Uploaded byRISSPA_SPb
740 views

Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда

Доклад посвящен теме информационной безопасности в разработке программного обеспечения для банков и телекоммуникационных компаний, с акцентом на требования PCI DSS и безопасной разработке. Основные темы включают обучение безопасным методам разработки, анализ уязвимостей, тестирование безопасности и процессный подход к проектированию. Рассматриваются лучшие практики и требования для достижения соответствия стандартам, а также важность непрерывного обучения в данной области.

Technology
Related topics:
PCI DSS Training

Embed presentation

Downloaded 13 times
Конференция компании «Информзащита» «Информационная безопасность для банков и TELCO» Разработка ПО в рамках PCI DSS как ее видит жуткий зануда Алексей Бабенко руководитель направления, PA&PCI QSA
«Стандартный» взгляд • Набор требований, которые должны выполнить программисты? • 6.3-6.5 стандарта? • Применимо только при наличии отдельного подразделения разработчиков? • Отдельный процесс, осуществляемый разработчиками
Процессный подход Проектирование Обучение Создание Оценка рисков Анализ Выпуск + Отслеживание уязвимостей
Обучение • Знать – уметь – использовать • Основные темы: • • • требования PCI DSS приемы безопасной разработки (OWASP, CWE), проектирования, тестирования, пр. лучшие практики отрасли • Форма обучения: • • • самостоятельное внутреннее внешнее • Периодические обучение – хорошо, но лучше непрерывный процесс
Проектирование • Не всегда использование номеров карт целесообразно • Формирование требований: • • • • Требования PCI DSS (ПО = системный компонент) Учет лучших практик Учет внутренних требований по ИБ Учет оценки рисков и информации об уязвимостях • Проектирование с учетом сформированных требований
Создание • Требования к разработке: • • • • Использование методов безопасного программирования Применение лучших практик Учет требований PCI DSS Учет оценки рисков и анализа угроз • Разделение сред и обязанностей • Корректное использование тестовых данных
Анализ • Анализ кода (белый ящик) • • • • Использование приемов безопасной разработки Автоматизированный анализ только в качестве инструмента в руках специалиста Проводит специалист с опытом в данной сфере не являющийся автором кода Анализ для всех изменений на предмет безопасности • Тестирование безопасности (черный ящик): • • Общефункциональное с учетом выявленных уязвимостей Тестирование безопасности: • • • • Реализация требований PCI DSS Меры по защите от известных уязвимостей Меры предотвращения недостатков выявленных в модели угроз и при анализе новых уязвимостей Тестирование по методике – хорошо, с использованием контрольных чек-листов – лучше.
Выпуск • Решение за выпуск релиза: • • • • Предыдущие этапы были выполнены успешно Требования стандарта учтены Разработаны процедуры «отката» Оценка воздействия на затрагиваемый процесс • Ответственный за выпуск релиза – отвечает за факт выполнения процедур, ответственность за качество выполнения на соответствующих специалистах • Релиз – не конец проекта
Выявление уязвимостей • Выявляем все что может влиять на безопасность ПО: • • • Новые уязвимости и слабости в функциях программирования Уязвимости компиляторов Уязвимости используемых сторонних библиотек, компонент, сервисов, протоколов • Корректная работа с последними обновлениями системных компонент • Учет результатов при проектировании, разработке, анализов
Анализ угроз • В рамках общего анализа рисков • Стандарт – минимальный набор требований, каждое ПО уникально и может иметь специфичные угрозы • Моделирование угроз – STRIDE, OWASP, CERT • Учет результатов анализа при проектировании, разработке, анализе
Следующий шаг • Выполнение требований PA-DSS • Создание аналога руководства по применению PA-DSS – документа, описывающего как ПО выполняет требования стандарта и какими настройками это обеспечивается • Проведение внешнего обучения • Проведение независимой оценки ПО • Выделение отдельного подразделение – обеспечения безопасности ПО
Сравнение SDL PCI DSS Development Lifecycle Cisco Secure Development Lifecycle Microsoft Security Development Lifecycle Обучение Secure Design Training Выявление уязвимостей 3rd Party Security Implementation (частично) Проектирование Product Security Requirements Requirements Оценка рисков Secure Design Design Создание Secure Coding Implementation Анализ кода Secure Analysis Implementation Тестирование безопасности Vulnerability Testing Verification, Release Выпуск - Release Поддержка - Response
ВОПРОСЫ? Алексей Бабенко руководитель направления, PA&PCI QSA a.babenko@infosec.ru + 7 (495) 980-23-45 #458 + 7 905 991-99-19 skype: arekusux arekusux.blogspot.com www.infosec.ru
Полезные ссылки • Безопасное программирование • • http://cwe.mitre.org http://owasp.org • Общие базы данных уязвимостей • • • http://www.securityfocus.com http://nvd.nist.gov http://secunia.com • Информация по обучению • Информация по внешнему обучению: • • • • • Материалы для организации внутреннего обучения: • • • • • • • http://itsecurity.ru/catalog/kp75 http://www.sans.org/security-training.php https://www.owasp.org/index.php/Category:OWASP_AppSec_Conference http://www.giac.org/certification/gssp-java https://www.owasp.org/index.php/Category:OWASP_Code_Review_Project https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project http://www.sans.org/top25-software-errors http://projects.webappsec.org/w/page/13246978/Threat-Classification http://www.cert.org/secure-coding http://cwe.mitre.org/data/graphs/699.html Материалы с сайта консула: • • • https://www.pcisecuritystandards.org/pdfs/PCI_DSS_v2_eCommerce_Guidelines.pdf https://www.pcisecuritystandards.org/documents/information_supplement_6.6.pdf https://www.pcisecuritystandards.org/documents/Mobile_Payment_Security_Guidelines_Developers_v1.pdf

