SlideShare a Scribd company logo

Phd 2016_SSDL_GOST

A
Alexander Barabanov

Presentation from PHD 2016

Engineering
1 of 11
Download to read offline
Как мы писали ГОСТ по SSDL, и что из этого получилось Александр Барабанов, кандидат технических наук, CISSP, CSSLP
Меры, применяемые регулятором в области создания безопасного ПО 2 1. Создание и поддержка базы данных уязвимостей ПО 2. Проведение анализа уязвимостей в рамках сертификации (ISO/IEC TR 20004) 3. НПА нового поколения (AVA_VAN) 4. Создание ГОСТ Р по уязвимостям ИС 5. Рекомендации по обновлению сертифицированных средств защиты информации (проект) Специальные требования к процессу разработки программного обеспечения не определены Оценка программного обеспечения Оценка процесса разработки
Разработанный национальный стандарт: учитываемые особенности 3 Разработанный ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Общие требования» «Лучшие практики» СМИБ (27001) и 12207 «Общие критерии» Возможность интеграции с СМИБ, согласованность с процессами жизненного цикла по ГОСТ Р ИСО/МЭК 12207 Обеспечение внедрения необходимых процедур на самых ранних стадиях жизненного цикла Совместимость с ГОСТ Р ИСО/МЭК 15408, возможность проведения оценки соответствия
апрель, 2013 Начало разработки август, 2013 май, 2014 Проект первой редакции Окончательная редакция сентябрь, 2015 Уточненная окончательная редакция Утверждение в Росстандарте июль, 2016 Публичные обсуждения в рамках ТК 362 «Защита информации»: - 22 организации - ~ 200 замечаний и предложений Разработанный национальный стандарт: этапы выполнения проекта 4 Апробация в рамках НИР
Меры по разработке безопасного программного обеспечения (1) Меры по разработке безопасного программного обеспечения Microsoft SDL BSIMM OWASP CLASP Методологии «Общие критерии» Документы МО США Стандарты ISO/IEC TR 24772 5 Open SAMMISO/IEC 27034-1 Cisco SDLРС БР ИББС-2.6-2014
Меры по разработке безопасного программного обеспечения (2) 6 Процесс анализа требований Процесс проектирования архитектуры Процесс конструирования Процесс квалификационного тестирования Процессы реализации ПО Фаззинг-тестирование программы Определение требований к безопасному ПО Моделирование угроз Использование идентифицированных средств разработки Использование порядка оформления исходного кода программы Статический анализ исходного кода программы Экспертиза исходного кода программы Динамический анализ кода программы Тестирование на проникновение Функциональное тестирование
Меры по разработке безопасного программного обеспечения (3) 7 Процессы менеджмента документации и конфигурации Процесс решения проблем в ПО в процессе эксплуатации Процессы поддержки ПОУникальная маркировка каждой версии ПО Использование системы управления конфигурацией Исправление обнаруженных уязвимостей программы Систематический поиск уязвимостей программы Процесс менеджмента инфраструктуры среды разработки ПО Процесс менеджмента людских ресурсов Процессы орг. обеспечения Регистрация событий Резервное копирование элементов конфигурации Защита элементов конфигурации Периодический анализ программы обучения сотрудников Периодическое обучение сотрудников
Меры по разработке безопасного программного обеспечения (4) 8 Набор мер мера 1 мера 2 мера n Цели и результаты цель 1 цель m Требования к реализации требование 1 требование k Процесс ЖЦ ПО
Взаимосвязь разработанного стандарта с другими национальными стандартами 9
Перспективы развития 10 1. Использование проекта ГОСТ в рамках сертификации (проверка производства) и/или лицензирования деятельности, выполняемых по линии ФСТЭК России 2. Планируется разработка документов, развивающих положения созданного документа: • перечень типовых угроз БИ • рекомендации по реализации мер • рекомендации по проведению оценки соответствия
Контактная информация 107023, Москва, ул. Электрозаводская, 24 +7(495) 223-23-92 +7(495) 645-38-11 http://www.npo-echelon.ru ab@cnpo.ru

Recommended

Barabanov_Markov it-std
Barabanov_Markov it-stdBarabanov_Markov it-std
Barabanov_Markov it-stdAlexander Barabanov
 
