SlideShare a Scribd company logo

Цикл безопасной разработки

RISClubSPb
RISClubSPb

http://www.risc.today/

Education
1 of 41
Download to read offline
Цикл безопасной разработки Алексей Бабенко руководитель направления, PA&PCI QSA Мастер-класс для RISC, www.risc.today
Я • Руководитель направления в Информзащите; • 12 PA-DSS проектов, больше 30 PCI DSS + анализ ИС, ISO27001, аудиты ИБ; • Занимался анализом web-приложений, 2007- 2012 играл в CTF в SiBears; • Люблю поговорить и что-нибудь написать.
• Цикл – совокупность явлений, процессов, составляющая кругооборот в течение известного промежутка времени (БЭС) • Безопасный – не угрожающий опасностью, лишённый какой либо угрозы (Толковый словарь) • Разработка – процесс создания программного обеспечения (я) • «SDLC = Systems/ Software Development Life Cycle» Разработчик ПО • «SDLC = Security Development Life Cycle» ИБ-ник Цикл безопасной разработки
Зачем? – • Большинство обнаруживаемых уязвимостей – типовые, общеизвестные, хорошо описанные. Источник: Global Security Report 2013, Trustwave
Зачем? Наши реалии Источник: внутренняя статистика Информзащиты по проведенным тестам на проникновение (только уязвимости ПО)
В фокусе внимания • Microsoft Security Development Lifecycle • Cisco Secure Development Lifecycle • PCI Security Standards (рекомендации к процессам разработки на примере PA-DSS 3.0) • Обеспечение ИБ на стадиях ЖЦ АБС (РС БР ИББС-2.6-2014) • Бонус – моделирование угроз STRIDE
Microsoft SDL 7 основных фаз: • Training (обучение) • Requirements (требования) • Design (проектирование) • Implementation (реализация) • Verification (анализ) • Release (выпуск) • Response (поддержка) В каждой фазе свои практики.
Microsoft SDL - практики Training • Обучение безопасности: • Все задействованные сотрудники • Не реже 1 раза в год • Знания для выполнение остальных фаз Requirements • Определение требований ИБ • Включая назначение ответственных за ИБ • Оценка рисков • Определение требований к качеству
Microsoft SDL - практики Design • Архитектурные требования • Анализ/ сокращение поверхности атаки • Моделирование угроз Implementation • Использование доверенных средств • Практики безопасного программирования • Статический анализ кода
Microsoft SDL - практики Verification • Динамический анализ • Фаззинг • Проверка поверхности атаки Release • Планы реагирования на инциденты • Финальный анализ безопасности • Доверенный выпуск Response • Выполнение планов реагирования на инциденты
Microsoft SDL – ссылки • Раздел Security Development Lifecycle на сайте Microsoft • Интеграция процессов обеспечения безопасной разработки (ALM Summit)
Cisco SDL • Требования (Product Security Requirements) • 3rd Party Security • Проектирование (Secure Design) • Реализация (Secure Coding) • Оценка (Secure Analysis) • Тестирование (Vulnerability Testing)
Cisco SDL - стадии Product Security Requirements: • Внутренние требования ИБ • Внешние требования (Market-Based) 3rd Party Security: • Реестр используемого стороннего ПО • Уведомление о уязвимостях Secure Design: • Проектирование с учетом ИБ (обучение, лучшие практики, безопасные компоненты) • Моделирование угроз (STRIDE)
Cisco SDL - стадии Secure Coding: • Обучение • Принципы безопасного программирования • Проверка кода, статический анализ • Стандарт безопасного программирования Secure Analysis: • Проверки ключевых областей ИБ Vulnerability Testing: • Тест-кейсы • Тестирование на проникновение
Cisco SDL - ссылки Раздел Cisco SDL на сайте Cisco
PA-DSS 3.0 Выпуск + Проектирование Создание Анализ Оценка рисков Обучение Отслеживание уязвимостей
PA-DSS 3.0 - Обучение • Основные темы: • требования PCI DSS • приемы безопасной разработки (OWASP, CWE), проектирования, тестирования, пр. • лучшие практики отрасли • Форма обучения: • самостоятельное • внутреннее • внешнее
PA-DSS 3.0 - Проектирование • Формирование требований: • Требования PCI DSS (ПО = системный компонент) • Учет лучших практик • Учет внутренних требований по ИБ • Учет оценки рисков и информации об уязвимостях • Проектирование с учетом сформированных требований
PA-DSS 3.0 - Создание • Требования к разработке: • Использование методов безопасного программирования • Применение лучших практик • Учет требований PCI DSS • Учет оценки рисков и анализа угроз • Разделение сред и обязанностей • Корректное использование тестовых данных
PA-DSS 3.0 - Анализ • Анализ кода (белый ящик) • Использование приемов безопасной разработки • Проводит специалист с опытом в данной сфере не являющийся автором кода • Анализ для всех изменений на предмет безопасности • Тестирование безопасности (черный ящик): • Общефункциональное с учетом выявленных уязвимостей • Тестирование безопасности: • Реализация требований PCI DSS • Меры по защите от известных уязвимостей • Меры предотвращения недостатков выявленных в модели угроз и при анализе новых уязвимостей
PA-DSS 3.0 - Выпуск • Решение за выпуск релиза: • Предыдущие этапы были выполнены успешно • Требования стандарта учтены • Разработаны процедуры «отката» • Оценка воздействия на затрагиваемый процесс • Ответственный за выпуск релиза – отвечает за факт выполнения процедур, ответственность за качество выполнения на соответствующих специалистах • Релиз – не конец проекта
PA-DSS 3.0 - Выявление уязвимостей • Выявляем все что может влиять на безопасность ПО: • Новые уязвимости и слабости в функциях программирования • Уязвимости компиляторов • Уязвимости используемых сторонних библиотек, компонент, сервисов, протоколов • Корректная работа с последними обновлениями системных компонент • Учет результатов при проектировании, разработке, анализов
