К вопросу о сертификации производства безопасных программных средств

Александр Барабанов, CISSP, CSSLPАлексей Марков, кандидат технических наук, с.н.с., CISSP, SBCI, доцент МГТУ им. Н.Э.Баумана

Количество нарушений информационной безопасности в информационных системах

2

2007 2008 2009 2010 2011 20120

200

400

600

800

1000

1200

1400

1600

1800

Кол

ичес

тво

нару

шен

ий

Распределение уязвимостей по источникам

3

86%

10%

4%

ПООСАппаратная платформа

Распределение дефектов безопасности программного обеспечения по типам

4

57%

17%

17%

9%Аутентификационные данные в коде программы (CWE-798)

Межсайтовый скриптинг (CWE-79)

Внедрение SQL-кода (CWE-89)

Утечка информации и неверная обработка ошибок (CWE-717)

Необходимость внедрения цикла разработки безопасного программного обеспечения

5

ГОСТ Р «Защита информации. Требования по обеспечению безопасности разработки программного обеспечения»

6

Начало: апрель 2013

Проект первой редакции:

август 2013

Окончательная редакция: май

2014

Учитываемые особенности

7

обеспечение внедрения необходимых процедур на самых ранних стадиях проектирования ПО

учет положений «лучших практик» совместимость с методологией «Общие

критерии» обеспечение возможность интеграции

процедур разработки безопасных ПС с существующей на предприятии системой управления ИБ

Перечень процедур, используемых при разработке безопасного ПО

8

управление конфигурацией использование инструментальных средств и

методов разработки обеспечение безопасности разработки поставка обновление и устранение уязвимостей и

дефектов безопасности ПО проектирование и реализации безопасного ПО

Процедуры управления конфигурацией

9

маркировка элементов ПО эксплуатационная документация на

систему управления конфигурацией описание методов идентификации

элементов конфигурации план управления конфигурацией и план

приемки список элементов конфигурации

Процедуры использования инструментальных средств и методов разработки

10

идентификация разработчиком инструментальных средств разработки ПО;

использование стандартов реализации

Процедуры обеспечения безопасности разработки

11

физический и логический контроль доступа

политика безопасности в отношении посетителей

резервное копирование защита от утечек информации обучение персонала процедуры найма/увольнения

Процедуры поставки

12

процедуры поставки ПО или его частей пользователю

процедуры, необходимые для безопасной установки, генерации и запуска ПО

организация инфраструктуры распространения обновлений

анализ влияния обновлений на безопасность

Обновление и устранение уязвимостей и дефектов безопасности

13

Проектирование и реализации безопасного ПО

14

использование методов защищенного программирования

обучение сотрудников моделирование угроз статический и динамический анализ тестирование на проникновение …..

Связь с нормативными правовыми актами ФСТЭК России

15

Требование разрабатываемого стандарта

Требование ГОСТ Р ИСО/МЭК 15408-3

Требования к функциональным возможностям системы управления конфигурацией

ACM_CAP.1, ACM_CAP.2, ACM_CAP.3, ACM_CAP.4, ACM_CAP.5

Требования к области действия системы управления конфигурации

ACM_SCP.1, ACM_SCP.2, ACM_SCP.3

Требования к средствам автоматизации процесса управления конфигурацией

ACM_AUT.1, ACM_AUT.2

Требования к процедурам определения модели жизненного цикла

ALC_LCD.1, ALC_LCD.2, ALC_LCD.3

Требования к процедурам проектирования и реализации безопасных ПС

ATE_FUN.1, ATE_FUN.2, AVA_VLA, ADV_FSP, ADV_HLD, ADV_LLD, ADV_RCR

Требования к процедурам использования инструментальных средств и методов разработки

ALC_TAT.1, ALC_TAT.2, ALC_TAT.3

Требования к обеспечению безопасности разработки ALC_DVS.1, ALC_DVS.2

Требования к процедуре поставки ADO_DEL.1, ADO_DEL.2, ADO_DEL.3, ADO_ISG, AGD_ADM, AGD_USR

Требования к реализации процедур обновления и устранения недостатков

ALC_FLR.1, ALC_FLR.2, ALC_FLR.3

Александр Барабанов,Алексей Марков

E-mail: mail@npo-echelon.ru

Тел.: +7(495) 645-38-09