Роль информационной безопасности
в управлении проектами или
Почему скрипач нужен
Евменков Алексей
isqa.ru
Аннотация
• Всеруководителипроектовпристегиваютсявмашине,норедкокто
думаетобинформационнойбезопасности,управляясвоимпроект...
Представление
• СпециалистпоИБ,попроцессам
икачествувИТобласти
• Внедряюиподготавливаю к
сертификации-ИСО27001и9001
• Разр...
ПОЧЕМУ ЭТО ВАЖНО?
Почему тема ИБ важна для
управления проектами
• Разрабатываемыесистемыстановятсяболеесложными
• Вероятностьошибок,связанны...
Почему тема ИБ важна для
управления проектами
• Аналогиясмашиной,самое
главное-доехатькуданужно,
вовремя,инедорого
• Какив...
ОПРЕДЕЛЕНИЯ
Что такое ИБ
ИнформационнаяБезопасность(ИБ) - свойствоинформации
сохранятьконфиденциальность,целостностьидоступность.
[Ист...
СистемаМенеджментаИБ (СМИБ)–наборорганизационных,
управленческихитехническихмерзащиты информации.
Что такое СМИБ
СМИБ–чтоподкапотом?
Что такое СМИБ
Напрямую касается
управления проектами
Двигатель СМИБ - управление
рисками Угроза: нарушение лицензионности,
использование чужого кода
Уязвимость: Из-за
отсутств...
Ценность анализа рисков
• За год от падения кокосов погибает в десятки
раз больше людей, чем от акул
– Часто мы боимся не ...
ОРГАНИЗАЦИОННАЯ ИБ
Мир ИБ
2011-09-07
Technologies war
Government challenges
Business requirements
Война технологий
Организационные проблемы
Требования бизнеса
Организационная ИБ
• Informationsecuritypolicies
• ПомогаетвыстроитькультуруИБворганизации
• Organizationofinformationsecu...
Правилаудаленнойработы
Организационная ИБ
• Assetmanagement
• Предоставляеткатегоризацию
активов(включаяпроектные)
• Классификацияинформации
• Пр...
Классификацияинформации
Управлениедоступом
Организационная ИБ
• Physicalandenvironmentalsecurity
• Регламентируетповедениесотрудников
• Чистыйстолиэкран
• Производит...
Организационная ИБ
• Communicationssecurity
• Базоваябезопасностьсети
• Безопасностьпроектнойсреды(железо+ПО)
• SLAотИТотд...
Организационная ИБ
• Systemacquisition, development
andmaintenance
• Правилабезопаснойразработки
• Правилаsecurityengineer...
Организационная ИБ
• Supplierrelationships
• Правилакоммуникации,соглашения
• Informationsecurityincidentmanagement
• Пред...
Организационная ИБ
• Compliance
• Интеллектуальнаясобственность
• Персональныеданные
• Криптографическиеконтролы
ИБ В УПРАВЛЕНИИ ПРОЕКТАМИ
Применимость ИБ на
проектах
ПреждечемприменятьтребованияИБ,
оцениреальность
• Типпроекта
• Fixedprice/time-material
• Prod...
Надежда РП
В95% случаев,управление
проектамирассчитанона
добрыхлюдей
• поспособам
коммуникаций
• похранениюданных-
заказчи...
Где РП может научиться ИБ ?
• ВPMBOK5th –словоsecurity встречается9раз-
на619стр.
• Всевхождения–либопроsecurityrequiremen...
2 подхода к ИБ в управлении
проектами
• Включитьправила,требованияИБв
производственныйпроцесс
либо
• Реагироватьнаинцидент...
КакиетребованияИБв процесс
управленияпроектами?
Следовать внутренним
правилам ИБ организации
• Физическаябезопасность,мобильныеустройства,удаленная
работаит.д.–всеэтодолж...
Включить цели ИБ (security objectives)
• ЦелиИБ(securityobjectives)должны
бытьвключенывобщиецелипроекта
(projectobjectives...
Произвести анализ рисков ИБ
• ПроизвестианализрисковИБнараннейстадиипроекта
(совместнособщиманализомрисков)
• Часто,рискин...
