SlideShare a Scribd company logo

Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?

Positive Hack Days
Positive Hack Days
Technology
1 of 21
if (empty($secureCodeDesign)) {return FAIL; } или Cisco Secure Development Lifecycle Лукацкий Алексей, консультант по безопасности
Что такое защищенный код? • 10% функций защиты – МСЭ – ACL – криптография • 90% защищенных функций – Защита от переполнения – Проверка входных данных – Контроль выходных данных • Требуется непрерывный процесс обеспечения и повышения качества ПО, включающий решение различных задач • Для Cisco важно не только программное обеспечение, но и железо – Включая риски Supply Chain Management
Как протестировать ПО?
Учет задач CSDL на всех этапах Запрос на продукт Дизайн продукта Разработка продукта Тесты продукта Сертификация Адаптация Доверенная платформа Архитектура Подпись кода Secure Boot ASLR Криптомодуль Разработка функций безопасности Общие инструменты и библиотеки безопасности Общие требования по сертификации Индустриальные помощники Тестирование и проверка соответствия Cisco Secure Development Lifecycle Исследования угроз PSIRT Сертификация Бюллетени 3rd
Лучшие практики по обеспечению качества ПО • Включает не только анализ качества ПО, но и также • Правила защищенного программирования • Регулярные тренинги и программы повышения осведомленности • Моделирование угроз • Тестирование • И т.д.
Меры по защите информации
Cisco Security Ninja: все начинается с тренингов и повышения осведомленности • Стимулирование изучения CSDL широким спектром сотрудников Cisco • Система распознавания и мотивации сотрудников • Применение практик CSDL в работе
PSIRT находит больше проблем, чем TAC FY10 FY11 FY12 PSIRT TAC
Библиотека угроз при разработке ПО ускоряет время разработки
Библиотека угроз при разработке ПО ускоряет время разработки
Модели угроз / графы атак
Оценка рисков для каждой угрозы позволяет учесть приоритеты
Не только ПО: базовые требования по безопасности Cisco SaaS
Рекомендации по защищенному программированию
Рекомендации для разработки облачных сервисов
Рекомендации по тестированию ПО
Чем тестировать ПО?
Как протестировать Cisco Smart Grid Router?
Как протестировать Cisco Smart Grid Router?
Как оценить для руководства? Пример SaaS-метрик
© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация CiscoBRKSEC-1065 21 Благодарю вас за внимание security-request@cisco.com

Recommended

Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийRISClubSPb
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практикеPointlane
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработкиRISClubSPb
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителейPositive Development User Group
 

Recommended

Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийRISClubSPb
 
Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практикеPointlane
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработкиRISClubSPb
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
О PCI P2PE в общих чертах
О PCI P2PE в общих чертахО PCI P2PE в общих чертах
О PCI P2PE в общих чертахAlex Babenko
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителейPositive Development User Group
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложенийAlexander Kolybelnikov
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработкиPositive Development User Group
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаRISSPA_SPb
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
 
Стандарт "Общие Критерии" : Состав, методология, требования доверия
Стандарт "Общие Критерии" : Состав, методология, требования доверияСтандарт "Общие Критерии" : Состав, методология, требования доверия
Стандарт "Общие Критерии" : Состав, методология, требования доверияIvan Ignatyev
 
Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Valery Boronin
 
Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar Security
 
Технологии разработки ПО
Технологии разработки ПОТехнологии разработки ПО
Технологии разработки ПОAnton Konushin
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
SDL/SSDL для руководителей
SDL/SSDL для руководителейSDL/SSDL для руководителей
SDL/SSDL для руководителейValery Boronin
 
Методологии процесса разработки программного обеспечения
Методологии процесса разработки программного обеспеченияМетодологии процесса разработки программного обеспечения
Методологии процесса разработки программного обеспеченияDressTester
 
Software Testing Body of Knowledge (Russian)
Software Testing Body of Knowledge (Russian)Software Testing Body of Knowledge (Russian)
Software Testing Body of Knowledge (Russian)Iosif Itkin
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Expolink
 
Что нужно знать специалисту по ИБ
Что нужно знать специалисту по ИБЧто нужно знать специалисту по ИБ
Что нужно знать специалисту по ИБabondarenko
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar Security
 
