Upload
alexander-barabanov
View
322
Download
0
Embed Size (px)
Citation preview
К вопросу о сертификации производства безопасных программных средств
Александр Барабанов, CISSP, CSSLPАлексей Марков, кандидат технических наук, с.н.с., CISSP, SBCI, доцент МГТУ им. Н.Э.Баумана
Количество нарушений информационной безопасности в информационных системах
2
2007 2008 2009 2010 2011 20120
200
400
600
800
1000
1200
1400
1600
1800
Кол
ичес
тво
нару
шен
ий
Распределение уязвимостей по источникам
3
86%
10%
4%
ПООСАппаратная платформа
Распределение дефектов безопасности программного обеспечения по типам
4
57%
17%
17%
9%Аутентификационные данные в коде программы (CWE-798)
Межсайтовый скриптинг (CWE-79)
Внедрение SQL-кода (CWE-89)
Утечка информации и неверная обработка ошибок (CWE-717)
Необходимость внедрения цикла разработки безопасного программного обеспечения
5
ГОСТ Р «Защита информации. Требования по обеспечению безопасности разработки программного обеспечения»
6
Начало: апрель 2013
Проект первой редакции:
август 2013
Окончательная редакция: май
2014
Учитываемые особенности
7
обеспечение внедрения необходимых процедур на самых ранних стадиях проектирования ПО
учет положений «лучших практик» совместимость с методологией «Общие
критерии» обеспечение возможность интеграции
процедур разработки безопасных ПС с существующей на предприятии системой управления ИБ
Перечень процедур, используемых при разработке безопасного ПО
8
управление конфигурацией использование инструментальных средств и
методов разработки обеспечение безопасности разработки поставка обновление и устранение уязвимостей и
дефектов безопасности ПО проектирование и реализации безопасного ПО
Процедуры управления конфигурацией
9
маркировка элементов ПО эксплуатационная документация на
систему управления конфигурацией описание методов идентификации
элементов конфигурации план управления конфигурацией и план
приемки список элементов конфигурации
Процедуры использования инструментальных средств и методов разработки
10
идентификация разработчиком инструментальных средств разработки ПО;
использование стандартов реализации
Процедуры обеспечения безопасности разработки
11
физический и логический контроль доступа
политика безопасности в отношении посетителей
резервное копирование защита от утечек информации обучение персонала процедуры найма/увольнения
Процедуры поставки
12
процедуры поставки ПО или его частей пользователю
процедуры, необходимые для безопасной установки, генерации и запуска ПО
организация инфраструктуры распространения обновлений
анализ влияния обновлений на безопасность
Обновление и устранение уязвимостей и дефектов безопасности
13
Проектирование и реализации безопасного ПО
14
использование методов защищенного программирования
обучение сотрудников моделирование угроз статический и динамический анализ тестирование на проникновение …..
Связь с нормативными правовыми актами ФСТЭК России
15
Требование разрабатываемого стандарта
Требование ГОСТ Р ИСО/МЭК 15408-3
Требования к функциональным возможностям системы управления конфигурацией
ACM_CAP.1, ACM_CAP.2, ACM_CAP.3, ACM_CAP.4, ACM_CAP.5
Требования к области действия системы управления конфигурации
ACM_SCP.1, ACM_SCP.2, ACM_SCP.3
Требования к средствам автоматизации процесса управления конфигурацией
ACM_AUT.1, ACM_AUT.2
Требования к процедурам определения модели жизненного цикла
ALC_LCD.1, ALC_LCD.2, ALC_LCD.3
Требования к процедурам проектирования и реализации безопасных ПС
ATE_FUN.1, ATE_FUN.2, AVA_VLA, ADV_FSP, ADV_HLD, ADV_LLD, ADV_RCR
Требования к процедурам использования инструментальных средств и методов разработки
ALC_TAT.1, ALC_TAT.2, ALC_TAT.3
Требования к обеспечению безопасности разработки ALC_DVS.1, ALC_DVS.2
Требования к процедуре поставки ADO_DEL.1, ADO_DEL.2, ADO_DEL.3, ADO_ISG, AGD_ADM, AGD_USR
Требования к реализации процедур обновления и устранения недостатков
ALC_FLR.1, ALC_FLR.2, ALC_FLR.3