-request@cisco.com Благодарю вас за внимание BRKSEC-1065 © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco 34

Empfohlen

Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практикеPointlane
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработкиRISClubSPb
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийRISClubSPb
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 

Empfohlen

Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практикеPointlane
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработкиRISClubSPb
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийRISClubSPb
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБAlexander Dorofeev
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processesAlexey Kachalin
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬPositive Hack Days
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработкиPositive Development User Group
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Alexey Kachalin
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораAlexey Kachalin
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителейPositive Development User Group
 
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиАльтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиAleksey Lukatskiy
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Valery Boronin
 
Анализ угроз ИБ компаниям-разработчикам СЗИ
Анализ угроз ИБ компаниям-разработчикам СЗИАнализ угроз ИБ компаниям-разработчикам СЗИ
Анализ угроз ИБ компаниям-разработчикам СЗИAlexey Kachalin
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
Security And Crisis
Security And CrisisSecurity And Crisis
Security And CrisisAleksey Lukatskiy
 
Security Effectivness and Efficiency
Security Effectivness and EfficiencySecurity Effectivness and Efficiency
Security Effectivness and EfficiencyAleksey Lukatskiy
 

Weitere ähnliche Inhalte

Was ist angesagt?

Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processesAlexey Kachalin
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬPositive Hack Days
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработкиPositive Development User Group
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Alexey Kachalin
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораAlexey Kachalin
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителейPositive Development User Group
 
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиАльтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиAleksey Lukatskiy
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Valery Boronin
 
Анализ угроз ИБ компаниям-разработчикам СЗИ
Анализ угроз ИБ компаниям-разработчикам СЗИАнализ угроз ИБ компаниям-разработчикам СЗИ
Анализ угроз ИБ компаниям-разработчикам СЗИAlexey Kachalin
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 

Was ist angesagt? (20)

Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processes
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по иб
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложениях
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренца
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработки
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасности
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятора
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителей
 
Альтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасностиАльтернативный курс по информационной безопасности
Альтернативный курс по информационной безопасности
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)
 
Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016
 
Анализ угроз ИБ компаниям-разработчикам СЗИ
Анализ угроз ИБ компаниям-разработчикам СЗИАнализ угроз ИБ компаниям-разработчикам СЗИ
Анализ угроз ИБ компаниям-разработчикам СЗИ
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
 

Andere mochten auch

Security Effectivness and Efficiency
Security Effectivness and EfficiencySecurity Effectivness and Efficiency
Security Effectivness and EfficiencyAleksey Lukatskiy
 
What every cio should know about security
What every cio should know about securityWhat every cio should know about security
What every cio should know about securityAleksey Lukatskiy
 
Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийБезопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийAleksey Lukatskiy
 
Cisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityServiceCisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityServiceAleksey Lukatskiy
 
Security and football: what's difference
Security and football: what's differenceSecurity and football: what's difference
Security and football: what's differenceAleksey Lukatskiy
 
Security finance measurement
Security finance measurementSecurity finance measurement
Security finance measurementAleksey Lukatskiy
 
Психология в деятельности CISO
Психология в деятельности CISOПсихология в деятельности CISO
Психология в деятельности CISOAleksey Lukatskiy
 
Безопасность современного ЦОДа
Безопасность современного ЦОДаБезопасность современного ЦОДа
Безопасность современного ЦОДаAleksey Lukatskiy
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаAleksey Lukatskiy
 
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсовФинансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсовAleksey Lukatskiy
 
Оценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБОценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБAleksey Lukatskiy
 
Мастер класс по моделированию угроз
Мастер класс по моделированию угрозМастер класс по моделированию угроз
Мастер класс по моделированию угрозAleksey Lukatskiy
 
Чеклист по безопасности облачного провайдера
Чеклист по безопасности облачного провайдераЧеклист по безопасности облачного провайдера
Чеклист по безопасности облачного провайдераAleksey Lukatskiy
 
Моделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктурыМоделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктурыAleksey Lukatskiy
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБAleksey Lukatskiy
 
BYOD с точки зрения ИБ. Подводные и надводные камни внедрения
BYOD с точки зрения ИБ. Подводные и надводные камни внедренияBYOD с точки зрения ИБ. Подводные и надводные камни внедрения
BYOD с точки зрения ИБ. Подводные и надводные камни внедренияAleksey Lukatskiy
 

Andere mochten auch (20)

Security And Crisis
Security And CrisisSecurity And Crisis
Security And Crisis
 
Security Effectivness and Efficiency
Security Effectivness and EfficiencySecurity Effectivness and Efficiency
Security Effectivness and Efficiency
 
Mobile security office
Mobile security officeMobile security office
Mobile security office
 
What every cio should know about security
What every cio should know about securityWhat every cio should know about security
What every cio should know about security
 
Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийБезопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычислений
 
Cisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityServiceCisco ScanSafe Cloud SecurityService
Cisco ScanSafe Cloud SecurityService
 
Security and football: what's difference
Security and football: what's differenceSecurity and football: what's difference
Security and football: what's difference
 
Mobility and cloud security
Mobility and cloud securityMobility and cloud security
Mobility and cloud security
 
Security finance measurement
Security finance measurementSecurity finance measurement
Security finance measurement
 
Психология в деятельности CISO
Психология в деятельности CISOПсихология в деятельности CISO
Психология в деятельности CISO
 
Безопасность современного ЦОДа
Безопасность современного ЦОДаБезопасность современного ЦОДа
Безопасность современного ЦОДа
 
Бизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасникаБизнес-модели в деятельности безопасника
Бизнес-модели в деятельности безопасника
 
Финансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсовФинансовое измерение ИБ. 10 кейсов
Финансовое измерение ИБ. 10 кейсов
 
Оценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБОценка отдачи вложений в ИБ
Оценка отдачи вложений в ИБ
 
Мастер класс по моделированию угроз
Мастер класс по моделированию угрозМастер класс по моделированию угроз
Мастер класс по моделированию угроз
 
Чеклист по безопасности облачного провайдера
Чеклист по безопасности облачного провайдераЧеклист по безопасности облачного провайдера
Чеклист по безопасности облачного провайдера
 
Моделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктурыМоделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктуры
 
Измерение эффективности ИБ
Измерение эффективности ИБИзмерение эффективности ИБ
Измерение эффективности ИБ
 
Social network security
Social network securitySocial network security
Social network security
 
BYOD с точки зрения ИБ. Подводные и надводные камни внедрения
BYOD с точки зрения ИБ. Подводные и надводные камни внедренияBYOD с точки зрения ИБ. Подводные и надводные камни внедрения
BYOD с точки зрения ИБ. Подводные и надводные камни внедрения
 

Ähnlich wie Обеспечение качества ПО: международный опыт

Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБКомпания УЦСБ
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложенийAlexander Kolybelnikov
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'Positive Hack Days
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'Positive Hack Days
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)Positive Hack Days
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
Современные российские средства защиты информации
Современные российские средства защиты информацииСовременные российские средства защиты информации
Современные российские средства защиты информацииDialogueScience
 
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Positive Hack Days
 
алексей лукацкий
алексей лукацкийалексей лукацкий
алексей лукацкийPositive Hack Days
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаRISSPA_SPb
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Expolink
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Uladzislau Murashka
 
Обзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИОбзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИDialogueScience
 
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Expolink
 

Ähnlich wie Обеспечение качества ПО: международный опыт (20)

Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложений
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
 
дмитрий кузнецов (2)
дмитрий кузнецов (2)дмитрий кузнецов (2)
дмитрий кузнецов (2)
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
 
Современные российские средства защиты информации
Современные российские средства защиты информацииСовременные российские средства защиты информации
Современные российские средства защиты информации
 
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
 
алексей лукацкий
алексей лукацкийалексей лукацкий
алексей лукацкий
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
 
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2
 
Обзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИОбзор текущей ситуации в области импортозамещения СЗИ
Обзор текущей ситуации в области импортозамещения СЗИ
 
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
 

Mehr von Aleksey Lukatskiy

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадокAleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиAleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаAleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSAleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииAleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПAleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологийAleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustAleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераAleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementAleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 

