3. Безопасность – это уверенность
― “Утверждаете, что ваша система защищена?
― Убедите меня, что вы…:
• …реализовали адекватные механизмы защиты
• …достоверно знаете, что эти механизмы защиты
действительно работают
• …контролируете процесс разработки и эксплуатации”
4. СТО БР, PA DSS и все-все-все
― Есть обширная практика решения
каждой отдельной задачи
― Готовые решения разнородны и не
взаимосвязаны
― Нужно придумать систему, их
объединяющую
7. Адекватность механизмов безопасности
― “Должна осуществляться аутентификация пользователя по
паролю”– адекватно?
― Способы обхода аутентификации
• Брутфорс
• Восстановление пароля по хеш-значению
• Интерфейс восстановления забытых паролей
• Перехват/фиксация сессии
• CSRF
• …
― Каждый способ атаки порождает свои требования к
механизмам защиты
8. Как формируются требования
СТО БР
“Должна обеспечиваться двусторонняя аутентификация участников обмена
электронными платежными сообщениями”
Конечные требования
- Проверка сложности пароля при его задании пользователем
- Исключение словарных паролей
- История паролей
- …
Промежуточные требования
- Аутентификация клиента по паролю
- Обеспечение сложности пароля
- …
9. Оценка выполнения требований
― Мнения
• “Должны проводиться внешнее сканирование и тесты на
проникновение”
• “Должен проводиться анализ исходного кода приложений”
― Способы анализа защищенности разнообразны
• Сканирование в режиме черного ящика
• Идентификация известных уязвимостей
• Периметровый тест на проникновение
• Внутренний тест на проникновение
• Выявление типичных ошибок программирования
• …
10. Оценка защищенности в деталях
Нужно, как минимум, обозначить состав работ по каждому виду
оценки защищенности
11. Жизненный цикл ПИБ приложения
Принятие решения о
разработке
Методическое
обеспечение
разработки
Постановка задачи на
разработку Оценка угроз
Выбор мер
защиты
Определение общей
архитектуры ПИБ
Разработка функций
безопасности
Функциональное
тестирование
Проектирование
функций безопасности
Развертывание
системы
Приемочные
испытания
Оценка
защищенности
Эксплуатация
Доработка
Снятие с эксплуатации
12. Самооценка
― Реалистичные показатели для оценки жизненного цикла
• Наличие и полнота документации жизненного цикла
• Периодичность оценки защищенности
• Полнота фактического состава работ по оценке
защищенности
• Подтвержденное устранение выявленных недостатков
― Защищенность – это не отсутствие недостатков в защите, а
уверенность в том, что они планомерно выявляются и
устраняются
13. Ничего нового
― “Парадигма доверия”, декомпозиция – ISO 15408
― Промежуточные требования – PA DSS, OWASP, NIST SP 800
― Конечные требования – NIST Checklist Program for IT
Products, CIS
― Организация жизненного цикла – SDLC, NIST SP 800
― Состав работ по оценке защищенности – OSSTMM, OWASP