SlideShare a Scribd company logo

обеспечение безопасности программного продукта на различных стадиях жизненного цикла.

Download as PPTX, PDF
H
hmyrhik nikita

sdfsfsdfsdf

Business
1 of 11
Обеспечение безопасности программного продукта на различных стадиях жизненного цикла. ПОДГОТОВИЛ УЧАЩИЙСЯ ГРУППЫ 25ТП: ЗАЙКО СЕРГЕЙ
Основные этапы ЖЦ с точки зрения информационной безопасности:  Разработка технического задания;  Проектирование программного продукта;  Разработка и тестирование;  Одобрение программного продукта и ввод в действие;  Эксплуатация;  Сопровождение и модернизация;  Вывод из эксплуатации программного продукта.
Разработка технического задания: На начальной стадии определяются цели, задачи использования ПП и его основные функции, определяются методы и средства разработки. Основными направлениями, как правило, являются:  определение угроз и оценка рисков информационной безопасности;  взаимодействие по вопросам ИБ в рамках выполнения работ;  выбор средств и мер для защиты и нейтрализации угроз ИБ;  понимание требований законодательства и отнесение ПП к определенной категории.
Проектирование программного продукта: На этапе проектирования отправной точкой служит рабочий функционал и обеспечение его безопасности - это безопасность работы через интернет и электронную почту, ведение журналов событий, управление правами доступа и т. д. Информационные ресурсы, которые должны быть защищены, следует подразделять по соответствующим функциональным принципам. Требования к обеспечению безопасности тех или иных рабочих функций должны учитываться разработчиками на этапе проектирования системы.
Разработка и тестирование: Безопасность, при разработке, может быть обеспечена:  определением процедур разработки ПП;  организацией среды разработки;  обучением программистов методам безопасной разработки;  анализом и тестированием исходных кодов на наличие уязвимостей. При приобретении ПП необходимо уделить особое внимание оформлению договорных обязательств. Также следует учитывать наличие у разработчика необходимых лицензий на разработку и эксплуатацию средств и систем защиты.
Одобрение программного продукта и ввод в действие: Методика испытания программного продукта должна содержать мероприятия по проверке требований информационной безопасности:  документация к программному продукту, как минимум, должна содержать: описание ролевой системы, описание механизмов доступа, регистрации событий, целостности, резервирования, параметры настроек безопасности;  обучение и подготовка администраторов и пользователей ПП;  подготовка актов о завершении тестирования и приказа о вводе приложения в эксплуатацию.
Эксплуатация: На стадии эксплуатации важно учитывать:  работоспособность всех сервисов;  доступность к материалам всем пользователям, в соответствии с их ролями и полномочиями;  сбор и анализ событий доступа и поддержки работы системы;  создание резервных и архивных копий - должно не только присутствовать, но и быть оттестированным и практически отработанным. Мероприятия на данном этапе должны выполняться и контролироваться с установленной периодичностью.
Сопровождение и модернизация: К основным процедурам относятся:  влияния вносимых изменений на состояние ПП будь то внедрение нового модуля, добавление нескольких полей данных или установка обновлений, должно анализироваться на предмет влияния на состояние защищенности ПП. Процедуры контроля изменений должны предусматривать порядок уведомления лиц, ответственных за информационную безопасность, об изменениях ПП, а также порядок анализа изменений, их утверждении и документировании;  контроль параметров безопасности ПП должен включать проверку корректности настроек и работоспособности защитных функций ПП. Дополнительно пользователями и администраторами ИС должен осуществляться постоянный мониторинг работоспособности защитных функций.
Вывод из эксплуатации программного продукта: Для обеспечения безопасности на стадии вывода из эксплуатации рекомендуется разработать нормативный документ, содержащий мероприятия по уничтожению информации, утилизации компонентов ПП, а также архивированию и безопасному хранению информации. В данный процесс, помимо службы информационной безопасности, должны быть вовлечены владельцы ПП и программисты. Все действия по выводу из эксплуатации должны актироваться. На данном этапе необходимо уделять внимание следующим мероприятиям:  определение информации, подлежащей архивации и дальнейшему хранению;  уничтожение всей информации из постоянной памяти ПП и носителей;  демонтаж и утилизация аппаратных средств ПП.
Основные требования информационной безопасности:  Исполнение законодательства (СТБ 34.101.1-2014 (ISO/IEC 15408-1:2009), СТБ ISO/IEC 27001);  требования по управлению доступом на основе ролей;  требования по обеспечению целостности всех видов информации в системе;  требования по обеспечению доступности системы и ее элементов;  требования по резервному и архивному копирования;  Требования к соглашению об уровне предоставляемых услуг ИС.
О чем необходимо помнить:  любая функциональность программного продукта может быть использована мошенниками и достаточно сложно переоценить необходимость вовлечения служб информационной безопасности в процессы жизненного цикла программного продукта;  при одинаковой функциональности систем (приложения становятся все более похожи друг на друга) безопасность может стать конкурентным преимуществом;  попытки соблюдения 3 основных принципов ИБ (целостность, доступность, конфиденциальность) на самом деле тянут за собой много проблем (например: при обеспечении целостности надо помнить про сохранение эталонов ПО, СУБД, чтобы в последующем можно было отобразить нужную нам информацию в ее исходном виде).