23may 1500 valday михаил кадер 'что надо знать о сертификации по общим критер...
23may 1500 valday михаил кадер 'что надо знать о сертификации по общим критер...23may 1500 valday михаил кадер 'что надо знать о сертификации по общим критер...
23may 1500 valday михаил кадер 'что надо знать о сертификации по общим критер...Positive Hack Days
 
Обзор методологии SCRUM. Особенности SCRUM методологии. Вопросы коммуникации ...
Обзор методологии SCRUM. Особенности SCRUM методологии. Вопросы коммуникации ...Обзор методологии SCRUM. Особенности SCRUM методологии. Вопросы коммуникации ...
Обзор методологии SCRUM. Особенности SCRUM методологии. Вопросы коммуникации ...DressTester
 
Positive Hack Days. Лукацкий. Сложности регулирования криптографии в России
Positive Hack Days. Лукацкий. Сложности регулирования криптографии в РоссииPositive Hack Days. Лукацкий. Сложности регулирования криптографии в России
Positive Hack Days. Лукацкий. Сложности регулирования криптографии в РоссииPositive Hack Days
 
SAP Forum 2012 - внедрение SAP BusinessObjects в компании ROST XXI
SAP Forum 2012 - внедрение SAP BusinessObjects в компании ROST XXISAP Forum 2012 - внедрение SAP BusinessObjects в компании ROST XXI
SAP Forum 2012 - внедрение SAP BusinessObjects в компании ROST XXIAlexey Puchkov
 
Российско-американские меры доверия в области ИКТ и их использования: История...
Российско-американские меры доверия в области ИКТ и их использования: История...Российско-американские меры доверия в области ИКТ и их использования: История...
Российско-американские меры доверия в области ИКТ и их использования: История...Oleg Demidov
 

More Related Content

What's hot

лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложенийAlexander Kolybelnikov
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработкиPositive Development User Group
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаRISSPA_SPb
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
 
Стандарт "Общие Критерии" : Состав, методология, требования доверия
Стандарт "Общие Критерии" : Состав, методология, требования доверияСтандарт "Общие Критерии" : Состав, методология, требования доверия
Стандарт "Общие Критерии" : Состав, методология, требования доверияIvan Ignatyev
 
Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Valery Boronin
 
Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar Security
 
Технологии разработки ПО
Технологии разработки ПОТехнологии разработки ПО
Технологии разработки ПОAnton Konushin
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
SDL/SSDL для руководителей
SDL/SSDL для руководителейSDL/SSDL для руководителей
SDL/SSDL для руководителейValery Boronin
 
Методологии процесса разработки программного обеспечения
Методологии процесса разработки программного обеспеченияМетодологии процесса разработки программного обеспечения
Методологии процесса разработки программного обеспеченияDressTester
 
Software Testing Body of Knowledge (Russian)
Software Testing Body of Knowledge (Russian)Software Testing Body of Knowledge (Russian)
Software Testing Body of Knowledge (Russian)Iosif Itkin
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Expolink
 
Что нужно знать специалисту по ИБ
Что нужно знать специалисту по ИБЧто нужно знать специалисту по ИБ
Что нужно знать специалисту по ИБabondarenko
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar Security
 
23may 1500 valday михаил кадер 'что надо знать о сертификации по общим критер...
23may 1500 valday михаил кадер 'что надо знать о сертификации по общим критер...23may 1500 valday михаил кадер 'что надо знать о сертификации по общим критер...
23may 1500 valday михаил кадер 'что надо знать о сертификации по общим критер...Positive Hack Days
 
Обзор методологии SCRUM. Особенности SCRUM методологии. Вопросы коммуникации ...
Обзор методологии SCRUM. Особенности SCRUM методологии. Вопросы коммуникации ...Обзор методологии SCRUM. Особенности SCRUM методологии. Вопросы коммуникации ...
Обзор методологии SCRUM. Особенности SCRUM методологии. Вопросы коммуникации ...DressTester
 

What's hot (19)

лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложений
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработки
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасности
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
 
Стандарт "Общие Критерии" : Состав, методология, требования доверия
Стандарт "Общие Критерии" : Состав, методология, требования доверияСтандарт "Общие Критерии" : Состав, методология, требования доверия
Стандарт "Общие Критерии" : Состав, методология, требования доверия
 
Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016
 
Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей Solar in code: в поисках уязвимостей
Solar in code: в поисках уязвимостей
 
Технологии разработки ПО
Технологии разработки ПОТехнологии разработки ПО
Технологии разработки ПО
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
 
SDL/SSDL для руководителей
SDL/SSDL для руководителейSDL/SSDL для руководителей
SDL/SSDL для руководителей
 
Методологии процесса разработки программного обеспечения
Методологии процесса разработки программного обеспеченияМетодологии процесса разработки программного обеспечения
Методологии процесса разработки программного обеспечения
 
Software Testing Body of Knowledge (Russian)
Software Testing Body of Knowledge (Russian)Software Testing Body of Knowledge (Russian)
Software Testing Body of Knowledge (Russian)
 
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
Anti-Malware. Илья Шабанов. " Как контролировать системных администраторов и ...
 
Что нужно знать специалисту по ИБ
Что нужно знать специалисту по ИБЧто нужно знать специалисту по ИБ
Что нужно знать специалисту по ИБ
 
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБSolar inCode – система анализа программного кода на наличие уязвимостей ИБ
Solar inCode – система анализа программного кода на наличие уязвимостей ИБ
 
23may 1500 valday михаил кадер 'что надо знать о сертификации по общим критер...
23may 1500 valday михаил кадер 'что надо знать о сертификации по общим критер...23may 1500 valday михаил кадер 'что надо знать о сертификации по общим критер...
23may 1500 valday михаил кадер 'что надо знать о сертификации по общим критер...
 
Обзор методологии SCRUM. Особенности SCRUM методологии. Вопросы коммуникации ...
Обзор методологии SCRUM. Особенности SCRUM методологии. Вопросы коммуникации ...Обзор методологии SCRUM. Особенности SCRUM методологии. Вопросы коммуникации ...
Обзор методологии SCRUM. Особенности SCRUM методологии. Вопросы коммуникации ...
 

Viewers also liked

Positive Hack Days. Лукацкий. Сложности регулирования криптографии в России
Positive Hack Days. Лукацкий. Сложности регулирования криптографии в РоссииPositive Hack Days. Лукацкий. Сложности регулирования криптографии в России
Positive Hack Days. Лукацкий. Сложности регулирования криптографии в РоссииPositive Hack Days
 
SAP Forum 2012 - внедрение SAP BusinessObjects в компании ROST XXI
SAP Forum 2012 - внедрение SAP BusinessObjects в компании ROST XXISAP Forum 2012 - внедрение SAP BusinessObjects в компании ROST XXI
SAP Forum 2012 - внедрение SAP BusinessObjects в компании ROST XXIAlexey Puchkov
 
Российско-американские меры доверия в области ИКТ и их использования: История...
Российско-американские меры доверия в области ИКТ и их использования: История...Российско-американские меры доверия в области ИКТ и их использования: История...
Российско-американские меры доверия в области ИКТ и их использования: История...Oleg Demidov
 
Борьба с целенаправленными угрозами
Борьба с целенаправленными угрозамиБорьба с целенаправленными угрозами
Борьба с целенаправленными угрозамиCisco Russia
 
Алексей Лукацкий. Презентация - Безопасность критических инфраструктур. Трени...
Алексей Лукацкий. Презентация - Безопасность критических инфраструктур. Трени...Алексей Лукацкий. Презентация - Безопасность критических инфраструктур. Трени...
Алексей Лукацкий. Презентация - Безопасность критических инфраструктур. Трени...Oleg Demidov
 
Безопасность критических инфраструктур. Международные аспекты
Безопасность критических инфраструктур. Международные аспектыБезопасность критических инфраструктур. Международные аспекты
Безопасность критических инфраструктур. Международные аспектыAleksey Lukatskiy
 

Viewers also liked (6)

Positive Hack Days. Лукацкий. Сложности регулирования криптографии в России
Positive Hack Days. Лукацкий. Сложности регулирования криптографии в РоссииPositive Hack Days. Лукацкий. Сложности регулирования криптографии в России
Positive Hack Days. Лукацкий. Сложности регулирования криптографии в России
 
SAP Forum 2012 - внедрение SAP BusinessObjects в компании ROST XXI
SAP Forum 2012 - внедрение SAP BusinessObjects в компании ROST XXISAP Forum 2012 - внедрение SAP BusinessObjects в компании ROST XXI
SAP Forum 2012 - внедрение SAP BusinessObjects в компании ROST XXI
 
Российско-американские меры доверия в области ИКТ и их использования: История...
Российско-американские меры доверия в области ИКТ и их использования: История...Российско-американские меры доверия в области ИКТ и их использования: История...
Российско-американские меры доверия в области ИКТ и их использования: История...
 