Mehr von Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 

Обеспечение качества ПО: международный опыт

  • 1. Анализ качества ПО с точки зрения безопасности: международный опыт Лукацкий Алексей, консультант по безопасности
  • 3. Почему выгодно заниматься анализом качества ПО?
  • 4. Почему выгодно заниматься анализом качества ПО?
  • 5. Почему выгодно заниматься анализом качества ПО? • Данные расчеты применимы к крупным разработчикам ПО
  • 6. ЕСЛИ НЕ ДЕНЬГИ, ТО ЧТО МОТИВИРУЕТ НА АНАЛИЗ КАЧЕСТВА ПО?
  • 7. Что требует Министерство Обороны США? • Раздел 933 «IMPROVEMENTS IN ASSURANCE OF COMPUTER SOFTWARE PROCURED BY THE DEPARTMENT OF DEFENSE» закона «Defense National Defense Authorization Act of 2013» – Обязательный контроль качества ПО, приобретаемого Министерством Обороны США • Задача достигается применением – автоматизированных сканеров безопасности, – тестированием, – анализом кода, – и т.д.
  • 8. Требований у Министерства Обороны США немало
  • 9. Что требуется в госорганах США? • 5.02.2013 NIST опубликовал 4-ю версию SP800-53 «Security and Privacy Control for Federal Information Systems and Organizations» – Обязателен для государственных органов США – Группа защитных мер «Systems and Service Acquisition» – Абсолютно новый блок SA-11 «Developer Security Testing and Evaluation» • 7 защитных мер (на выбор) – Средства анализа кода – Анализ уязвимостей и угроз – Независимая оценка плана анализа защищенности – Ручной анализ кода – Пентесты – Моделирование угроз – Проверка области тестирования/анализа
  • 10. Что требуется в госорганах США? • В NIST SP800-53 также введен новый блок защитных мер SA-12 по контролю цепочек поставок компонентов информационных систем – Вы уверены, что в приобретенном вами коде нет случайных или намеренных закладок? – Оценка ДО выбора системы, ДО ее использования и ДО ее обновления • Механизмы реализации SA-12 – Статический и динамический анализ – Симуляция – Тестирование в режиме «белого»/«серого»/«черного» ящика – Пентесты – Fuzz testing – Криптографические хэши – И т.д.
  • 12. Что такое защищенный код? • 10% функций защиты – МСЭ – ACL – криптография • 90% защищенных функций – Защита от переполнения – Проверка входных данных – Контроль выходных данных • Требуется непрерывный процесс обеспечения и повышения качества ПО, включающий решение различных задач
  • 13. Лучшие практики по обеспечению качества ПО • Включает не только анализ качества ПО, но и также • Правила защищенного программирования • Регулярные тренинги и программы повышения осведомленности • Моделирование угроз • Тестирование • И т.д.
  • 14. Cisco Security Ninja: все начинается с тренингов и повышения осведомленности • Стимулирование изучения CSDL широким спектром сотрудников Cisco • Система распознавания и мотивации сотрудников • Применение практик CSDL в работе
  • 15. Меры по защите информации
  • 16. Microsoft Security Development Lifecycle (SDL) • Цикл защищенной разработки ПО от Microsoft включает в себя различные задачи по повышению качества ПО – Тренинги – Анализ рисков – Моделирование угроз – Механизмы тестирования (статического и динамического) – Реагирование на инциденты с ПО – И т.д. • Традиционный SDL и Agile SDL
  • 17. Microsoft Security Development Lifecycle (SDL) и Agile
  • 20. SDL разных компаний похожи между собой
  • 21. Библиотека угроз при разработке ПО ускоряет время разработки
  • 22. Оценка рисков для каждой угрозы позволяет учесть приоритеты
  • 23. Рекомендации по защищенному программированию
  • 26. Чем проверять: десятки различных инструментов • Статический анализ – FxCop – CAT.NET – PREFast • Динамический анализ – Различные fuzzer’ы – AppVerifier • Библиотеки для защищенного программирования – StrSafe – SafeInt – AntiXss
  • 27. Как оценить результаты тестирования ПО?
  • 28. Уровни зрелости обеспечения качества ПО Активности в зависимости Реактивный Проактивный Интегрирован Оптимальный -ный от уровня зрелости Identify Product Security liaisons + + + + Pre-GA Risk Assessment + + + Security Alert Tracking + + + Vulnerability Scanning + + + Full Engineering training + + Threat Modeling @ Design + + Source Code Analysis + + Security Testing against Product Security Standard + + Supply Chain Protection + Independent Penetration Testing +
  • 29. А ЧТО В РОССИИ?
  • 30. Российские требования по анализу качества кода: финансовые организации • Также документация на разрабатываемые АБС или приобретаемые готовые АБС и их компоненты должна содержать описание реализованных защитных мер, предпринятых разработ чиком относительно безопасности разработки и безопасности поставки – 7.3.5 СТО БР ИББС 1.0 • Разделы 6.3, 6.5 и 6.6 PCI DSS, посвященные проверке качества кода, безопасной разработке и регулярному тестированию ПО на предмет требований стандарта PCI DSS и других лучших практик • Стандарт PA DSS полностью посвящен вопросам разработки платежных приложений – Особенно раздел 5 • РС «Требования к банковским приложениям и разработчикам банковских приложений» (план)
  • 31. Постановление Правительства №1119 • Угрозы 1-го типа актуальны для информационной системы персональных данных, если для нее, в том числе, актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в составе информационной системы персональных данных • Угрозы 2-го типа актуальны для информационной системы персональных данных, если для нее, в том числе, актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в составе информационной системы персональных данных • Угрозы 3-го типа актуальны для информационной системы персональных данных, если для нее не актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в составе информационной системы персональных данных
  • 32. Российские требования по анализу качества кода: персональные данные • В случае определения в качестве актуальных угроз безопасности персональных данных 1-го и 2-го типов дополнительно к мерам по обеспечению безопасности персональных данных могут применяться следующие меры – Проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых; – Тестирование информационной системы на проникновения – Использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования
  • 33. Дополнительная информация • «Build Security In» – https://buildsecurityin.us- cert.gov/ • Институт Карнеги-Меллона – https://www.cert.org/secure- coding/ • Software Assurance Marketplace (SWAMP) – http://swamp.cosalab.org/in dex.html
  • 34. security-request@cisco.com Благодарю вас за внимание BRKSEC-1065 © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco 34