В. Галлямшин (СКБ-Контур / Контур - безопасность) - Оценка системы ИБ. Провер...
В. Галлямшин (СКБ-Контур / Контур - безопасность) - Оценка системы ИБ. Провер...В. Галлямшин (СКБ-Контур / Контур - безопасность) - Оценка системы ИБ. Провер...
В. Галлямшин (СКБ-Контур / Контур - безопасность) - Оценка системы ИБ. Провер...Expolink
 
Облачные технологии в продуктах Лаборатории Касперского
Облачные технологии в продуктах Лаборатории КасперскогоОблачные технологии в продуктах Лаборатории Касперского
Облачные технологии в продуктах Лаборатории КасперскогоActiveCloud
 
Positive technologies а.гончаров
Positive technologies а.гончаровPositive technologies а.гончаров
Positive technologies а.гончаровDenial Solopov
 
Fuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиFuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиSQALab
 
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...Kaspersky
 
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтраИгорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтраKaspersky
 
Security Audit Rfp Template
Security Audit Rfp TemplateSecurity Audit Rfp Template
Security Audit Rfp TemplateTraining center "Echelon"
 

Recommended

Barabanov_Markov it-std
Barabanov_Markov it-stdBarabanov_Markov it-std
Barabanov_Markov it-stdAlexander Barabanov
 
В. Галлямшин (СКБ-Контур / Контур - безопасность) - Оценка системы ИБ. Провер...
В. Галлямшин (СКБ-Контур / Контур - безопасность) - Оценка системы ИБ. Провер...В. Галлямшин (СКБ-Контур / Контур - безопасность) - Оценка системы ИБ. Провер...
В. Галлямшин (СКБ-Контур / Контур - безопасность) - Оценка системы ИБ. Провер...Expolink
 
Облачные технологии в продуктах Лаборатории Касперского
Облачные технологии в продуктах Лаборатории КасперскогоОблачные технологии в продуктах Лаборатории Касперского
Облачные технологии в продуктах Лаборатории КасперскогоActiveCloud
 
Positive technologies а.гончаров
Positive technologies а.гончаровPositive technologies а.гончаров
Positive technologies а.гончаровDenial Solopov
 
Fuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиFuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиSQALab
 
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...
Алексей Иванов. Реализация проектов АСУ ТП электрических подстанций ​в соотве...Kaspersky
 
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтраИгорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтра
Игорь Рыжов. Проекты по защите АСУ ТП вчера, сегодня, завтраKaspersky
 
Security Audit Rfp Template
Security Audit Rfp TemplateSecurity Audit Rfp Template
Security Audit Rfp TemplateTraining center "Echelon"
 
Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...
Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...
Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...Kaspersky
 
Nexthop lab-v4
Nexthop lab-v4Nexthop lab-v4
Nexthop lab-v4Pete Kuzeev
 
Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...
Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...
Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...Kaspersky
 
Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Альбина Минуллина
 
Кибербезопасность АСУ ТП
Кибербезопасность АСУ ТПКибербезопасность АСУ ТП
Кибербезопасность АСУ ТПАльбина Минуллина
 
Сергей Повышев. Практика киберучений — делимся опытом
Сергей Повышев. Практика киберучений — делимся опытомСергей Повышев. Практика киберучений — делимся опытом
Сергей Повышев. Практика киберучений — делимся опытомKaspersky
 
Fuzzing Qa A.Komlev
Fuzzing Qa A.KomlevFuzzing Qa A.Komlev
Fuzzing Qa A.Komlevguest4e4c91
 
Fuzzing: ключевая концепция обеспечения безопасности проекта
Fuzzing: ключевая концепция обеспечения безопасности проектаFuzzing: ключевая концепция обеспечения безопасности проекта
Fuzzing: ключевая концепция обеспечения безопасности проектаMedia Gorod
 
Как выбрать Web Application Firewall
Как выбрать Web Application FirewallКак выбрать Web Application Firewall
Как выбрать Web Application FirewallPositive Hack Days
 
Основной вектор атак — приложения
Основной вектор атак — приложенияОсновной вектор атак — приложения
Основной вектор атак — приложенияЭЛВИС-ПЛЮС
 
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...Cisco Russia
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФPete Kuzeev
 
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектовDmitry Evteev
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008guest5b66888
 
Оценка защищенности Web-приложений
Оценка защищенности Web-приложенийОценка защищенности Web-приложений
Оценка защищенности Web-приложенийSQALab
 