More Related Content

PPTX
Разработка ПО в рамках PCI DSS
byAlex Babenko
 
PPTX
Безопасная разработка приложений на практике
byPointlane
 
PDF
Цикл безопасной разработки
byRISClubSPb
 
PPT
Цикл безопасной разработки SDL
byAlex Babenko
 
PPTX
2015 02 пм качалин sdl
byAlexey Kachalin
 
PDF
Опасная разработка. Дорожная карта движения к катастрофе
bySelectedPresentations
 
PDF
Безопасность и сертификация банковского ПО
byAlex Babenko
 
PPTX
Внутреннее качество в процедурах информационной безопасности
byAlex Babenko
 
Разработка ПО в рамках PCI DSS
byAlex Babenko
 
Безопасная разработка приложений на практике
byPointlane
 
Цикл безопасной разработки
byRISClubSPb
 
Цикл безопасной разработки SDL
byAlex Babenko
 
2015 02 пм качалин sdl
byAlexey Kachalin
 
Опасная разработка. Дорожная карта движения к катастрофе
bySelectedPresentations
 
Безопасность и сертификация банковского ПО
byAlex Babenko
 
Внутреннее качество в процедурах информационной безопасности
byAlex Babenko
 

What's hot

PPTX
лекция безопасная разработка приложений
byAlexander Kolybelnikov
 
PPTX
Requirements, введение в bug tracking systems.
byDressTester
 
PDF
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
bySQALab
 
PPTX
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
byPositive Hack Days
 
PDF
презентация по дисциплине технология разработки программного обеспечения
byRauan Ibraikhan
 
PDF
Обеспечение качества ПО: международный опыт
byAleksey Lukatskiy
 
PPTX
Внедрение безопасной разработки (Infosecurity 2014)
byAlexey Kachalin
 
PPTX
Ломать и строить. PHDays 2015
byAlexey Kachalin
 
PDF
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
byCodeFest
 
PPTX
День ADV на Russian Digital Week: Тестирование как часть технологического про...
byADV/web-engineering
 
PPTX
Промышленная разработка ПО. Лекция 2. Инструменты
byMikhail Payson
 
PPTX
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
byPositive Hack Days
 
PPTX
01ka-nov
byvyacheslavmaslov
 
PDF
Построение процесса безопасной разработки
byPositive Development User Group
 
PDF
Жизненный цикл безопасной разработки платежных приложений
byRISClubSPb
 
PPTX
О PCI P2PE в общих чертах
byAlex Babenko
 
PPTX
Профилактика дефектов
bySQALab
 
PPTX
Промышленная разработка ПО. Лекция 5. Особенности работы тестировщика
byMikhail Payson
 
PPTX
Промышленная разработка ПО. Лекция 3. Особенности работы программиста. Часть...
byMikhail Payson
 
PPTX
Безопасная разработка для руководителей
byPositive Development User Group
 
лекция безопасная разработка приложений
byAlexander Kolybelnikov
 
Requirements, введение в bug tracking systems.
byDressTester
 
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
bySQALab
 
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
byPositive Hack Days
 
презентация по дисциплине технология разработки программного обеспечения
byRauan Ibraikhan
 
Обеспечение качества ПО: международный опыт
byAleksey Lukatskiy
 
Внедрение безопасной разработки (Infosecurity 2014)
byAlexey Kachalin
 
Ломать и строить. PHDays 2015
byAlexey Kachalin
 
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
byCodeFest
 
День ADV на Russian Digital Week: Тестирование как часть технологического про...
byADV/web-engineering
 
