Безопасная разработка программных продуктов

в рамках работы в Enterprise сегменте.

Michael Sokolov
3 min readMay 14, 2024

ИБ – это не только регуляторка и подготовка документов. По крайней мере так должно быть.

Данный слайд от axenix хорошо описывает сложность и многогранность темы cyber security.

Есть стандарты и подходы, которые помогают подойти к этой теме системно. Можно разбить область на следующие классы:

  • Модель зрелости, применяется для оценки состояния прямо сейчас
  • Отраслевой стандарт или регламент. Необходимо полное соответствие.
  • Полноценный фреймворк, который описывает и зрелость и требования и набор действий для достижения желаемого результата.

BSIMM

BSIMM (Building Security In Maturity Model) — это исследовательский проект, который описывает общие практики безопасности разработки в различных организациях. Это модель зрелости, а не стандартная методология.

Основные моменты:

  1. На основе данных: BSIMM создан на основе наблюдений и анализа реальных программ безопасности в различных компаниях.
  2. Модель зрелости: Оценка текущего состояния программы безопасности и сравнение с другими организациями.
  3. 12 практик: BSIMM охватывает 12 практик, разделенных на 4 домена: управление, интеллект, строительство и развертывание.

OWASP SAMM

OWASP SAMM (Software Assurance Maturity Model) — это открытая модель зрелости обеспечения безопасности программного обеспечения от OWASP. Предлагает рамки для оценки и улучшения процессов безопасности разработки ПО.

Основные моменты:

  1. Пространственно-ориентированный: SAMM разделяет область безопасности программного обеспечения на несколько бизнес-функций и связанных с ними практик безопасности.
  2. Модель зрелости: Предоставляет несколько уровней зрелости для каждой практики, позволяя организациям постепенно улучшать свои процессы.
  3. Независимая и открытая: Разработана сообществом и доступна для свободного использования.

Microsoft SDL

Microsoft SDL (Security Development Lifecycle) — это подход к разработке ПО, ориентированный на безопасность, который включает в себя процессы, рекомендации и инструменты для создания безопасного кода. Является одним из самых “проверенных”.

Основные моменты:

  1. Фазоориентированный подход: SDL делит процесс разработки на конкретные этапы, на каждом из которых применяются практики безопасности.
  2. Обучение: Тренинг для разработчиков по безопасному кодированию.
  3. Проверка кода: Используются инструменты статического и динамического анализа.
  4. Тестирование безопасности: Фазз-тестирование, пентесты (penetration test, пенетрейшн тест) и другие методы.
  5. Ответ на инциденты: Стратегии реагирования на угрозы и уязвимости после выпуска продукта.

PCI-DSS

PCI-DSS, или Стандарт безопасности данных индустрии платёжных карт, это набор требований, предназначенных для обеспечения безопасного обращения с данными держателей карт. Эти стандарты были разработаны совместными усилиями основных платёжных систем, таких как Visa, MasterCard, American Express, Discover и JCB, для защиты конфиденциальности и обеспечения безопасности данных клиентов при проведении платежей картами.

Основные моменты:

  1. Защита данных держателя карты: Требует, чтобы все данные, относящиеся к держателю карты, хранились, передавались и обрабатывались безопасным способом.
  2. Создание и поддержка защищённой сети: Включает установку и поддержку брандмауэров для защиты данных.
  3. Управление уязвимостями: Требует регулярного обновления антивирусных программ и проведения оценки уязвимостей.
  4. Сильный контроль доступа: Ограничение доступа к данным держателя карты на основе бизнес-необходимости.
  5. Мониторинг и тестирование сетей: Регулярное тестирование безопасности систем.
  6. Политика информационной безопасности: Разработка и поддержка политики, которая защищает данные держателя карты.

GDPR (General Data Protection Regulation):

GDPR (General Data Protection Regulation) — это регламент Европейского союза по защите персональных данных. Он касается защиты и свободного перемещения личных данных внутри ЕС.

Ключевые области

  • Принципы обработки данных
  • Права субъектов данных
  • Обязанности контролеров и процессоров
  • Передача данных в третьи страны
  • Управление и наказания

ФЗ РФ № 152-ФЗ

Федеральный закон № 152-ФЗ “О персональных данных” — это закон регулирующий обработку и защиту персональных данных граждан РФ.

Ключевые области

  • Принципы обработки персональных данных:
  • Права субъектов данных:
  • Обязанности операторов:
  • Передача данных:
  • Контроль и ответственность:

--

--