Борьба с целенаправленными угрозами
Борьба с целенаправленными угрозамиБорьба с целенаправленными угрозами
Борьба с целенаправленными угрозами
 
Алексей Лукацкий. Презентация - Безопасность критических инфраструктур. Трени...
Алексей Лукацкий. Презентация - Безопасность критических инфраструктур. Трени...Алексей Лукацкий. Презентация - Безопасность критических инфраструктур. Трени...
Алексей Лукацкий. Презентация - Безопасность критических инфраструктур. Трени...
 
Безопасность критических инфраструктур. Международные аспекты
Безопасность критических инфраструктур. Международные аспектыБезопасность критических инфраструктур. Международные аспекты
Безопасность критических инфраструктур. Международные аспекты
 

Similar to Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?

Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
Организация тестирования встроенных систем в компании «с нуля»
Организация тестирования встроенных систем в компании «с нуля»Организация тестирования встроенных систем в компании «с нуля»
Организация тестирования встроенных систем в компании «с нуля»Vladimir Sklyar
 
QA Fest 2015. Владимир Скляр. Организация тестирования встроенных систем в ко...
QA Fest 2015. Владимир Скляр. Организация тестирования встроенных систем в ко...QA Fest 2015. Владимир Скляр. Организация тестирования встроенных систем в ко...
QA Fest 2015. Владимир Скляр. Организация тестирования встроенных систем в ко...QAFest
 
Security certification overview slides
Security certification overview slidesSecurity certification overview slides
Security certification overview slidesAndriy Lysyuk
 
Security certification overview v06 slides
Security certification overview v06 slidesSecurity certification overview v06 slides
Security certification overview v06 slidesGlib Pakharenko
 
Enterprise Developers Conference 2010
Enterprise Developers Conference 2010Enterprise Developers Conference 2010
Enterprise Developers Conference 2010Sergey Orlik
 
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssпорядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssInformzaschita
 
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...Ivan Piskunov
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
Знакомьтесь, DevOps
Знакомьтесь, DevOpsЗнакомьтесь, DevOps
Знакомьтесь, DevOpsDataArt
 
Club QA Kostoma. First Meeting. Доклад. Что должен знать тестировщик.
Club QA Kostoma. First Meeting. Доклад. Что должен знать тестировщик.Club QA Kostoma. First Meeting. Доклад. Что должен знать тестировщик.
Club QA Kostoma. First Meeting. Доклад. Что должен знать тестировщик.Club QA Kostroma
 
Sdlc by Anatoliy Anthony Cox
Sdlc by Anatoliy Anthony CoxSdlc by Anatoliy Anthony Cox
Sdlc by Anatoliy Anthony CoxAlex Tumanoff
 
Simonova sql server-enginetesting
Simonova sql server-enginetestingSimonova sql server-enginetesting
Simonova sql server-enginetestingLiloSEA
 
Software craftsmanship 8
Software craftsmanship 8Software craftsmanship 8
Software craftsmanship 8Pavel Veinik
 
Маргарита Сафарова - Аудит процессов тестирования при смене проектной команды
Маргарита Сафарова - Аудит процессов тестирования при смене проектной командыМаргарита Сафарова - Аудит процессов тестирования при смене проектной команды
Маргарита Сафарова - Аудит процессов тестирования при смене проектной командыSQALab
 
Paul De Allen Rus
Paul De Allen RusPaul De Allen Rus
Paul De Allen Rusguest935494
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозAleksey Lukatskiy
 

Similar to Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов? (20)

Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
Организация тестирования встроенных систем в компании «с нуля»
Организация тестирования встроенных систем в компании «с нуля»Организация тестирования встроенных систем в компании «с нуля»
Организация тестирования встроенных систем в компании «с нуля»
 
Security certification overview
Security certification overviewSecurity certification overview
Security certification overview
 
QA Fest 2015. Владимир Скляр. Организация тестирования встроенных систем в ко...
QA Fest 2015. Владимир Скляр. Организация тестирования встроенных систем в ко...QA Fest 2015. Владимир Скляр. Организация тестирования встроенных систем в ко...
QA Fest 2015. Владимир Скляр. Организация тестирования встроенных систем в ко...
 