PA-DSS 3.0 - Анализ угроз • Стандарт – минимальный набор требований, каждое ПО уникально и может иметь специфичные угрозы • Моделирование угроз – STRIDE, OWASP, CERT • Учет результатов анализа при проектировании, разработке, анализе
PA-DSS 3.0 - Ссылки • PA-DSS 3.0 • PA-DSS 3.0 (рус) • PCI DSS 2.0 eCommerce Guidelines • Requirement 6.6 Application Reviews and Web Application Firewalls Clarified v1.2 • Mobile Payment Acceptance Security Guidelines for Developers v1.0
РС БР ИББС-2.6-2014 - Стадии • разработки технического задания • проектирования АБС • создания и тестирования АБС • приемки и ввода в действие • эксплуатации • сопровождение и модернизация АБС • снятия с эксплуатации
РС БР ИББС-2.6-2014 - Стадии Разработка технического задания • определение требований по ИБ • предварительный анализ угроз (рекомендуемое) Проектирование • разработка архитектуры • функциональные требования ИБ • стандарты конфигурации
РС БР ИББС-2.6-2014 - Стадии Создание и тестирование • управление версиями и изменениями • обеспечение ИБ сред разработки и тестирования • тестирование компонентов (в ходе разработки, перед релизом, на предварительных испытаниях) • анализ кода (рекомендуемое) • эксплуатационная документация Прием и ввод в действие • проведение опытной эксплуатации • тестирование на проникновение (рекомендуемое) • приемочные испытания
РС БР ИББС-2.6-2014 - Стадии Эксплуатация: • контроль корректного использования • оценка защищенности (рекомендуемое) • мониторинг уязвимостей Сопровождение и модернизация: • безопасное обновление/ модернизация Снятие с эксплуатации: • архивирование информации • гарантированное уничтожение информации
РС БР ИББС-2.6-2014 - Приложения • Типовые недостатки в реализации функций безопасности автоматизированных систем • Рекомендации к проведению контроля исходного кода • Рекомендации к проведению оценки защищенности • Рекомендации к проведению контроля параметров настроек технических защитных мер
РС БР ИББС-2.6-2014 - Ссылки • Рекомендации в области стандартизации БР Обеспечение ИБ на стадиях ЖЦ АБС • Раздел по информационной безопасности на сайте Банка России
Сравнение SDL Cisco SDL Microsoft SDL PA-DSS SDL РС БР ИББС-2.6-2014) Обучение разработчиков Secure Design, Secure Coding Training Обучение - Отслеживание уязвимостей 3rd Party Security Implementation (частично) Выявление уязвимостей Эксплуатация Определение требований к ИБ Product Security Requirements Requirements Проектирование Проектирование Создание модели угроз Secure Design Design Оценка рисков Разработка технического задания (рекомендательно) Практики безопасной разработки Secure Coding Implementation Создание - Анализ кода Secure Analysis Implementation Анализ кода Создание и тестирование (рекомендательно) Тестирование безопасности Vulnerability Testing Verification, Release Тестирование безопасности Создание и тестирование Выпуск релиза - Release Выпуск Прием и ввод в действие Поддержка - Response Поддержка Сопровождение и модернизация Вывод из эксплуатации - Снятие с эксплуатации
Внедрение SDL 1. Обучение 2. Практики безопасного программирования 3. Тестирование безопасности и анализ кода 4. Процедуры выпуска и поддержки 5. Отслеживание уязвимостей, реестр ПО 6. Формальное определение требований к ИБ 7. Планы реагирования на инциденты 8. Моделирование угроз, анализ поверхности атак 9. Внешний анализ
Моделирование угроз STRIDE = • Spoofing (подмена субъекта) • Tampering (нарушение целостности) • Repudiation (отказ от авторства) • Information disclosure (нарушение конфиденциальности) • Denial of service (отказ в обслуживании) • Elevation of privilege (повышение привилегий) Data Flow Diagrams — диаграммы потоков данных
Моделирование угроз 1. Построение DFD: 1. Процесс (множественный процесс) 2. Хранилище 3. Информационный поток 4. Внешний элемент (посредник, интерактор) 5. Граница доверия 2. Декомпозиция элементов (1-4) 3. Повторение 1 и 2 4. Формирование перечня угроз 5. Оценка применимости
Моделирование угроз Spoofing Tampering Repudiation Information disclosure Denial of service Elevation of privilege Поток Хранилище Процесс Посредник
Моделирование угроз Источник: https://www.owasp.org/index.php/Application_Threat_Modeling
Моделирование угроз Источник: https://www.owasp.org/index.php/Application_Threat_Modeling
Моделирование угроз – TMT
Моделирование угроз – Ссылки • Application Threat Modeling на сайте OWASP • Статья с описанием подхода на Хабре • Обнаружение недостатков безопасности при помощи STRIDE (MSDN Magazine) • The STRIDE Threat Model на сайте Microsoft • Microsoft Threat Modeling Tool 2014
ВОПРОСЫ? Алексей Бабенко руководитель направления, PA&PCI QSA a.babenko@infosec.ru + 7 (495) 980-23-45 #458 + 7 905 991-99-19 skype: arekusux arekusux.blogspot.com www.infosec.ru
Полезные ссылки • Безопасное программирование • http://cwe.mitre.org • http://owasp.org • Общие базы данных уязвимостей • http://www.securityfocus.com • http://nvd.nist.gov • http://secunia.com • Информация по внешнему обучению • http://itsecurity.ru/catalog/kp75 • http://www.sans.org/security-training.php • https://www.owasp.org/index.php/Category:OWASP_AppSec_Conference • http://www.giac.org/certification/gssp-java • Материалы для организации внутреннего обучения: • https://www.owasp.org/index.php/Category:OWASP_Code_Review_Project • https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project • http://www.sans.org/top25-software-errors • http://projects.webappsec.org/w/page/13246978/Threat-Classification • http://www.cert.org/secure-coding • http://cwe.mitre.org/data/graphs/699.html