Произвести анализ рисков ИБ
Анализрисков–долженбыть
основаннабизнес-реальности
Реальностьзависит–отразмера
проекта,оттипап...
Интегрировать ИБ во все фазы
процесса разработки ПО
• Встраиваниедополнительных контрольныхточекв
жизненныйциклразработкиП...
Пример интеграции ИБ в V-model
Требования к ПО
Технические решения
Код
Модульное тестирование
Системное тестированиеТЕСТИР...
Некоторые аспекты ИБ в
процессе разработки ПО
• Ревьютребований
• Раздел–нефункциональныетребования.
Связаносанализомриско...
Некоторые аспекты ИБ в
процессе разработки ПО
• Статическийанализкода
• Использование
специальныхинструментов
дляанализако...
Примеры уязвимостей
• CodeInjection(SQLинъекция)
невалидированныйпользовательскийввод,используемыйдля
интерпретациикоманд,...
Пример интеграции ИБ в waterfall
Security and
Privacy
Risk Analysis
Manual Code
Review
Threat
Modeling
Static
Analysis
Dyn...
Пример интеграции ИБ в waterfall
Обучение
основам
безопасно
сти
Задание
требований
безопасности
Создание
контрольных
услов...
Пример интеграции ИБ в Agile
Комплексный подход по
обеспечению безопасной разработки ПО
• SAMM - Software Assurance Maturity Model
http://www.opensamm....
Другие важные моменты для РП
Взаимодействие сзаказчиком
• ВовремяпропиаритьсвойИБ
уровень,предложитьработатьпо
«нашим»мето...
Другие важные моменты для РП
• Взаимодействие споставщиками/вендорами
• Четкий,содержащийтребованияИБдоговор
• Вчастности,...
Другие важные моменты для РП
• Ревьюправдоступа напроекте
• Newcomer
• Сотрудникуволился
• Проектзавершился(закрытиетекущи...
ЗАКЛЮЧЕНИЕ И ВЫВОДЫ
Что должен уметь достичь
каждый ПМ?
• Завершитьпроектвсрок,
бюджет,стребуемым
качеством
• Заказчикдолженбыть
счастлив
• Ос...
Роль РП в процессе внедрения ИБ
• РольРПвобластивнедрениятребованийИБна
проекте-ключевая.
• Реальнаявластьнадлюдьми–уРП
• ...
Заключение
• Неигнорируйтеправила
ИБ
• Применяйтетребования
ИБ,исходяизреальности
• “Securityisaprocess,not
aproduct!”[Bru...
Ссылки
• InformationSecurityandtheSDLCbyRonClement
• SAMM - Software Assurance Maturity Model
http://www.opensamm.org
Спасибо за внимание
Алексей Евменков
evmenkov@gmail.com
isqa.ru
https://twitter.com/evmenkov
Роль Информационной Безопасности в управлении проектами или почему скрипач нужен
Upcoming SlideShare
Loading in …5
×

Роль Информационной Безопасности в управлении проектами или почему скрипач нужен

375 views

Published on

Все руководители проектов пристегиваются в машине, но редко кто думает об информационной безопасности, управляя своим проектом.
Что знают руководители проектов об информационной безопасности? То, что пароли должны быть сложными и существуют абстрактные политики про можно/нельзя?

В реальном мире - информационная безопасность (ИБ) - это огромный пласт практик: технических, организационных, управленческих.

В докладе будет рассмотрены аспекты ИБ в разрезе управления ИТ проектами. Автор обсудит вопросы - а стоит ли вкладываться в эту область на проекте - ресурсами, деньгами, временем? Если да, то почему это оправдает себя?

Published in: Software
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
375
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
11
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Например,
  • Кто то приносит и втыкает свой лаптоп, или другой девайс в сетку – границы организации тяжело зафиксировать
    Похищают данные с сайтов
    Данные текут постоянным потоком – вопрос в том, ищет ли их кто-нибудь
  • ФЗ-152
    Внутренние проблемы – разный язык – даже у разных юнитов
  • Пост изменения бизнес условий
  • Не нужно для стартапов оценивать специфические риски двойного бэкапирования и т.п.