Промышленная разработка ПО. Лекция 2. Инструменты
byMikhail Payson
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
byPositive Hack Days
 
01ka-nov
byvyacheslavmaslov
 
Построение процесса безопасной разработки
byPositive Development User Group
 
Жизненный цикл безопасной разработки платежных приложений
byRISClubSPb
 
О PCI P2PE в общих чертах
byAlex Babenko
 
Профилактика дефектов
bySQALab
 
Промышленная разработка ПО. Лекция 5. Особенности работы тестировщика
byMikhail Payson
 
Промышленная разработка ПО. Лекция 3. Особенности работы программиста. Часть...
byMikhail Payson
 
Безопасная разработка для руководителей
byPositive Development User Group
 

Viewers also liked

PPT
C programming
byHarshit Varshney
 
ODP
Fairmont presentation
bycmaionaise
 
DOCX
Resume
byAnuj Kumar
 
PDF
Antislip brochure nov 2013
byWendy Chiu
 
PPTX
Passive voice
bymarimarhaba
 
PPTX
Come creare un alveare in tre mosse
byMarta Murari
 
DOC
2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...
byYuyu Wahyudin
 
PDF
DREAM Principles & User Guide 1.0
byMarcus Drost
 
DOCX
Resume
byAnuj Kumar
 
PPTX
יום עיון קבסים
bysusanake
 
PPTX
mengoperasikan komputer
bycenta_novota21
 
PPTX
Carthographic Map Explanation
byAndrea González
 
PPS
8
byBaska789
 
PDF
Comments on SEC File Number 4-692 (Accredited Investor) and S7-06-13 (Regulat...
byJason Coombs
 
PDF
Essay Writing Guide
byhannahsole6
 
PDF
Visibility
bycmaionaise
 
PPTX
Apple history Year vice
byTijinet
 
DOCX
Missyoufr lingerie sexy
byMissyou Angel
 
PPT
Presentazione luigi pugliese
byLuigi Pugliese
 
PDF
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Regarding Mott
byJason Coombs
 
C programming
byHarshit Varshney
 
Fairmont presentation
bycmaionaise
 
Resume
byAnuj Kumar
 
Antislip brochure nov 2013
byWendy Chiu
 
Passive voice
bymarimarhaba
 
Come creare un alveare in tre mosse
byMarta Murari
 
2010 07-07 ujang-inovasi-produk,_kepuasan_konsumen_dan_loyalitas_konsumen_seb...
byYuyu Wahyudin
 
DREAM Principles & User Guide 1.0
byMarcus Drost
 
Resume
byAnuj Kumar
 
יום עיון קבסים
bysusanake
 
mengoperasikan komputer
bycenta_novota21
 
Carthographic Map Explanation
byAndrea González
 
8
byBaska789
 
Comments on SEC File Number 4-692 (Accredited Investor) and S7-06-13 (Regulat...
byJason Coombs
 
Essay Writing Guide
byhannahsole6
 
Visibility
bycmaionaise
 
Apple history Year vice
byTijinet
 
Missyoufr lingerie sexy
byMissyou Angel
 
Presentazione luigi pugliese
byLuigi Pugliese
 
JOBS Act Rulemaking Comments on SEC File Number S7-06-13 Regarding Mott
byJason Coombs
 

Similar to Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда

PDF
Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...
byAndrey Fadin
 
PDF
Вебинар PCI DSS 14.10.14
byDialogueScience
 
PDF
2.pci dss eto nujno znat
byInformzaschita
 
PPTX
Barabanov_Markov it-std
byAlexander Barabanov
 
PDF
Cтандарт PCI DSS изменения в новой версии
byRISSPA_SPb
 
PPTX
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
byMaxim Avdyunin
 
PPTX
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
byPositive Hack Days
 
PPTX
дмитрий кузнецов (2)
byPositive Hack Days
 
PPTX
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
byPositive Hack Days
 
PDF
3. 10 shagov k pci compliance
byInformzaschita
 
PPTX
Роль тестирования в сертификации ПО систем с высокими требованиями к надежнос...
bySQALab
 
PPT
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
byInformzaschita
 
PPT
Sergey Gordeychik, Application Security in real word
byqqlan
 
PPTX
обеспечение безопасности программного продукта на различных стадиях жизненног...
byhmyrhik nikita
 
