Документ обсуждает сертификацию производства безопасного программного обеспечения и необходимость внедрения цикла разработки для повышения информационной безопасности. Указаны данные о нарушениях информационной безопасности и распределении уязвимостей программного обеспечения, а также перечислены процедуры, которые должны быть использованы при разработке безопасных ПО. В документе также представлена связь с нормативными актами и требованиями к разработке и управлению конфигурацией.

1. К вопросу о сертификации
производства безопасных
программных средств
Александр Барабанов, CISSP, CSSLP
Алексей Марков, кандидат технических
наук, с.н.с., CISSP, SBCI,
доцент МГТУ им. Н.Э.Баумана

2. Количество нарушений информационной
безопасности в информационных системах
1800
Количество нарушений
1600
1400
1200
1000
800
600
400
200
0
2007
2008
2009
2010
2011
2012
2

3. Распределение уязвимостей по источникам
4%
10%
ПО
ОС
86%
Аппаратная
платформа
3

4. Распределение дефектов безопасности
программного обеспечения по типам
Аутентификационные
данные в коде
программы (CWE-798)
9%
Межсайтовый
скриптинг (CWE-79)
17%
57%
Внедрение SQL-кода
(CWE-89)
17%
Утечка информации и
неверная обработка
ошибок (CWE-717)
4

5. Необходимость внедрения цикла разработки
безопасного программного обеспечения
5

6. ГОСТ Р «Защита информации. Требования по
обеспечению безопасности разработки
программного обеспечения»
Начало:
апрель 2013
Проект первой
редакции:
август 2013
Окончательная
редакция: май
2014
6

7. Учитываемые особенности
 обеспечение внедрения необходимых
процедур на самых ранних стадиях
проектирования ПО
 учет положений «лучших практик»
 совместимость с методологией «Общие
критерии»
 обеспечение возможность интеграции
процедур разработки безопасных ПС с
существующей на предприятии системой
управления ИБ
7

8. Перечень процедур, используемых при
разработке безопасного ПО
 управление конфигурацией
 использование инструментальных средств и
методов разработки
 обеспечение безопасности разработки
 поставка
 обновление и устранение уязвимостей и
дефектов безопасности ПО
 проектирование и реализации безопасного ПО
8

9. Процедуры управления конфигурацией
 маркировка элементов ПО
 эксплуатационная документация на
систему управления конфигурацией
 описание методов идентификации
элементов конфигурации
 план управления конфигурацией и план
приемки
 список элементов конфигурации
9

10. Процедуры использования инструментальных
средств и методов разработки
 идентификация разработчиком
инструментальных средств
разработки ПО;
 использование стандартов
реализации
10

11. Процедуры обеспечения безопасности
разработки
 физический и логический
контроль доступа
 политика безопасности в
отношении посетителей
 резервное копирование
 защита от утечек информации
 обучение персонала
 процедуры найма/увольнения
11

12. Процедуры поставки
 процедуры поставки ПО или его
частей пользователю
 процедуры, необходимые для
безопасной установки, генерации и
запуска ПО
12

13. Обновление и устранение уязвимостей и
дефектов безопасности
 организация инфраструктуры
распространения обновлений
 анализ влияния обновлений
на безопасность
13

14. Проектирование и реализации безопасного ПО
 использование методов защищенного
программирования
 обучение сотрудников
 моделирование угроз
 статический и динамический анализ
 тестирование на проникновение
 …..
14

15. Связь с нормативными правовыми актами
ФСТЭК России
Требование
Требование
разрабатываемого стандарта
ГОСТ Р ИСО/МЭК 15408-3
Требования к функциональным возможностям системы ACM_CAP.1, ACM_CAP.2, ACM_CAP.3,
управления конфигурацией
ACM_CAP.4, ACM_CAP.5
Требования к области действия системы управления ACM_SCP.1, ACM_SCP.2, ACM_SCP.3
конфигурации
Требования к средствам автоматизации процесса ACM_AUT.1, ACM_AUT.2
управления конфигурацией
Требования к
жизненного цикла
процедурам
определения
модели ALC_LCD.1, ALC_LCD.2, ALC_LCD.3
Требования к процедурам проектирования и реализации ATE_FUN.1, ATE_FUN.2, AVA_VLA,
безопасных ПС
ADV_FSP, ADV_HLD, ADV_LLD,
ADV_RCR
Требования
к
процедурам
использования ALC_TAT.1, ALC_TAT.2, ALC_TAT.3
инструментальных средств и методов разработки
Требования к обеспечению безопасности разработки
ALC_DVS.1, ALC_DVS.2
Требования к процедуре поставки
ADO_DEL.1, ADO_DEL.2, ADO_DEL.3,
ADO_ISG, AGD_ADM, AGD_USR
Требования к реализации процедур обновления и ALC_FLR.1, ALC_FLR.2, ALC_FLR.3
устранения недостатков
15

16. Александр Барабанов,
Алексей Марков
E-mail: mail@npo-echelon.ru
Тел.: +7(495) 645-38-09