Recommended

Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практикеPointlane
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийRISClubSPb
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработкиPositive Development User Group
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителейPositive Development User Group
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Valery Boronin
 

Recommended

Безопасная разработка приложений на практике
Безопасная разработка приложений на практикеБезопасная разработка приложений на практике
Безопасная разработка приложений на практикеPointlane
 
Жизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийЖизненный цикл безопасной разработки платежных приложений
Жизненный цикл безопасной разработки платежных приложенийRISClubSPb
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
Построение процесса безопасной разработки
Построение процесса безопасной разработкиПостроение процесса безопасной разработки
Построение процесса безопасной разработкиPositive Development User Group
 
Безопасная разработка для руководителей
Безопасная разработка для руководителейБезопасная разработка для руководителей
Безопасная разработка для руководителейPositive Development User Group
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Построение процесса безопасной разработки - Стачка 2016
Построение процесса безопасной разработки - Стачка 2016Valery Boronin
 
SDL/SSDL для руководителей
SDL/SSDL для руководителейSDL/SSDL для руководителей
SDL/SSDL для руководителейValery Boronin
 
SecDevOps. Разработка, DevOps и безопасность.
SecDevOps. Разработка, DevOps и безопасность.SecDevOps. Разработка, DevOps и безопасность.
SecDevOps. Разработка, DevOps и безопасность.Valery Boronin
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 
PT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовкаPT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовкаValery Boronin
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложенийAlexander Kolybelnikov
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬPositive Hack Days
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Positive Hack Days
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаRISSPA_SPb
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовAleksey Lukatskiy
 
Кризисное управление проектами: проблемы, компромиссы, решения
Кризисное управление проектами: проблемы, компромиссы, решенияКризисное управление проектами: проблемы, компромиссы, решения
Кризисное управление проектами: проблемы, компромиссы, решенияSQALab
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...UISGCON
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Alexey Kachalin
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC insideAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими рукамиSergey Soldatov
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Коучинговые методики в менеджменте и личной эффективности
Коучинговые методики в менеджменте и личной эффективностиКоучинговые методики в менеджменте и личной эффективности
Коучинговые методики в менеджменте и личной эффективностиRISClubSPb
 
Человек и смартфон. Друзья или враги!?
Человек и смартфон. Друзья или враги!?Человек и смартфон. Друзья или враги!?
Человек и смартфон. Друзья или враги!?RISClubSPb
 

More Related Content

What's hot

SDL/SSDL для руководителей
SDL/SSDL для руководителейSDL/SSDL для руководителей
SDL/SSDL для руководителейValery Boronin
 
SecDevOps. Разработка, DevOps и безопасность.
SecDevOps. Разработка, DevOps и безопасность.SecDevOps. Разработка, DevOps и безопасность.
SecDevOps. Разработка, DevOps и безопасность.Valery Boronin
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 
PT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовкаPT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовкаValery Boronin
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложенийAlexander Kolybelnikov
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬPositive Hack Days
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Positive Hack Days
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаRISSPA_SPb
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовAleksey Lukatskiy
 
Кризисное управление проектами: проблемы, компромиссы, решения
Кризисное управление проектами: проблемы, компромиссы, решенияКризисное управление проектами: проблемы, компромиссы, решения
Кризисное управление проектами: проблемы, компромиссы, решенияSQALab
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...UISGCON
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Alexey Kachalin
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими рукамиSergey Soldatov
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

What's hot (20)

SDL/SSDL для руководителей
SDL/SSDL для руководителейSDL/SSDL для руководителей
SDL/SSDL для руководителей
 
SecDevOps. Разработка, DevOps и безопасность.
SecDevOps. Разработка, DevOps и безопасность.SecDevOps. Разработка, DevOps и безопасность.
SecDevOps. Разработка, DevOps и безопасность.
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасности
 
PT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовкаPT Application Inspector SSDL Edition листовка
PT Application Inspector SSDL Edition листовка
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdl
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложений
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
 
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
Алексей Лукацкий. SDLC – блажь, веяние моды или требование регуляторов?
 
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий занудаРазработка ПО в рамках PCI DSS, как ее видит жуткий зануда
Разработка ПО в рамках PCI DSS, как ее видит жуткий зануда
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходов
 
Кризисное управление проектами: проблемы, компромиссы, решения
Кризисное управление проектами: проблемы, компромиссы, решенияКризисное управление проектами: проблемы, компромиссы, решения
Кризисное управление проектами: проблемы, компромиссы, решения
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
 
Мониторинг своими руками
Мониторинг своими рукамиМониторинг своими руками
Мониторинг своими руками
 
пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)пр Разработка комплекта документов по управлению ИБ (прозоров)
пр Разработка комплекта документов по управлению ИБ (прозоров)
 

Viewers also liked

Коучинговые методики в менеджменте и личной эффективности
Коучинговые методики в менеджменте и личной эффективностиКоучинговые методики в менеджменте и личной эффективности
Коучинговые методики в менеджменте и личной эффективностиRISClubSPb
 
Человек и смартфон. Друзья или враги!?
Человек и смартфон. Друзья или враги!?Человек и смартфон. Друзья или враги!?
Человек и смартфон. Друзья или враги!?RISClubSPb
 