Recommended

Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБAlexander Dorofeev
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...Компания УЦСБ
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Ivan Piskunov
 
ИБ АСУ ТП NON-STOP. Серия 1. Архитектура и основные компоненты АСУ ТП с точки...
ИБ АСУ ТП NON-STOP. Серия 1. Архитектура и основные компоненты АСУ ТП с точки...ИБ АСУ ТП NON-STOP. Серия 1. Архитектура и основные компоненты АСУ ТП с точки...
ИБ АСУ ТП NON-STOP. Серия 1. Архитектура и основные компоненты АСУ ТП с точки...Компания УЦСБ
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 
4. ePlat4m Security GRC
4. ePlat4m Security GRC4. ePlat4m Security GRC
4. ePlat4m Security GRCКомпания УЦСБ
 

Recommended

Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБAlexander Dorofeev
 
ИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаИСО 27001 на практике, или будни внедренца
ИСО 27001 на практике, или будни внедренцаAlexey Evmenkov
 
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...
ИБ АСУ ТП NON-STOP. Серия 5. Комплексная система обеспечения информационной б...Компания УЦСБ
 
Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Вопросы для интервью ISO 27001
Вопросы для интервью ISO 27001Ivan Piskunov
 
ИБ АСУ ТП NON-STOP. Серия 1. Архитектура и основные компоненты АСУ ТП с точки...
ИБ АСУ ТП NON-STOP. Серия 1. Архитектура и основные компоненты АСУ ТП с точки...ИБ АСУ ТП NON-STOP. Серия 1. Архитектура и основные компоненты АСУ ТП с точки...
ИБ АСУ ТП NON-STOP. Серия 1. Архитектура и основные компоненты АСУ ТП с точки...Компания УЦСБ
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 
4. ePlat4m Security GRC
4. ePlat4m Security GRC4. ePlat4m Security GRC
4. ePlat4m Security GRCКомпания УЦСБ
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
Подходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК РоссииПодходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК РоссииКомпания УЦСБ
 
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...Компания УЦСБ
 
Обеспечение информационной безопасности при эксплуатации АСУ ТП
Обеспечение информационной безопасности при эксплуатации АСУ ТПОбеспечение информационной безопасности при эксплуатации АСУ ТП
Обеспечение информационной безопасности при эксплуатации АСУ ТПAlexey Komarov
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kSergey Chuchaev
 
ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и...
ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и...ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и...
ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и...Компания УЦСБ
 
лекция 22 управление безопасностью-ч2
лекция 22 управление безопасностью-ч2лекция 22 управление безопасностью-ч2
лекция 22 управление безопасностью-ч2student_kai
 
Предложение на проведение аудита ИБ АСУ ТП
Предложение на проведение аудита ИБ АСУ ТППредложение на проведение аудита ИБ АСУ ТП
Предложение на проведение аудита ИБ АСУ ТПКомпания УЦСБ
 
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...Компания УЦСБ
 
1
11
1Werqs
 
Действительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТПДействительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТПDialogueScience
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
УПРАВЛЕНИЕ НЕПРЕРЫВНОСТЬЮ БИЗНЕСА
УПРАВЛЕНИЕ НЕПРЕРЫВНОСТЬЮ БИЗНЕСАУПРАВЛЕНИЕ НЕПРЕРЫВНОСТЬЮ БИЗНЕСА
УПРАВЛЕНИЕ НЕПРЕРЫВНОСТЬЮ БИЗНЕСАЮрий Ж
 
Защита промышленных систем
Защита промышленных системЗащита промышленных систем
Защита промышленных системPositive Hack Days
 
2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТП2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТПКомпания УЦСБ
 
ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, ме...
ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, ме...ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, ме...
ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, ме...Компания УЦСБ
 
Cisco Prime Security Manager
Cisco Prime Security ManagerCisco Prime Security Manager
Cisco Prime Security ManagerCisco Russia
 
3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPK3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPKКомпания УЦСБ
 
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...Компания УЦСБ
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСSelectedPresentations
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессExpolink
 
управление конфигураций и документирование программного обеспечения (49)
управление конфигураций и документирование программного обеспечения (49)управление конфигураций и документирование программного обеспечения (49)
управление конфигураций и документирование программного обеспечения (49)romachka_pole
 

More Related Content

What's hot

Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
Подходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК РоссииПодходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК РоссииКомпания УЦСБ
 
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...Компания УЦСБ
 
Обеспечение информационной безопасности при эксплуатации АСУ ТП
Обеспечение информационной безопасности при эксплуатации АСУ ТПОбеспечение информационной безопасности при эксплуатации АСУ ТП
Обеспечение информационной безопасности при эксплуатации АСУ ТПAlexey Komarov
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kSergey Chuchaev
 
ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и...
ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и...ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и...
ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и...Компания УЦСБ
 
лекция 22 управление безопасностью-ч2
лекция 22 управление безопасностью-ч2лекция 22 управление безопасностью-ч2
лекция 22 управление безопасностью-ч2student_kai
 
Предложение на проведение аудита ИБ АСУ ТП
Предложение на проведение аудита ИБ АСУ ТППредложение на проведение аудита ИБ АСУ ТП
Предложение на проведение аудита ИБ АСУ ТПКомпания УЦСБ
 
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...Компания УЦСБ
 
Действительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТПДействительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТПDialogueScience
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
УПРАВЛЕНИЕ НЕПРЕРЫВНОСТЬЮ БИЗНЕСА
УПРАВЛЕНИЕ НЕПРЕРЫВНОСТЬЮ БИЗНЕСАУПРАВЛЕНИЕ НЕПРЕРЫВНОСТЬЮ БИЗНЕСА
УПРАВЛЕНИЕ НЕПРЕРЫВНОСТЬЮ БИЗНЕСАЮрий Ж
 
Защита промышленных систем
Защита промышленных системЗащита промышленных систем
Защита промышленных системPositive Hack Days
 
2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТП2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТПКомпания УЦСБ
 
ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, ме...
ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, ме...ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, ме...
ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, ме...Компания УЦСБ
 
Cisco Prime Security Manager
Cisco Prime Security ManagerCisco Prime Security Manager
Cisco Prime Security ManagerCisco Russia
 
3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPK3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPKКомпания УЦСБ
 
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...Компания УЦСБ
 

What's hot (19)

Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
 
Подходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК РоссииПодходы к выполнению требований Приказа №31 ФСТЭК России
Подходы к выполнению требований Приказа №31 ФСТЭК России
 
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
 
Обеспечение информационной безопасности при эксплуатации АСУ ТП
Обеспечение информационной безопасности при эксплуатации АСУ ТПОбеспечение информационной безопасности при эксплуатации АСУ ТП
Обеспечение информационной безопасности при эксплуатации АСУ ТП
 
Построение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27kПостроение СУИБ на основе ISO 27k
Построение СУИБ на основе ISO 27k
 
ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и...
ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и...ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и...
ИБ АСУ ТП NON-STOP. Серия 6. Управление информационной безопасностью АСУ ТП и...
 
лекция 22 управление безопасностью-ч2
лекция 22 управление безопасностью-ч2лекция 22 управление безопасностью-ч2
лекция 22 управление безопасностью-ч2
 
Предложение на проведение аудита ИБ АСУ ТП
Предложение на проведение аудита ИБ АСУ ТППредложение на проведение аудита ИБ АСУ ТП
Предложение на проведение аудита ИБ АСУ ТП
 
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
Решение Efros Config Inspector для обеспечения кибербезопасности промышленных...
 
1
11
1
 
Действительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТПДействительно комплексный подход к защите АСУ ТП
Действительно комплексный подход к защите АСУ ТП
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
УПРАВЛЕНИЕ НЕПРЕРЫВНОСТЬЮ БИЗНЕСА
УПРАВЛЕНИЕ НЕПРЕРЫВНОСТЬЮ БИЗНЕСАУПРАВЛЕНИЕ НЕПРЕРЫВНОСТЬЮ БИЗНЕСА
УПРАВЛЕНИЕ НЕПРЕРЫВНОСТЬЮ БИЗНЕСА
 
Защита промышленных систем
Защита промышленных системЗащита промышленных систем
Защита промышленных систем
 
2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТП2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТП
 
ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, ме...
ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, ме...ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, ме...
ИБ АСУ ТП NON-STOP. Серия 3. Законодательство и требования регуляторов РФ, ме...
 
