Разработка безопасного программного обеспечения презентация

Содержание

Слайд 2

Востребованность
Анализ известных мер разработки безопасного ПО
Определение базового набора требований к разработке безопасного ПО
Концептуальная

модель выбора мер разработки
безопасного ПО

2

План выступления

Востребованность Анализ известных мер разработки безопасного ПО Определение базового набора требований к разработке

Слайд 3


3

Современные атаки основаны на использовании уязвимостей

3 Современные атаки основаны на использовании уязвимостей

Слайд 4

Число уязвимостей не уменьшается

Число уязвимостей зарегистрированных в NVD
9000
8000
7000
6000
5000
4000
3000
2000
1000
0

2500

2000

1500

1000

500

0

2010 2011 2012

2013 2014 2015

Число уязвимостей зарегистрированных в NVD
Источник: National

Vulnerability Database

Источник: Банк данных угроз безопасности информации ФСТЭК России
4

Число выявленный уязвимостей

Число уязвимостей не уменьшается Число уязвимостей зарегистрированных в NVD 9000 8000 7000 6000

Слайд 5

Аутентификационные данные в коде программы (CWE-798)
Межсайтовый скриптинг (CWE-79)
Внедрение SQL-кода (CWE-89)
Утечка информации и неверная

обработка ошибок (CWE-717)
Источник: ИЛ НПО «Эшелон»

Присутствуют как преднамеренные, так и непреднамеренные

9%
17%

57%

17%

Аутентификационные данные в коде программы (CWE-798) Межсайтовый скриптинг (CWE-79) Внедрение SQL-кода (CWE-89) Утечка

Слайд 6

6

Нормативный пробел
Нет регламентации спецэкспертиз при лицензировании
Нет регламентации проверки производства при оценке соответствия (сертификации)
Нет

рекомендаций разработчикам по разработке безопасного ПО, в т.ч. в рамках СМИБ/СМК

6 Нормативный пробел Нет регламентации спецэкспертиз при лицензировании Нет регламентации проверки производства при

Слайд 7

7

Статистика
Внедрение СМ БПО позволяет сократить число уязвимостей более чем на 80% (Microsoft SDLC)
Число

ошибок в СЗИ, разработчики которых не имеют международные сертификаты на СМК, в 5 раз больше, чем в СЗИ, разработчики которых имеют международные сертификаты на СМК (НПО «Эшелон)

7 Статистика Внедрение СМ БПО позволяет сократить число уязвимостей более чем на 80%

Слайд 8

8

2. Формирование базового набора требований к разработке безопасного ПО

1. Анализ существующих мер,
направленных на

уменьшение количества уязвимостей в разрабатываемом ПО

Цель: создание аппарата, позволяющего разработчикам ПО обоснованно формировать множество мер разработки безопасного ПО и проводить с привлечением независимых организаций оценку соответствия применяемых мер требованиям по разработке безопасного ПО
3. Разработка концептуальной модели анализа и синтеза мер разработки безопасного ПО

Цели и задачи исследования

8 2. Формирование базового набора требований к разработке безопасного ПО 1. Анализ существующих

Слайд 9

Безопасное ПО
Дефекты (недостатки, слабости, изъяны)
Уязвимости – реализационный дефект

9

Терминологический аппарат

Безопасное ПО Дефекты (недостатки, слабости, изъяны) Уязвимости – реализационный дефект 9 Терминологический аппарат

Слайд 10

Международная и отечественная практики

6

Международная практика
Microsoft SDL
Cisco SDL
BSIMM
ISO/IEC 27034
Common Criteria
PA-DSS
Рекомендации МО США
• …..

Отечественная практика

РС БР ИББС-2.6-2014
ГОСТ Р ИСО/МЭК 15408
ГОСТ Р ИСО/МЭК 27034

Международная и отечественная практики 6 Международная практика Microsoft SDL Cisco SDL BSIMM ISO/IEC

Слайд 11

Меры по разработке

10

безопасного программного обеспечения (1)

Документы
«Общие критерии» Документы МО США
ISO/IEC TR 24772
ISO/IEC 27034-1
РС

БР ИББС-2.6-2014

Методологии
Microsoft SDL
BSIMM OWASP CLASP
Open SAMM
Cisco SDL
Меры по разработке безопасного программного обеспечения

Меры по разработке 10 безопасного программного обеспечения (1) Документы «Общие критерии» Документы МО

Слайд 12

Не определены требования к действиям аудиторов (оценщиков), проверяющих выполнение требований к разработке безопасного

ПО
Ограничения стандарта ISO/IEC 15408:
стандарт применяется только для ПО с функциями безопасности
предлагаемая в стандарте номенклатура мер разработки ПО не учитывает ряд мер (например, обучение специалистов, фаззинг-тестирование, статический анализ)

12

Результаты анализа известных мер разработки безопасного ПО (2)

Не определены требования к действиям аудиторов (оценщиков), проверяющих выполнение требований к разработке безопасного