PPTX
PCI DSS: введение, состав и достижение
byAlex Babenko
 
PDF
PCI DSS как перейти с версии 2.0 на 3.0
byRISSPA_SPb
 
PPT
Оценка защищенности информационных систем, использующих средства криптографич...
bySQALab
 
PDF
Уральский форум за 15 минут
bySelectedPresentations
 
PDF
Весь Магнитогорск за 15 минут (2015)
byAleksey Lukatskiy
 
DOCX
О сертификации ПО по требованиям безопасности информации в системе сертификац...
byОлег Габов
 
Аудит безопасности программного кода: Подходы, стандарты, технологии выявлени...
byAndrey Fadin
 
Вебинар PCI DSS 14.10.14
byDialogueScience
 
2.pci dss eto nujno znat
byInformzaschita
 
Barabanov_Markov it-std
byAlexander Barabanov
 
Cтандарт PCI DSS изменения в новой версии
byRISSPA_SPb
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
byMaxim Avdyunin
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
byPositive Hack Days
 
дмитрий кузнецов (2)
byPositive Hack Days
 
24may 1200 valday дмитрий кузнецов 'жизненный цикл банковских приложений'
byPositive Hack Days
 
3. 10 shagov k pci compliance
byInformzaschita
 
Роль тестирования в сертификации ПО систем с высокими требованиями к надежнос...
bySQALab
 
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
byInformzaschita
 
Sergey Gordeychik, Application Security in real word
byqqlan
 
обеспечение безопасности программного продукта на различных стадиях жизненног...
byhmyrhik nikita
 
PCI DSS: введение, состав и достижение
byAlex Babenko
 
PCI DSS как перейти с версии 2.0 на 3.0
byRISSPA_SPb
 
Оценка защищенности информационных систем, использующих средства криптографич...
bySQALab
 
Уральский форум за 15 минут
bySelectedPresentations
 
Весь Магнитогорск за 15 минут (2015)
byAleksey Lukatskiy
 
О сертификации ПО по требованиям безопасности информации в системе сертификац...
byОлег Габов
 

More from RISSPA_SPb

PDF
История одного стартапа
byRISSPA_SPb
 
PDF
Заблуждения и стереотипы относительно анализа кода
byRISSPA_SPb
 
PDF
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
byRISSPA_SPb
 
PDF
Гибридные облака как средство защиты персональных данных
byRISSPA_SPb
 
PDF
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
byRISSPA_SPb
 
PDF
Как построить систему управления информационными рисками
byRISSPA_SPb
 
PDF
Как одновременно соответствовать различным регуляторным требованиям
byRISSPA_SPb
 
PDF
Практический опыт специалиста по информационной безопасности
byRISSPA_SPb
 
PDF
Всесторонние аспекты защиты Mobile point of sale
byRISSPA_SPb
 
PDF
RISSPA SPb
byRISSPA_SPb
 
PDF
RISSPA SPb вчера, сегодня, завтра
byRISSPA_SPb
 
История одного стартапа
byRISSPA_SPb
 
Заблуждения и стереотипы относительно анализа кода
byRISSPA_SPb
 
Трудный путь к соответствию требованиям PCI DSS (путевые заметки)
byRISSPA_SPb
 
Гибридные облака как средство защиты персональных данных
byRISSPA_SPb
 
Особенности взаимодействия организаций в рамках программы соответствия PCI DSS
byRISSPA_SPb
 