Cisco Prime Security Manager
Cisco Prime Security ManagerCisco Prime Security Manager
Cisco Prime Security Manager
 
3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPK3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPK
 
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
ИБ АСУ ТП NON-STOP. Серия 8. Требования по обеспечению ИБ систем автоматическ...
 

Similar to обеспечение безопасности программного продукта на различных стадиях жизненного цикла.

Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСSelectedPresentations
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессExpolink
 
управление конфигураций и документирование программного обеспечения (49)
управление конфигураций и документирование программного обеспечения (49)управление конфигураций и документирование программного обеспечения (49)
управление конфигураций и документирование программного обеспечения (49)romachka_pole
 
слайды политика-новая
слайды политика-новаяслайды политика-новая
слайды политика-новаяtrenders
 
защита информации 9
защита информации 9защита информации 9
защита информации 9aepetelin
 
CISSP new 2015 domain structure review (RUS)
CISSP new 2015 domain structure review (RUS)CISSP new 2015 domain structure review (RUS)
CISSP new 2015 domain structure review (RUS)Konstantin Beltsov
 
лекция 2
лекция 2лекция 2
лекция 2cezium
 
лекция 2
лекция 2лекция 2
лекция 2cezium
 
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Expolink
 
НБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиямиНБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиямиNick Turunov
 
Основное содержание профессионального стандарта «Специалист по безопасности и...
Основное содержание профессионального стандарта «Специалист по безопасности и...Основное содержание профессионального стандарта «Специалист по безопасности и...
Основное содержание профессионального стандарта «Специалист по безопасности и...SelectedPresentations
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
 
Внедрение систем мониторинга и защиты информации
Внедрение систем мониторинга и защиты информации Внедрение систем мониторинга и защиты информации
Внедрение систем мониторинга и защиты информации MNUCIB
 
Применение международного стандарта безопасности информационных систем ISO 17...
Применение международного стандарта безопасности информационных систем ISO 17...Применение международного стандарта безопасности информационных систем ISO 17...
Применение международного стандарта безопасности информационных систем ISO 17...Юрий Ж
 
Системная инженерия и информационная модель системы
Системная инженерия и информационная модель системыСистемная инженерия и информационная модель системы
Системная инженерия и информационная модель системыAnatoly Levenchuk
 

Similar to обеспечение безопасности программного продукта на различных стадиях жизненного цикла. (20)

Обеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИСОбеспечение защиты информации на стадиях жизненного цикла ИС
Обеспечение защиты информации на стадиях жизненного цикла ИС
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процесс
 
управление конфигураций и документирование программного обеспечения (49)
управление конфигураций и документирование программного обеспечения (49)управление конфигураций и документирование программного обеспечения (49)
управление конфигураций и документирование программного обеспечения (49)
 
слайды политика-новая
слайды политика-новаяслайды политика-новая
слайды политика-новая
 
защита информации 9
защита информации 9защита информации 9
защита информации 9
 
CISSP new 2015 domain structure review (RUS)
CISSP new 2015 domain structure review (RUS)CISSP new 2015 domain structure review (RUS)
CISSP new 2015 domain structure review (RUS)
 
Lection 3 4_pm
Lection 3 4_pmLection 3 4_pm
Lection 3 4_pm
 
лекция 2
лекция 2лекция 2
лекция 2
 
лекция 2
лекция 2лекция 2
лекция 2
 
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.
 
НБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиямиНБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиями
 
Основное содержание профессионального стандарта «Специалист по безопасности и...
Основное содержание профессионального стандарта «Специалист по безопасности и...Основное содержание профессионального стандарта «Специалист по безопасности и...
Основное содержание профессионального стандарта «Специалист по безопасности и...
 
IT Project Life cycle
IT Project Life cycleIT Project Life cycle
IT Project Life cycle
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
 
Правила аудита
Правила аудитаПравила аудита
Правила аудита
 
Внедрение систем мониторинга и защиты информации
Внедрение систем мониторинга и защиты информации Внедрение систем мониторинга и защиты информации
Внедрение систем мониторинга и защиты информации
 
1
11
1
 
МиСПИСиТ (жизненный цикл)
МиСПИСиТ (жизненный цикл)МиСПИСиТ (жизненный цикл)
МиСПИСиТ (жизненный цикл)
 
Применение международного стандарта безопасности информационных систем ISO 17...
Применение международного стандарта безопасности информационных систем ISO 17...Применение международного стандарта безопасности информационных систем ISO 17...
Применение международного стандарта безопасности информационных систем ISO 17...
 