DUMP-2013 Управление разработкой - Метрики в проектах по разработке нового пр...
DUMP-2013 Управление разработкой - Метрики в проектах по разработке нового пр...DUMP-2013 Управление разработкой - Метрики в проектах по разработке нового пр...
DUMP-2013 Управление разработкой - Метрики в проектах по разработке нового пр...it-people
 
SerVal site monitoring presentation - Презентация SerVal
SerVal site monitoring presentation - Презентация SerValSerVal site monitoring presentation - Презентация SerVal
SerVal site monitoring presentation - Презентация SerValElitesru
 
Сергей Федоров - Современная безопасность от Eset
Сергей Федоров - Современная безопасность от EsetСергей Федоров - Современная безопасность от Eset
Сергей Федоров - Современная безопасность от EsetExpolink
 
6.2. Hacking most popular websites
6.2. Hacking most popular websites6.2. Hacking most popular websites
6.2. Hacking most popular websitesdefconmoscow
 
Intercepter-NG: сниффер нового поколения
Intercepter-NG: сниффер нового поколенияIntercepter-NG: сниффер нового поколения
Intercepter-NG: сниффер нового поколенияPositive Hack Days
 
анализ кода: от проверки стиля до автоматического тестирования
анализ кода: от проверки стиля до автоматического тестированияанализ кода: от проверки стиля до автоматического тестирования
анализ кода: от проверки стиля до автоматического тестированияRuslan Shevchenko
 
4.3. Rat races conditions
4.3. Rat races conditions4.3. Rat races conditions
4.3. Rat races conditionsdefconmoscow
 
Типовые уязвимости платежных инфраструктур/очный семинар RISC
Типовые уязвимости платежных инфраструктур/очный семинар RISCТиповые уязвимости платежных инфраструктур/очный семинар RISC
Типовые уязвимости платежных инфраструктур/очный семинар RISCRISClubSPb
 
Моделирование угроз для приложений
Моделирование угроз для приложенийМоделирование угроз для приложений
Моделирование угроз для приложенийSQALab
 
Сергей Полаженко - Security Testing: SQL Injection
Сергей Полаженко - Security Testing: SQL InjectionСергей Полаженко - Security Testing: SQL Injection
Сергей Полаженко - Security Testing: SQL InjectionSQALab
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Mikhail Vanin
 
Моделирование угроз 2.0
Моделирование угроз 2.0Моделирование угроз 2.0
Моделирование угроз 2.0Aleksey Lukatskiy
 
Непрерывный анализ качества кода с помощью SonarQube
Непрерывный анализ качества кода с помощью SonarQubeНепрерывный анализ качества кода с помощью SonarQube
Непрерывный анализ качества кода с помощью SonarQubeVasilii Chernov
 
PiterPy#3. DSL in Python. How and why?
PiterPy#3. DSL in Python. How and why?PiterPy#3. DSL in Python. How and why?
PiterPy#3. DSL in Python. How and why?Ivan Tsyganov
 
Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...
Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...
Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...RISClubSPb
 
CodeFest 2012. Башакин Д. — Управление рисками
CodeFest 2012. Башакин Д. — Управление рискамиCodeFest 2012. Башакин Д. — Управление рисками
CodeFest 2012. Башакин Д. — Управление рискамиCodeFest
 
Описание задач «Научного Хакатона»
Описание задач «Научного Хакатона»Описание задач «Научного Хакатона»
Описание задач «Научного Хакатона»Sciencehit.by
 
Демонстрация атаки на ДБО
Демонстрация атаки на ДБОДемонстрация атаки на ДБО
Демонстрация атаки на ДБОDmitry Evteev
 

Viewers also liked (20)

Коучинговые методики в менеджменте и личной эффективности
Коучинговые методики в менеджменте и личной эффективностиКоучинговые методики в менеджменте и личной эффективности
Коучинговые методики в менеджменте и личной эффективности
 
Человек и смартфон. Друзья или враги!?
Человек и смартфон. Друзья или враги!?Человек и смартфон. Друзья или враги!?
Человек и смартфон. Друзья или враги!?
 
DUMP-2013 Управление разработкой - Метрики в проектах по разработке нового пр...
DUMP-2013 Управление разработкой - Метрики в проектах по разработке нового пр...DUMP-2013 Управление разработкой - Метрики в проектах по разработке нового пр...
DUMP-2013 Управление разработкой - Метрики в проектах по разработке нового пр...
 
SerVal site monitoring presentation - Презентация SerVal
SerVal site monitoring presentation - Презентация SerValSerVal site monitoring presentation - Презентация SerVal
SerVal site monitoring presentation - Презентация SerVal
 
Сергей Федоров - Современная безопасность от Eset
Сергей Федоров - Современная безопасность от EsetСергей Федоров - Современная безопасность от Eset
Сергей Федоров - Современная безопасность от Eset
 
6.2. Hacking most popular websites
6.2. Hacking most popular websites6.2. Hacking most popular websites
6.2. Hacking most popular websites
 
Intercepter-NG: сниффер нового поколения
Intercepter-NG: сниффер нового поколенияIntercepter-NG: сниффер нового поколения
Intercepter-NG: сниффер нового поколения
 
анализ кода: от проверки стиля до автоматического тестирования
анализ кода: от проверки стиля до автоматического тестированияанализ кода: от проверки стиля до автоматического тестирования
анализ кода: от проверки стиля до автоматического тестирования
 
4.3. Rat races conditions
4.3. Rat races conditions4.3. Rat races conditions
4.3. Rat races conditions
 
Типовые уязвимости платежных инфраструктур/очный семинар RISC
Типовые уязвимости платежных инфраструктур/очный семинар RISCТиповые уязвимости платежных инфраструктур/очный семинар RISC
Типовые уязвимости платежных инфраструктур/очный семинар RISC
 
Моделирование угроз для приложений
Моделирование угроз для приложенийМоделирование угроз для приложений
Моделирование угроз для приложений
 
Сергей Полаженко - Security Testing: SQL Injection
Сергей Полаженко - Security Testing: SQL InjectionСергей Полаженко - Security Testing: SQL Injection
Сергей Полаженко - Security Testing: SQL Injection
 
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...Идентификация и аутентификация - встроенные функции безопасности или задачи с...
Идентификация и аутентификация - встроенные функции безопасности или задачи с...
 