  • https://www.owasp.org/index.php/Attack_Surface_Analysis_Cheat_Sheet
  • Например,
  • Роль Информационной Безопасности в управлении проектами или почему скрипач нужен

    1. 1. Роль информационной безопасности в управлении проектами или Почему скрипач нужен Евменков Алексей isqa.ru
    2. 2. Аннотация • Всеруководителипроектовпристегиваютсявмашине,норедкокто думаетобинформационнойбезопасности,управляясвоимпроектом. • Чтознаютруководителипроектовобинформационнойбезопасности? То,чтопаролидолжныбытьсложнымиисуществуютабстрактные политикипроможно/нельзя? • Вреальноммире-информационнаябезопасность(ИБ)-этоогромный пластпрактик:технических,организационных,управленческих. • ВдокладебудетрассмотреныаспектыИБвразрезеуправленияИТ проектами.Авторобсудитвопросы-астоитливкладыватьсявэту областьнапроекте-ресурсами,деньгами,временем?Еслида,то почемуэтооправдаетсебя?
    3. 3. Представление • СпециалистпоИБ,попроцессам икачествувИТобласти • Внедряюиподготавливаю к сертификации-ИСО27001и9001 • Разрабатываю &внедряю процессыразработкиПО, ИБ • Профессиональныйаудиторпо ИБипроцессам
    4. 4. ПОЧЕМУ ЭТО ВАЖНО?
    5. 5. Почему тема ИБ важна для управления проектами • Разрабатываемыесистемыстановятсяболеесложными • Вероятностьошибок,связанныхсИБвозрастает ОшибкавмодулестребованиямиИБ(например,модуль авторизации)–приводиткуязвимостивсейсистемы • Возрастаетценностьданных,соответственноинтерессо сторонызлоумышленников • ПрименениеИБнапроектахиворганизациивцелом- движениеорганизациикбольшейзрелости • Неочевидныесвязимеждувещами,напримерпрограммаBASи будущийбизнессЕвропой
    6. 6. Почему тема ИБ важна для управления проектами • Аналогиясмашиной,самое главное-доехатькуданужно, вовремя,инедорого • Какивпроекте,ценакачествоисрок • Нониктонеподумаетнепристегнутьсяилиотключить подушкибезопасности • Впроектномуправлении,ИБ-этоцентррастрат,какиремни безопасностивмашине. • Новозможноэтосохранитвашукарьеру
    7. 7. ОПРЕДЕЛЕНИЯ
    8. 8. Что такое ИБ ИнформационнаяБезопасность(ИБ) - свойствоинформации сохранятьконфиденциальность,целостностьидоступность. [Источник:ИСО27001] Примерсбазойданных • Конфиденцильность–конфиденциальностьданных,неразглашениениприкаких условиях(госучреждениекпримеру) • Целостность–непротиворечивыеданныевбазе,защитаотсбоев • Доступность-доступтолькоутех,комунужно,внужноевремя(еслибазадоступнатолько поночам–недело) Иногдадобавляются: • Неотказуемость, • Подотчетность • Аутентичность • Достоверность
    9. 9. СистемаМенеджментаИБ (СМИБ)–наборорганизационных, управленческихитехническихмерзащиты информации. Что такое СМИБ
    10. 10. СМИБ–чтоподкапотом? Что такое СМИБ Напрямую касается управления проектами
    11. 11. Двигатель СМИБ - управление рисками Угроза: нарушение лицензионности, использование чужого кода Уязвимость: Из-за отсутствия необходимых знаний у членов команды Актив: программные компоненты (deliverables) Защитная мера: проведение тренингов, постоянная коммуникация, процедурная поддержка
    12. 12. Ценность анализа рисков • За год от падения кокосов погибает в десятки раз больше людей, чем от акул – Часто мы боимся не то, что нужно • Мужчины поражаемы молнией в 4 раза более часто чем женщины – В жизни бывают странные закономерности • Шанс выйграть в лотерею обычно ~1 из 14млн. Шанс заболеть птичьим гриппом 1 из 100млн. – Наши ожидания и страхи зачастую иррациональны, пока не проанализируешь их Анализ рисков дает основания для объективных решений