Слайд 13

Учитываемые особенности

8

Возможность интеграции с СМИБ,
согласованность с процессами
жизненного цикла по ГОСТ Р ИСО/МЭК 12207

СМИБ

(27001) и
12207

«Общие критерии»

«Лучшие практики»

Совместимость с ГОСТ Р ИСО/МЭК 15408

Обеспечение внедрения необходимых процедур на самых ранних стадиях жизненного цикла

Разрабатываемые меры

Учитываемые особенности 8 Возможность интеграции с СМИБ, согласованность с процессами жизненного цикла по

Слайд 14

Подход стандарта ИСО/МЭК 15408

14
Источник: ISO/IEC 15408

Подход стандарта ИСО/МЭК 15408 14 Источник: ISO/IEC 15408

Слайд 15


Ист о
чн
ик:
ISO
/I EC
1
2207
15

Процессы жизненного цикла ПО по ISO/IEC 12207

Ист о чн ик: ISO /I EC 1 2207 15 Процессы жизненного цикла

Слайд 16


Ист
очн ик:
ISO
/I EC
1
2207
16

Группы процессы ПО по ISO/IEC 12207

Ист очн ик: ISO /I EC 1 2207 16 Группы процессы ПО по ISO/IEC 12207

Слайд 17


Ист о
чн
ик:
ISO
/I EC
1
2207
17

Гармонизация с ГОСТ Р ИСО 15408

Ист о чн ик: ISO /I EC 1 2207 17 Гармонизация с ГОСТ Р ИСО 15408

Слайд 18

18

Результаты разработки базового набора требований: номенклатура (1)

18 Результаты разработки базового набора требований: номенклатура (1)

Слайд 19

19

Результаты разработки базового набора требований: номенклатура (2)

19 Результаты разработки базового набора требований: номенклатура (2)

Слайд 20

20

Результаты разработки базового набора требований: номенклатура (3)

20 Результаты разработки базового набора требований: номенклатура (3)

Слайд 21

21

Предлагаемый формат представления

21 Предлагаемый формат представления

Слайд 22


22

Пример

22 Пример

Слайд 23

Подход стандарта ИСО/МЭК 15408

23
Источник: НПО Эшелон

Подход стандарта ИСО/МЭК 15408 23 Источник: НПО Эшелон

Слайд 24


24

Разработанная концептуальная модель выбора мер

24 Разработанная концептуальная модель выбора мер

Слайд 25


25

Разработанная методика выбора мер

25 Разработанная методика выбора мер

Слайд 26

Источник: ИЛ НПО «Эшелон»
26

Оценка эффективности: уязвимости ПО, выявляемые при проведении сертификации

Источник: ИЛ НПО «Эшелон» 26 Оценка эффективности: уязвимости ПО, выявляемые при проведении сертификации

Слайд 27

Заключение

Разработан базовый набор из 24-х требований по разработке безопасного ПО.
Предложены концептуальная модель и

методика выбора мер разработки безопасного ПО, которая
обеспечивает возможность обоснованного выбора мер
разработки безопасного ПО и обладает свойством согласованности со стандартами серии «Общие критерии»
Данный подход положен в основу проекта
ГОСТ «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

27

Заключение Разработан базовый набор из 24-х требований по разработке безопасного ПО. Предложены концептуальная

Имя файла: Разработка-безопасного-программного-обеспечения.pptx
Количество просмотров: 30
Количество скачиваний: 0
- Предыдущая
Животный и растительный мир Красной книги Республики Коми
Следующая -
Правовое регулирование бюджетного процесса. Тема 5

Похожие презентации

Азбука журналистики
Электронная почта. Сетевое коллективное взаимодействие . Сетевой этикет
Управление организацией. Тема 10. Информационное обеспечение организационной деятельности
Информатизация общества
Разработка автоматизированной информационной системы контроля и учета рабочего времени компании
Решение логических задач
Java. Конструкторы классов. Таймер. Занятие 9
Измерение объёма информации. (Решение задач.)
Поиск подстрок
Особенности автоматизации бухгалтерского учета
Модернизация школьной библиотеки: управленческий аспект
Обзор УМК по информатике и ИКТ
Обчислювальні машини XIX сторіччя
Современные языки программирования высокого уровня
Операционная система
Инструкция пополнения. Яндекс-Кошелек
основы логики, построение логических схем
Единая Россия. Деятельность партии конкурента
Строки, символы и регулярные выражения. (Лекция 6)
Графический редактор Adobe Photoshop
Графика в Pascal ABC
Кодирование графической информации
The block diagram of ticket purchase via the web interface
Рынки ИКТ и организация продаж. Лекция 2. Электронный и традиционный рынок
Gadgets or new technologies in our life
Объектно - ориентированное программирование (лекция № 4)
Программирование разветвляющихся алгоритмов. Начала программирования
Алгоритмы и исполнители. Основы алгоритмизации. 8 класс
Обратная связь
Email: Нажмите что бы посмотреть