Центры компетенций ИБ АСУ ТП
Центры компетенций ИБ АСУ ТПЦентры компетенций ИБ АСУ ТП
Центры компетенций ИБ АСУ ТПАйдар Гилязов
 
Kaspersky managed protection
Kaspersky managed protectionKaspersky managed protection
Kaspersky managed protectionSergey Soldatov
 
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...Kaspersky
 
Кирилл Набойщиков. Системный подход к защите КИИ
Кирилл Набойщиков. Системный подход к защите КИИКирилл Набойщиков. Системный подход к защите КИИ
Кирилл Набойщиков. Системный подход к защите КИИKaspersky
 
Системы предотвращения потери данных
Системы предотвращения потери данныхСистемы предотвращения потери данных
Системы предотвращения потери данныхPete Kuzeev
 
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработкиRISClubSPb
 

More Related Content

What's hot

Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...
Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...
Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...Kaspersky
 
Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...
Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...
Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...Kaspersky
 
Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Альбина Минуллина
 
Сергей Повышев. Практика киберучений — делимся опытом
Сергей Повышев. Практика киберучений — делимся опытомСергей Повышев. Практика киберучений — делимся опытом
Сергей Повышев. Практика киберучений — делимся опытомKaspersky
 
Fuzzing Qa A.Komlev
Fuzzing Qa A.KomlevFuzzing Qa A.Komlev
Fuzzing Qa A.Komlevguest4e4c91
 
Fuzzing: ключевая концепция обеспечения безопасности проекта
Fuzzing: ключевая концепция обеспечения безопасности проектаFuzzing: ключевая концепция обеспечения безопасности проекта
Fuzzing: ключевая концепция обеспечения безопасности проектаMedia Gorod
 
Как выбрать Web Application Firewall
Как выбрать Web Application FirewallКак выбрать Web Application Firewall
Как выбрать Web Application FirewallPositive Hack Days
 
Основной вектор атак — приложения
Основной вектор атак — приложенияОсновной вектор атак — приложения
Основной вектор атак — приложенияЭЛВИС-ПЛЮС
 
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...Cisco Russia
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФPete Kuzeev
 
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектовDmitry Evteev
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008guest5b66888
 
Оценка защищенности Web-приложений
Оценка защищенности Web-приложенийОценка защищенности Web-приложений
Оценка защищенности Web-приложенийSQALab
 
Центры компетенций ИБ АСУ ТП
Центры компетенций ИБ АСУ ТПЦентры компетенций ИБ АСУ ТП
Центры компетенций ИБ АСУ ТПАйдар Гилязов
 
Kaspersky managed protection
Kaspersky managed protectionKaspersky managed protection
Kaspersky managed protectionSergey Soldatov
 
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...Kaspersky
 
Кирилл Набойщиков. Системный подход к защите КИИ
Кирилл Набойщиков. Системный подход к защите КИИКирилл Набойщиков. Системный подход к защите КИИ
Кирилл Набойщиков. Системный подход к защите КИИKaspersky
 
Системы предотвращения потери данных
Системы предотвращения потери данныхСистемы предотвращения потери данных
Системы предотвращения потери данныхPete Kuzeev
 

What's hot (20)

Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...
Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...
Евгений Дружинин. Как не сломать: что важно учесть перед, в ходе и после реал...
 
Nexthop lab-v4
Nexthop lab-v4Nexthop lab-v4
Nexthop lab-v4
 
Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...
Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...
Алексей Лукацкий. Основные сценарии реализации угроз ​на АСУ ТП и их преломле...
 
Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)Типовые атаки на корпоративную информационную систему (КИС)
Типовые атаки на корпоративную информационную систему (КИС)
 
Кибербезопасность АСУ ТП
Кибербезопасность АСУ ТПКибербезопасность АСУ ТП
Кибербезопасность АСУ ТП
 
Сергей Повышев. Практика киберучений — делимся опытом
Сергей Повышев. Практика киберучений — делимся опытомСергей Повышев. Практика киберучений — делимся опытом
Сергей Повышев. Практика киберучений — делимся опытом
 
Fuzzing Qa A.Komlev
Fuzzing Qa A.KomlevFuzzing Qa A.Komlev
Fuzzing Qa A.Komlev
 
Fuzzing: ключевая концепция обеспечения безопасности проекта
Fuzzing: ключевая концепция обеспечения безопасности проектаFuzzing: ключевая концепция обеспечения безопасности проекта
Fuzzing: ключевая концепция обеспечения безопасности проекта
 