    13. 13. ОРГАНИЗАЦИОННАЯ ИБ
    14. 14. Мир ИБ 2011-09-07 Technologies war Government challenges Business requirements
    15. 15. Война технологий
    16. 16. Организационные проблемы
    17. 17. Требования бизнеса
    18. 18. Организационная ИБ • Informationsecuritypolicies • ПомогаетвыстроитькультуруИБворганизации • Organizationofinformationsecurity • Тренингидляпроектнойкоманды,обработкапроектных инцидентовИБ,помощьсИБвопросами • !Правилаудаленнойработы • !Правилаработысмобильнымиустройствами • Humanresourcessecurity • Надежныйперсоналнапроекте • Решаетбазовыевопросысперсоналом
    19. 19. Правилаудаленнойработы
    20. 20. Организационная ИБ • Assetmanagement • Предоставляеткатегоризацию активов(включаяпроектные) • Классификацияинформации • Правилаработысфизическимиактивами,уничтожение, выносзапределыофиса • Accesscontrol • Управлениеправамипользователейнапроектах • Новыйчленкоманды,увольнение/переводсотрудника, закрытиепроекта • Правила“leastprivilege”и“needtoknow”
    21. 21. Классификацияинформации
    22. 22. Управлениедоступом
    23. 23. Организационная ИБ • Physicalandenvironmentalsecurity • Регламентируетповедениесотрудников • Чистыйстолиэкран • Производитвпечатлениеназаказчиков:) • Operationssecurity • Управлениеизменениями • Управлениемощностью(capacity) • Обеспечениеантивируснойподдержки • Обеспечениерезервногокопирования • Логгированиеимониторингсобытий(всети,всистемах)
    24. 24. Организационная ИБ • Communicationssecurity • Базоваябезопасностьсети • Безопасностьпроектнойсреды(железо+ПО) • SLAотИТотдела • Правилараспространенияинформации–всоц.сетях,в интернете,впочте,насобеседованиях:) • Confidentialityornondisclosureagreements
    25. 25. Организационная ИБ • Systemacquisition, development andmaintenance • Правилабезопаснойразработки • Правилаsecurityengineering(соответствиеcoding standardsидр.) • Безопасныйoutsourcing • БезопасныеизменениявПО,управлениерискамии многоедругое.
    26. 26. Организационная ИБ • Supplierrelationships • Правилакоммуникации,соглашения • Informationsecurityincidentmanagement • Предотвращениеиобработкаинцидентовнапроекте • Informationsecurityaspectsofbusinesscontinuity management • Надежноеоснованиедляведенияпроекта(наслучай непредвиденныхобстоятельств)
    27. 27. Организационная ИБ • Compliance • Интеллектуальнаясобственность • Персональныеданные • Криптографическиеконтролы
    28. 28. ИБ В УПРАВЛЕНИИ ПРОЕКТАМИ
    29. 29. Применимость ИБ на проектах ПреждечемприменятьтребованияИБ, оцениреальность • Типпроекта • Fixedprice/time-material • Productdevelopment? • Стартап? • Размерпроекта • 2хнедельныйPOC?Или1йэтапна6мес? • Типзаказчика • Небольшаяфирмасзаказомсайта • Международнаякорпорация • Типдеятельности?Gambling,finance?
    30. 30. Надежда РП В95% случаев,управление проектамирассчитанона добрыхлюдей • поспособам коммуникаций • похранениюданных- заказчикаисвоей организации • по способамудаленной работы
    31. 31. Где РП может научиться ИБ ? • ВPMBOK5th –словоsecurity встречается9раз- на619стр. • Всевхождения–либопроsecurityrequirements либослучайные Учитьсянужносамостоятельно, требоватьподдержкууруководства:)
    32. 32. 2 подхода к ИБ в управлении проектами • Включитьправила,требованияИБв производственныйпроцесс либо • РеагироватьнаинцидентыИБ ЛучшевключитьтребованияИБв процесс управленияпроектами!
