Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?

1,101 views

Published on

Published in: Technology
  • Be the first to comment

Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?

  1. 1. if (empty($secureCodeDesign)) {returnFAIL; } илиCisco Secure Development LifecycleЛукацкий Алексей, консультант по безопасности
  2. 2. Что такое защищенный код?• 10% функций защиты– МСЭ– ACL– криптография• 90% защищенных функций– Защита от переполнения– Проверка входных данных– Контроль выходных данных• Требуется непрерывный процесс обеспечения и повышениякачества ПО, включающий решение различных задач• Для Cisco важно не только программное обеспечение, но ижелезо– Включая риски Supply Chain Management
  3. 3. Как протестировать ПО?
  4. 4. Учет задач CSDL на всех этапахЗапрос напродуктДизайнпродуктаРазработкапродуктаТестыпродуктаСертификацияАдаптацияДоверенная платформаАрхитектураПодпись кодаSecure BootASLRКриптомодульРазработка функцийбезопасностиОбщие инструментыи библиотекибезопасностиОбщие требования посертификацииИндустриальныепомощникиТестирование ипроверка соответствияCisco Secure Development LifecycleИсследованияугрозPSIRTСертификацияБюллетени 3rd
  5. 5. Лучшие практики по обеспечению качества ПО• Включает не толькоанализ качестваПО, но и также• Правилазащищенногопрограммирования• Регулярные тренингии программыповышенияосведомленности• Моделирование угроз• Тестирование• И т.д.
  6. 6. Меры по защите информации
  7. 7. Cisco Security Ninja: все начинается с тренингов иповышения осведомленности• Стимулирование изученияCSDL широким спектромсотрудников Cisco• Система распознавания имотивации сотрудников• Применение практик CSDL вработе
  8. 8. PSIRT находит больше проблем, чем TACFY10 FY11 FY12PSIRTTAC
  9. 9. Библиотека угроз при разработке ПО ускоряет времяразработки
  10. 10. Библиотека угроз при разработке ПО ускоряет времяразработки
  11. 11. Модели угроз / графы атак
  12. 12. Оценка рисков для каждой угрозы позволяет учестьприоритеты
  13. 13. Не только ПО: базовые требования по безопасностиCisco SaaS
  14. 14. Рекомендации по защищенному программированию
  15. 15. Рекомендации для разработки облачных сервисов
  16. 16. Рекомендации по тестированию ПО
  17. 17. Чем тестировать ПО?
  18. 18. Как протестировать Cisco Smart Grid Router?
  19. 19. Как протестировать Cisco Smart Grid Router?
  20. 20. Как оценить для руководства? Пример SaaS-метрик
  21. 21. © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация CiscoBRKSEC-1065 21Благодарю васза вниманиеsecurity-request@cisco.com

×