Системная инженерия и информационная модель системы
Системная инженерия и информационная модель системыСистемная инженерия и информационная модель системы
Системная инженерия и информационная модель системы
 

More from hmyrhik nikita

система эль гамаля
система эль гамалясистема эль гамаля
система эль гамаляhmyrhik nikita
 
обеспечение безопасности программного продукта на различных стадиях жизненног...
обеспечение безопасности программного продукта на различных стадиях жизненног...обеспечение безопасности программного продукта на различных стадиях жизненног...
обеспечение безопасности программного продукта на различных стадиях жизненног...hmyrhik nikita
 
криптография. способы защиты информации.
криптография. способы защиты информации.криптография. способы защиты информации.
криптография. способы защиты информации.hmyrhik nikita
 
криптографический стандарт Rsa
криптографический стандарт Rsaкриптографический стандарт Rsa
криптографический стандарт Rsahmyrhik nikita
 
криптовалюта
криптовалютакриптовалюта
криптовалютаhmyrhik nikita
 
генераторы псевдослучайных последовательностей и шифрование методом гаммирования
генераторы псевдослучайных последовательностей и шифрование методом гаммированиягенераторы псевдослучайных последовательностей и шифрование методом гаммирования
генераторы псевдослучайных последовательностей и шифрование методом гаммированияhmyrhik nikita
 
асимметричные алгоритмы шифрования
асимметричные алгоритмы шифрованияасимметричные алгоритмы шифрования
асимметричные алгоритмы шифрованияhmyrhik nikita
 
асимметричные алгоритмы шифрования
асимметричные алгоритмы шифрованияасимметричные алгоритмы шифрования
асимметричные алгоритмы шифрованияhmyrhik nikita
 

More from hmyrhik nikita (11)

система эль гамаля
система эль гамалясистема эль гамаля
система эль гамаля
 
обеспечение безопасности программного продукта на различных стадиях жизненног...
обеспечение безопасности программного продукта на различных стадиях жизненног...обеспечение безопасности программного продукта на различных стадиях жизненног...
обеспечение безопасности программного продукта на различных стадиях жизненног...
 
криптография. способы защиты информации.
криптография. способы защиты информации.криптография. способы защиты информации.
криптография. способы защиты информации.
 
криптографический стандарт Rsa
криптографический стандарт Rsaкриптографический стандарт Rsa
криптографический стандарт Rsa
 
криптовалюта
криптовалютакриптовалюта
криптовалюта
 
генераторы псевдослучайных последовательностей и шифрование методом гаммирования
генераторы псевдослучайных последовательностей и шифрование методом гаммированиягенераторы псевдослучайных последовательностей и шифрование методом гаммирования
генераторы псевдослучайных последовательностей и шифрование методом гаммирования
 
асимметричные алгоритмы шифрования
асимметричные алгоритмы шифрованияасимметричные алгоритмы шифрования
асимметричные алгоритмы шифрования
 
Prez3
Prez3Prez3
Prez3
 
Prez2
Prez2Prez2
Prez2
 
Prez1
Prez1Prez1
Prez1
 
асимметричные алгоритмы шифрования
асимметричные алгоритмы шифрованияасимметричные алгоритмы шифрования
асимметричные алгоритмы шифрования
 

обеспечение безопасности программного продукта на различных стадиях жизненного цикла.