Как построить систему управления информационными рисками
byRISSPA_SPb
 
Как одновременно соответствовать различным регуляторным требованиям
byRISSPA_SPb
 
Практический опыт специалиста по информационной безопасности
byRISSPA_SPb
 
Всесторонние аспекты защиты Mobile point of sale
byRISSPA_SPb
 
RISSPA SPb
byRISSPA_SPb
 
RISSPA SPb вчера, сегодня, завтра
byRISSPA_SPb
 

Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда

  • 1.
    Конференция компании «Информзащита» «Информационнаябезопасность для банков и TELCO» Разработка ПО в рамках PCI DSS как ее видит жуткий зануда Алексей Бабенко руководитель направления, PA&PCI QSA
  • 2.
    «Стандартный» взгляд • Набортребований, которые должны выполнить программисты? • 6.3-6.5 стандарта? • Применимо только при наличии отдельного подразделения разработчиков? • Отдельный процесс, осуществляемый разработчиками
  • 3.
  • 4.
    Обучение • Знать –уметь – использовать • Основные темы: • • • требования PCI DSS приемы безопасной разработки (OWASP, CWE), проектирования, тестирования, пр. лучшие практики отрасли • Форма обучения: • • • самостоятельное внутреннее внешнее • Периодические обучение – хорошо, но лучше непрерывный процесс
  • 5.
    Проектирование • Не всегдаиспользование номеров карт целесообразно • Формирование требований: • • • • Требования PCI DSS (ПО = системный компонент) Учет лучших практик Учет внутренних требований по ИБ Учет оценки рисков и информации об уязвимостях • Проектирование с учетом сформированных требований
  • 6.
    Создание • Требования кразработке: • • • • Использование методов безопасного программирования Применение лучших практик Учет требований PCI DSS Учет оценки рисков и анализа угроз • Разделение сред и обязанностей • Корректное использование тестовых данных
  • 7.
    Анализ • Анализ кода(белый ящик) • • • • Использование приемов безопасной разработки Автоматизированный анализ только в качестве инструмента в руках специалиста Проводит специалист с опытом в данной сфере не являющийся автором кода Анализ для всех изменений на предмет безопасности • Тестирование безопасности (черный ящик): • • Общефункциональное с учетом выявленных уязвимостей Тестирование безопасности: • • • • Реализация требований PCI DSS Меры по защите от известных уязвимостей Меры предотвращения недостатков выявленных в модели угроз и при анализе новых уязвимостей Тестирование по методике – хорошо, с использованием контрольных чек-листов – лучше.
  • 8.
    Выпуск • Решение завыпуск релиза: • • • • Предыдущие этапы были выполнены успешно Требования стандарта учтены Разработаны процедуры «отката» Оценка воздействия на затрагиваемый процесс • Ответственный за выпуск релиза – отвечает за факт выполнения процедур, ответственность за качество выполнения на соответствующих специалистах • Релиз – не конец проекта
  • 9.
    Выявление уязвимостей • Выявляемвсе что может влиять на безопасность ПО: • • • Новые уязвимости и слабости в функциях программирования Уязвимости компиляторов Уязвимости используемых сторонних библиотек, компонент, сервисов, протоколов • Корректная работа с последними обновлениями системных компонент • Учет результатов при проектировании, разработке, анализов
  • 10.
    Анализ угроз • Врамках общего анализа рисков • Стандарт – минимальный набор требований, каждое ПО уникально и может иметь специфичные угрозы • Моделирование угроз – STRIDE, OWASP, CERT • Учет результатов анализа при проектировании, разработке, анализе
  • 11.
    Следующий шаг • Выполнениетребований PA-DSS • Создание аналога руководства по применению PA-DSS – документа, описывающего как ПО выполняет требования стандарта и какими настройками это обеспечивается • Проведение внешнего обучения • Проведение независимой оценки ПО • Выделение отдельного подразделение – обеспечения безопасности ПО
  • 12.
    Сравнение SDL PCI DSS DevelopmentLifecycle Cisco Secure Development Lifecycle Microsoft Security Development Lifecycle Обучение Secure Design Training Выявление уязвимостей 3rd Party Security Implementation (частично) Проектирование Product Security Requirements Requirements Оценка рисков Secure Design Design Создание Secure Coding Implementation Анализ кода Secure Analysis Implementation Тестирование безопасности Vulnerability Testing Verification, Release Выпуск - Release Поддержка - Response
  • 13.
    ВОПРОСЫ? Алексей Бабенко руководитель направления,PA&PCI QSA a.babenko@infosec.ru + 7 (495) 980-23-45 #458 + 7 905 991-99-19 skype: arekusux arekusux.blogspot.com www.infosec.ru
  • 14.
    Полезные ссылки • Безопасноепрограммирование • • http://cwe.mitre.org http://owasp.org • Общие базы данных уязвимостей • • • http://www.securityfocus.com http://nvd.nist.gov http://secunia.com • Информация по обучению • Информация по внешнему обучению: • • • • • Материалы для организации внутреннего обучения: • • • • • • • http://itsecurity.ru/catalog/kp75 http://www.sans.org/security-training.php https://www.owasp.org/index.php/Category:OWASP_AppSec_Conference http://www.giac.org/certification/gssp-java https://www.owasp.org/index.php/Category:OWASP_Code_Review_Project https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project http://www.sans.org/top25-software-errors http://projects.webappsec.org/w/page/13246978/Threat-Classification http://www.cert.org/secure-coding http://cwe.mitre.org/data/graphs/699.html Материалы с сайта консула: • • • https://www.pcisecuritystandards.org/pdfs/PCI_DSS_v2_eCommerce_Guidelines.pdf https://www.pcisecuritystandards.org/documents/information_supplement_6.6.pdf https://www.pcisecuritystandards.org/documents/Mobile_Payment_Security_Guidelines_Developers_v1.pdf