Безопасная разработка и риск-ориентированный подход к...
TRANSCRIPT
2014, ОАО «ИнфоТеКС».
Качалин Алексей, директор ЗАО «ПМ»
ГК «ИнфоТеКС»
«Элементы построения риск-ориентированного
подхода к ИБ: Безопасная разработка ПО»
2014, ОАО «ИнфоТеКС».
Интеграция ИБ разработки в рисковую модель
• Информационная Система
• Риски: источники и обработка
• Контроль процессов изменения компонентов ИС
• От опыта анализа безопасности разработки к рисковой модели
2014, ОАО «ИнфоТеКС».
Информационная система
• Разнородная
• Иерархическая
• Топология
• Ограничения по полноте и корректности информации
o Устаревание информации
o Доступность информации
2014, ОАО «ИнфоТеКС».
Информационная система – более полная картина
• ИС как СМО
o Клиенты не контролируются
o Клиент = ИС
• Контролируемость
o Варьируется от полного отсутствия до чрезмерного контроля
o Факторы организации (человека)
• Взаимодействие между организациями (людьми)
• Динамическая
o Активности в ИС
o Архитектура ИС
• Изменение компонентов ИС104…106
2014, ОАО «ИнфоТеКС».
Полная безопасность в незамкнутой системе?
• Допустим в ИС в некоторый момент времени:
o ИС полностью наблюдается и контролируется
o ИБ поддерживается на выбранном уровне
• Например в рамках рисковой модели
• Вопрос: можем ли утверждать что и в следующий момент времени поведение ИС в части ИБ будет
o Контролируема
o Предсказуема
o Трактуема, интерпретируема
Если все влияющие на ИС и их процессы не контролируемы в той же степени*, что и исходная ИС – то нет
* А это невозможно
100%?
2014, ОАО «ИнфоТеКС».
Абсолютная Вероятная безопасность
Типы рисков
• Известные Известные - типовые риски в предметной области идентифицируемы, оцениваемы достаточно точно
• Известные Неизвестные-идентифицируемы, не оцениваемы
• Неизвестные Неизвестные –неидентифицируемые, сложно оценить по степени влияния 99,9%
2014, ОАО «ИнфоТеКС».
«Неизвестный неизвестный» Разработчик
• Ошибки по этапам разработки
o Сбор требований
o Проектирования
o Реализации
o Развертывания
o Сопровождения
• Проблемы управления
o Согласованность версий
o Разграничение зон ответственности
• Коммуникации и хранение информации о компоненте и ИС
• Инструменты разработчика
o Инструменты проектирования
o Инструменты разработки и сборки
o Инструменты хранения и сборки
• Компоненты решения
o «Крупноузловая» сборка
o Фреймворки и библиотеки
• Инфраструктура поставки
o Каналы доставки обновлений
o Магазины мобильных приложений и хранения данных
2014, ОАО «ИнфоТеКС».
Абсолютная Вероятная безопасность
• Типы рисков
o Известные Известные - типовые риски в предметной области идентифицируемы, оцениваемы достаточно точно
o Известные Неизвестные- идентифицируемы, не оцениваемы
o Неизвестные Неизвестные – неидентифицируемые, сложно оценить по степени влияния
• 3 метода обработки рисков
o Избегать– переработать план, снизить вероятностьреализации
o Передать - третья сторона
o Минимизировать последствия. Остаточные риски %
2014, ОАО «ИнфоТеКС».
Ограничение рисков через контроль
разработчика и процесса разработки
1. Избегать
o Адаптированные модели угроз
2. Передать
o Ответственность внешнего аудитора
3. Минимизировать
o Моделирование действий атакующего, пентесты
4. Стабилизация
o Фиксация практик, базовый уровень риска
5. Своевременность процессов
o Ненулевая возможность безопасности
Вероятность
Критичность
Исследование
W/B box
Пентест
ы Фиксация
Контроль готового компонента
ПО/ПАК
Контроль разработчика
Процессы разработки
ИС разработчика
2014, ОАО «ИнфоТеКС».
Опыт внедрения безопасной разработки
Мониторинг и реагирование
Проверка и выпуск продукта
Разработка
Проектирование
Требования
Подготовка команды
Внедрение цикла безопасной разработки
2014, ОАО «ИнфоТеКС».
Измеримость – взгляд разработчика• Продуктовый менеджмент
o Интенсивность разработки
• База внедрений
o перспективы развития
• Разработка: технологические тренды, тех.долг и архитектура
• Установка и сопровождение
o «Агрессивность среды»
o Инциденты
2014, ОАО «ИнфоТеКС».
Безопасная разработка Рисковая модель
Что потребуется?
• Терминология, фактология
o База УБИ ФСТЭК
• Выстроенное взаимодействие
o СОПКА ФСБ
o База уязвимостей ФСТЭК
• Убеждение и мотивация
o ГОСТ по безопасной разработке, ФСТЭК
• Согласованность с целями организации
o Прямых расходов
o Степени давления на подрядчиков
o Остаточные риски
=> Метрики, Статистика
Этапность развития измеримости
1. Возможно измерять?
2. Что можно измерять?
3. Как нужно измерять?
4. Взаимосвязь измерений и результатов
5. Как можно воздействовать на систему?
6. Влияние на результат через воздействие на измеряемые параметры
2014, ОАО «ИнфоТеКС».
Начать с того что имеете
Использовать то, чем
располагаете
Делать возможное
Качалин АлексейДиректор ЗАО «ПМ». ГК «ИнфоТеКС»