  • 1. Обеспечение безопасности программного продукта на различных стадиях жизненного цикла. ПОДГОТОВИЛ УЧАЩИЙСЯ ГРУППЫ 25ТП: ЗАЙКО СЕРГЕЙ
  • 2. Основные этапы ЖЦ с точки зрения информационной безопасности:  Разработка технического задания;  Проектирование программного продукта;  Разработка и тестирование;  Одобрение программного продукта и ввод в действие;  Эксплуатация;  Сопровождение и модернизация;  Вывод из эксплуатации программного продукта.
  • 3. Разработка технического задания: На начальной стадии определяются цели, задачи использования ПП и его основные функции, определяются методы и средства разработки. Основными направлениями, как правило, являются:  определение угроз и оценка рисков информационной безопасности;  взаимодействие по вопросам ИБ в рамках выполнения работ;  выбор средств и мер для защиты и нейтрализации угроз ИБ;  понимание требований законодательства и отнесение ПП к определенной категории.
  • 4. Проектирование программного продукта: На этапе проектирования отправной точкой служит рабочий функционал и обеспечение его безопасности - это безопасность работы через интернет и электронную почту, ведение журналов событий, управление правами доступа и т. д. Информационные ресурсы, которые должны быть защищены, следует подразделять по соответствующим функциональным принципам. Требования к обеспечению безопасности тех или иных рабочих функций должны учитываться разработчиками на этапе проектирования системы.
  • 5. Разработка и тестирование: Безопасность, при разработке, может быть обеспечена:  определением процедур разработки ПП;  организацией среды разработки;  обучением программистов методам безопасной разработки;  анализом и тестированием исходных кодов на наличие уязвимостей. При приобретении ПП необходимо уделить особое внимание оформлению договорных обязательств. Также следует учитывать наличие у разработчика необходимых лицензий на разработку и эксплуатацию средств и систем защиты.
  • 6. Одобрение программного продукта и ввод в действие: Методика испытания программного продукта должна содержать мероприятия по проверке требований информационной безопасности:  документация к программному продукту, как минимум, должна содержать: описание ролевой системы, описание механизмов доступа, регистрации событий, целостности, резервирования, параметры настроек безопасности;  обучение и подготовка администраторов и пользователей ПП;  подготовка актов о завершении тестирования и приказа о вводе приложения в эксплуатацию.
  • 7. Эксплуатация: На стадии эксплуатации важно учитывать:  работоспособность всех сервисов;  доступность к материалам всем пользователям, в соответствии с их ролями и полномочиями;  сбор и анализ событий доступа и поддержки работы системы;  создание резервных и архивных копий - должно не только присутствовать, но и быть оттестированным и практически отработанным. Мероприятия на данном этапе должны выполняться и контролироваться с установленной периодичностью.
  • 8. Сопровождение и модернизация: К основным процедурам относятся:  влияния вносимых изменений на состояние ПП будь то внедрение нового модуля, добавление нескольких полей данных или установка обновлений, должно анализироваться на предмет влияния на состояние защищенности ПП. Процедуры контроля изменений должны предусматривать порядок уведомления лиц, ответственных за информационную безопасность, об изменениях ПП, а также порядок анализа изменений, их утверждении и документировании;  контроль параметров безопасности ПП должен включать проверку корректности настроек и работоспособности защитных функций ПП. Дополнительно пользователями и администраторами ИС должен осуществляться постоянный мониторинг работоспособности защитных функций.
  • 9. Вывод из эксплуатации программного продукта: Для обеспечения безопасности на стадии вывода из эксплуатации рекомендуется разработать нормативный документ, содержащий мероприятия по уничтожению информации, утилизации компонентов ПП, а также архивированию и безопасному хранению информации. В данный процесс, помимо службы информационной безопасности, должны быть вовлечены владельцы ПП и программисты. Все действия по выводу из эксплуатации должны актироваться. На данном этапе необходимо уделять внимание следующим мероприятиям:  определение информации, подлежащей архивации и дальнейшему хранению;  уничтожение всей информации из постоянной памяти ПП и носителей;  демонтаж и утилизация аппаратных средств ПП.
  • 10. Основные требования информационной безопасности:  Исполнение законодательства (СТБ 34.101.1-2014 (ISO/IEC 15408-1:2009), СТБ ISO/IEC 27001);  требования по управлению доступом на основе ролей;  требования по обеспечению целостности всех видов информации в системе;  требования по обеспечению доступности системы и ее элементов;  требования по резервному и архивному копирования;  Требования к соглашению об уровне предоставляемых услуг ИС.
  • 11. О чем необходимо помнить:  любая функциональность программного продукта может быть использована мошенниками и достаточно сложно переоценить необходимость вовлечения служб информационной безопасности в процессы жизненного цикла программного продукта;  при одинаковой функциональности систем (приложения становятся все более похожи друг на друга) безопасность может стать конкурентным преимуществом;  попытки соблюдения 3 основных принципов ИБ (целостность, доступность, конфиденциальность) на самом деле тянут за собой много проблем (например: при обеспечении целостности надо помнить про сохранение эталонов ПО, СУБД, чтобы в последующем можно было отобразить нужную нам информацию в ее исходном виде).