Моделирование угроз 2.0
Моделирование угроз 2.0Моделирование угроз 2.0
Моделирование угроз 2.0
 
Непрерывный анализ качества кода с помощью SonarQube
Непрерывный анализ качества кода с помощью SonarQubeНепрерывный анализ качества кода с помощью SonarQube
Непрерывный анализ качества кода с помощью SonarQube
 
PiterPy#3. DSL in Python. How and why?
PiterPy#3. DSL in Python. How and why?PiterPy#3. DSL in Python. How and why?
PiterPy#3. DSL in Python. How and why?
 
Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...
Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...
Программы сертификации ISACA/цикл мастер-классов по программам сертификации I...
 
CodeFest 2012. Башакин Д. — Управление рисками
CodeFest 2012. Башакин Д. — Управление рискамиCodeFest 2012. Башакин Д. — Управление рисками
CodeFest 2012. Башакин Д. — Управление рисками
 
Описание задач «Научного Хакатона»
Описание задач «Научного Хакатона»Описание задач «Научного Хакатона»
Описание задач «Научного Хакатона»
 
Демонстрация атаки на ДБО
Демонстрация атаки на ДБОДемонстрация атаки на ДБО
Демонстрация атаки на ДБО
 

Similar to Цикл безопасной разработки

Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Vlad Styran
 
алексей лукацкий
алексей лукацкийалексей лукацкий
алексей лукацкийPositive Hack Days
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБКомпания УЦСБ
 
Enterprise Developers Conference 2010
Enterprise Developers Conference 2010Enterprise Developers Conference 2010
Enterprise Developers Conference 2010Sergey Orlik
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыDigital Security
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessCisco Russia
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?Aleksey Lukatskiy
 
Обеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системахОбеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системахAndrew Petukhov
 
Практика использования Solar inCode
Практика использования Solar inCodeПрактика использования Solar inCode
Практика использования Solar inCodeSolar Security
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
Мой доклад с пленарного заседания II Научно-практической конференции "Актуаль...
Мой доклад с пленарного заседания II Научно-практической конференции "Актуаль...Мой доклад с пленарного заседания II Научно-практической конференции "Актуаль...
Мой доклад с пленарного заседания II Научно-практической конференции "Актуаль...Sergey Orlik
 
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиinfoforum
 
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...Kaspersky
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-системAlexey Kachalin
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 

Similar to Цикл безопасной разработки (20)

Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle
 
алексей лукацкий
алексей лукацкийалексей лукацкий
алексей лукацкий
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
 
Enterprise Developers Conference 2010
Enterprise Developers Conference 2010Enterprise Developers Conference 2010
Enterprise Developers Conference 2010
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферы
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Phd 2016_SSDL_GOST
Phd 2016_SSDL_GOSTPhd 2016_SSDL_GOST
Phd 2016_SSDL_GOST
 
Профессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined AccessПрофессиональные услуги Cisco для Software-Defined Access
Профессиональные услуги Cisco для Software-Defined Access
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
Как построить SOC?
Как построить SOC?Как построить SOC?
Как построить SOC?
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
Обеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системахОбеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системах
 
Практика использования Solar inCode
Практика использования Solar inCodeПрактика использования Solar inCode
Практика использования Solar inCode
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.
 
Мой доклад с пленарного заседания II Научно-практической конференции "Актуаль...
Мой доклад с пленарного заседания II Научно-практической конференции "Актуаль...Мой доклад с пленарного заседания II Научно-практической конференции "Актуаль...
Мой доклад с пленарного заседания II Научно-практической конференции "Актуаль...
 
Решения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасностиРешения КРОК в области информационной безопасности
Решения КРОК в области информационной безопасности
 
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 

More from RISClubSPb

Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACAОпыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACARISClubSPb
 
Опыт подготовки к CISM/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISM/цикл мастер-классов по программам сертификации ISACAОпыт подготовки к CISM/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISM/цикл мастер-классов по программам сертификации ISACARISClubSPb
 
Опыт подготовки к CRISC/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CRISC/цикл мастер-классов по программам сертификации ISACAОпыт подготовки к CRISC/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CRISC/цикл мастер-классов по программам сертификации ISACARISClubSPb
 
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...RISClubSPb
 
Майндкарты в жизни специалиста по информационной безопасности
Майндкарты в жизни специалиста по информационной безопасностиМайндкарты в жизни специалиста по информационной безопасности
Майндкарты в жизни специалиста по информационной безопасностиRISClubSPb
 
Страхование рисков ИБ: настоящее и будущее/очный семинар RISC
Страхование рисков ИБ: настоящее и будущее/очный семинар RISCСтрахование рисков ИБ: настоящее и будущее/очный семинар RISC
Страхование рисков ИБ: настоящее и будущее/очный семинар RISCRISClubSPb
 
Бизнес-игра «А что, если?»
Бизнес-игра «А что, если?»Бизнес-игра «А что, если?»
Бизнес-игра «А что, если?»RISClubSPb
 
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...RISClubSPb
 
Управление ИБ в условиях текущей неопределенности/очный семинар RISC
Управление ИБ в условиях текущей неопределенности/очный семинар RISCУправление ИБ в условиях текущей неопределенности/очный семинар RISC
Управление ИБ в условиях текущей неопределенности/очный семинар RISCRISClubSPb
 