Как выбрать Web Application Firewall
Как выбрать Web Application FirewallКак выбрать Web Application Firewall
Как выбрать Web Application Firewall
 
Основной вектор атак — приложения
Основной вектор атак — приложенияОсновной вектор атак — приложения
Основной вектор атак — приложения
 
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
 
Сравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФСравнение ТОП 5 SIEM РФ
Сравнение ТОП 5 SIEM РФ
 
Анализ защищенности интернет-проектов
Анализ защищенности интернет-проектовАнализ защищенности интернет-проектов
Анализ защищенности интернет-проектов
 
Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008Sergey Gordeychik SQADays 2008
Sergey Gordeychik SQADays 2008
 
Оценка защищенности Web-приложений
Оценка защищенности Web-приложенийОценка защищенности Web-приложений
Оценка защищенности Web-приложений
 
Центры компетенций ИБ АСУ ТП
Центры компетенций ИБ АСУ ТПЦентры компетенций ИБ АСУ ТП
Центры компетенций ИБ АСУ ТП
 
Kaspersky managed protection
Kaspersky managed protectionKaspersky managed protection
Kaspersky managed protection
 
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
Вениамин Левцов. Cтратегия трансформации решений Лаборатории Касперского для ...
 
Кирилл Набойщиков. Системный подход к защите КИИ
Кирилл Набойщиков. Системный подход к защите КИИКирилл Набойщиков. Системный подход к защите КИИ
Кирилл Набойщиков. Системный подход к защите КИИ
 
Системы предотвращения потери данных
Системы предотвращения потери данныхСистемы предотвращения потери данных
Системы предотвращения потери данных
 

Similar to Phd 2016_SSDL_GOST

Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Maxim Avdyunin
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработкиRISClubSPb
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDLAlex Babenko
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииAleksey Lukatskiy
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Вячеслав Аксёнов
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Alexey Kachalin
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...SQALab
 
Trpo 12 управление качеством
Trpo 12 управление качествомTrpo 12 управление качеством
Trpo 12 управление качествомpogromskaya
 
Использование метрик в процессе обеспечения качества сложных систем
Использование метрик в процессе обеспечения качества сложных системИспользование метрик в процессе обеспечения качества сложных систем
Использование метрик в процессе обеспечения качества сложных системSQALab
 
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...Компания УЦСБ
 
Требования ISO к защите информации и украинские реали. Оценка защищенности ин...
Требования ISO к защите информации и украинские реали. Оценка защищенности ин...Требования ISO к защите информации и украинские реали. Оценка защищенности ин...
Требования ISO к защите информации и украинские реали. Оценка защищенности ин...DjLucefer
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБКомпания УЦСБ
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложенийAlexander Kolybelnikov
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyGlib Pakharenko
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬPositive Hack Days
 

Similar to Phd 2016_SSDL_GOST (20)

Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
Сделать безопасно и сертифицировано — ЗАО «ПМ» на DevCon 2015
 
Цикл безопасной разработки
Цикл безопасной разработкиЦикл безопасной разработки
Цикл безопасной разработки
 
Цикл безопасной разработки SDL
Цикл безопасной разработки SDLЦикл безопасной разработки SDL
Цикл безопасной разработки SDL
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
 
9
99
9
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
 
Правила аудита
Правила аудитаПравила аудита
Правила аудита
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
 
Pl High Load V1.1
Pl High Load V1.1Pl High Load V1.1
Pl High Load V1.1
 
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
 
Trpo 12 управление качеством
Trpo 12 управление качествомTrpo 12 управление качеством
Trpo 12 управление качеством
 
Использование метрик в процессе обеспечения качества сложных систем
Использование метрик в процессе обеспечения качества сложных системИспользование метрик в процессе обеспечения качества сложных систем
Использование метрик в процессе обеспечения качества сложных систем
 
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
ИБ АСУ ТП NON-STOP. Серия 7. Система анализа и мониторинга состояния информац...
 
