2014, ОАО «ИнфоТеКС».

Качалин Алексей, директор ЗАО «ПМ»

ГК «ИнфоТеКС»

«Элементы построения риск-ориентированного

подхода к ИБ: Безопасная разработка ПО»

2014, ОАО «ИнфоТеКС».

Интеграция ИБ разработки в рисковую модель

• Информационная Система

• Риски: источники и обработка

• Контроль процессов изменения компонентов ИС

• От опыта анализа безопасности разработки к рисковой модели

2014, ОАО «ИнфоТеКС».

Информационная система

• Разнородная

• Иерархическая

• Топология

• Ограничения по полноте и корректности информации

o Устаревание информации

o Доступность информации

2014, ОАО «ИнфоТеКС».

Информационная система – более полная картина

• ИС как СМО

o Клиенты не контролируются

o Клиент = ИС

• Контролируемость

o Варьируется от полного отсутствия до чрезмерного контроля

o Факторы организации (человека)

• Взаимодействие между организациями (людьми)

• Динамическая

o Активности в ИС

o Архитектура ИС

• Изменение компонентов ИС104…106

2014, ОАО «ИнфоТеКС».

Полная безопасность в незамкнутой системе?

• Допустим в ИС в некоторый момент времени:

o ИС полностью наблюдается и контролируется

o ИБ поддерживается на выбранном уровне

• Например в рамках рисковой модели

• Вопрос: можем ли утверждать что и в следующий момент времени поведение ИС в части ИБ будет

o Контролируема

o Предсказуема

o Трактуема, интерпретируема

Если все влияющие на ИС и их процессы не контролируемы в той же степени*, что и исходная ИС – то нет

* А это невозможно

100%?

2014, ОАО «ИнфоТеКС».

Абсолютная Вероятная безопасность

Типы рисков

• Известные Известные - типовые риски в предметной области идентифицируемы, оцениваемы достаточно точно

• Известные Неизвестные-идентифицируемы, не оцениваемы

• Неизвестные Неизвестные –неидентифицируемые, сложно оценить по степени влияния 99,9%

2014, ОАО «ИнфоТеКС».

«Неизвестный неизвестный» Разработчик

• Ошибки по этапам разработки

o Сбор требований

o Проектирования

o Реализации

o Развертывания

o Сопровождения

• Проблемы управления

o Согласованность версий

o Разграничение зон ответственности

• Коммуникации и хранение информации о компоненте и ИС

• Инструменты разработчика

o Инструменты проектирования

o Инструменты разработки и сборки

o Инструменты хранения и сборки

• Компоненты решения

o «Крупноузловая» сборка

o Фреймворки и библиотеки

• Инфраструктура поставки

o Каналы доставки обновлений

o Магазины мобильных приложений и хранения данных

2014, ОАО «ИнфоТеКС».

Абсолютная Вероятная безопасность

• Типы рисков

o Известные Известные - типовые риски в предметной области идентифицируемы, оцениваемы достаточно точно

o Известные Неизвестные- идентифицируемы, не оцениваемы

o Неизвестные Неизвестные – неидентифицируемые, сложно оценить по степени влияния

• 3 метода обработки рисков

o Избегать– переработать план, снизить вероятностьреализации

o Передать - третья сторона

o Минимизировать последствия. Остаточные риски %

2014, ОАО «ИнфоТеКС».

Ограничение рисков через контроль

разработчика и процесса разработки

1. Избегать

o Адаптированные модели угроз

2. Передать

o Ответственность внешнего аудитора

3. Минимизировать

o Моделирование действий атакующего, пентесты

4. Стабилизация

o Фиксация практик, базовый уровень риска

5. Своевременность процессов

o Ненулевая возможность безопасности

Вероятность

Критичность

Исследование

W/B box

Пентест

ы Фиксация

Контроль готового компонента

ПО/ПАК

Контроль разработчика

Процессы разработки

ИС разработчика

2014, ОАО «ИнфоТеКС».

Опыт внедрения безопасной разработки

Мониторинг и реагирование

Проверка и выпуск продукта

Разработка

Проектирование

Требования

Подготовка команды

Внедрение цикла безопасной разработки

2014, ОАО «ИнфоТеКС».

Измеримость – взгляд разработчика• Продуктовый менеджмент

o Интенсивность разработки

• База внедрений

o перспективы развития

• Разработка: технологические тренды, тех.долг и архитектура

• Установка и сопровождение

o «Агрессивность среды»

o Инциденты

2014, ОАО «ИнфоТеКС».

Безопасная разработка Рисковая модель

Что потребуется?

• Терминология, фактология

o База УБИ ФСТЭК

• Выстроенное взаимодействие

o СОПКА ФСБ

o База уязвимостей ФСТЭК

• Убеждение и мотивация

o ГОСТ по безопасной разработке, ФСТЭК

• Согласованность с целями организации

o Прямых расходов

o Степени давления на подрядчиков

o Остаточные риски

=> Метрики, Статистика

Этапность развития измеримости

1. Возможно измерять?

2. Что можно измерять?

3. Как нужно измерять?

4. Взаимосвязь измерений и результатов

5. Как можно воздействовать на систему?

6. Влияние на результат через воздействие на измеряемые параметры

2014, ОАО «ИнфоТеКС».

Начать с того что имеете

Использовать то, чем

располагаете

Делать возможное

Качалин АлексейДиректор ЗАО «ПМ». ГК «ИнфоТеКС»