Деятельность подразделений ИБ в условиях сокращения бюджетов/очный семинар RISC
Деятельность подразделений ИБ в условиях сокращения бюджетов/очный семинар RISCДеятельность подразделений ИБ в условиях сокращения бюджетов/очный семинар RISC
Деятельность подразделений ИБ в условиях сокращения бюджетов/очный семинар RISCRISClubSPb
 
Корпоративные неструктурированные данные: мониторинг, аудит, управление и защ...
Корпоративные неструктурированные данные: мониторинг, аудит, управление и защ...Корпоративные неструктурированные данные: мониторинг, аудит, управление и защ...
Корпоративные неструктурированные данные: мониторинг, аудит, управление и защ...RISClubSPb
 
Психология на службе ИБ
Психология на службе ИБПсихология на службе ИБ
Психология на службе ИБRISClubSPb
 
Криминалистика в современном мире. Дело о фантомном проникновении
Криминалистика в современном мире. Дело о фантомном проникновенииКриминалистика в современном мире. Дело о фантомном проникновении
Криминалистика в современном мире. Дело о фантомном проникновенииRISClubSPb
 
Внутренний маркетинг службы ИБ
Внутренний маркетинг службы ИБВнутренний маркетинг службы ИБ
Внутренний маркетинг службы ИБRISClubSPb
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...RISClubSPb
 
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...RISClubSPb
 
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISCПовышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISCRISClubSPb
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCRISClubSPb
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCRISClubSPb
 
Как эффективно работать с информацией
Как эффективно работать с информациейКак эффективно работать с информацией
Как эффективно работать с информациейRISClubSPb
 

More from RISClubSPb (20)

Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACAОпыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISA/цикл мастер-классов по программам сертификации ISACA
 
Опыт подготовки к CISM/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISM/цикл мастер-классов по программам сертификации ISACAОпыт подготовки к CISM/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CISM/цикл мастер-классов по программам сертификации ISACA
 
Опыт подготовки к CRISC/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CRISC/цикл мастер-классов по программам сертификации ISACAОпыт подготовки к CRISC/цикл мастер-классов по программам сертификации ISACA
Опыт подготовки к CRISC/цикл мастер-классов по программам сертификации ISACA
 
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...
Эксперт, Блогер, Евангелист #поИБэ. Как я докатился до такой жизни/кейс-чемпи...
 
Майндкарты в жизни специалиста по информационной безопасности
Майндкарты в жизни специалиста по информационной безопасностиМайндкарты в жизни специалиста по информационной безопасности
Майндкарты в жизни специалиста по информационной безопасности
 
Страхование рисков ИБ: настоящее и будущее/очный семинар RISC
Страхование рисков ИБ: настоящее и будущее/очный семинар RISCСтрахование рисков ИБ: настоящее и будущее/очный семинар RISC
Страхование рисков ИБ: настоящее и будущее/очный семинар RISC
 
Бизнес-игра «А что, если?»
Бизнес-игра «А что, если?»Бизнес-игра «А что, если?»
Бизнес-игра «А что, если?»
 
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
Анализ российского рынка ИБ в контексте стратегии импортозамещения/очный семи...
 
Управление ИБ в условиях текущей неопределенности/очный семинар RISC
Управление ИБ в условиях текущей неопределенности/очный семинар RISCУправление ИБ в условиях текущей неопределенности/очный семинар RISC
Управление ИБ в условиях текущей неопределенности/очный семинар RISC
 
Деятельность подразделений ИБ в условиях сокращения бюджетов/очный семинар RISC
Деятельность подразделений ИБ в условиях сокращения бюджетов/очный семинар RISCДеятельность подразделений ИБ в условиях сокращения бюджетов/очный семинар RISC
Деятельность подразделений ИБ в условиях сокращения бюджетов/очный семинар RISC
 
Корпоративные неструктурированные данные: мониторинг, аудит, управление и защ...
Корпоративные неструктурированные данные: мониторинг, аудит, управление и защ...Корпоративные неструктурированные данные: мониторинг, аудит, управление и защ...
Корпоративные неструктурированные данные: мониторинг, аудит, управление и защ...
 
Психология на службе ИБ
Психология на службе ИБПсихология на службе ИБ
Психология на службе ИБ
 
Криминалистика в современном мире. Дело о фантомном проникновении
Криминалистика в современном мире. Дело о фантомном проникновенииКриминалистика в современном мире. Дело о фантомном проникновении
Криминалистика в современном мире. Дело о фантомном проникновении
 
Внутренний маркетинг службы ИБ
Внутренний маркетинг службы ИБВнутренний маркетинг службы ИБ
Внутренний маркетинг службы ИБ
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
 
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
 
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISCПовышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
 
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISCТемные пятна в ИБ, где ваше слабое звено/очный семинар RISC
Темные пятна в ИБ, где ваше слабое звено/очный семинар RISC
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISC
 
Как эффективно работать с информацией
Как эффективно работать с информациейКак эффективно работать с информацией
Как эффективно работать с информацией
 