Требования ISO к защите информации и украинские реали. Оценка защищенности ин...
Требования ISO к защите информации и украинские реали. Оценка защищенности ин...Требования ISO к защите информации и украинские реали. Оценка защищенности ин...
Требования ISO к защите информации и украинские реали. Оценка защищенности ин...
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
 
лекция безопасная разработка приложений
лекция безопасная разработка приложенийлекция безопасная разработка приложений
лекция безопасная разработка приложений
 
Iso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_julyIso 27001 01_dmytriyev_kiev_2010_july
Iso 27001 01_dmytriyev_kiev_2010_july
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
 

Phd 2016_SSDL_GOST

  • 1. Как мы писали ГОСТ по SSDL, и что из этого получилось Александр Барабанов, кандидат технических наук, CISSP, CSSLP
  • 2. Меры, применяемые регулятором в области создания безопасного ПО 2 1. Создание и поддержка базы данных уязвимостей ПО 2. Проведение анализа уязвимостей в рамках сертификации (ISO/IEC TR 20004) 3. НПА нового поколения (AVA_VAN) 4. Создание ГОСТ Р по уязвимостям ИС 5. Рекомендации по обновлению сертифицированных средств защиты информации (проект) Специальные требования к процессу разработки программного обеспечения не определены Оценка программного обеспечения Оценка процесса разработки
  • 3. Разработанный национальный стандарт: учитываемые особенности 3 Разработанный ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Общие требования» «Лучшие практики» СМИБ (27001) и 12207 «Общие критерии» Возможность интеграции с СМИБ, согласованность с процессами жизненного цикла по ГОСТ Р ИСО/МЭК 12207 Обеспечение внедрения необходимых процедур на самых ранних стадиях жизненного цикла Совместимость с ГОСТ Р ИСО/МЭК 15408, возможность проведения оценки соответствия
  • 4. апрель, 2013 Начало разработки август, 2013 май, 2014 Проект первой редакции Окончательная редакция сентябрь, 2015 Уточненная окончательная редакция Утверждение в Росстандарте июль, 2016 Публичные обсуждения в рамках ТК 362 «Защита информации»: - 22 организации - ~ 200 замечаний и предложений Разработанный национальный стандарт: этапы выполнения проекта 4 Апробация в рамках НИР
  • 5. Меры по разработке безопасного программного обеспечения (1) Меры по разработке безопасного программного обеспечения Microsoft SDL BSIMM OWASP CLASP Методологии «Общие критерии» Документы МО США Стандарты ISO/IEC TR 24772 5 Open SAMMISO/IEC 27034-1 Cisco SDLРС БР ИББС-2.6-2014
  • 6. Меры по разработке безопасного программного обеспечения (2) 6 Процесс анализа требований Процесс проектирования архитектуры Процесс конструирования Процесс квалификационного тестирования Процессы реализации ПО Фаззинг-тестирование программы Определение требований к безопасному ПО Моделирование угроз Использование идентифицированных средств разработки Использование порядка оформления исходного кода программы Статический анализ исходного кода программы Экспертиза исходного кода программы Динамический анализ кода программы Тестирование на проникновение Функциональное тестирование
  • 7. Меры по разработке безопасного программного обеспечения (3) 7 Процессы менеджмента документации и конфигурации Процесс решения проблем в ПО в процессе эксплуатации Процессы поддержки ПОУникальная маркировка каждой версии ПО Использование системы управления конфигурацией Исправление обнаруженных уязвимостей программы Систематический поиск уязвимостей программы Процесс менеджмента инфраструктуры среды разработки ПО Процесс менеджмента людских ресурсов Процессы орг. обеспечения Регистрация событий Резервное копирование элементов конфигурации Защита элементов конфигурации Периодический анализ программы обучения сотрудников Периодическое обучение сотрудников
  • 8. Меры по разработке безопасного программного обеспечения (4) 8 Набор мер мера 1 мера 2 мера n Цели и результаты цель 1 цель m Требования к реализации требование 1 требование k Процесс ЖЦ ПО
  • 9. Взаимосвязь разработанного стандарта с другими национальными стандартами 9
  • 10. Перспективы развития 10 1. Использование проекта ГОСТ в рамках сертификации (проверка производства) и/или лицензирования деятельности, выполняемых по линии ФСТЭК России 2. Планируется разработка документов, развивающих положения созданного документа: • перечень типовых угроз БИ • рекомендации по реализации мер • рекомендации по проведению оценки соответствия
  • 11. Контактная информация 107023, Москва, ул. Электрозаводская, 24 +7(495) 223-23-92 +7(495) 645-38-11 http://www.npo-echelon.ru ab@cnpo.ru