Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Barabanov_Markov it-std

913 views

Published on

  • Be the first to comment

  • Be the first to like this

Barabanov_Markov it-std

  1. 1. К вопросу о сертификации производства безопасных программных средств Александр Барабанов, CISSP, CSSLP Алексей Марков, кандидат технических наук, с.н.с., CISSP, SBCI, доцент МГТУ им. Н.Э.Баумана
  2. 2. Количество нарушений информационной безопасности в информационных системах 1800 Количество нарушений 1600 1400 1200 1000 800 600 400 200 0 2007 2008 2009 2010 2011 2012 2
  3. 3. Распределение уязвимостей по источникам 4% 10% ПО ОС 86% Аппаратная платформа 3
  4. 4. Распределение дефектов безопасности программного обеспечения по типам Аутентификационные данные в коде программы (CWE-798) 9% Межсайтовый скриптинг (CWE-79) 17% 57% Внедрение SQL-кода (CWE-89) 17% Утечка информации и неверная обработка ошибок (CWE-717) 4
  5. 5. Необходимость внедрения цикла разработки безопасного программного обеспечения 5
  6. 6. ГОСТ Р «Защита информации. Требования по обеспечению безопасности разработки программного обеспечения» Начало: апрель 2013 Проект первой редакции: август 2013 Окончательная редакция: май 2014 6
  7. 7. Учитываемые особенности  обеспечение внедрения необходимых процедур на самых ранних стадиях проектирования ПО  учет положений «лучших практик»  совместимость с методологией «Общие критерии»  обеспечение возможность интеграции процедур разработки безопасных ПС с существующей на предприятии системой управления ИБ 7
  8. 8. Перечень процедур, используемых при разработке безопасного ПО  управление конфигурацией  использование инструментальных средств и методов разработки  обеспечение безопасности разработки  поставка  обновление и устранение уязвимостей и дефектов безопасности ПО  проектирование и реализации безопасного ПО 8
  9. 9. Процедуры управления конфигурацией  маркировка элементов ПО  эксплуатационная документация на систему управления конфигурацией  описание методов идентификации элементов конфигурации  план управления конфигурацией и план приемки  список элементов конфигурации 9
  10. 10. Процедуры использования инструментальных средств и методов разработки  идентификация разработчиком инструментальных средств разработки ПО;  использование стандартов реализации 10
  11. 11. Процедуры обеспечения безопасности разработки  физический и логический контроль доступа  политика безопасности в отношении посетителей  резервное копирование  защита от утечек информации  обучение персонала  процедуры найма/увольнения 11
  12. 12. Процедуры поставки  процедуры поставки ПО или его частей пользователю  процедуры, необходимые для безопасной установки, генерации и запуска ПО 12
  13. 13. Обновление и устранение уязвимостей и дефектов безопасности  организация инфраструктуры распространения обновлений  анализ влияния обновлений на безопасность 13
  14. 14. Проектирование и реализации безопасного ПО  использование методов защищенного программирования  обучение сотрудников  моделирование угроз  статический и динамический анализ  тестирование на проникновение  ….. 14
  15. 15. Связь с нормативными правовыми актами ФСТЭК России Требование Требование разрабатываемого стандарта ГОСТ Р ИСО/МЭК 15408-3 Требования к функциональным возможностям системы ACM_CAP.1, ACM_CAP.2, ACM_CAP.3, управления конфигурацией ACM_CAP.4, ACM_CAP.5 Требования к области действия системы управления ACM_SCP.1, ACM_SCP.2, ACM_SCP.3 конфигурации Требования к средствам автоматизации процесса ACM_AUT.1, ACM_AUT.2 управления конфигурацией Требования к жизненного цикла процедурам определения модели ALC_LCD.1, ALC_LCD.2, ALC_LCD.3 Требования к процедурам проектирования и реализации ATE_FUN.1, ATE_FUN.2, AVA_VLA, безопасных ПС ADV_FSP, ADV_HLD, ADV_LLD, ADV_RCR Требования к процедурам использования ALC_TAT.1, ALC_TAT.2, ALC_TAT.3 инструментальных средств и методов разработки Требования к обеспечению безопасности разработки ALC_DVS.1, ALC_DVS.2 Требования к процедуре поставки ADO_DEL.1, ADO_DEL.2, ADO_DEL.3, ADO_ISG, AGD_ADM, AGD_USR Требования к реализации процедур обновления и ALC_FLR.1, ALC_FLR.2, ALC_FLR.3 устранения недостатков 15
  16. 16. Александр Барабанов, Алексей Марков E-mail: mail@npo-echelon.ru Тел.: +7(495) 645-38-09

×