Цикл безопасной разработки

  • 1. Цикл безопасной разработки Алексей Бабенко руководитель направления, PA&PCI QSA Мастер-класс для RISC, www.risc.today
  • 2. Я • Руководитель направления в Информзащите; • 12 PA-DSS проектов, больше 30 PCI DSS + анализ ИС, ISO27001, аудиты ИБ; • Занимался анализом web-приложений, 2007- 2012 играл в CTF в SiBears; • Люблю поговорить и что-нибудь написать.
  • 3. • Цикл – совокупность явлений, процессов, составляющая кругооборот в течение известного промежутка времени (БЭС) • Безопасный – не угрожающий опасностью, лишённый какой либо угрозы (Толковый словарь) • Разработка – процесс создания программного обеспечения (я) • «SDLC = Systems/ Software Development Life Cycle» Разработчик ПО • «SDLC = Security Development Life Cycle» ИБ-ник Цикл безопасной разработки
  • 4. Зачем? – • Большинство обнаруживаемых уязвимостей – типовые, общеизвестные, хорошо описанные. Источник: Global Security Report 2013, Trustwave
  • 5. Зачем? Наши реалии Источник: внутренняя статистика Информзащиты по проведенным тестам на проникновение (только уязвимости ПО)
  • 6. В фокусе внимания • Microsoft Security Development Lifecycle • Cisco Secure Development Lifecycle • PCI Security Standards (рекомендации к процессам разработки на примере PA-DSS 3.0) • Обеспечение ИБ на стадиях ЖЦ АБС (РС БР ИББС-2.6-2014) • Бонус – моделирование угроз STRIDE
  • 7. Microsoft SDL 7 основных фаз: • Training (обучение) • Requirements (требования) • Design (проектирование) • Implementation (реализация) • Verification (анализ) • Release (выпуск) • Response (поддержка) В каждой фазе свои практики.
  • 8. Microsoft SDL - практики Training • Обучение безопасности: • Все задействованные сотрудники • Не реже 1 раза в год • Знания для выполнение остальных фаз Requirements • Определение требований ИБ • Включая назначение ответственных за ИБ • Оценка рисков • Определение требований к качеству
  • 9. Microsoft SDL - практики Design • Архитектурные требования • Анализ/ сокращение поверхности атаки • Моделирование угроз Implementation • Использование доверенных средств • Практики безопасного программирования • Статический анализ кода
  • 10. Microsoft SDL - практики Verification • Динамический анализ • Фаззинг • Проверка поверхности атаки Release • Планы реагирования на инциденты • Финальный анализ безопасности • Доверенный выпуск Response • Выполнение планов реагирования на инциденты
  • 11. Microsoft SDL – ссылки • Раздел Security Development Lifecycle на сайте Microsoft • Интеграция процессов обеспечения безопасной разработки (ALM Summit)
  • 12. Cisco SDL • Требования (Product Security Requirements) • 3rd Party Security • Проектирование (Secure Design) • Реализация (Secure Coding) • Оценка (Secure Analysis) • Тестирование (Vulnerability Testing)
  • 13. Cisco SDL - стадии Product Security Requirements: • Внутренние требования ИБ • Внешние требования (Market-Based) 3rd Party Security: • Реестр используемого стороннего ПО • Уведомление о уязвимостях Secure Design: • Проектирование с учетом ИБ (обучение, лучшие практики, безопасные компоненты) • Моделирование угроз (STRIDE)
  • 14. Cisco SDL - стадии Secure Coding: • Обучение • Принципы безопасного программирования • Проверка кода, статический анализ • Стандарт безопасного программирования Secure Analysis: • Проверки ключевых областей ИБ Vulnerability Testing: • Тест-кейсы • Тестирование на проникновение
  • 15. Cisco SDL - ссылки Раздел Cisco SDL на сайте Cisco
  • 16. PA-DSS 3.0 Выпуск + Проектирование Создание Анализ Оценка рисков Обучение Отслеживание уязвимостей
  • 17. PA-DSS 3.0 - Обучение • Основные темы: • требования PCI DSS • приемы безопасной разработки (OWASP, CWE), проектирования, тестирования, пр. • лучшие практики отрасли • Форма обучения: • самостоятельное • внутреннее • внешнее
  • 18. PA-DSS 3.0 - Проектирование • Формирование требований: • Требования PCI DSS (ПО = системный компонент) • Учет лучших практик • Учет внутренних требований по ИБ • Учет оценки рисков и информации об уязвимостях • Проектирование с учетом сформированных требований
  • 19. PA-DSS 3.0 - Создание • Требования к разработке: • Использование методов безопасного программирования • Применение лучших практик • Учет требований PCI DSS • Учет оценки рисков и анализа угроз • Разделение сред и обязанностей • Корректное использование тестовых данных
  • 20. PA-DSS 3.0 - Анализ • Анализ кода (белый ящик) • Использование приемов безопасной разработки • Проводит специалист с опытом в данной сфере не являющийся автором кода • Анализ для всех изменений на предмет безопасности • Тестирование безопасности (черный ящик): • Общефункциональное с учетом выявленных уязвимостей • Тестирование безопасности: • Реализация требований PCI DSS • Меры по защите от известных уязвимостей • Меры предотвращения недостатков выявленных в модели угроз и при анализе новых уязвимостей
  • 21. PA-DSS 3.0 - Выпуск • Решение за выпуск релиза: • Предыдущие этапы были выполнены успешно • Требования стандарта учтены • Разработаны процедуры «отката» • Оценка воздействия на затрагиваемый процесс • Ответственный за выпуск релиза – отвечает за факт выполнения процедур, ответственность за качество выполнения на соответствующих специалистах • Релиз – не конец проекта
  • 22. PA-DSS 3.0 - Выявление уязвимостей • Выявляем все что может влиять на безопасность ПО: • Новые уязвимости и слабости в функциях программирования • Уязвимости компиляторов • Уязвимости используемых сторонних библиотек, компонент, сервисов, протоколов • Корректная работа с последними обновлениями системных компонент • Учет результатов при проектировании, разработке, анализов
