1. К вопросу о сертификации
производства безопасных
программных средств
Александр Барабанов, CISSP, CSSLP
Алексей Марков, кандидат технических
наук, с.н.с., CISSP, SBCI,
доцент МГТУ им. Н.Э.Баумана
4. Распределение дефектов безопасности
программного обеспечения по типам
Аутентификационные
данные в коде
программы (CWE-798)
9%
Межсайтовый
скриптинг (CWE-79)
17%
57%
Внедрение SQL-кода
(CWE-89)
17%
Утечка информации и
неверная обработка
ошибок (CWE-717)
4
6. ГОСТ Р «Защита информации. Требования по
обеспечению безопасности разработки
программного обеспечения»
Начало:
апрель 2013
Проект первой
редакции:
август 2013
Окончательная
редакция: май
2014
6
7. Учитываемые особенности
обеспечение внедрения необходимых
процедур на самых ранних стадиях
проектирования ПО
учет положений «лучших практик»
совместимость с методологией «Общие
критерии»
обеспечение возможность интеграции
процедур разработки безопасных ПС с
существующей на предприятии системой
управления ИБ
7
8. Перечень процедур, используемых при
разработке безопасного ПО
управление конфигурацией
использование инструментальных средств и
методов разработки
обеспечение безопасности разработки
поставка
обновление и устранение уязвимостей и
дефектов безопасности ПО
проектирование и реализации безопасного ПО
8
9. Процедуры управления конфигурацией
маркировка элементов ПО
эксплуатационная документация на
систему управления конфигурацией
описание методов идентификации
элементов конфигурации
план управления конфигурацией и план
приемки
список элементов конфигурации
9
11. Процедуры обеспечения безопасности
разработки
физический и логический
контроль доступа
политика безопасности в
отношении посетителей
резервное копирование
защита от утечек информации
обучение персонала
процедуры найма/увольнения
11
12. Процедуры поставки
процедуры поставки ПО или его
частей пользователю
процедуры, необходимые для
безопасной установки, генерации и
запуска ПО
12
13. Обновление и устранение уязвимостей и
дефектов безопасности
организация инфраструктуры
распространения обновлений
анализ влияния обновлений
на безопасность
13
14. Проектирование и реализации безопасного ПО
использование методов защищенного
программирования
обучение сотрудников
моделирование угроз
статический и динамический анализ
тестирование на проникновение
…..
14
15. Связь с нормативными правовыми актами
ФСТЭК России
Требование
Требование
разрабатываемого стандарта
ГОСТ Р ИСО/МЭК 15408-3
Требования к функциональным возможностям системы ACM_CAP.1, ACM_CAP.2, ACM_CAP.3,
управления конфигурацией
ACM_CAP.4, ACM_CAP.5
Требования к области действия системы управления ACM_SCP.1, ACM_SCP.2, ACM_SCP.3
конфигурации
Требования к средствам автоматизации процесса ACM_AUT.1, ACM_AUT.2
управления конфигурацией
Требования к
жизненного цикла
процедурам
определения
модели ALC_LCD.1, ALC_LCD.2, ALC_LCD.3
Требования к процедурам проектирования и реализации ATE_FUN.1, ATE_FUN.2, AVA_VLA,
безопасных ПС
ADV_FSP, ADV_HLD, ADV_LLD,
ADV_RCR
Требования
к
процедурам
использования ALC_TAT.1, ALC_TAT.2, ALC_TAT.3
инструментальных средств и методов разработки
Требования к обеспечению безопасности разработки
ALC_DVS.1, ALC_DVS.2
Требования к процедуре поставки
ADO_DEL.1, ADO_DEL.2, ADO_DEL.3,
ADO_ISG, AGD_ADM, AGD_USR
Требования к реализации процедур обновления и ALC_FLR.1, ALC_FLR.2, ALC_FLR.3
устранения недостатков
15