Security certification overview slides
Security certification overview slidesSecurity certification overview slides
Security certification overview slides
 
Security certification overview v06 slides
Security certification overview v06 slidesSecurity certification overview v06 slides
Security certification overview v06 slides
 
Enterprise Developers Conference 2010
Enterprise Developers Conference 2010Enterprise Developers Conference 2010
Enterprise Developers Conference 2010
 
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dssпорядок сертификации программного обеспечения по требованиям стандарта Pa dss
порядок сертификации программного обеспечения по требованиям стандарта Pa dss
 
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
 
Знакомьтесь, DevOps
Знакомьтесь, DevOpsЗнакомьтесь, DevOps
Знакомьтесь, DevOps
 
Simonova sql server-enginetesting
Simonova sql server-enginetestingSimonova sql server-enginetesting
Simonova sql server-enginetesting
 
Club QA Kostoma. First Meeting. Доклад. Что должен знать тестировщик.
Club QA Kostoma. First Meeting. Доклад. Что должен знать тестировщик.Club QA Kostoma. First Meeting. Доклад. Что должен знать тестировщик.
Club QA Kostoma. First Meeting. Доклад. Что должен знать тестировщик.
 
Sdlc by Anatoliy Anthony Cox
Sdlc by Anatoliy Anthony CoxSdlc by Anatoliy Anthony Cox
Sdlc by Anatoliy Anthony Cox
 
Simonova sql server-enginetesting
Simonova sql server-enginetestingSimonova sql server-enginetesting
Simonova sql server-enginetesting
 
Software craftsmanship 8
Software craftsmanship 8Software craftsmanship 8
Software craftsmanship 8
 
Маргарита Сафарова - Аудит процессов тестирования при смене проектной команды
Маргарита Сафарова - Аудит процессов тестирования при смене проектной командыМаргарита Сафарова - Аудит процессов тестирования при смене проектной команды
Маргарита Сафарова - Аудит процессов тестирования при смене проектной команды
 
пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)пр лучшие практики иб (Nist, sans, cert, isaca...)
пр лучшие практики иб (Nist, sans, cert, isaca...)
 
Paul De Allen Rus
Paul De Allen RusPaul De Allen Rus
Paul De Allen Rus
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугроз
 

More from Positive Hack Days

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesPositive Hack Days
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerPositive Hack Days
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesPositive Hack Days
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikPositive Hack Days
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQubePositive Hack Days
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityPositive Hack Days
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Positive Hack Days
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для ApproofPositive Hack Days
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Positive Hack Days
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложенийPositive Hack Days
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложенийPositive Hack Days
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application SecurityPositive Hack Days
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летPositive Hack Days
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиPositive Hack Days
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОPositive Hack Days
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке СиPositive Hack Days
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CorePositive Hack Days
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опытPositive Hack Days
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterPositive Hack Days
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиPositive Hack Days
 

More from Positive Hack Days (20)

Инструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release NotesИнструмент ChangelogBuilder для автоматической подготовки Release Notes
Инструмент ChangelogBuilder для автоматической подготовки Release Notes
 
Как мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows DockerКак мы собираем проекты в выделенном окружении в Windows Docker
Как мы собираем проекты в выделенном окружении в Windows Docker
 
Типовая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive TechnologiesТиповая сборка и деплой продуктов в Positive Technologies
Типовая сборка и деплой продуктов в Positive Technologies
 
Аналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + QlikАналитика в проектах: TFS + Qlik
Аналитика в проектах: TFS + Qlik
 
Использование анализатора кода SonarQube
Использование анализатора кода SonarQubeИспользование анализатора кода SonarQube
Использование анализатора кода SonarQube
 
Развитие сообщества Open DevOps Community
Развитие сообщества Open DevOps CommunityРазвитие сообщества Open DevOps Community
Развитие сообщества Open DevOps Community
 
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...
 