  • 23. PA-DSS 3.0 - Анализ угроз • Стандарт – минимальный набор требований, каждое ПО уникально и может иметь специфичные угрозы • Моделирование угроз – STRIDE, OWASP, CERT • Учет результатов анализа при проектировании, разработке, анализе
  • 24. PA-DSS 3.0 - Ссылки • PA-DSS 3.0 • PA-DSS 3.0 (рус) • PCI DSS 2.0 eCommerce Guidelines • Requirement 6.6 Application Reviews and Web Application Firewalls Clarified v1.2 • Mobile Payment Acceptance Security Guidelines for Developers v1.0
  • 25. РС БР ИББС-2.6-2014 - Стадии • разработки технического задания • проектирования АБС • создания и тестирования АБС • приемки и ввода в действие • эксплуатации • сопровождение и модернизация АБС • снятия с эксплуатации
  • 26. РС БР ИББС-2.6-2014 - Стадии Разработка технического задания • определение требований по ИБ • предварительный анализ угроз (рекомендуемое) Проектирование • разработка архитектуры • функциональные требования ИБ • стандарты конфигурации
  • 27. РС БР ИББС-2.6-2014 - Стадии Создание и тестирование • управление версиями и изменениями • обеспечение ИБ сред разработки и тестирования • тестирование компонентов (в ходе разработки, перед релизом, на предварительных испытаниях) • анализ кода (рекомендуемое) • эксплуатационная документация Прием и ввод в действие • проведение опытной эксплуатации • тестирование на проникновение (рекомендуемое) • приемочные испытания
  • 28. РС БР ИББС-2.6-2014 - Стадии Эксплуатация: • контроль корректного использования • оценка защищенности (рекомендуемое) • мониторинг уязвимостей Сопровождение и модернизация: • безопасное обновление/ модернизация Снятие с эксплуатации: • архивирование информации • гарантированное уничтожение информации
  • 29. РС БР ИББС-2.6-2014 - Приложения • Типовые недостатки в реализации функций безопасности автоматизированных систем • Рекомендации к проведению контроля исходного кода • Рекомендации к проведению оценки защищенности • Рекомендации к проведению контроля параметров настроек технических защитных мер
  • 30. РС БР ИББС-2.6-2014 - Ссылки • Рекомендации в области стандартизации БР Обеспечение ИБ на стадиях ЖЦ АБС • Раздел по информационной безопасности на сайте Банка России
  • 31. Сравнение SDL Cisco SDL Microsoft SDL PA-DSS SDL РС БР ИББС-2.6-2014) Обучение разработчиков Secure Design, Secure Coding Training Обучение - Отслеживание уязвимостей 3rd Party Security Implementation (частично) Выявление уязвимостей Эксплуатация Определение требований к ИБ Product Security Requirements Requirements Проектирование Проектирование Создание модели угроз Secure Design Design Оценка рисков Разработка технического задания (рекомендательно) Практики безопасной разработки Secure Coding Implementation Создание - Анализ кода Secure Analysis Implementation Анализ кода Создание и тестирование (рекомендательно) Тестирование безопасности Vulnerability Testing Verification, Release Тестирование безопасности Создание и тестирование Выпуск релиза - Release Выпуск Прием и ввод в действие Поддержка - Response Поддержка Сопровождение и модернизация Вывод из эксплуатации - Снятие с эксплуатации
  • 32. Внедрение SDL 1. Обучение 2. Практики безопасного программирования 3. Тестирование безопасности и анализ кода 4. Процедуры выпуска и поддержки 5. Отслеживание уязвимостей, реестр ПО 6. Формальное определение требований к ИБ 7. Планы реагирования на инциденты 8. Моделирование угроз, анализ поверхности атак 9. Внешний анализ
  • 33. Моделирование угроз STRIDE = • Spoofing (подмена субъекта) • Tampering (нарушение целостности) • Repudiation (отказ от авторства) • Information disclosure (нарушение конфиденциальности) • Denial of service (отказ в обслуживании) • Elevation of privilege (повышение привилегий) Data Flow Diagrams — диаграммы потоков данных
  • 34. Моделирование угроз 1. Построение DFD: 1. Процесс (множественный процесс) 2. Хранилище 3. Информационный поток 4. Внешний элемент (посредник, интерактор) 5. Граница доверия 2. Декомпозиция элементов (1-4) 3. Повторение 1 и 2 4. Формирование перечня угроз 5. Оценка применимости
  • 35. Моделирование угроз Spoofing Tampering Repudiation Information disclosure Denial of service Elevation of privilege Поток Хранилище Процесс Посредник
  • 39. Моделирование угроз – Ссылки • Application Threat Modeling на сайте OWASP • Статья с описанием подхода на Хабре • Обнаружение недостатков безопасности при помощи STRIDE (MSDN Magazine) • The STRIDE Threat Model на сайте Microsoft • Microsoft Threat Modeling Tool 2014
  • 40. ВОПРОСЫ? Алексей Бабенко руководитель направления, PA&PCI QSA a.babenko@infosec.ru + 7 (495) 980-23-45 #458 + 7 905 991-99-19 skype: arekusux arekusux.blogspot.com www.infosec.ru
  • 41. Полезные ссылки • Безопасное программирование • http://cwe.mitre.org • http://owasp.org • Общие базы данных уязвимостей • http://www.securityfocus.com • http://nvd.nist.gov • http://secunia.com • Информация по внешнему обучению • http://itsecurity.ru/catalog/kp75 • http://www.sans.org/security-training.php • https://www.owasp.org/index.php/Category:OWASP_AppSec_Conference • http://www.giac.org/certification/gssp-java • Материалы для организации внутреннего обучения: • https://www.owasp.org/index.php/Category:OWASP_Code_Review_Project • https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project • http://www.sans.org/top25-software-errors • http://projects.webappsec.org/w/page/13246978/Threat-Classification • http://www.cert.org/secure-coding • http://cwe.mitre.org/data/graphs/699.html