Разработка безопасного программного обеспечения презентация

Июль 30, 2022

Главная
Информатика
Разработка безопасного программного обеспечения

Содержание

2. Востребованность Анализ известных мер разработки безопасного ПО Определение базового набора требований к разработке безопасного ПО Концептуальная
3. 3 Современные атаки основаны на использовании уязвимостей
4. Число уязвимостей не уменьшается Число уязвимостей зарегистрированных в NVD 9000 8000 7000 6000 5000 4000 3000
5. Аутентификационные данные в коде программы (CWE-798) Межсайтовый скриптинг (CWE-79) Внедрение SQL-кода (CWE-89) Утечка информации и неверная
6. 6 Нормативный пробел Нет регламентации спецэкспертиз при лицензировании Нет регламентации проверки производства при оценке соответствия (сертификации)
7. 7 Статистика Внедрение СМ БПО позволяет сократить число уязвимостей более чем на 80% (Microsoft SDLC) Число
8. 8 2. Формирование базового набора требований к разработке безопасного ПО 1. Анализ существующих мер, направленных на
9. Безопасное ПО Дефекты (недостатки, слабости, изъяны) Уязвимости – реализационный дефект 9 Терминологический аппарат
10. Международная и отечественная практики 6 Международная практика Microsoft SDL Cisco SDL BSIMM ISO/IEC 27034 Common Criteria
11. Меры по разработке 10 безопасного программного обеспечения (1) Документы «Общие критерии» Документы МО США ISO/IEC TR
12. Не определены требования к действиям аудиторов (оценщиков), проверяющих выполнение требований к разработке безопасного ПО Ограничения стандарта
13. Учитываемые особенности 8 Возможность интеграции с СМИБ, согласованность с процессами жизненного цикла по ГОСТ Р ИСО/МЭК
14. Подход стандарта ИСО/МЭК 15408 14 Источник: ISO/IEC 15408
15. Ист о чн ик: ISO /I EC 1 2207 15 Процессы жизненного цикла ПО по ISO/IEC
16. Ист очн ик: ISO /I EC 1 2207 16 Группы процессы ПО по ISO/IEC 12207
17. Ист о чн ик: ISO /I EC 1 2207 17 Гармонизация с ГОСТ Р ИСО 15408
18. 18 Результаты разработки базового набора требований: номенклатура (1)
19. 19 Результаты разработки базового набора требований: номенклатура (2)
20. 20 Результаты разработки базового набора требований: номенклатура (3)
21. 21 Предлагаемый формат представления
22. 22 Пример
23. Подход стандарта ИСО/МЭК 15408 23 Источник: НПО Эшелон
24. 24 Разработанная концептуальная модель выбора мер
25. 25 Разработанная методика выбора мер
26. Источник: ИЛ НПО «Эшелон» 26 Оценка эффективности: уязвимости ПО, выявляемые при проведении сертификации
27. Заключение Разработан базовый набор из 24-х требований по разработке безопасного ПО. Предложены концептуальная модель и методика
29. Скачать презентацию

Слайд 2

Востребованность
Анализ известных мер разработки безопасного ПО
Определение базового набора требований к разработке

безопасного ПО
Концептуальная модель выбора мер разработки
безопасного ПО

План выступления

Слайд 3

3
Современные атаки основаны на использовании уязвимостей

Слайд 4

Число уязвимостей не уменьшается
Число уязвимостей зарегистрированных в NVD
9000
8000
7000
6000
5000
4000
3000
2000
1000
0
2500
2000
1500
1000
500
0
2010 2011 2012
2013 2014 2015
Число уязвимостей зарегистрированных в

NVD
Источник: National Vulnerability Database

Источник: Банк данных угроз безопасности информации ФСТЭК России
4

Число выявленный уязвимостей

Слайд 5

Аутентификационные данные в коде программы (CWE-798)
Межсайтовый скриптинг (CWE-79)
Внедрение SQL-кода (CWE-89)
Утечка информации

и неверная обработка ошибок (CWE-717)
Источник: ИЛ НПО «Эшелон»

Присутствуют как преднамеренные, так и непреднамеренные

9%
17%

57%

17%

Слайд 6

6
Нормативный пробел
Нет регламентации спецэкспертиз при лицензировании
Нет регламентации проверки производства при оценке

соответствия (сертификации)
Нет рекомендаций разработчикам по разработке безопасного ПО, в т.ч. в рамках СМИБ/СМК

Слайд 7

7
Статистика
Внедрение СМ БПО позволяет сократить число уязвимостей более чем на 80%

(Microsoft SDLC)
Число ошибок в СЗИ, разработчики которых не имеют международные сертификаты на СМК, в 5 раз больше, чем в СЗИ, разработчики которых имеют международные сертификаты на СМК (НПО «Эшелон)

Слайд 8

8
2. Формирование базового набора требований к разработке безопасного ПО
1. Анализ существующих

мер,
направленных на уменьшение количества уязвимостей в разрабатываемом ПО

Цель: создание аппарата, позволяющего разработчикам ПО обоснованно формировать множество мер разработки безопасного ПО и проводить с привлечением независимых организаций оценку соответствия применяемых мер требованиям по разработке безопасного ПО
3. Разработка концептуальной модели анализа и синтеза мер разработки безопасного ПО

Цели и задачи исследования

Слайд 9

Безопасное ПО
Дефекты (недостатки, слабости, изъяны)
Уязвимости – реализационный дефект
9
Терминологический аппарат

Слайд 10

Международная и отечественная практики
6
Международная практика
Microsoft SDL
Cisco SDL
BSIMM
ISO/IEC 27034
Common Criteria
PA-DSS
Рекомендации МО США
•

…..