Автоматизация построения правил для Approof
Автоматизация построения правил для ApproofАвтоматизация построения правил для Approof
Автоматизация построения правил для Approof
 
Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»Мастер-класс «Трущобы Application Security»
Мастер-класс «Трущобы Application Security»
 
Формальные методы защиты приложений
Формальные методы защиты приложенийФормальные методы защиты приложений
Формальные методы защиты приложений
 
Эвристические методы защиты приложений
Эвристические методы защиты приложенийЭвристические методы защиты приложений
Эвристические методы защиты приложений
 
Теоретические основы Application Security
Теоретические основы Application SecurityТеоретические основы Application Security
Теоретические основы Application Security
 
От экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 летОт экспериментального программирования к промышленному: путь длиной в 10 лет
От экспериментального программирования к промышленному: путь длиной в 10 лет
 
Уязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на граблиУязвимое Android-приложение: N проверенных способов наступить на грабли
Уязвимое Android-приложение: N проверенных способов наступить на грабли
 
Требования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПОТребования по безопасности в архитектуре ПО
Требования по безопасности в архитектуре ПО
 
Формальная верификация кода на языке Си
Формальная верификация кода на языке СиФормальная верификация кода на языке Си
Формальная верификация кода на языке Си
 
Механизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET CoreМеханизмы предотвращения атак в ASP.NET Core
Механизмы предотвращения атак в ASP.NET Core
 
SOC для КИИ: израильский опыт
SOC для КИИ: израильский опытSOC для КИИ: израильский опыт
SOC для КИИ: израильский опыт
 
Honeywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services CenterHoneywell Industrial Cyber Security Lab & Services Center
Honeywell Industrial Cyber Security Lab & Services Center
 
Credential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атакиCredential stuffing и брутфорс-атаки
Credential stuffing и брутфорс-атаки
 

Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?

  • 1. if (empty($secureCodeDesign)) {return FAIL; } или Cisco Secure Development Lifecycle Лукацкий Алексей, консультант по безопасности
  • 2. Что такое защищенный код? • 10% функций защиты – МСЭ – ACL – криптография • 90% защищенных функций – Защита от переполнения – Проверка входных данных – Контроль выходных данных • Требуется непрерывный процесс обеспечения и повышения качества ПО, включающий решение различных задач • Для Cisco важно не только программное обеспечение, но и железо – Включая риски Supply Chain Management
  • 4. Учет задач CSDL на всех этапах Запрос на продукт Дизайн продукта Разработка продукта Тесты продукта Сертификация Адаптация Доверенная платформа Архитектура Подпись кода Secure Boot ASLR Криптомодуль Разработка функций безопасности Общие инструменты и библиотеки безопасности Общие требования по сертификации Индустриальные помощники Тестирование и проверка соответствия Cisco Secure Development Lifecycle Исследования угроз PSIRT Сертификация Бюллетени 3rd
  • 5. Лучшие практики по обеспечению качества ПО • Включает не только анализ качества ПО, но и также • Правила защищенного программирования • Регулярные тренинги и программы повышения осведомленности • Моделирование угроз • Тестирование • И т.д.
  • 6. Меры по защите информации
  • 7. Cisco Security Ninja: все начинается с тренингов и повышения осведомленности • Стимулирование изучения CSDL широким спектром сотрудников Cisco • Система распознавания и мотивации сотрудников • Применение практик CSDL в работе
  • 8. PSIRT находит больше проблем, чем TAC FY10 FY11 FY12 PSIRT TAC
  • 9. Библиотека угроз при разработке ПО ускоряет время разработки
  • 10. Библиотека угроз при разработке ПО ускоряет время разработки
  • 11. Модели угроз / графы атак
  • 12. Оценка рисков для каждой угрозы позволяет учесть приоритеты
  • 13. Не только ПО: базовые требования по безопасности Cisco SaaS
  • 14. Рекомендации по защищенному программированию
  • 15. Рекомендации для разработки облачных сервисов
  • 20. Как оценить для руководства? Пример SaaS-метрик
  • 21. © Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация CiscoBRKSEC-1065 21 Благодарю вас за внимание security-request@cisco.com