    33. 33. КакиетребованияИБв процесс управленияпроектами?
    34. 34. Следовать внутренним правилам ИБ организации • Физическаябезопасность,мобильныеустройства,удаленная работаит.д.–всеэтодолжнобытьчастьюкультурынапроекте • ТребуйтеобученияпоИБотМенеджерапоИБ • КейссPOC- переиспользовалимодульодногозаказчика-конкурента, невырезалилоготипыдаже • Кейс снелицензионнымкодомидр.
    35. 35. Включить цели ИБ (security objectives) • ЦелиИБ(securityobjectives)должны бытьвключенывобщиецелипроекта (projectobjectives) • ЦелиИБоснованынаCIA (Confidentiality,Integrity,Availability) • Сохранитьконфиденциальностьданных заказчика(testdata,projectdataetc.) • Целипособлюдениюстандартов шифрованияикриптографии • Сохранитьцелостностьрепозитариевс кодом
    36. 36. Произвести анализ рисков ИБ • ПроизвестианализрисковИБнараннейстадиипроекта (совместнособщиманализомрисков) • Часто,рискинапрямуюследуютизцелейИБ • рискисвязанныеснарушениемцелостностирепозиториевкода, • доступностьсерверов,конфиденциальностьсредств коммуникации
    37. 37. Произвести анализ рисков ИБ Анализрисков–долженбыть основаннабизнес-реальности Реальностьзависит–отразмера проекта,оттипапроекта,от вашегоопытаит.д.
    38. 38. Интегрировать ИБ во все фазы процесса разработки ПО • Встраиваниедополнительных контрольныхточекв жизненныйциклразработкиПО • Накаждойфазежизненногоцикла,нарядус обычнымикритериями(качествокода,соответствие спецификацииит.п.),нужнопроверятьтребования ИБ
    39. 39. Пример интеграции ИБ в V-model Требования к ПО Технические решения Код Модульное тестирование Системное тестированиеТЕСТИРУЕТСЯ ТЕСТИРУЕТСЯ Ревью требований с точки зрения безопасности Ревью архитектуры с точки зрения безопасности Ручной аудит кода Практики Code Review Статический аудит кода Анализ результатов аудита Динамическое тестирование и тестирование на проникновение НАСТРОЙКА ПРАВИЛ НАСТРОЙКА ПРАВИЛ
    40. 40. Некоторые аспекты ИБ в процессе разработки ПО • Ревьютребований • Раздел–нефункциональныетребования. Связаносанализомрисков. • Ревьюархитектуры • Идентификацияииспользованиеsecuritydesignpatterns • Анализиспользуемыхплатформ,фреймворковипаттерновс т.зр.ИБ • КоммуникациясчленамикомандыпотемеИБ • Ручнойаудиткода(codereview) • Стандартныепрактикиcodereview • Использованиерасширенныхчеклистов–свключенными требованиямиИБ Secure the weakest link Keep it simple Fail securely Follow the principle of least privilege
    41. 41. Некоторые аспекты ИБ в процессе разработки ПО • Статическийанализкода • Использование специальныхинструментов дляанализакодана уязвимостиИБ • Тестынапроникновение (penetrationtests) • Использование специального инструментарияиметодик
    42. 42. Примеры уязвимостей • CodeInjection(SQLинъекция) невалидированныйпользовательскийввод,используемыйдля интерпретациикоманд,можетбытьиспользованзлоумышленниками длявыполнениянедокументированнойфункциональности • SensitiveDataExposure(Нарушениеконфиденциальности) конфиденциальныеданныепубликуютсявнезащищенныйканал.Тем самым,злоумышленникможетдостаточнопростополучитьдоступк даннымвобходсложныхмеханизмовзащитысистемы • UnreleasedResource:Streams вызываютнепредсказуемоеповедениесистемы.Незакрытыепотоки записиичтенияресурсовспособнывызыватьутечкупамятии/или утечкуинформацииосистемечерезнепредвиденныеошибкии исключениявработеприложения,вплотьдополнойегоостановки