Отечественная практика
• РС БР ИББС-2.6-2014
ГОСТ Р ИСО/МЭК 15408
ГОСТ Р ИСО/МЭК 27034

Слайд 11

Меры по разработке
10
безопасного программного обеспечения (1)
Документы
«Общие критерии» Документы МО США
ISO/IEC TR

24772
ISO/IEC 27034-1
РС БР ИББС-2.6-2014

Методологии
Microsoft SDL
BSIMM OWASP CLASP
Open SAMM
Cisco SDL
Меры по разработке безопасного программного обеспечения

Слайд 12

Не определены требования к действиям аудиторов (оценщиков), проверяющих выполнение требований к

разработке безопасного ПО
Ограничения стандарта ISO/IEC 15408:
стандарт применяется только для ПО с функциями безопасности
предлагаемая в стандарте номенклатура мер разработки ПО не учитывает ряд мер (например, обучение специалистов, фаззинг-тестирование, статический анализ)

Результаты анализа известных мер разработки безопасного ПО (2)

Слайд 13

Учитываемые особенности
8
Возможность интеграции с СМИБ,
согласованность с процессами
жизненного цикла по ГОСТ Р

ИСО/МЭК 12207

СМИБ (27001) и
12207

«Общие критерии»

«Лучшие практики»

Совместимость с ГОСТ Р ИСО/МЭК 15408

Обеспечение внедрения необходимых процедур на самых ранних стадиях жизненного цикла

Разрабатываемые меры

Слайд 14

Подход стандарта ИСО/МЭК 15408
14
Источник: ISO/IEC 15408

Слайд 15

Ист о
чн
ик:
ISO
/I EC
1
2207
15
Процессы жизненного цикла ПО по ISO/IEC 12207

Слайд 16

Ист
очн ик:
ISO
/I EC
1
2207
16
Группы процессы ПО по ISO/IEC 12207

Слайд 17

Ист о
чн
ик:
ISO
/I EC
1
2207
17
Гармонизация с ГОСТ Р ИСО 15408

Слайд 18

18
Результаты разработки базового набора требований: номенклатура (1)

Слайд 19

19
Результаты разработки базового набора требований: номенклатура (2)

Слайд 20

20
Результаты разработки базового набора требований: номенклатура (3)

Слайд 21

21
Предлагаемый формат представления

Слайд 22

22
Пример

Слайд 23

Подход стандарта ИСО/МЭК 15408
23
Источник: НПО Эшелон

Слайд 24

24
Разработанная концептуальная модель выбора мер

Слайд 25

25
Разработанная методика выбора мер

Слайд 26

Источник: ИЛ НПО «Эшелон»
26
Оценка эффективности: уязвимости ПО, выявляемые при проведении сертификации

Слайд 27

Заключение
Разработан базовый набор из 24-х требований по разработке безопасного ПО.
Предложены концептуальная

модель и методика выбора мер разработки безопасного ПО, которая
обеспечивает возможность обоснованного выбора мер
разработки безопасного ПО и обладает свойством согласованности со стандартами серии «Общие критерии»
Данный подход положен в основу проекта
ГОСТ «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

Разработка безопасного программного обеспечения презентация

Содержание

ВостребованностьАнализ известных мер разработки безопасного ПООпределение базового набора требований к разработке

3Современные атаки основаны на использовании уязвимостей

Число уязвимостей не уменьшаетсяЧисло уязвимостей зарегистрированных в NVD9000800070006000500040003000200010000250020001500100050002010 2011 20122013 2014 2015Число уязвимостей зарегистрированных в

Аутентификационные данные в коде программы (CWE-798)Межсайтовый скриптинг (CWE-79)Внедрение SQL-кода (CWE-89)Утечка информации

6Нормативный пробелНет регламентации спецэкспертиз при лицензированииНет регламентации проверки производства при оценке

7СтатистикаВнедрение СМ БПО позволяет сократить число уязвимостей более чем на 80%

82. Формирование базового набора требований к разработке безопасного ПО1. Анализ существующих

Безопасное ПОДефекты (недостатки, слабости, изъяны)Уязвимости – реализационный дефект9Терминологический аппарат

Международная и отечественная практики6Международная практикаMicrosoft SDLCisco SDLBSIMMISO/IEC 27034Common CriteriaPA-DSSРекомендации МО США•

Меры по разработке10безопасного программного обеспечения (1)Документы«Общие критерии» Документы МО СШАISO/IEC TR

Не определены требования к действиям аудиторов (оценщиков), проверяющих выполнение требований к

Учитываемые особенности8Возможность интеграции с СМИБ,согласованность с процессамижизненного цикла по ГОСТ Р

Подход стандарта ИСО/МЭК 1540814Источник: ISO/IEC 15408

Ист очник:ISO/I EC1220715Процессы жизненного цикла ПО по ISO/IEC 12207

Источн ик:ISO/I EC1220716Группы процессы ПО по ISO/IEC 12207

Ист очник:ISO/I EC1220717Гармонизация с ГОСТ Р ИСО 15408

18Результаты разработки базового набора требований: номенклатура (1)

19Результаты разработки базового набора требований: номенклатура (2)

20Результаты разработки базового набора требований: номенклатура (3)

21Предлагаемый формат представления

22Пример

Подход стандарта ИСО/МЭК 1540823Источник: НПО Эшелон

24Разработанная концептуальная модель выбора мер

25Разработанная методика выбора мер

Источник: ИЛ НПО «Эшелон»26Оценка эффективности: уязвимости ПО, выявляемые при проведении сертификации

ЗаключениеРазработан базовый набор из 24-х требований по разработке безопасного ПО.Предложены концептуальная

Похожие презентации