    43. 43. Пример интеграции ИБ в waterfall Security and Privacy Risk Analysis Manual Code Review Threat Modeling Static Analysis Dynamic Analysis Security Architecture & Design Review Final Security Review Fuzz Testing Secure Design Guidelines Security and Privacy Requirements REQUIREMENTS IMPLEMENTA TION Regulations, Policies and Standards Secure Coding Guidelines Quality Gates /Bug Bars Attack Surface Analysis RELEASE Security Deployment Review Automated Tools VERIFICATION DESIGN AND ARCHITECTURE Attack Surface Review
    44. 44. Пример интеграции ИБ в waterfall Обучение основам безопасно сти Задание требований безопасности Создание контрольных условий качества и панелей ошибок Оценка рисков безопасности и конфиденци- альности Задание требования проектирова ния Анализ возможных направлений атак Моделирован ие рисков Применение утвержденн ых инструмен тов Отказ от небезопасн ых функций Статический анализ Динамическ ий анализ Нечеткое тестирова ние Проверка возможных направле ний для атак Планирова ние реагиро вания на инциденты Окончательн ая проверка безопас ности Архивация выпуска Выполне ние плана реагирова ния на инциденты Обучение Требования Дизайн Реализация Проверка Выпуск Реакция
    45. 45. Пример интеграции ИБ в Agile
    46. 46. Комплексный подход по обеспечению безопасной разработки ПО • SAMM - Software Assurance Maturity Model http://www.opensamm.org • Может быть адаптирована под любую компанию • Позволяет оценивать усилия на проект, описывает кто вовлечен, какие метрики необходимы и др.
    47. 47. Другие важные моменты для РП Взаимодействие сзаказчиком • ВовремяпропиаритьсвойИБ уровень,предложитьработатьпо «нашим»методам • ОсобоевниманиенаИБ требованиязаказчика(случайс проверкойкоданаподлинность-> вылилосьв+неск.месяцев переработок) • Оборудованиезаказчика–учет, использование,возврат(!)
    48. 48. Другие важные моменты для РП • Взаимодействие споставщиками/вендорами • Четкий,содержащийтребованияИБдоговор • Вчастности,соблюдениевендоромвнутреннихправил компаниипоИБ • Найти спонсора для ИБ • Обычно,этозаказчик • Номожетбытьироднаяфирма,если стратегическизаинтересованавзаказчикеи проекте
    49. 49. Другие важные моменты для РП • Ревьюправдоступа напроекте • Newcomer • Сотрудникуволился • Проектзавершился(закрытиетекущихправ) • Действуй на основании классификации информации • Public/Internal/Secret
    50. 50. ЗАКЛЮЧЕНИЕ И ВЫВОДЫ
    51. 51. Что должен уметь достичь каждый ПМ? • Завершитьпроектвсрок, бюджет,стребуемым качеством • Заказчикдолженбыть счастлив • Остальныесчастливы (членыкоманды, руководство,семья) • Вовсемэтомне упоминается,чтоПМтоже долженостатьсясчастлив • Получитьопыт, самореализоваться, научитьсяновому, подготовитьсякследующим вызовам • Статьболее профессиональным • ВтомчислевобластиИБ
    52. 52. Роль РП в процессе внедрения ИБ • РольРПвобластивнедрениятребованийИБна проекте-ключевая. • Реальнаявластьнадлюдьми–уРП • ЕслиРПпонимаетважностьИБ,тоиостальныепоймут • Инаборот
    53. 53. Заключение • Неигнорируйтеправила ИБ • Применяйтетребования ИБ,исходяизреальности • “Securityisaprocess,not aproduct!”[Bruce Schneier]
    54. 54. Ссылки • InformationSecurityandtheSDLCbyRonClement • SAMM - Software Assurance Maturity Model http://www.opensamm.org
    55. 55. Спасибо за внимание Алексей Евменков evmenkov@gmail.com isqa.ru https://twitter.com/evmenkov

    ×